11.7 Организация системы антивирусной защиты банковских информационных систем
Сегодня никого не надо убеждать в необходимости построения антивирусной защиты любой более-менее ответственной информационной системы. По оценкам западных аналитиков, ежегодный общемировой ущерб от проникновения вирусов, червей, троянских коней и прочей программной «живности» составляет от 8 до 12 млрд долларов. Достаточно вспомнить, как в 2001 году весь мир был захвачен вирусом «IloveYou» (ущерб - 2 млрд долларов, затем «отличилась» Nimda (ущерб - до 1 млрд долларов) и т.д. И творцы вирусов не сидят, сложа руки: по различным оценкам, ежедневно в мире неизвестные умельцы создают от 2 до 10 новых вирусов. В условиях, когда компьютерные системы становятся основой бизнеса, а базы данных - главным капиталом многих компаний, антивирусная защита прочно встает рядом с вопросами общей экономической безопасности организации. Особенно эта проблема актуальна для банков, которые являются хранителями весьма конфиденциальной информации о клиентах, и бизнес которых построен на непрерывной обработке электронных данных. Кража, уничтожение, искажение информации, сбой и отказ компьютерных систем - вот те проблемы, которые несут с собой вирусы и вирусоподобные программы.
Тем не менее, по оценке авторов, отношение к антивирусной защите во многом остается прохладным и формальным. Сейчас вряд ли встретишь банк, в информационной сети которого не установлены какие-либо антивирусные программы. Администратор сети с готовностью отчитается, что обеспечена защита рабочих мест, серверов, электронной почты и т.д. Но проблема заключается в том, что несмотря на наличие антивирусного программного обеспечения (ПО), угроза вирусных атак по-прежнему присутствует. Это происходит по нескольким причинам:
Установлено разрозненное антивирусное ПО, нет единой системы центрального управления и сбора информации о вирусных атаках. Отсутствует техническая поддержка поставленного ПО, библиотека сигнатур устарела и антивирусное ПО не выявляет новые вирусы.
Отсутствуют программы действий в экстремальных ситуациях, ликвидация последствий вирусной атаки происходит медленно и некачественно, утерянные данные не восстанавливаются.
Отсутствует связь с производителем антивирусного ПО при возникновении новых вирусов.
Требования к структуре системы
В общем случае, антивирусная защита банковской информационной системы должна строиться по иерархическому принципу:
службы общекорпоративного уровня - 1-й уровень иерархии;
службы подразделений или филиалов - 2-й уровень иерархии;
службы конечных пользователей - 3-й уровень иерархии.
Модуль антивирусных
рабочих станций
Модуль антивирусной
защиты серверов
Модуль антивирусной
защиты почтовых серверов
Модуль обновления
антивирусных баз
Модуль контроля
работы системы
Рис. 11.1 – Модульность системы антивирусной защиты
Службы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру) посредством локальной вычислительной сети.
Службы общекорпоративного уровня должны функционировать в непрерывном режиме.
Управление всех уровней должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.
Антивирусная система должна предоставлять следующие виды сервисов на общекорпоративном уровне:
получение обновления программного обеспечения и антивирусных баз;
управление распространением антивирусного программного обеспечения;
управление обновлением антивирусных баз;
контроль за работой системы в целом (получение предупреждений об обнаружении вируса, регулярное получение комплексных отчетов о работе системы в целом).
Виды сервисов на уровне подразделений:
обновление антивирусных баз конечных пользователей;
обновление антивирусного программного обеспечения конечных пользователей, управление локальными группами пользователей.
На уровне конечных пользователей должна быть автоматическая антивирусная защита данных пользователя.
Функциональные требования
Удаленное управление. Возможность управления всей системой с одного рабочего места (например, с рабочей станции администратора).
Ведение журналов. Ведение журналов работы в удобной настраиваемой форме.
Оповещения. В системе защиты должна быть возможность отправки оповещений о происходящих событиях.
Производительность системы. Необходимо регулировать уровень нагрузки от антивирусной защиты
Защита от различных типов вирусов. Необходимо обеспечить возможность обнаружения вирусов исполняемых файлов, макросов документов. Кроме этого, должны быть предусмотрены механизмы обнаружения неизвестных программному обеспечению вирусов.
Постоянная защита рабочих станций. На рабочих станциях должно работать программное обеспечение, обеспечивающее проверку файлов при их открытии и записи на диск.
