ПЕРМСКИЙРЕГИОНАЛЬНЫЙ ИНСТИТУТ ПЕДАГОГИЧЕСКИХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
кафедраинформатики
Разработкарекомендаций по выбору программного комплекса для защиты информации в ЛВСКунгурского сельскохозяйственного колледжа
(Выпускнаяквалификационная работа)
Работу выполнил:
студент 5 курса
группа С – 25
Цепков Андрей Владимирович
научный руководитель:
зав. кафедры информатики,
к.т.н., доцент
Раевский Виктор Николаевич
Пермь 2007год
СодержаниеВведениеГлава 1. Анализ угроз безопасностиинформации в ЛВС Кунгурского сельскохозяйственного колледжа1.1 Утечка информации как наиболеесерьезная угроза информационной безопасности колледжа1.2 Неавторизованный доступ к ЛВС1.3 Несанкционированный доступ кресурсам ЛВСГлава 2. Анализ существующихпрограммных продуктов, используемых для защиты информации в ЛВС2.1 Антивирусные программы2.2 БрандмауэрыГлава 3. Разработка рекомендаций посоставу программного комплекса для защиты информации в ЛВС Кунгурскогосельскохозяйственного колледжа3.1 Административные меры3.1.2 Состав программного комплекса3.1.3 Программный комплексЗаключениеПеречень используемых источниковПриложения
Приложение № 1
Приложение № 2
Введение
В век информационныхтехнологий самой актуальной проблемой является защита информации влокально-вычислительной сети не только среди коммерческих организаций, но иобразовательных учреждений, объектом исследования будет защита информации в ЛВСКунгурского сельскохозяйственного колледжа.
Программное обеспечениедля защиты информации в локальной вычислительной сети является предметом исследования.
После выделения объекта ипредмета исследования поставим целью своей работы разработать рекомендации повыбору программного комплекса для защиты информации в ЛВС Кунгурскогосельскохозяйственного колледжа.
Методами исследованияявляется анализ угроз безопасности информации, а также анализ программныхпродуктов используемых для защиты информации в ЛВС, проведение эксперимента.
Для достижения цели исследованиянеобходимо решить следующие задачи:
· проанализироватьугрозы безопасности информации в ЛВС Кунгурского сельскохозяйственного колледжа;
· проанализироватьрынок существующих программных продуктов, используемых для защиты информации вЛВС;
· окончательнойзадачей после проведенного анализа, разработать рекомендации по составупрограммного комплекса для защиты информации в ЛВС Кунгурскогосельскохозяйственного колледжа.
Разработанныерекомендации по выбору программного комплекса для защиты информации вдальнейшем будут предложены для реализации на практике в данном колледже.
Главной задачей, решаемойна этапе разработки рекомендаций по выбору программного комплекса для созданиясистемы информационной безопасности, является обеспечение безопасностиинформации в компьютерных сетях, что предполагает создание препятствий длялюбых несанкционированных попыток хищения или модификации данных, передаваемыхв сети. В то же время очень важно сохранить такие свойства информации, как доступность,целостность и конфиденциальность. Доступность информации подразумеваетобеспечение своевременного и беспрепятственного доступа пользователей кинтересующим их сведениям. Целостность информации заключается в еесуществовании в неискаженном виде, то есть неизменном по отношению к некоторомуфиксированному ее состоянию. Конфиденциальность предполагает необходимостьвведения ограничений доступа к данной информации для определенного кругапользователей. Следует также отметить, что такие области, как банковская ифинансовая деятельность, государственное управление, оборонные и специальныеструктуры, требуют специальных дополнительных мер безопасности данных ипредъявляют повышенные требования к надежности функционирования информационныхсистем.
Прежде чем приступить кразработке рекомендаций по выбору программного комплекса для созданияподсистемы информационной безопасности сети, необходимо разработать концепции иполитики безопасности. Правильная политика безопасности позволит не толькоучесть все требования по безопасности, но и оптимально использовать финансовыесредства, необходимые для ее реализации. В политике безопасности должны бытьучтены все составляющие информационной безопасности.
В первую очередь нужноопределить список объектов, на которые могут быть направлены угрозы.Естественно, в данный список должны быть включены все критически важные узлылокальной сети.
Необходимо провести аудити анализ существующих и возможных внутренних угроз, определить их источники иоценить риски. Эти сведения позволят составить реальное представление осуществующей и прогнозируемой степени уязвимости локальной сети, а также опотребностях в защите информационных ресурсов. Многие полагают, что основнаяугроза исходит снаружи от внешних, сторонних лиц и организаций, от хакеров,которые пытаются проникнуть в сеть и получить доступ к информации и ресурсам.Но кто опаснее: хакер, пытающийся проникнуть в корпоративную сеть извне, илисотрудник (студент), который уже имеет к ней доступ? К тому же злоумышленникможет найти в колледже человека, нечистого на руку, или обмануть доверчивогопользователя, используя различные психологические приемы. Тратя огромные деньгина защиту локальной сети, ни в коем случае нельзя забывать об опасностивнутренних угроз. Естественно, внешние и внутренние угрозы это – не миф, ноесли посмотреть правде в глаза, то можно увидеть, что большинство случаев ценаэтой угрозы сильно завышена. В результате этой истерии появилась тенденция,которая делает людей, занимающихся IT – security, уверенными, что без денег не будетрезультата. Эти люди любят повторять правило, что деньги, вложенные вбезопасность, окупаются и возвращаются. Это правило действительно работает, номнение, что ноль в бюджете по информационной безопасности дает ноль в защитеошибочно. Когда есть деньги на безопасность – это прекрасно, но главное – ихэффективно и разумно тратить. Когда их нет – это не конец: если рационально, сумом управлять и работать, то вероятность создания удобной и эффективнойсистемы управления информационной безопасностью, да и техническойинфраструктуры очень высока.
Глава1. Анализ угроз безопасности информации в ЛВС Кунгурского сельскохозяйственногоколледжа
1.1 Утечка информациикак наиболее серьезная угроза информационной безопасности
Обеспечениеинформационной безопасности колледжа не ограничивается внедрением техническихсредств защиты от разного рода угроз. Одним из наиболее опасных элементов сточки зрения возможного ущерба информационным ресурсам учреждения являются еесотрудники (студенты).
Согласно исследованиям (Silicon Republic), 45% американских сотрудниковзабирают с собой различные корпоративные данные, когда меняют работу. В товремя как сотрудники ИТ–подразделений и служб безопасности компаний ищутэффективные средства защиты от внешних угроз, из поля зрения пропадает гораздоболее серьезная угроза — инсайдеры.
Исследование в областикорпоративной защиты от внутренних угроз информационной безопасности (ИБ),проведенное компанией InfoWatch в 2006 – 2007 гг. наглядно показывает, что самые опасные угрозы ИБисходят изнутри организации. При этом в списке самых опасных внутренних угроз(рис.1) лидирует нарушение конфиденциальности информации (70,1%). Далее, сотрывом, следуют искажение информации (38,4%) и утрата информации (17,3%).
Таким образом, рискутечки ценной информации волнует начальников ИТ-отделов гораздо больше, чемлюбая другая внутренняя угроза ИБ. Стоит отметить тот факт, что в 2004 и в 2005году эту угрозу как наиболее опасную отмечали 100% респондентов.
/>
Рис. 1. Наиболее опаcныевнутренние ИТ-угрозы (по версии InfoWatch)
Самые распространенныеканалы утечки информации – мобильные накопители (86,6%), электронная почта(84.8%) и Интернет (82,2%) [1, стр.85].
/>
Рис. 2.Каналы утечки информации
Стоит отметить, что такоеположение дел наблюдается во всем мире — большая часть информации «утекает»из компаний на мобильных носителях. Инсайдеры крадут любую конфиденциальнуюинформацию. Однако персональные данные интересуют их гораздо чаще любой другойинформации.
Исходя из того, чтонаиболее простой способ вынести информацию из колледжа – скопировать ее навнешний носитель (CD, flash-drive), стоит озаботиться, прежде всего, ограничениемвозможности подключения таких устройств со стороны пользователя. Применениеэтих мер наряду со специальным ПО, позволяющим разграничивать права доступа,значительно уменьшает вероятность утечек.
Следующий шаг –ограничение интернет-трафика и электронной почты.
