Защита компьютерных сетей на предприятии

3. Утилиты для обнаружения программ-шпионов и троянских программ. О таких утилитах часто забывают системные администраторы, из бесплатных можно рекомендовать Ad-aware компании Lavasoft.

4. Программы резервного копирования. Здесь выбор очень широкий, лучше проконсультироваться с системным администратором, чтобы вся важная информация со всех компьютеров дублировалась на резервный носитель [3].

Также основой безопасности сети предприятия является система интернет-шлюз +файерволл. Если все персональные компьютеры защищены, возникает вопрос: а зачем ещё дополнительно защищать сеть с помощью шлюза? Проблема заключается в том, что все локальные компьютеры находятся в доверенной сети и уязвимым местом становится именно шлюз, который устанавливается на границе доверенной сети и сети интернет. Захватив шлюз через интернет, злоумышленник попадает в доверенную сеть предприятия и может захватить другие компьютеры локальной сети и получить доступ к важной информации. Рассмотрим задачи решаемые современным интернет-шлюзом, на примере универсального интернет-шлюза Ideco Internet Control Server, в котором совмещены высокая безопасность и удобство использования. Все эти задачи можно разделить на три группы: защита пользователей и сети предприятия; учёт трафика, планирование и ограничение расходов; фильтрация трафика в соответствии с политикой предприятия.

Современный интернет-шлюз в первую очередь должен обеспечить защиту пользователей и сети предприятия  от атак из сети интернет. Но, помимо опасностей, которые подстерегают непосредственно  в сети интернет, существуют также  угрозы внутри самого предприятия. Например, информация может быть перехвачена  или передана в интернет от имени  другого пользователя. Для предотвращения подобных угроз используется технология VPN (Virtual Private Network — виртуальная частная сеть). По VPN каждому пользователю администратор назначает личный защищённый IP-адрес, который закреплён за ним постоянно. Сам компьютер предприятия по умолчанию не имеет доступа в интернет, и только после ввода логина и пароля сотрудник предприятия получает персональный защищённый выход во Всемирную сеть.

Но что делать, если безопасность уже была нарушена? В этом случае очень кстати окажется детализированная статистика. Она позволяет выяснять обстоятельства дела уже после того, как безопасность была нарушена недобросовестными  сотрудниками. С помощью статистики всегда можно точно определить, кто, когда и куда передал данные. Помимо прочего это помогает экономить  денежные ресурсы предприятия. Получив  отчёт о посещении интернета  в мегабайтах и в рублях, легко  в последующем спланировать расходы  на интернет для пользователей и  отделов и установить соответствующие  ограничения. Часто программы без  ведома пользователя скачивают очень большие объёмы данных, поэтому лимит необходимо устанавливать и для добросовестных пользователей, и для организации в целом, это позволит избежать больших расходов [2].

Современный интернет-шлюз позволяет контролировать расходы  в реальном времени, предупреждать  о перерасходе и блокировать  доступ в интернет при превышении установленного лимита.

Важным пунктом в обеспечении  информационной безопасности является файерволл, работающий на шлюзе. Файерволл шлюза позволяет запретить ненужные протоколы или ограничить доступ к определённым сайтам, а также запретить работу определённых приложений, например программы поддержки файлообменных сетей. Опасность могут также представлять любые предоставленные для скачивания в интернете файлы. Такие файлы часто заражены вирусами и программами-шпионами. Файерволл позволяет запретить скачивание файлов определённого типа, например с расширениями *.exe или *.avi.

Обеспечение информационной безопасности компании — это решение  вполне конкретных и известных задач. С использованием современного программного обеспечения защититься от интернет-угроз под силу любому предприятию.

 

 

3. Брандмауэр как способ защиты компьютерных сетей

Сеть — источник полезной и интересной информации. Но Всемирная  паутина может быть довольно опасной  — мы постоянно слышим о взломах  корпоративных сетей и о краже  банковских счетов. Неплохой преградой  на пути хакеров являются брандмауэры  — программы, которые блокируют  несанкционированную передачу информации по Сети и препятствуют запуску вредоносных  программ.

