Преподаватель
Спонсор: Microsoft
Опубликован: 25.06.2010 | Уровень: специалист | Доступ: свободно
Лекция 15:

Защита от вирусных угроз

Защита на уровне сети

Основным компонентом КСАЗ на уровне сети является система разграничения доступа, которая может реализовываться на трёх уровнях модели ВОС - канальном, сетевом и прикладном. На канальном уровне разграничение доступа осуществляется на основе виртуальных локальных сетей VLAN ( Virtual Local Area Network ), на которые разделяется АС. Деление на такие виртуальные сети производится при помощи настроек коммутаторов, в которых каждый физический порт включается в определённую виртуальную сеть. Хосты могут свободно обмениваться данными друг с другом в рамках одной виртуальной сети, а управление взаимодействием между различными виртуальными сетями осуществляется посредством списков контроля доступа ACL ( Access Control List ). В этих списках определяются правила, в соответствии с которыми разрешается или запрещается информационный обмен между разными сетями VLAN. Так, например, если для работы АС два узла не должны обмениваться между собой информацией, то они разделяются на разные виртуальные сети, между которыми запрещается взаимодействие. В случае, если компьютерный проникнет на один из таких узлов АС ему не удастся получить доступ к тем ресурсам, которые хранятся на других серверах, включённых в другие виртуальные сети.

На сетевом и транспортном уровнях модели ВОС для разграничения доступа могут применяться межсетевые экраны, предназначенные для блокирования потенциально опасных пакетов данных, на основе которых распространяются компьютерные вирусы. Как правило, межсетевые экраны устанавливаются в точке подключения АС к сети Интернет и обеспечивают фильтрацию пакетов с вредоносным кодом.

Разграничение доступа на прикладном уровне может реализовываться на основе технологий, обеспечивающих возможность проверки уровня безопасности рабочих станций перед предоставлением им доступа к ресурсам АС. Так, например, если на рабочей станции будет отсутствовать антивирусное ПО, или не будут обновлены сигнатурные базы данных, то в этом случае доступ станции к АС будет заблокирован. Примером такой технологии является Cisco Network Admission Control.

На прикладном уровне модели ВОС рекомендуется использовать сетевые средства обнаружения и предотвращения атак, предназначенные для обнаружения несанкционированной вирусной активности посредством анализа пакетов данных, циркулирующих в АС. Подсистема дополняет функции межсетевых экранов за счёт возможности более детального контентного анализа содержимого передаваемых пакетов данных. Датчики системы обнаружения атак устанавливаются до и после МЭ, а также в каждом из защищаемых сегментов.

Помимо системы обнаружения атак для защиты АС также рекомендуется использования средства анализа защищённости, предназначенные для выявления технологических и эксплуатационных уязвимостей АС посредством проведения сетевого сканирования. В качестве объектов сканирования могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование.

На прикладном уровне также могут использоваться шлюзовые средства антивирусной защиты, позволяющие сканировать файлы, передаваемые по сетевым протоколам SMTP, POP3, HTTP, FTP и др. Данный тип антивирусов подключается к межсетевому экрану, прокси-серверу или устанавливается в разрыв канала связи на выделенном узле. На уровне шлюза также может обеспечиваться защита от почтовых сообщений, содержащих спам.

Средства защиты от вирусных угроз на уровне сети перечислены в таблице 21.4.

Таблица 21.4. Средства защиты от вирусов на уровне сети
Уровень модели ВОС Наименование средств защиты
1 Прикладной уровень
  • Шлюзовые средства антивирусной защиты
  • Шлюзовые средства защиты от спама
  • Сетевые системы обнаружения атак
  • Средства контроля доступа к ресурсам АС
  • Средства анализа защищённости
2 Транспортный уровень Межсетевые экраны
3 Сетевой уровень
4 Канальный уровень Средства разграничение доступа средствами VLAN
5 Физический уровень Физическое изолирование определённых сегментов АС друг от друга

Защита на уровне рабочих станций пользователей

Базовым элементом защиты рабочих станций являются средства антивирусной защиты (см. табл. 21.5). Основная задача данных средств заключается в антивирусной проверке всех файлов, которые поступают на рабочую станцию по сети или через внешние носители информации. В дополнении к средствам антивирусной защиты на станции рекомендуется устанавливать персональные сетевые экраны, которые позволяют контролировать сетевую активность приложений, а также хостовые средства обнаружения атак. В случае, если на станциях пользователей обрабатывается конфиденциальная информация, то она должна подлежать резервному копированию.

Таблица 21.5. Средства защиты от вирусов на уровне рабочих станций пользователей
Уровень модели узла АС Наименование средств защиты
1 Уровень информационных ресурсов Средства резервного копирования информации
2 Уровень прикладного ПО
  • Средства антивирусной защиты
  • Персональные сетевые экраны
  • Хостовые средства обнаружения и предотвращения атак
3 Уровень общесистемного ПО
4 Уровень аппаратного обеспечения --

Защита на уровне серверов

На серверы, также как и на рабочие станции должны устанавливаться средства антивирусной защиты, обеспечивающие выявление и блокирование вредоносного кода. В отличие от рабочих станций, для обеспечения более высокого уровня защиты на серверы могут устанавливаться многовендорные антивирусы, в состав которых одновременно входит несколько сканирующих ядер различных производителей.

Для защиты почтовых серверов от спама на них может быть установлено специализированное ПО, позволяющее выявлять сообщения рекламного характера (см. таблицу 21.6).

Таблица 21.6. Средства защиты от вирусов на уровне серверов
Уровень модели узла АС Наименование средств защиты
1 Уровень информационных ресурсов
  • Средства контроля целостности информации
  • Средства резервного копирования информации
2 Уровень прикладного ПО
  • Средства антивирусной защиты
  • Средства защиты от спама
  • Персональные сетевые экраны
  • Хостовые средства обнаружения и предотвращения атак
3 Уровень общесистемного ПО
4 Уровень аппаратного обеспечения --

Помимо рассмотренных выше средств защиты АС, функционирующих на уровне сети, рабочих станций и серверов, в состав КСАЗ также должна входить подсистема управления антивирусной безопасностью, предназначенная для выполнения следующих функций:

  • удалённой установки и деинсталляции антивирусных средств на серверах и рабочих станциях пользователей;
  • удалённого управления параметрами работы подсистем защиты, входящих в состав КСАЗ;
  • централизованного сбора и анализа информации, поступающей от других подсистем. Данная функция позволяет автоматизировать процесс обработки поступающих данных, а также повысить оперативность принятия решений по реагированию на выявленные инциденты, связанные с нарушением антивирусной безопасности.

Общая схема размещения подсистем защиты, входящих в состав комплексной системы антивирусной безопасности в АС показана на рис. 21.3.

Общая схема размещения средств защиты в АС

Рис. 21.3. Общая схема размещения средств защиты в АС

Важно отметить, что внедрение такой комплексной системы антивирусной защиты представляет собой сложный многоступенчатый процесс.

Евгений Виноградов
Евгений Виноградов
Экстернат
Илья Сидоркин
Илья Сидоркин
Как получить диплом?
Сергей Мороз
Сергей Мороз
Россия
Вениамин Сергеев
Вениамин Сергеев
Россия, Тюмень, Тюменский индустриальный институт, 1983