Следует не забывать и просистемы сетевого трафика, так как они позволяют если не предотвратить, тозаметить попытки несанкционированной передачи данных. Подобные системы могутбыть как отдельным решением, установленным на «горле» сети,просматривающие весь исходящий трафик и блокирующие передачу «нежелательных»или «странных» пакетов, так и расширением для существующих сервисов.Подобный подход позволяет бороться с проблемой передачи данных, передаваемых какпосредством штатных средств, так и с использованием скрытых каналов – например,инкапсуляция данных в неиспользуемые части передаваемого сетевого пакета.Существует отдельный класс угроз, исходящих от инсайдеров, связанный снеумышленными действиями пользователя. Именно от этих угроз, по мнениюнекоторых специалистов. Помогает только повышение осведомленности пользователейв области информационной безопасности.
Стоитотметить. Что согласно исследованиям InfoWatch, подавляющеебольшинство организаций (89,9%) планируют внедрить в ближайшие три года ту илииную систему защиты от утечек. При этом наибольшая часть организаций (32.8%)предполагают установку комплексных решений, второй по популярности классрешений – средства мониторинга интернет-трафика (23,9%), далее следуют системымониторинга рабочих станций (18,6%).
Любыесредства ИБ хороши до тех пор, пока не мешают сотрудникам выполнять ихдолжностные обязанности. Пользователь не должен быть отвлечен такимипроблемами, как возможная компрометация используемых паролей третьими лицамиили стирание из всех видов памяти компьютера секретных документов. В тоже время,система защиты от инсайдеров должна выполнять свою работу незаметно, непривлекая к себе как можно меньше внимания. В настоящее время, значительноеколичество организаций пришло к пониманию этих фактов. Остается лишь выбратьлучшее решение и приступить к ее развертыванию в колледже [1].
/>
Рис. 3. Наиболее эффективные пути защиты отутечек
1.2 Неавторизованный доступ к ЛВС
ЛВС обеспечивает совместное использование файлов, принтеров,файловой памяти и т.п. Поскольку ресурсы разделяемы и не используютсямонопольно одним пользователем, необходимо управление ресурсами и учет использованияресурсов. Неавторизованный доступ к ЛВС имеет место, когда кто-то, неуполномоченный на использование ЛВС, получает доступ к ней (действуя обычно,как законный пользователь ЛВС). Два общих метода используются, чтобы получитьнеавторизованный доступ:
· общие пароли;
· угадывание пароля и перехват пароля.
Общие пароли позволяют неавторизованному пользователю получитьдоступ к ЛВС и привилегии законного пользователя; это делается с одобрениякакого-либо законного пользователя, под чьим именем осуществляется доступ.Угадывание пароля является традиционным способом неавторизованного доступа.Перехват пароля является процессом, в ходе которого законный пользователь, незная того, раскрывает учетный идентификатор пользователя и пароль. Это можетбыть выполнено с помощью программы троянского коня, которая имеет дляпользователя вид нормальной программы входа в ЛВС, однако программа — троянскийконь предназначена для перехвата пароля. Методы перехвата открытого трафикаЛВС, включая пароли, широко доступны сегодня. Неавторизованный доступ к ЛВСможет происходить с использованием следующих типов уязвимых мест:
· отсутствие или недостаточность схемы идентификации иаутентификации;
· совместно используемые пароли;
· плохое управление паролями или легкие для угадывания пароли;
· использование известных системных брешей и уязвимых мест, которыене были исправлены;
· однопользовательские ПК, не имеющие парольной защиты во времязагрузки;
· неполное использование механизмов блокировки ПК;
· хранимые в пакетных файлах на дисках ПК пароли доступа к ЛВС;
· слабый физический контроль за сетевыми устройствами;
· отсутствие тайм-аута при установлении сеанса и регистрации неверныхпопыток;
· отсутствие отключения терминала при многочисленных неудачныхпопытках установления сеанса и регистрации таких попыток;
· отсутствие сообщений «дата/время последнего удачногосеанса» и «неуспешная попытка установления сеанса» в началесеанса;
· отсутствие верификации пользователя в реальном времени (длявыявления маскарада).
1.3 Несанкционированный доступ к ресурсам ЛВС
Одна из выгод от использования ЛВС состоит в том, что большоеколичество ресурсов легко доступны большому количеству пользователей, чтолучше, чем владение каждым пользователем ограниченных выделенных ему ресурсов.Эти ресурсы могут включать файловую память, приложения, принтеры, данные, ит.д… Однако не все ресурсы должны быть доступны каждому пользователю. Чтобыпредотвратить компрометацию безопасности ресурса (то есть разрушение ресурса,или уменьшение его доступности), нужно разрешать использовать этот ресурстолько тем, кому требуется использование ресурса. Несанкционированный доступпроисходит, когда пользователь, законный или неавторизованный, получает доступк ресурсу, который пользователю не разрешено использовать. Несанкционированныйдоступ может происходить просто потому, что права доступа пользователей кресурсу не назначены должным образом. Однако, несанкционированный доступ можеттакже происходить потому, что механизм управления доступом или механизмназначения привилегий обладают недостаточной степенью детализации. В этихслучаях единственный способ предоставить пользователю необходимые права доступаили привилегии для выполнения определенной функции состоит в том, чтобыпредоставлять пользователю больше доступа, чем необходимо, или большепривилегий, чем необходимо.
Несанкционированный доступ к ресурсам ЛВС может происходить прииспользовании следующих типов уязвимых мест:
· использование при назначении прав пользователям по умолчанию такихсистемных установок, которые являются слишком, разрешающими для пользователей;
· неправильное использование привилегий администратора или менеджераЛВС;
· данные, хранящиеся с неадекватным уровнем защиты или вообще беззащиты;
· недостаточное или неправильное использование механизма назначенияпривилегий для пользователей ПК, на которых не используют никакого контролядоступа на уровне файлов.
В данной главе проведен анализ и аудит существующих и возможныхвнутренних угроз безопасности информации в ЛВС Кунгурского сельскохозяйственногоколледжа.
Были выделены основные угрозы:
· нарушение целостности информации;
· нарушение конфиденциальности информации;
· неавторизованный доступ;
· несанкционированный доступ.
На основании анализа, наиболее эффективным путем для защиты информациив ЛВС будет применение программного комплекса, в состав которого войдутантивирусная программа и брандмауэр.
Глава 2. Анализсуществующих программных компонентов, используемых для защиты информации в ЛВС2.1Антивирусные программы
Компьютерные вирусы остаютсяв настоящее время наиболее актуальной проблемой информационной безопасностикорпоративных систем. За последние годы ущерб, наносимый вирусными атакамибизнесу, удваивался каждый год и сейчас измеряется сотнями миллиардов. Согласностатистике антивирусных компаний, более 95% всех вредоносных программ,распространяющихся в сети Интернет, составляют сетевые черви, из них 99%почтовые. При этом по данным Института компьютерной безопасности США, порядка80% организаций подвергаются вирусным атакам в течение года.
Для эффективной защитыинформации в ЛВС необходимы четкие требования к антивирусной системе.
Обязательным требованиямик системе антивирусной защиты являются возможности удаленного администрированияи контроля загрузки вычислительных ресурсов. Система в целом должна продолжатьфункционировать независимо от работоспособности ее отдельных узлов. Желательноналичие средств автоматического восстановления после сбоев.
При развертывании системантивирусной защиты необходимо учитывать возможности роста организации и, какследствие, защищаемых объектов. При этом система должна быть построена на базеоткрытых стандартов с тем, чтобы она не стала «узким местом» привключении в комплексную систему информационной безопасности. Компонентысистемы, при этом, должны представлять собой стандартные средства, имеющиеширокую сферу применения и возможности взаимодействия с другим отраслевым ПО.
Надежностьфункционирования системы антивирусной защиты определяется следующим рядомтребований:
· система ненарушает логику работы остальных используемых приложений;
· системаобеспечивает возможность отката до ранних версий;
· система оповещаетадминистратора о текущих событиях (сбои, обнаружения вирусов и т. д.).
Рассмотрим наиболеепопулярные виды антивирусного программного обеспечения.
Kaspersky Open SpaceSecurity
Kaspersky Open SpaceSecurity – это новый подход к безопасности современных корпоративных сетейлюбого масштаба, обеспечивающий централизованную защиту IT-систем, а такжеподдержку удаленных офисов и мобильных пользователей.
Современныевозможности
Сегодня практически влюбой точке земного шара можно получить доступ в Интернет, а значит, оставатьсяна связи с коллегами, клиентами и партнерами, осуществлять покупки и банковскиеоперации, а также пользоваться разнообразной информацией. Однако новыевозможности доступны и киберпреступникам, которые используют все болееразнообразные методы, чтобы получить доступ к конфиденциальной информациичастных лиц и организаций.
