6.2. Підсистема антивірусного захисту

Підсистема антивірусного захисту повинна забезпечувати виявлення і видалення інформаційних вірусів, які можуть бути присутніми в ресурсах Web-порталу. Підсистема складається з двох компонентів – модулів-датчиків, призначених для виявлення вірусів і модуля управління антивірусними датчиками. Самі датчики встановлюються на всі сервери Web-портала, а також на АРМ адміністратора порталу. При такій схемі установки датчиків створюються умови для проведення періодичної перевірки файлів порталу на предмет наявності вірусів або програм типу “Троянський кінь”. Для того, щоб підсистема антивірусного захисту могла ефективно виявляти і нові типи вірусів необхідно регулярно оновлювати базу даних сигнатур підсистеми.

6.3. Підсистема контролю цілісності

Підсистема контролю цілісності повинна забезпечувати виявлення несанкціонованого спотворення вмісту Web-портала. Датчики цієї підсистеми, як правило, встановлюються на серверах порталу для того, щоб із заданою періодичністю перевіряти цілісність файлових ресурсів порталу на основі контрольних сум або хешей. При цьому повинен забезпечуватися контроль цілісності файлів не тільки прикладного, але і загальносистемного ПО. Алгоритм роботи цієї підсистеми виглядає таким чином. Для заданої безлічі файлів підсистема обчислює еталонні контрольні суми. По закінченню певного тимчасового інтервалу підсистема наново обчислює контрольні суми файлів і порівнює їх з раніше збереженими еталонними значення. При виявленні невідповідності між еталонним і отриманим значенням фіксується факт спотворення файлового ресурсу, про що негайно оповіщається адміністратор безпеки.

Підсистема контролю цілісності не є превентивним засобом захисту, оскільки дозволяє виявити лише наслідки інформаційного вторгнення. Проте наявність такої підсистеми по суті життєвого необхідна, оскільки якщо все наявні засоби захисту пропустили інформаційну атаку, то підсистема контролю цілісності дозволяє виявити її наслідки.

6.4. Підсистема виявлення вторгнень

Підсистема виявлення вторгнень призначена для виявлення мережевих атак, направлених на інформаційні ресурси порталу. Підсистема включає наступні компоненти:

• модулі-датчики, призначені для збору інформації про пакети даних, циркулюючих в Web-порталі;

• модуль виявлення атак, що виконує обробку даних, зібраних датчиками, з метою виявлення інформаційних атак порушника;

• модуль реагування на виявлені атаки;

• модуль зберігання даних, в якому зберігається вся конфігураційна інформація, а також результати роботи підсистеми виявлення вторгнень. Таким модулем, як правило, є стандартна СУБД, наприклад MS SQL Server, Oracle або IBM DB2;

• модуль управління компонентами засобів виявлення атак.

До складу підсистеми виявлення вторгнень повинні входити два типи датчиків – хостові і мережеві. Мережеві датчики є окремим програмно-апаратним блоком, призначеним для пасивного збору і аналізу інформації про всі пакети даних, які передаються в тому сегменті, в якому встановлений датчик. Хостові ж датчики є програмні модулі, які встановлюються на сервери порталу і аналізують тільки ті пакети даних, які поступають на ці сервери. Хостові датчики, на відміну від мережевих, дозволяють не тільки виявляти, але і блокувати мережеві атаки за допомогою фільтрації потенційно небезпечних пакетів даних.

Схема установки мережевих датчиків підсистеми виявлення вторгнень в комунікаційному сегменті Web-порталу показана на рис. 4.

Рис. 4. Схема установки мережевих датчиків підсистеми виявлення вторгнень в Web-порталі

Перший мережевий датчик підсистеми виявлення вторгнень (див. мал. 4) встановлюється до зовнішнього міжмережевого екрану і призначений для виявлення всіх зовнішніх атак на сервери порталу, а також на міжмережевий екран. Другий мережевий датчик встановлюється так, щоб він мав можливість перехоплювати весь мережевий трафік, що поступає в сегмент демілітаризованої зони. Таким чином, другий датчик має можливість виявляти атаки на публічних і кеш-сервери, які були пропущені зовнішнім міжмережевим екраном. Аналіз результатів роботи першого і другого мережевого датчика дозволяє контролювати роботу зовнішнього міжмережевого екрану і при необхідності змінювати його правила фільтрації. Третій датчик призначається для моніторингу мережевої активності в сегменті службових серверів Web-портала.

Хостові датчики підсистеми виявлення вторгнень встановлюються на всіх серверах сегменту демілітаризованої зони і сегменту службових серверів. Датчики цього типу повинні бути реалізовані у вигляді активних фільтрів, що функціонують на рівні прикладного програмного забезпечення Web-портала. Це необхідно для того, щоб датчики не знижували продуктивності роботи серверів порталу, а також мали можливість обробляти трафік, передаваний по криптозахищених каналах зв'язку.

Інформація, зібрана мережевими і хостовими датчиками, аналізується модулем виявлення атак з метою виявлення можливих вторгнень порушників. Аналіз даних може проводитися за допомогою двох основних груп методів - сигнатурних і поведінкових. Сигнатурні методи описують кожну атаку у вигляді спеціальної моделі або сигнатури. Як сигнатура атаки можуть виступати: рядок символів, семантичний вираз на спеціальній мові, формальна математична модель ін. Алгоритм роботи сигнатурного методу полягає в пошуку сигнатур атак в початкових даних, зібраних мережевими і хостовими датчиками. У разі виявлення шуканої сигнатури, фіксується факт інформаційної атаки, яка відповідає знайденій сигнатурі. База даних сигнатур атак підсистеми виявлення вторгнень повинна оновлюватися на регулярній основі.

Поведінкові методи, на відміну від сигнатурних, базуються не на моделях інформаційних атак, а на моделях штатного процесу функціонування Web-порталу. Принцип роботи поведінкових методів полягає у виявленні невідповідності між поточним режимом функціонування АС і моделлю штатного режиму роботи, закладеної в параметрах методу. Будь-яка така невідповідність розглядається як інформаційна атака. Як правило, модуль виявлення атак інтегрується разом з мережевими і хостовими датчиками підсистеми виявлення вторгнень.