- •Лекция08: организация компьютерной безопасности и защиты информации
- •8.1. Причины возникновения необходимости в защите информации
- •8.2. Обеспечение безопасность передачи данных в сети организации
- •Антивирусные решения
- •Сетевые экраны
- •Системы обнаружения и предотвращения вторжений
- •Шифрование информации
- •Антивирусная программа AntiViral Toolkit Pro (avp) (http://www.Avp.Ru).
- •8.4. Архиваторы
- •Архиватор winrar.
- •Вопросы для самоконтроля
Системы обнаружения и предотвращения вторжений
Система обнаружения вторжений (Intrusion Detection System) - это программное или аппаратное решение, нацеленной на выявление фактов несанкционированного доступа в информационную систему или сеть и несанкционированного управления ими, как правило, через Интернет.
Архитектура систем обнаружения вторжений состоит:
сенсорной подсистемы, которая направлена на сбор данных в области информационной безопасности;
подсистему анализа, выявляющего подозрительные действия на основе данных, полученных с сенсоров;
хранилище, необходимое для хранения первичной информации, а также результатов анализа;
консоль управления данной системой.
Основными видами систем обнаружения вторжений являются:
- сетевая, которая отслеживает вторжения, проверяя сетевой трафик, а также следит за несколькими хостами.
Сетевая система обнаружения вторжений получает доступ к сетевому трафику, подключаясь к концентратору или коммутатору;
основана на протоколе. Система, которая анализирует коммуникационные протоколы со связанными системами или пользователями. Для веб данная система обнаружения вторжений, как правило, следит за HTTP и HTTPS протоколам. Данная система должна быть настроена так, чтобы могла просматривать пакеты еще до их отправки в сеть;
- основана на прикладных протоколах. Система, следит и анализирует данные, передаваемые с использованием специфических протоколов приложений;
- узловая. Система, расположенная на хосте, отслеживает вторжения, используя анализ системных вызовов, модификации файлов и других источников;
- гибридная. Система, включающая более одного подхода в разработке систем обнаружения вторжений.
Кроме того системы обнаружения вторжений можно разделить на пассивные и активные. В пассивной системе полученная в результате анализа информация записывается в специальный архив, а также отсылают сообщения администратору системы.
Если система обнаружения вторжений является активной, то она называется система предотвращения вторжений (Intrusion Prevention system или IPS). Данный тип систем не только ведет сбор информации о действиях в системе, но и осуществляет активные действия, направленные на предупреждение возможных вторжений в информационные системы. Данные действия могут выполняться как в автоматическом режиме, так и в ручном.
Системы обнаружения и предотвращения вторжений достаточно близки по своей сути с сетевыми экранами. Более того некоторые сетевые экраны выполняют роль систем обнаружения и предотвращения вторжений. Основное же отличие между данными системами заключавшейся в том, что сетевой экран отсекает неавторизованный трафик, пропуская авторизованный и не занимается отслеживанием вторжениями, которые могут иметь место внутри самой сети. Система же обнаружения вторжений наоборот пропускает трафик и анализирует его, подавая сигналы в случае подозрительной активности. Относительно имеющихся систем обнаружения вторжений можно назвать следующие: Snort NIDS, Endian Firewall, Tripwire, Untangle и другие.
Решение предупреждения утечки информации.
Предупреждения утечки информации (Data Leak Prevention или DLP) - это технологии, которые предупреждают выток конфиденциальной информации из информационной системы снаружи, а также технические средства для предупреждения такой утечки.
Данного типа системы строятся на анализе потоков данных, пересекающих периметр информационной системы. Если в информационном потоке найдена конфиденциальная информация, то срабатывает система защиты и поток блокируется.
Распознавания информации, утечка которой является нежелательным, может происходить двумя основными методами: анализом формальных признаков (например, грифа документа, специально созданных меток, сравнением хеш-функции) и анализом самого контента. В первом случае исключены неправильные срабатывания, однако, требуется время на проведение индексации документов, введение в них меток и т.п. Во втором случае возможны неверные срабатывания, и качество системы будет зависеть от правильности настроенных фильтров. Как правило, хорошая система предупреждения утечки информации должна включать оба метода проверки контента.
Системы предупреждения утечки информации включают в свой состав компоненты сетевого уровня и модули хоста. Компоненты сетевого уровня контролируют трафик, который пересекает границы информационной системы по сети. Компоненты сетевого уровня должны быть установлены на прокси-серверах, серверах электронной почты, а также отдельных серверах. Компоненты уровня хоста устанавливаются на компьютеры сотрудников и контролируют пути записи информации на носители, отслеживают установки не авторизованного ПО т.д.
Основной задачей систем предупреждения утечки информации является недопущение утечки информации из информационной системы. Помимо основной задачи данная система должна еще выполнять ряд второстепенных задач:
- архивирования пересылаемых. Архивы могут понадобиться для дальнейшего расследования возможных дел;
предупреждению передачи внешне не только конфиденциальной информации, но и другой, является нежелательной для компании (например, большого объема, что может снизить производительность каналов или увеличить оплату за использование Интернета);
- предупреждения утечки информации не только внешне, но и внешней среды к информационной системе;
- предупреждения использования сотрудниками служебных информационных ресурсов в личных целях;
- оптимизация загрузки каналов передачи информации;
контроль присутствия сотрудников на рабочем месте.