Нестандартные задачи
Если раньше объект защитыбыл очевиден – периметр сети, представляющий собой четкую границу безопасногопространства, то сегодня мы имеем дело с множеством взаимопроникающих ипересекающихся периметров отдельных подсетей, сетевых узлов и просто устройств(ноутбуков, КПК, смартфонов). Корпоративная сеть перестала быть статичнымзакрытым образованием, ее состав и границы динамически изменяются.
Очевидно, что вопросзащиты сети нового типа от современных интернет-угроз требует нового подхода.Именно поэтому мы говорим о новой концепции защиты корпоративных сетей –Kaspersky Open Space Security.
Инновационные решения
Решение Kaspersky OpenSpace Security – это новый подход к защите корпоративной сети, в которомбезопасное рабочее пространство больше не ограничено стенами офиса, теперь оноохватывает и удаленных пользователей и сотрудников в командировке. Мы считаем,что свобода коммуникаций полностью совместима с надежной защитой от такихсовременных компьютерных угроз, как вирусы и другие вредоносные программы,хакерские атаки, шпионское программное обеспечение и спам.
Kaspersky Open SpaceSecurity полностью отвечает современным требованиям к системам защитыкорпоративных сетей:
· решения длязащиты каждого узла сети;
· технологии защитыот всех типов интернет-угроз;
· поддержка всехраспространенных ОС / платформ;
· высокая скоростьреакции на новые угрозы;
· комплексноеприменение различных технологий защиты.
Kaspersky Open SpaceSecurity позволяет в полной мере использовать преимущества новых мобильныхтехнологий, обеспечивая:
· полноценнуюзащиту пользователей за пределами сети;
· проверку повозвращении в сеть / проверку «гостей».
Kaspersky Open SpaceSecurity – это уникальные технологии для распознавания самых последних уловокзлоумышленников:
· защита от утечекинформации;
· защита от руткитов;
· отменавредоносных изменений;
· самозащитаантивируса.
Kaspersky Open SpaceSecurity обеспечивает высокий уровень защиты сложных, распределенных сетей, нетеряя удобства и управляемости:
· централизованноеадминистрирование;
· удаленнаяустановка, управление и лечение;
· поддержка самыхсовременных технологий Microsoft, Intel, Cisco;
· эффективноеиспользование сетевых ресурсов.
Решения Kaspersky OpenSpace Security полностью отвечают современным требованиям, предъявляемым ксистеме информационной безопасности корпоративной сети. Уникальные технологииKaspersky Open Space Security способны распознавать новейшие уловкикиберпреступников. Благодаря специально разработанному инструменту управленияэто гибкое и надежное security-решение может быть внедрено в корпоративные сетилюбого масштаба и любой сложности [2].
Symantec Endpoint Protection
Symantec Endpoint Protection – это единый агент, включающий всебя Symantec Antivirus и усовершенствованное средствопредотвращения угроз, обеспечивая непревзойденную защиту переносных инастольных компьютеров, а также серверов от вредоносных программ. Кроме того,обеспечивается защита даже от наиболее сложных, неуловимых для традиционныхсредств безопасности атак, таких как руткит, эксплойт «нулевого дня»и изменяющиеся программы-шпионы.
Комплексная защита –интеграция лучших технологий для предотвращения угроз безопасности даже отсамых удаленных новых и неизвестных злоумышленников до их проникновения в сеть.
Превентивная защита – вновом модуле превентивного поиска угроз Proactive Threat Scan используется уникальная технология Symantec для оценки правильных и неправильныхдействий неизвестных приложений, которая улучшает обнаружение и уменьшает числоошибочных идентификаций без необходимости создания конфигураций на основеправил.
Выявление угроз –механизмы защиты компании Symantec развивают передовую в отрасли сеть Global Intelligence Network для обеспечения беспрецедентной возможности просмотравсех Интернет-угроз. Благодаря такому выявлению создается защита, ведущая кдействиям, и достигается уверенность в сдерживании меняющихся угроз.
Единый агент, единаяконсоль объединяет весь спектр технологий безопасности в единого агента иконсоль централизованного управления с интуитивным пользовательскиминтерфейсом, а также средством создания графических отчетов с web-интерфейсом. Эти компонентыпозволяют установить и усилить политики безопасности на предприятии, чтобыобеспечить защиту важных активов. С их помощью упрощается управление,понижается использование ресурсов системы, а при добавлении поддержки Symantec Network Access Control не требуются дополнительные агенты.
Простота развертывания –поскольку требуется только один агент и одна консоль управления, а работаосуществляется с существующими инвестициями организации в IT и безопасность, решение Symantec Endpoint Protection обеспечивает простоту реализации иразвертывания. Для организаций, которым необходимо привлекать стороннихисполнителей для контроля безопасности и управления, компания Symantec предоставляет службу Managed Security Services, обеспечивающую защиту в режимереального времени.
Простота установки,настройки и управления – решение Symantec EndpointProtection упрощает включение/отключение инастройку необходимых технологий в соответствии с вашей средой.
Поддержка Symantec Network Access Control – каждая конечная точка получает поддержку Symantec Network Access Control, что устраняет необходимость развертываниядополнительного программного обеспечения агента конечных точек для контролядоступа к сети.
Повышение эффективностисуществующих технологий безопасности и IT-инвестиций – возможность работы с другими ведущимипоставщиками антивирусного ПО, брандмауэров, технологий IPS и инфраструктур контроля доступа ксети. Кроме того, предоставляется возможность работы с ведущими средствамиразработки программного обеспечения, средствами управления исправлениями иинформацией о безопасности.[2]
Symantec Endpoint Protection Client (32-bit)
Минимальные требования:
· Windows 2000 SP3+, Windows XP, Windows Server2003, Windows Vista (x86), Windows SBS 2003;
· Pentium III 300 MHz;
· 256MB RAM;
· 500 MB disk (плюсдополнительных 440 МВ в течение установки).
Symantec Endpoint Protection Client (64-bit)
Минимальные требования:
· Windows XP (x64) SP1+, Windows Server 2003 (x64),Windows Vista (x64);
· 1 GHz: Intel Xeon with Intel EM64T поддерживает, Intel Pentium IV with EM64T поддерживает, AMD 64-bit Opteron, AMD 64-bit Athlon;
· 256MB RAM;
· 500 MB disk (плюс440 MB для установки).Symantec AntiVirus for Linux Client
Linux поддержка:
· Red Hat Enterprise Linux;
· SuSE Linux Enterprise (server/desktop);
· Novell Open Enterprise Server;
· VMWare ESX.
Symantec Endpoint Protection Manager
Central Administration Server
Минимальные требования:
· Windows 2000, Windows XP Professional SP2+,Windows Server 2003 Standard/Enterprise, Windows SBS 2003;
· Microsoft Internet Information Services (IIS);
· 2GB RAM;
· 1GB свободного места на диске.
Dr.Web 4.44
Компания «Доктор Веб»выпустила новую версию антивируса Dr.Web для Windows – 4.44. новейшие разработки, технологии и идеи всегоколлектива компании легли в основу новой версии.
Улучшенный SpiDerGuard
Претерпел измененияфайловый монитор SpiDer Guard, в котором существенноусовершенствована работа и повышена устойчивость при большом количествеодновременных файловых операций.
Улучшен пользовательскийграфический интерфейс монитора (GUI).
Улучшена стабильностьработы SpiDer Guard под нагрузкой и взаимодействие с различнымпрограммным обеспечением, работающим в фоновом режиме.
Усовершенствован алгоритмперехода в режим фонового сканирования.
Изменены параметрыоптимального режима работы. Теперь в оптимальном режиме файлы попадают напроверку только в момент сохранения, а также проверяются файлы запускаемых процессов.
В новом файловом мониторереализован механизм напоминаний об устаревших базах. Если базы не обновлялись втечение 7 суток и более, в области уведомлений панели задач над иконкой SpiDer Guard будет периодически появляться напоминание об этом.Если установлен модуль автоматического обновления, будет предложено провести ихобновление.
Утилита обновления
В новой версииреализована возможность скачивания обновлений в виде заархивированных файлов.Также реализован механизм патчей. Теперь для обновления отдельных компонентовне требуется скачивания новой версии компонента целиком. Обновлениепроизводится при помощи специальных фрагментов файлов (patches). Благодаря этому пользователь получает большоепреимущество и экономию Интернет-трафика, а антивирус Dr. Web становится ещеменее заметным для пользователя.