Брандмауэр (firewall, межсетевой экран) — это система, позволяющая разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения информации из одной части в другую. Брандмауэры представляют собой целый класс систем, порой сопоставимых по сложности с операционной системой. Классифицировать их можно по исполнению: программные, аппаратные и смешанного типа (аппаратно-программного); по компонентной модели: локальные (работающие на одном хосте) и распределенные (distributed firewall). Однако самой «полезной» является классификация с точки зрения уровня, на котором функционируют брандмауэры: пакетный уровень, прикладной, уровень соединения [2].

Идеальный персональный брандмауэр должен выполнять шесть функций:

1) Блокировка внешних атак . В идеале брандмауэр должен блокировать все известные типы атак, включая сканирование портов, IP-спуффинг, DoS и DDoS, подбор паролей и пр.

2) Блокировка утечки информации Даже если вредоносный код проник в компьютер (не обязательно через сеть, а, например, в виде вируса на купленном пиратском CD), брандмауэр должен предотвратить утечку информации, заблокировав вирусу выход в сеть.

3) Контроль приложений Неизбежное наличие открытых дверей (то есть открытых портов) является одним из самых скользких мест в блокировке утечки информации, а один из самых надежных способов воспрепятствовать проникновению вирусов через эти двери — контроль приложений, запрашивающих разрешение на доступ. Кроме банальной проверки по имени файла, весьма желательна проверка аутентичности приложения.

4) Поддержка зональной защиты. Работа в локальной сети часто подразумевает практически полное доверие к локальному контенту. Это открывает уникальные возможности по использованию новейших (и, как правило, потенциально опасных) технологий. В то же время уровень доверия к Интернет-контенту значительно ниже, а значит, необходим дифференцируемый подход к анализу опасности того или иного содержания.

5) Протоколирование и предупреждение. Брандмауэр должен собирать строго необходимый объем информации. Избыток (равно как и недостаток) сведений недопустим. Возможность настройки файлов регистрации и указания причин для привлечения внимания пользователя приветствуются.

6) Максимально прозрачная работа. Эффективность и применяемость системы часто обратно пропорциональны сложности ее настройки, администрирования и сопровождения. Несмотря на традиционный скепсис в отношении «мастеров» (wizards) по настройке и прочих буржуйских штучек, даже опытные администраторы не пренебрегают ими просто в целях экономии времени [1].

Как и в любой системе, в брандмауэре  имеются недостатки. Они заключаются  в следующем:

-Разрозненность систем защиты. Это одна из самых важных проблем, решить которую пытаются немало поставщиков, но пока без особого успеха. Во многих брандмауэрах отсутствует защита от саботажа со стороны авторизованных пользователей. Этот вопрос можно рассматривать с этической, социальной или любой другой точки зрения, но сути дела это не меняет — брандмауэры не способны запретить авторизованному пользователю украсть (передать вовне, уничтожить, модифицировать) важную информацию.

-Отсутствие защиты для нестандартных или новых сетевых сервисов. Решением здесь в какой-то мере могут служить шлюзы на уровне соединения или пакетные фильтры, но, как уже говорилось, им недостает гибкости. Конечно, существуют определенные возможности по туннелированию нестандартного трафика, например в HTTP, но этот вариант нельзя назвать удобным сразу по нескольким причинам. Есть множество унаследованных систем, код которых переписать невозможно. Однако оставлять их беззащитными тоже нельзя.

-Снижение производительности. К счастью, подобные вопросы возникают все реже и реже. В то же время крупные локальные сети по-прежнему генерируют столь емкий трафик, что обычными программными (дешевыми или бесплатными) решениями сеть не прикроешь. Аппаратные решения демонстрируют отличную производительность и масштабируемость, но вот цена (порой исчисляемая десятками тысяч долларов) переводит вопросы их применения в совершенно иную плоскость, так что порой максимум возможного — это выделение специального сервера, «заточенного» исключительно под обслуживание брандмауэра. Естественно, подобное универсальное решение автоматически сказывается на скорости доступа.

На сегодняшний день лучшей защитой от компьютерных преступников является брандмауэр, правильно установленный  и подобранный для каждой сети. И хотя он не гарантирует стопроцентную  защиту от профессиональных взломщиков, но зато усложняет им доступ к сетевой  информации, что касается любителей, то для них доступ теперь считается  закрытым. Также в будущем межсетевые экраны должны будут стать лучшими  защитниками для банков, предприятий, правительств, и других спецслужб. Также  есть надежда, что когда-нибудь будет  создан межсетевой экран, который никому не удастся обойти. На данном этапе  программирования можно также заключить, что разработки по брандмауэрам на сегодняшний день сулят в недалёком  будущем весьма неплохие результаты.

