6.2. Защита от вирусных угроз на уровне сети

Основным компонентом КСАЗ на уровне сети является система разграничения доступа, которая может реализовываться на трёх уровнях модели ВОС - канальном, сетевом и прикладном.

На канальном уровне разграничение доступа осуществляется на основе виртуальных локальных сетей VLAN ( Virtual Local Area Network ), на которые разделяется АС.

Деление на такие виртуальные сети производится при помощи настроек коммутаторов, в которых каждый физический порт включается в определённую виртуальную сеть.

Хосты могут свободно обмениваться данными друг с другом в рамках одной виртуальной сети, а управление взаимодействием между различными виртуальными сетями осуществляется посредством списков контроля доступа ACL ( Access Control List ). В этих списках определяются правила, в соответствии с которыми разрешается или запрещается информационный обмен между разными сетями VLAN.

Так, например, если для работы АС два узла не должны обмениваться между собой информацией, то они разделяются на разные виртуальные сети, между которыми запрещается взаимодействие. В случае, если компьютерный вирус проникнет на один из таких узлов АС ему не удастся получить доступ к тем ресурсам, которые хранятся на других серверах, включённых в другие виртуальные сети.

На сетевом и транспортном уровнях модели ВОС для разграничения доступа могут применяться межсетевые экраны, предназначенные для блокирования потенциально опасных пакетов данных, на основе которых распространяются компьютерные вирусы. Как правило, межсетевые экраны устанавливаются в точке подключения АС к сети Интернет и обеспечивают фильтрацию пакетов с вредоносным кодом.

Разграничение доступа на прикладном уровне может реализовываться на основе технологий, обеспечивающих возможность проверки уровня безопасности рабочих станций перед предоставлением им доступа к ресурсам АС.

Так, например, если на рабочей станции будет отсутствовать антивирусное ПО, или не будут обновлены сигнатурные базы данных, то в этом случае доступ станции к АС будет заблокирован. Примером такой технологии является Cisco Network Admission Control.

На прикладном уровне модели ВОС рекомендуется использоваться сетевые средства обнаружения и предотвращения атак, предназначенные для обнаружения несанкционированной вирусной активности посредством анализа пакетов данных, циркулирующих в АС. Подсистема дополняет функции межсетевых экранов за счёт возможности более детального контентного анализа содержимого передаваемых пакетов данных. Датчики системы обнаружения атак устанавливаются до и после МЭ, а также в каждом из защищаемых сегментов.

Помимо системы обнаружения атак для защиты АС также рекомендуется использования средства анализа защищённости, предназначенные для выявления технологических и эксплуатационных уязвимостей АС посредством проведения сетевого сканирования.

В качестве объектов сканирования могут выступать:

• рабочие станции пользователей,

• серверы,

• коммуникационное оборудование.

На прикладном уровне также могут использоваться шлюзовые средства антивирусной защиты, позволяющие сканировать файлы, передаваемые по сетевым протоколам SMTP, POP3, HTTP, FTP и др.

Данный тип антивирусов:

• подключается к межсетевому экрану,

• подключается к прокси-серверу,

• или устанавливается в разрыв канала связи на выделенном узле.

На уровне шлюза также может обеспечиваться защита от почтовых сообщений, содержащих спам.

Средства защиты от вирусных угроз на уровне сети перечислены в таблице 4.

Таблица 4. Средства защиты от вирусов на уровне сети
№	Уровень модели ВОС	Наименование средств защиты
1	Прикладной уровень	Шлюзовые средства антивирусной защиты Шлюзовые средства защиты от спама Сетевые системы обнаружения атак Средства контроля доступа к ресурсам АС Средства анализа защищённости
2	Транспортный уровень	Межсетевые экраны
3	Сетевой уровень
4	Канальный уровень	Средства разграничение доступа средствами VLAN
5	Физический уровень	Физическое изолирование определённых сегментов АС друг от друга