Технологии
Dr. WebShield– борьба с руткит-технологиями
В последнее время однимиз основных направлений развития вредоносных программ стало применение в нихвсевозможных способов защиты от обнаружения антивирусными средствами – такназываемые руткит-технологии. Без противодействия такого рода угрозамсовременные антивирусные программы становятся бесполезными и, зачастуюдорогостоящими – в прямом и переносном смысле – компьютерными игрушками.Разработчики Dr. Web для Windows4.44 для борьбы с руткитами включен новый компонент антивирусного сканера – Dr. Web Shield. Реализованный в виде драйвера, он обеспечиваетдоступ к вирусным объектам, скрывающимся в глубинах операционной системы.
OriginsTracing– несигнатурный поиск неизвестныхвирусов
Разработчиками Dr. Web реализован уникальный алгоритм несигнатурногообнаружения вредоносных объектов, который дополняет традиционный сигнатурныйпоиск и эвристический анализатор Dr.Web, что еще больше повышает эффективностьдетектирования. Имена вредоносных объектов, обнаруженных с применением новойтехнологии, имеют в названии расширение «Origin». Новая технология дает возможность существеннымобразом повысить уровень детектирования ранее неизвестных вредоносных программ.
Сканер (GUI-версия иконсольная версия для Windows), а также сторож SpIDer Guard работают на ПК подуправлением ОС Windows 95/98/Me или Windows NT/2000/XP/2003, причем сторожSpIDer Guard работает только в 32-разрядных системах. Работа под управлениемWindows 95 возможна только, начиная с версии Windows 95 OSR2 (v.4.00.950B).
Сканер для DOS работаетпод управлением MS-DOS или в режиме командной строки Windows.
Минимальные требованияпрограмм к конфигурации ПК совпадают с таковыми для соответствующих ОС. ПКдолжен полностью поддерживать систему команд процессора i80386 [2].
McAfee VirusScan Professional 2006
Решение McAfee VirusScan Professional 2006 гарантирует качественно новыйуровень защиты от вирусов, сочетая элементы системы предотвращения вторжений итехнологий межсетевого экрана в рамках отдельного решения для компьютеров ифайловых серверов. Эта комбинация позволить активно защищаться от самыхсовременных типов угроз (включая атаки «buffer-overflow» и смешанные типы атак).
· Полноценнаязащита от вирусов. Механизм антивирусного сканирования McAfee, обеспечивает защиту от любых типов вирусов ивредоносного кода.
· Защита от атак «buffer-overflow» (функция системы IPS), направленных на 20 наиболеераспространенных приложений и служб Microsoft Windows.
· Эффективнаяборьба с вторжениями. Администраторы смогут реагировать на вторжения путемблокирования/отключения портов, мониторинга приложений, блокирования файла,каталога или общего ресурса.
· Мощные механизмысканирования памяти. Программа VirusScan Professional 2006оснащена усовершенствованными механизмами сканирования памяти на наличиевирусов, червей и троянских приложений, которое выполняется по запросу или вавтоматическом режиме.
· Расширенныевозможности сканирования электронной почты. VirusScan Professional 2006 допускает сканированиеэлектронной почты, поступающей на компьютер через клиентские приложения Lotus Notes и Microsoft Outlook.
· Версия McAfee VirusScan 2006 оснащена, помимо антивирусныхсредств, технологиями защиты от «шпионских» программ входящей иисходящей почты, сообщений IM-системи загружаемых файлов. Ежедневные обновления антивирусных баз автоматическискачивает из Интернета, что обеспечивает стойкость системы к самым актуальнымугрозам. McAfee VirusScan 2006 занимает на диске всего 6МБ –намного меньше, чем большинство антивирусных решений [8].
BitDefender SBS Standard Security
Решение, объединяющеепродукты: BitDefender Client Security, BitDefender Enterprise Manager, BitDefender Securityfor File Servers, BitDefender Securityfor Exchange, BitDefender Security for SharePoint в одно мощное средство для защиты серверов (файловых, Exchange и SharePoint) и рабочих станций от угрозпроникновения вредоносного программного обеспечения, попыток кражконфиденциальной и ценной информации.
BitDefender EnterpriseManager позволяетполностью автоматизировать стандартные задачи (включая обновления и апдейты), вто время как администратор может заниматься установкой программ и выполнениемразличных действий из любого места в сети без угрозы для безопасности.
BitDefender EnterpriseManager создан всоответствии с насущными потребностями крупных корпораций и организаций. Данныйпродукт значительно снижает затраты на администрирование в комплексных сетях.Превосходная защита достигается при сохранении низкой себестоимости.
BitDefender ProfessionalPlus Client объединяетантивирус, брандмауэр, антиспам и антишпион в одно всестороннее защитноерешение для рабочих станций.
BitDefender Security forFile Servers — этолучший способ защиты файловых серверов, используемых для хранения и обменаинформацией в организациях любых размеров.Отличающийся простым в использованииинтерфейсом, BitDefender Security for File Servers обладает функциямипостоянного мониторинга, автоматического обновления антивирусных баз иунитарной конфигурацией защиты.
Антивирус BitDefenderSecurity for Exchangeобеспечивает антивирусную защиту и снабжён механизмом антиспам, глубокоинтегрированным в сервер MS Exchange. Данный продукт представляет лучшиетехнологии для создания совершенной защиты Exchange.
В то время как MicrosoftSharePoint Portal Server 2003 обеспечивает возможность совместной работы иделает её более легкой и эффективной для пользователей, Антивирус BitDefenderSecurity for SharePoint обеспечивает антивирусную защиту для сервераSharePoint.
Антивирус BitDefenderSecurity for SharePointпроизводит сканирование в режиме реального времени выгружаемых или загружаемыхфайлов в списках и библиотеках документов с превосходным уровнем обнаружения илечения, а также с опцией занесения в карантин зараженных файлов.
Эвристика в виртуальномокружении
Эвристика в виртуальномокружении (HiVE) эмулирует виртуальную машину внутри машины, где частипрограммного обеспечения, запускаются для их проверки на наличие поведения,свойственного вредоносным объектам. Данная технология BitDefender обеспечиваетновый уровень безопасности, который оберегает операционную систему отнеизвестных вирусов, обнаруживая части вредоносного кода, до выходасоответствующих обновлений баз сигнатур.
Ежечасные обновления
Ваша копия BitDefenderбудет обновляться 24 раза в день с помощью Интернета, напрямую или черезпрокси. Продукт может самовосстанавливаться при необходимости, скачиваяповрежденные или недостающие файлы с серверов BitDefender. Владельцы лицензииBitDefender получают возможность бесплатно обновлять базы сигнатур и продукт втечение срока лицензии.
Поддержка 24/7
Клиенты получаютподдержку квалифицированных специалистов и доступ к он-лайн базе частозадаваемых вопросов.
Системные требования дляEnterprise Manager:
· MicrosoftWindows Network (TCP/IP);
· Internet Explorer5.0+.
For BitDefender Server:
· IntelPentium 200 MHz;
· 100MB дисковогопространства;
· RAM — 128MB(256MB рекомендуемая);
· WindowsNT 4.0 SP6/2000/ XP/2003.
For BitDefenderDeployment Tool:
· WindowsNT 4.0 SP6/ 2000/ XP.
ForBitDefender Management Console/Local Manager:
· процессор IntelPentium;
· 10MB дисковогопространства;
· RAM — 64MB;
· Windows98SE/NT4.0 SP6/Me/2000/XP/2003.
Системные требования для BitDefender ProfessionalPlus Client:
· Pentium MMX 200 MHz иливыше;
· 40MB дисковогопространства;
· 64MB оперативной памяти (128MB рекомендуемая);
· Windows98/NT-SP6/Me/2000/XP 32-bit, IE 5.5(+).
Системные требования для BitDefender Security forFile Servers:
· минимум PentiumII 300 MHz;
· 64 MB оперативной памяти (128 MB рекомендуемая);
· 20 MB свободного места на диске.
операционная система:
· WindowsNT 4.0 SP6 + MMC v1.2;
· Windows2000, Windows XP or Windows 2003 Server.
Системные требования для BitDefender Security forExchange:
· минимум 20 MB дискового пространства (50 MB рекомендуемая);
· MS Exchange5.5+SP3, 2000+SP1, 2003;
· Internet Explorer4.0.