 

 

 

 

4. Антивирусы как способ защиты компьютерных сетей

Сегодня компьютерные вирусы находятся на почетном первом месте  в списке угроз IT-инфраструктуре предприятия. Проникший в корпоративную сеть вирус может принести немало неприятностей: повредить данные, вывести из строя  операционную систему сервера, предоставить злоумышленникам доступ к важной коммерческой информации и т.д. Важно  отметить, что как правило, подобные инциденты происходят в самый  неожиданный момент, при пиковой  нагрузке на компанию, и приводят к  поистине печальным, в финансовом отношении, последствиям.

Антивирусное программное  обеспечение обязательно должно быть установлено  на корпоративном сервере электронной почты. Его также требуется установить на файл-сервер предприятия и настроить периодичность проверки его содержимого каждые сутки, время проверки следует выбрать такое, чтобы работа антивирусных программ не помешала нормальной работе пользователей [4].

Персональные компьютеры всех пользователей также должны иметь вирусную защиту, которая будет  непрерывно проверять все загружаемые  файлы, от опасности заражения известными вирусами это защитит.

К сожалению, практика показывает, что антивирусной защите информации на многих предприятиях не уделяется должного внимания. Руководители, действующие по принципу «гром не грянет – мужик не перекрестится», очень часто оказываются перед  фактом утери коммерческой информации и потери годами наработанной базы данных. Только после этого и больших  убытков, понесенных в результате такой  беспечности, они задумываются об обеспечении  информационной безопасности своей компании.

Такая опасность  остается реальной для любых предприятий, даже для тех, которые уже позаботились о защите информации, но потери таких  компаний будут сведены к минимуму. Особенно опасны вирусные атаки, которыми подвергаются локальные сети крупных  хозяйственно-производственных комплексов, имеющие территориально-развлетвлённую инфраструктуру и несколько дочерних подразделений. Как правило, их локальные вычислительные сети создавались по мере развития и расширения компании, возникновения филиалов, поэтапно. В том случае, если на каждом этапе использовалось  различное аппаратное и программное обеспечение, вопрос комплексной антивирусной защиты на них будет сложно решить не только  технически, но и финансово [4].

Хорошие результаты позволяет получить сочетание организационных  мер и программно-технических  решений, оно позволяет избежать больших технических и срочных  финансовых затрат. В его основу могут быть заложены следующие принципы:

- Реализация единой технической политики для обоснования выбора антивирусного программного обеспечения для различных сегментов локальной сети;

- Охват системой антивирусной безопасности всей локальной сети компании;

- Непрерывность контроля локальной сети организации и оперативное предотвращение компьютерной инфекции;

-   Централизованное управление и своевременное обновление антивирусной защиты.

Принцип реализации единой технической политики предусматривает использование во всех сегментах локальной сети только антивирусного ПО, рекомендуемого подразделением антивирусной защиты предприятия. Эта политика носит долгосрочный характер, утверждается руководством предприятия и является основой для целевого и долговременного планирования затрат на приобретение антивирусных программных продуктов и их дальнейшее обновление.

Принцип полноты охвата системой антивирусной защиты локальной сети предусматривает постепенной внедрение в сеть программных средств антивирусной защиты до полного насыщения в сочетании с организационно-режимными мерами защиты информации.

Принцип непрерывности контроля за антивирусным состоянием локальной сети подразумевает такую организацию ее защиты, при которой обеспечивается постоянная возможность отслеживания состояния сети для выявления вирусов.

Принцип централизованного  управления антивирусной защитой предусматривает управление системой из одной органа с использованием технических и программных средств. Именно этот орган организует централизованный контроль в сети, получает данные контроля или доклады пользователей со своих рабочих мест об обнаружении вирусов и обеспечивает внедрение принятых решений по управлению системой антивирусной защиты.

С учётом этих принципов  в комплексной системе информационной безопасности создаётся подразделение  антивирусной защиты, которая должна решать следующие задачи:

-приобретение, установка и своевременная замена антивирусных пакетов на серверах и рабочих станциях пользователей;

-контроль правильности применения антивирусного ПО пользователями;

-обнаружение вирусов в локальной сети, их оперативное лечение, удаление зараженных объектов, локализация зараженных участков сети;