Автоматическое обновление антивирусной базы. Должна быть предусмотрена возможность автоматического получения обновлений антивирусной базы и обновления антивирусной базы на клиентах.
Общие требования
Программно-технические компоненты системы антивирусной защиты должны обеспечивать формирование интегрированной вычислительной среды, удовлетворяющей следующим общим принципам создания автоматизированных систем:
Надежность - система в целом должна обладать возможностью продолжать функционировать независимо от функционирования отдельных узлов системы и должна обладать средствами восстановления после отказа.
Масштабируемость - система антивирусной защиты должна формироваться с учетом роста числа защищенных объектов.
Открытость - система должна формироваться с учетом возможности пополнения и обновления ее функций и состава, без нарушения функционирования вычислительной среды в целом.
Совместимость - поддержка антивирусным программным обеспечением максимальновозможного количества сетевых ресурсов. В структуре и функциональных особенностях компонентов должны быть представлены средства взаимодействия с другими системами.
Унифицированность (однородность) - компоненты должны представлять собой стандартные, промышленные системы и средства, имеющие широкую сферу применения и проверенные многократным использованием.
Кроме того, система должна обеспечивать регулярное обновление используемой антивирусной базы, содержать в себе механизмы поиска ранее неизвестных вирусов и макровирусов, как наиболее распространенных и опасных в настоящее время.
Требования к надежности и функционированию системы
Система антивирусной защиты не должна нарушать логику работы остальных используемых приложений.
Система должна обеспечивать возможность вернуться к использованию предыдущей версии антивирусных баз.
Система должна функционировать в режиме функционирования объекта (рабочая станция/сервер), на котором она установлена.
Система должна обеспечивать оповещение администратора системы при сбоях или обнаружении вирусов.
Общая структура решения
Общая структура решения по антивирусной защите банковской информационной системы приведена на рисунке. На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.
Рис. 11.2 – Общая структура антивирусной защиты
Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика.
Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне невысокий уровень обнаружения, по-этому в отсутствие необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является не целесообразным.
2. Как правило, защищают файл-сервера, сервера баз данных и сервера систем коллективной работы, поскольку именно они содержат наиболее важную информацию. Антивирус не является заменой средствам резервного копирования информации, однако без него можно столкнуться с ситуацией, когда резервные копии заражены, а вирус активизируется спустя полгода с момента заражения.
3. Защищают рабочие станции, хотя и не содержат важной информации, но их защита может значительно снизить время аварийного восстановления.
Фактически антивирусной защите подлежат все компоненты банковской информационной системы, связанные с транспортировкой информации и/или ее хранением:
файл-серверы;
рабочие станции;
рабочие станции мобильных пользователей;
сервера резервного копирования;
сервера электронной почты.
Защита рабочих мест (в т.ч. мобильных пользователей) должна осуществляться антивирусными средствами и средствами сетевого экранирования рабочих станций.
Средства сетевого экранирования призваны, в первую очередь, обеспечивать защиту мобильных пользователей при работе через Интернет, а также обеспечивать защиту рабочих станций ЛВС компании от внутренних нарушителей политики безопасности.
Основные особенности сетевых экранов для рабочих станций:
контролируют подключения в обе стороны;
позволяют известным приложениям получить доступ в Интернет без вмешательства пользователя (autoconfig);
мастер конфигурирования на каждое приложение (только установленные приложения могут проявлять сетевую активность);
делают ПК невидимым в Интернет (прячет порты);
предотвращают известные хакерские атаки и троянские кони;
извещают пользователя о попытках взлома;
записывают информацию о подключениях в лог файл;
предотвращают отправку данных, определённых как конфиденциальные, без предварительного уведомления;
не дают серверам получать информацию без ведома пользователя (cookies).
Контрольные вопросы по теме:
Дайте определение угрозе безопасности банковского объекта.
Каким образом следует обеспечивать безопасность в банке?
Охарактеризуйте основные виды угроз деятельности банковского объекта.
На какие классы делятся угрозы? Охарактеризуйте каждый из них.
Рассмотрите главные функции системы комплексной защиты.
Каковы основные принципы построения системы защиты?
Выделите группы средств и методов, используемых в системе защиты государственных и коммерческих объектов.
Опишите общие принципы создания автоматизированных систем.
Рассмотрите функциональные требования.
Из чего состоит общая структура решения?