Системные требования для BitDefender Security forSharePoint:
· MicrosoftSharePoint Portal Server 2003;
· Microsoft WindowsSharePoint Services.
Операционные системы:
· MicrosoftWindows Server 2003 Standard Edition;
· Windows Server2003 Enterprise;
· Windows Server2003 Datacenter.
Windows Server2003 Web Edition; Internet Explorer 6.0 [13].
Eset NOD32
NOD32 — это комплексное антивирусное решение для защитыв реальном времени от широкого круга угроз. Eset NOD32 обеспечивает надежнуюзащиту от вирусов, а также от других угроз, включая троянские программы, черви,spyware, adware, phishing-атаки. В решении Eset NOD32 используетсяпатентованная технология ThreatSense®.Эта технология предназначена для выявления новых возникающих угроз в реальномвремени путем анализа выполняемых программ на наличие вредоносного кода, чтопозволяет предупреждать действия авторов вредоносных программ.Проактивнаязащита в реальном времени
Лучшая безопасность — это безопасность, обеспеченнаязаранее. Защита от вредоносных программ должна производиться в реальном временив момент атаки. В любой момент, пока вы ждете обновления вирусных сигнатур, всистеме может открыться «окно уязвимости», что может привести кразрушительным последствиям. Технология ThreatSense® антивируса Eset NOD32закрывает «окно уязвимости», в то время как другие антивирусныепрограммы оставляют его открытым до получения вирусных сигнатур.
NOD32 анализирует выполняемые программы на наличиевредоносного кода в реальном времени, проактивно определяет и блокирует свыше90% новых вредоносных программ, при этом в большинстве случае не требуяобновления вирусных сигнатур. Большинство других разработчиков антивирусного ПОвыпускают обновления сигнатур спустя несколько часов после атаки напользователей и предоставления образцов вредоносного кода.
Комплексная защита
Вирусы, черви, adware и spyware могут и должныобнаруживаться при помощи единого механизма. Такое тщательно спроектированное иинтегрированное приложение, как Eset NOD32, может обнаруживать adware, spyware,вирусы, руткиты и другие виды злонамеренного воздействия. Использованиеотдельных приложений для каждого типа возможной угрозы может замедлить работукомпьютера и затрудняет управление; при этом эффективность защиты находится подвопросом. Крупные комплексы интернет-безопасности потребляют сотни мегабайтпамяти компьютера. Обычно такие программные комплексы появляются в результатеобъединения продуктов разных производителей в одном пакете. Напротив, EsetNOD32 был изначально спроектирован как единый высоко оптимизированный механизмдля борьбы с вредоносными программами.
Защита от угроз сразных направлений обеспечивается следующими модулями:
· Antivirus MONitor (AMON).
On-access (резидентный) сканер, который автоматическипроверяет файлы перед осуществлением доступа к ним.
· NOD32.
· «On-demand»сканер, который можно запустить вручную для проверки отдельных файлов илисегментов диска. Этот модуль можно также запрограммировать на запуск в часы снаименьшей загрузкой.
· Internet MONitor (IMON).
Резидентный сканер, работающий на уровне Winsock ипрепятствующий попаданию зараженных файлов на диски компьютера. Данный модульпроверяет Интернет-трафик (HTTP) и входящую почту, полученную по протоколуPOP3.
· E-mail MONitor (EMON).
Дополнительный модуль для проверки входящих/исходящихсообщений через интерфейс MAPI, например, в Microsoft Outlook и MicrosoftExchange.
· Document MONitor (DMON).
Использует запатентованный интерфейс Microsoft API дляпроверки документов Microsoft Office (включая Internet Explorer).
Высокая производительность
Эффективное обнаружение вредоносных программ необязательно должно замедлять работу компьютера. NOD32 по большей части написанна языке ассемблера и неоднократно выигрывал награды за высочайшуюпроизводительность среди антивирусных приложений. NOD32 в среднем в 2-5 разбыстрее, чем его конкуренты (источник Virus Bulletin). С переходом на NOD32производительность вашей системы повысится.
Малое влияние насистемные ресурсы
NOD32 экономит ресурсы жесткого диска и оперативнойпамяти, оставляя их для критических приложений. Установщик занимает всего 8,6Мбайт, а приложению требуется менее 20 Мбайт оперативной памяти (это значениеможет варьироваться с изменением технологии обнаружения). Обновления технологииThreatSense, включающие записи эвристической логики и вирусные сигнатуры,обычно имеют объем 20-50 Кбайт. Переход на NOD32 поможет сохранить ценныесистемные ресурсы.
Простота управления
Обновления программы и вирусной базы данных выполняютсяавтоматически в фоновом режиме. Если NOD32 используется на личном или домашнемкомпьютере, можно просто включить функцию автоматического обновления и большеникогда об этом не вспоминать. Предприятия и организации с крупнымираспределенными сетями могут использовать мощный компонент удаленногоадминистрирования (Remote Administrator), позволяющий разворачивать,устанавливать, наблюдать и контролировать тысячи рабочих станций и серверовNOD32.
NOD32 обеспечиваетмаксимальную защиту при минимальном потреблении ресурсов и высочайшей скоростиработы. В рамках NOD32 предлагаются различные уровни защиты для организаций,рабочих мест, файловых серверов или почтовых шлюзов [2].
В заключение этогораздела не буду придумывать, что-то сам для сравнения антивирусных программ, и обратимсяк независимым экспертам по тестированию антивирусных программ из лабораторииFomSoft.[86]
2.2 Брандмауэры
Неотъемлемым элементомзащиты сети организации от вторжения злоумышленников является межсетевой экран(МЭ). Предложение на этом рынке представлено десятками компаний, готовыхпредставить решения для любых сред: настольных систем, малого и среднего офиса,среднего и малого бизнеса, телекоммуникационных компаний и т.д. Поэтому, дляпринятия правильного решения о выборе МЭ необходимо понимание потребностейсетевой безопасности.
Использование МЭ можетбыть эффективно при решении следующих задач:
· защита и изоляцияприложений, сервисов и устройств во внутренней сети от нежелательного трафика,приходящего из Интернета (разделение сетей);
· ограничение илизапрет доступа к сервисам сети для определенных устройств или пользователей;
· поддержкапреобразования сетевых адресов, что позволяет использовать во внутренней сетичастных IP-адресов либо автоматическиприсваиваемых публичных адресов.
Одна из главных тенденцийна рынке МЭ – увеличение функционала и стремление к универсальности. Кроменепосредственного контроля трафика и разделения сетей, функционал современныхрешений включает в себя:
· глубокий анализпропускаемого трафика;
· шифрованиетрафика;
· организацияудаленного доступа пользователей к ресурсам локальной сети;
· аутентификацияпользователей.
В настоящее время МЭ всечаще предлагаются не в виде отдельных решений, а как компоненты более сложныхсистем.
На сегодняшний день нарынке представлено значительное количество МЭ различной функциональности. Мы свами рассмотрим наиболее популярные межсетевые экраны.
Agnitum Outpost FirewallPro 2008
Санкт-Петербург,23 октября 2007 года — Эксперты в сетевойбезопасности из компании Agnitum объявили о выпуске Outpost Firewall Pro 2008 –продукта из серии решений Outpost 2008, новой линейки программ для безопаснойработы в Интернете.
Продукты линейки Outpost Pro версии 2008 являются полностью новыми разработками Agnitum. Vista-совместимоепоколение программ Outpost2008 появилось витоге двух лет работы компании, вобрав в себя весь 9-летний опыт разработкиприложений для защиты пользователей ПК в Интернете.
OutpostFirewall Pro 2008 сочетает в себе:
· Передовойбрандмауэр для безопасных соединений с сетью.
· Антишпион длякруговой защиты от шпионского ПО.
· Локальнуюбезопасность для блокировки неизвестных угроз.
· Веб-контроль длязащиты компьютера от широкого спектра Интернет-угроз.
OFP 2008 имеет следующиеновые функции и возможности:
· Полная поддержка Vista на 32- и 64-битной платформах.
· Поддержка протокола IPv6 (широко используемого в Vista).
· Автоматически обновляемый «черный список»вредоносных и мошеннических сайтов.
· Режим автообучения в течение первой недели работы.
· Поддержка быстрого переключения учетных записейпользователей.
· Соединение и управление через удаленный рабочий стол.
· Модуль Веб-контроль (блокировка сайтов и фильтрацияактивного содержимого веб-страниц).
· Усиленный Anti-leak (продвинутая техника защиты от утечкиданных).
· Локальная безопасность (защита от несанкционированнойактивности программ и попадания ПК в сети компьютеров-«зомби», атакже блокирование известных руткитов).
· Новый журнал событий в текстовом формате (быстрый и удобныйпри импортировании, обработке и отслеживании данных по истории активностисистемы).
Outpost Firewall Pro 2008– профессиональный и вместе с тем легкий в использовании инструмент дляподдержания Интернет-безопасности ПК с привлекательным и эргономичныминтерфейсом в стиле Windows Vista.
Пользователям OFP 2008предлагается наилучшая защита при максимуме комфорта. Теперь Outpost 2008 в любое времяможет быть переключен в режим автообучения, автоматически запоминая все легальныесоединения и принимая решения без вопросов к пользователю. При этом локальнаябезопасность и веб-контроль определяют и блокируют по поведению неизвестныеугрозы и вредоносные элементы веб-сайтов. В то же время механизм локальной безопасности и раннийстарт антивирусного модуля Outpost2008 предотвращают загрузку изощренного вредоносного ПО. Дополняет продуктмодуль защиты от шпионских программ.
Гибко настраиваемыйинтерфейс Outpost 2008 предлагает также изобилие опцийдля настройки продвинутыми пользователями. Менее опытным пользователямпредложены автоматические настройки, доступ к которым максимально облегчен.
Так или иначе, OutpostFirewall Pro 2008гарантируетвысокий уровень автоматизированной защиты для пользователей Vistaи предыдущихверсий Windows(XP, 2003 Server, 2000 Pro) – внезависимости от их уровня технических познаний.
Дополнительныепреимущества продуктов линейки Outpost2008:
· Надежнаянастраиваемая самозащита программы.
· Автоматическиеобновления.
· Режимыавтообучения и автоприменения правил.
· Простота иудобство использования.
Для уменьшения нагрузкипрограмм семейства Outpost на системные ресурсы было принято большое числоособых мер. Outpost Firewall Pro 2008 легко установится на ПК, частотацентрального процессора которого начинается с 450 МГц (включая поддержкумногоядерных процессоров), при объеме оперативной памяти от 256 Мб и наличии 40Мб свободного пространства на диске. Outpost 2008 полностью совместим с 32- и64-битными Windows Vista, XP, 2003 Server, а также с Windows 2000 Pro (SP3 ивыше).[5]TrendMicro NeatSuite
Trend Micro NeatSuite представляет собой полностьюинтегрированный централизованно управляемый пакет программ, рассчитанный наобеспечение защиты доступа в корпоративную сеть. В состав NeatSuite входят антивирусные приложения для защитышлюзов, серверов и настольных ПК, для централизованного управления которымииспользуется Trend Micro Control Manager. В результате получается мощная многоуровневаясистема защиты корпоративной сети от вирусов и вредоносного кода.
Всеобъемлющая защита
· В соcтав пакета входят продукты Trend Micro InterScan, ScanMail, ServerPotect и OfficeScan, обеспечивающие полный охваткорпоративной информации.
· Обнаружение иудаление вирусов и иных вредоносных программ из электронных сообщений, вложенныхфайлов и общедоступных папок.
Централизованноеуправление
· Централизованноеуправление интегрированным пакетом продуктов облегчает их обновление имониторинг системы.
· отчеты осостоянии дел в масштабах всего предприятия позволяют снизить вероятностьвозникновения эпидемий в будущем путем выявления уязвимых мест сети.
Поддержка Trend Micro EnterpriseProtection Strategy
· NeatSuite является ключевым компонентомстратегии защиты предприятий Trend Micro Enterprise Protection Strategy – не имеющего аналогов в отраслиподхода к защите от гибридных вирусов путем согласованного использованиявзаимодополняющих продуктов, служб и экспертной информации.
· NeatSuite позволяет корпоративнымпользователям максимально полно использовать все преимущества EPS для удержания под контролемвременных и материальных затрат, связанных с эпидемиями вирусов.
Kaspersky Internet Security 7.0
Популярное решение длязащиты ПК от всех видов вредоносного ПО дополнено средствами родительскогоконтроля (настройка «белых» и «черных» списков и другихфильтров web-сайтов для ограждения детей отнежелательного контента, а также ограничение времени работы в Интернете), предотвращениеутечек конфиденциальной информации и улучшенным персональным сетевым экраном ссистемой IDS/IPS.
Защита от всех видоввредоносных программ.
Комплекс трех технологийзащиты оберегает пользователя от вирусов, троянских программ и червей, от потенциальноопасных шпионских и рекламных программ, а также от всех видов клавиатурныхшпионов и последних модификаций руткитов.
Блокирование сетевыхатак.
Персональный сетевойэкран последнего поколения с предустановленными правилами для популярныхприложений эффективно защищает от проникновения в систему и от утечкиинформации, жестко регулируя сетевую активность приложений и предотвращаясетевые атаки с помощью системы IDS/IPS.
Фильтрация спама.
Программа применяет целыйряд методов фильтрации спама:
· проверкаадресатов и фраз в тексте письма по «черным» и «белым»спискам;
· анализ текста спомощью самообучающегося алгоритма;
· анализизображений.
Отмена вредоносныхизменений в системе.
Kaspersky Internet Security 7.0 фиксирует все подозрительныедействия в системе и после признания некоторого процесса опасным может нетолько удалить вредоносную программу, но и отменить все результаты еедеятельности – например, восстановить зашифрованные злоумышленниками данные [2].
ZoneAlarm Pro
Программа ZoneAlarm (ZAP)отслеживает все попытки проникнуть в компьютер извне, а также все попыткипрограмм, установленных на компьютере, передать какую-либо информацию черезИнтернет.
Имеется возможностьразрешить или запретить той или иной программе доступ в сеть. При работе всети, если какая-либо программа пытается установить соединение, пользовательнемедленно получает информацию об этом. После этого необходимо подтвердитьразрешение на доступ или заблокировать соединение.
Это одна из немногихпрограмм, которая подходит и новичкам, и профессионалам среднего уровня,стремящимся защитить свою небольшую локальную сеть. Прежде всего, подкупаеточень простой интерфейс, а все всплывающие оповещения о сетевой активностипонятны даже неопытным пользователям. ZAP предлагает, по сути, всего дваварианта — допустить соединение или отказаться от него (при этом естьвозможность запомнить выбор на будущее). Каждая зарегистрированная программапри последующем доступе в сеть проходит авторизацию. Возможна индивидуальнаянастройка, например, с указанием разрешенных IP-адресов и портов.
Одна из весьма полезныхфункций программы — защита почты (E-mail Protection), предотвращающая запускпотенциально опасных скриптов, полученных по электронной почте, что (по крайнеймере, теоретически) может защитить от новых неизвестных вирусов и зловредныхскриптов.
В ZAP существуют контрольза cookies, возможность фильтрации http-трафика, блокировка вредоносныхскриптов.
В принципе, данныйбрандмауэр имеет практически все вообразимые в идеале функции, а к недостаткаммогут быть отнесены не более чем мелкие неудобства вроде отсутствияавтоматического распознавания распространенных приложений и запрета доступа кнежелательным узлам, а также невозможности фильтрации активного контента впочтовом трафике.
В отличие от большинствабрандмауэров, по умолчанию здесь практически ничего не разрешено.
Firewall виден в спискезадач и не препятствует своему удалению — после удаления защита не отключается.
Персональный Firewallсреднего класса, вполне соответствующий современным требованиям [12].
Norton Internet Security 2008
Norton Internet Security 2008 – инновационный набор средствзащиты от самых свежих сетевых угроз. Используя проактивные технологиибезопасности, решение останавливает практически любые вирусы, «шпионы»,«черви», руткиты и хакерские атаки еще до проникновения в систему.
· Предотвращаеткражу идентификационных данных сети – дополнительный уровень безопасностиобеспечивает защиту при работе с Интернет-магазинами, банками и другими web-сайтами.
· Выявляет иудаляет программы-шпионы – предоставляет расширенную защиту от новейших угроз.
· Удаляет вирусы иИнтернет-черви – быстрый фоновый осмотр обеспечивает комплексную автоматическуюзащиту.
· Защищает от атак хакеров– обеспечивает защиту компьютера с помощью интеллектуального брандмауэра,который автоматически настраивает параметры защиты.
· Незаметная работав фоновом режиме.
· Увеличенаскорость запуска работы.
· Технология CONAR и firewall на основе данной технологии.
· Быстрая связь стехнической поддержкой по средствам e-mail или встроенного чата.
· Улучшенныесредства мониторинга беспроводных сетей.
· Norton Identify Safe позволяет сохранить конфиденциальные данные.
· Обнаружениеустранение программ-шпионов.
· Автоматическоеудаление вирусов и программ-шпионов.
· Защищает e-mail и программы по обмену мгновенными сообщениями.
· Защищает отхакеров.
· Блокирует кражу персональныхданных на фишинговых сайтах.
· Предотвращаетраспространение зараженных писем.
· Обнаруживаетруткит и устраняет скрытые угрозы.
· Включает в себяобновление антивирусных баз и программных модулей на весь сервисный период.
· По согласииклиента позволяет автоматически продлевать подписку [2].
Рассмотрев наиболеепопулярные брандмауэры, обратимся к экспертам из независимой лабораторииmatousec.com.projects.[3].
На основе проведенногоанализа антивирусных программ и брандмауэров для защиты информации в ЛВС КСХК,а также независимых экспертов из лабораторий FomSoft и Matousec, были определены следующие программные продукты:
· Антивирусныйкомплекс Dr.Web 4.44.
· Брандмауэр Agnitum Outpost FirewallPro 2008.
Важным показателемкачества работы антивирусного комплекса Dr.Web 4.44.,является не только способность находить вирусы, но также лечить их, не простоудалять инфицированные файлы с компьютера вместе с важной для пользователяинформацией, но возвращать их в первоначальное состояние. И если сдетектированием вредоносных объектов справляется большинство антивирусныхпрограмм, то с лечением успешно справляются единицы. Dr.Web один изнемногих антивирусов, который качественно лечит от вирусов, в результатахпроверки реакции на надежность антивирусных программ это наглядно видно.
AgnitumOutpost Firewall Pro 2008 сочетает в себе:
· Передовой брандмауэрдля безопасных соединений с сетью.
· Антишпион длякруговой защиты от шпионского ПО.
· Локальнуюбезопасность для блокировки неизвестных угроз.
· Веб-контроль длязащиты компьютера от широкого спектра Интернет-угроз.
AgnitumOutpost Firewall Pro 2008 функции и возможности:
· Полная поддержка Vista на 32- и 64-битной платформах.
· Поддержка протокола IPv6 (широко используемого в Vista).
· Автоматически обновляемый «черный список»вредоносных и мошеннических сайтов.
· Режим автообучения в течение первой недели работы.
· Поддержка быстрого переключения учетных записейпользователей.
· Соединение и управление через удаленный рабочий стол.
· Модуль Веб-контроль (блокировка сайтов и фильтрацияактивного содержимого веб-страниц).
· Усиленный Anti-leak (продвинутая техника защиты от утечкиданных).
· Локальная безопасность (защита от несанкционированнойактивности программ и попадания ПК в сети компьютеров-«зомби», атакже блокирование известных руткитов).
Agnitum Outpost Firewall Pro 2008 гарантирует высокий уровень автоматизированнойзащиты для пользователей Vistaи предыдущихверсий Windows(XP, 2003 Server, 2000 Pro) – внезависимости от их уровня технических познаний.Agnitum Outpost Firewall Pro 2008 по результатам тестирования брандмауэров влаборатории Matousec показал наилучшие результаты дажепри настройках по умолчанию.
Глава 3. Разработкарекомендаций по составу программного комплекса для защиты информации в ЛВСКунгурского сельскохозяйственного колледжа
Прежде, чем рекомендовать состав программного комплекса по защитеинформации в ЛВС КСХК. Необходимо реализовать политику безопасности ЛВС.
Под политикой безопасности понимают «формальное изложениеправил, которым должны подчиняться лица, получающие доступ к корпоративнойтехнологии и информации». Попытаюсь несколько расширить определение. Начнус того, что эта задача не имеет простого и универсального решения, так какотносится к комплексным. Она должна решаться каждый раз индивидуально, применительнок конкретной ЛВС. Тем не менее, как и любая проблема, она имеет ряд общих черт.Так, реализацию политики безопасности можно подразделить на два большихнаправления:
· административные меры;
· использование программного обеспечения.
3.1 Административные меры
Защита информации подразумевает использование трех основныхкритериев: достоверности, конфиденциальности и доступности.
Достоверность означает, что защищаемые данные не претерпелиизменений (в результате передачи или умышленного модифицирования) с моментасоздания до момента их просмотра. Достигается, главным образом, при помощиэлектронной подписи.
Конфиденциальность – невозможность прочитать данные посторонними,даже если и произошла утечка информации (применение криптозащиты).
Доступность (актуальность) – это возможность получить необходимуюинформацию в любой необходимый момент со всеми изменениями на этот момент.
Как показывает исторический опыт, основная угроза по преодолениюсистемы защиты заключается в человеческом факторе, т.е. возможности полученияинформации от человека, имеющего доступ к секретной информации, илинесоблюдении установленных правил безопасности. При построении системы защиты(СЗ) необходимо, в первую очередь, учесть возможность утечки защищаемой информацииили средств к ее доступу со стороны персонала, имеющего доступ к этойинформации. Первое решается путем тщательной подборкой кадров, второе –созданием такой системы защиты, при которой один человек не может получитьнеограниченный доступ к информации, подлежащей сокрытию, или к значительной еечасти (вплоть до введения нескольких должностей администраторов с разнымиправами).
Значение четких правил зачастую недооценивают. Вместе с тем, ониявляются самым дешевым (почти ничего не надо приобретать) способом защититьсвою сеть. Кроме того, без них использование программных средств защиты простобудет бессмысленным, а также не стоит забывать:
· стоимость защитыне должна превышать стоимости защищаемой информации, иначе это будет простовыброс денег;
· стоимостьпреодоления установленной защиты должна превышать стоимость защищаемойинформации. В противном случае такая защита не спасет, или затраты временибудут столь велики, что при успешном преодолении СЗ, полученная информацияпотеряет свою ценность.3.1.2Разработка программного комплекса
На основе проведенногоанализа угроз безопасности в ЛВС колледжа, и анализа существующих программных продуктовдля защиты информации в ЛВС Кунгурского сельскохозяйственного колледжа была разработанасхема и состав программного комплекса, для защиты информации в ЛВС Кунгурскогосельскохозяйственного колледжа.
Схема программногокомплекса предоставлена на рисунке № 4
/>
Рис. 4 Схема программногокомплекса
3.1.3 Состав программногокомплекса
В состав вошлипрограммные продукты: Dr. Web 4.44. и Agnitum Outpost Firewall Pro 2008.
Dr.Web 4.44
Новейшие разработки,технологии и идеи всего коллектива компании легли в основу новой версии.
Улучшенный SpiDerGuard
Претерпел измененияфайловый монитор SpiDer Guard, в котором существенноусовершенствована работа и повышена устойчивость при большом количествеодновременных файловых операций.
Улучшен пользовательскийграфический интерфейс монитора (GUI).
/>
Настройки SpIDer Guard
Для того чтобы изменитьнастройки программы:
/>
Выберите в контекстномменю значка сторожа пункт Настройки
1. Откроется окнонастроек, содержащее несколько вкладок.
2. Внеситенеобходимые изменения.
3. По окончанииредактирования настроек нажмите на кнопку ОК для сохранения внесенных измененийили на кнопку Отмена для отказа от них.
/>
На вкладке «Проверка»задается режим проверки файлов и процессов защищаемого компьютера.
В группе флажков Режимпроверки «на лету» задается действие с объектом, при которомпроизводится его проверка «на лету».
По умолчанию выбран режимОптимальный. В этом режиме файлы и загрузочные сектора жестких дисковкомпьютера проверяются только при попытке создания файла или записи всуществующий файл (загрузочный сектор), а файлы и загрузочные сектора сменныхустройств — также при открытии на чтение или запуск программы. Этот режимрекомендуется использовать после тщательной проверки всех жестких дисков припомощи Dr.Web Сканер для Windows. При этом будет исключено проникновение накомпьютер новых вирусов через сменные устройства, а повторной проверки заведомо«чистых» объектов не происходит.
При выборе режима Другиестановятся доступными флажки Запуск и открытие (предписывает проверять всефайлы и загрузочные сектора при открытии на чтение или запуск программы) иСоздание и запись (проверять при попытке создания файлов или записи всуществующие). С помощью этих флажков вы можете самостоятельно установитьуровень защиты компьютера. Установка обоих флажков обеспечивает максимальныйуровень защиты, но значительно увеличивает нагрузку на компьютер.
По умолчанию версиясторожа SpIDer Guard XP работает в режиме расширенной защиты. В этом режиместорож проверяет все файлы, проверка которых предусмотрена настройками программы,немедленно, а остальные открывающиеся файлы помещает в очередь отложеннойпроверки (файлы, открывающиеся на чтение при режимах Оптимальный и Создание изапись). При наличии свободных ресурсов ПК эти файлы также будут проверенысторожем.
Вы можете отключитьданный режим, установив флажок Запретить режим расширенной защиты.
Внесите необходимыеизменения.
По окончанииредактирования настроек нажмите на кнопку ОК для сохранения внесенных измененийили на кнопку Отмена для отказа от них.
Вкладка Типы файлов
/>
На этой вкладке задаетсядополнительное ограничение на состав файлов, которые должны проверяться всоответствии с условиями, заданными на вкладке Проверка.
По умолчанию выбран вариантотбора проверяемых файлов По формату. В этом случае проверяются только такиефайлы, которые по своей внутренней структуре могут быть «носителями»вирусов (например, исполняемые файлы, документы MS Office и т.п.), а такжефайлы, расширения которых входят в список по умолчанию при выборе вариантаВыбранные типы (см. ниже). Данный вариант обеспечивает надежную защиту иэкономное использование ресурсов.
Вариант Все файлыобеспечивает максимальную защиту, но значительно увеличивает расход системныхресурсов и вероятность ложного срабатывания эвристического анализатора. См.вкладку Проверка.
Варианты Выбранные типы иЗаданные маски предписывают проверять только файлы, расширения или именакоторых соответственно входят в список, задаваемый в правой части вкладки. Поумолчанию список включает расширения основных типов файлов, могущих бытьносителями вирусов, и основных типов файловых архивов. Вы можетеотредактировать этот список.
На этой вкладке задаетсятакже режим проверки файловых архивов и почтовых файлов. Файловые архивы поумолчанию не проверяются (если какой-либо файл в архиве инфицирован, вирусбудет обнаружен сторожем при извлечении файла из архива до появлениявозможности заражения ПК). Включение этой проверки значительно увеличитнагрузку на компьютер.
Почтовые ящики поумолчанию не проверяются (если какой-либо файл в почтовом вложении инфицирован,вирус будет обнаружен сторожем при извлечении файла до появления возможностизаражения ПК). Включение этой проверки может исключительно сильно увеличить нагрузкуна процессор. Для предотвращения проникновения вирусов с сообщениямиэлектронной почты используйте почтовый сторож SpIDer Mail.
Вкладка Действия
На этой вкладке задаетсяреакция программы на обнаружение зараженных или подозрительных файлов,вредоносных программ, а также инфицированных архивов.
/>
Реакция задается отдельнодля объектов, зараженных известным и (предположительно) излечимым вирусом, дляпредположительно зараженных (подозрительных), а также для отдельных видоввредоносных программ и отдельных типов архивов.
Все виды объектовпредставлены в иерархическом списке в левой части окна. При выборе объекта изсписка в правой части окна отображается реакция программы по умолчанию на егообнаружение. Указывается действие, предписанное текущими настройками, идействие, которое будет предпринято в случае неудачности первой реакции.
При обнаружениизараженного или подозрительного объекта сторож в пакете Dr.Web для рабочихстанций по умолчанию лишь информирует пользователя. При этом сведения обобнаруженных инфекциях выводятся в окно Запрос пользователю, в котором выможете в дальнейшем предписать программе необходимые действия вручную.
Dr.Web для серверовWindows в случае обнаружения известного вируса или при подозрении назараженность объекта вирусом по умолчанию предпринимает автоматические действияпо предотвращению вирусной угрозы.
При обнаружении объектов,содержащих программы-шутки, потенциально-опасные программы и программы взлома,по умолчанию предусмотрено игнорирование.
При обнаружении объектов,содержащих рекламные программы и программы дозвона, для сторожа в пакете Dr.Webдля серверов Windows по умолчанию предусмотрено перемещение, для сторожа впакете Dr.Web для рабочих станций – информирование пользователя.
Вы можете изменитьреакции программы на обнаружение каждого типа объектов в отдельности.
Чтобы изменить настройкипервого действия, укажите в раскрывающемся списке Первое действие первичнуюреакцию программы. Нажмите на кнопку Изменить, чтобы предписать программе вдальнейшем использовать выбранную вами реакцию.
В зависимости отвыбранного типа объекта в списке могут быть доступны следующие действия:
· Вылечить(доступно только при настройке реакции Для зараженных объектов) предписываетсторожу пытаться излечить объект, зараженный известным вирусом.
· Переместить вкарантин предписывает переместить объект в каталог карантина, задаваемый в поле
Папка для карантина (поумолчанию подкаталог infected.!!! в каталоге установки программы).
· Переименоватьпредписывает переименовать расширение имени зараженного или подозрительногообъекта в соответствии с маской, задаваемой в поле Маска переименования (поумолчанию #??, т. е. заменить первый символ расширения на #).
· Удалитьпредписывает удалить зараженный или подозрительный объект (для загрузочныхсекторов никаких действий производиться не будет).
По умолчанию программа непроверяет и не позволяет удалять файловые архивы. Если проверка файловыхархивов включена (включение этой проверки значительно увеличит нагрузку накомпьютер), вы можете разрешить выбор действия Удалить для архива. Для этогооткройте в текстовом редакторе конфигурационный файл программы (файлdrweb32.ini в каталоге установки программы), в секции [SpIDerGuardNT] добавьтестроку EnableDeleteArchiveAction=Yes (или, если такая строка есть, исправьтезначение No на Yes) и сохраните файл.
Для файлов внутри архивовникакие действия невозможны. При выборе действия Удалить архив будет удаленцеликом.
· Информировать –предписывает информировать пользователя об обнаружении объекта (в окне Запроспользователю).
· Запретить доступ– предписывает запретить доступ к файлу, проверка которого вызвала реакциюсторожа. Блокировка доступа к файлу снимается только после перезагрузкикомпьютера.
· Игнорировать – непредпринимать каких-либо действий при обнаружении подозрительного объекта.
· Останов системы –предписывает немедленно завершить работу Windows при обнаружении объекта (вряде случаев из-за действия вируса корректное завершение будет невозможно). Вдальнейшем рекомендуется удалить вирус при помощи Dr.Web для DOS, запущенного сзащищенного диска.
В области Что делать,если действие не удалось настройки задаются отдельно для следующих возможныхвариантов первого действия: лечение, перемещение в карантин, переименование,удаление. В каждом из соответствующих раскрывающихся списков вы можете выбратьдействие, которое будет предпринято при неудаче соответствующего первогодействия.
Запрос пользователю вслучае обнаружения инфекции
/>
Данное окно открываетсяпри обнаружении сторожем зараженного или подозрительного объекта, если внастройках реакции программы задано информирование.
Состав доступных кнопокзависит от типа обнаруженной инфекции и типа зараженного объекта (для архивов,почтовых файлов и файловых контейнеров часть реакций недоступна).
Кнопка Лечить (доступнатолько при обнаружении предположительно излечимого вируса, недоступна дляархивов любого типа) предписывает сторожу пытаться излечить объект, зараженныйизвестным вирусом. Если вирус неизлечим или попытка лечения не была успешной,окно откроется снова в виде, предусмотренном для обнаружения неизлечимыхвирусов.
Кнопка Удалитьпредписывает удалить зараженный или подозрительный файл (для загрузочныхсекторов никаких действий производиться не будет). При настройках по умолчаниюнедоступна для архивов любого типа.
Кнопка Переименоватьпредписывает переименовать расширение имени зараженного или подозрительногофайла в соответствии с настройками по умолчанию.
Кнопка Переместитьпредписывает переместить зараженный или подозрительный файл в каталогкарантина, заданный по умолчанию.
Кнопка Запретитьпредписывает запретить доступ к файлу, проверка которого вызвала реакцию сторожа.Блокировка доступа к файлу снимается только после перезагрузки компьютера.
Кнопка Выключитьпредписывает немедленно завершить работу Windows при обнаружении объекта (вряде случаев из-за действия вируса корректное завершение будет невозможно). В дальнейшемрекомендуется удалить вирус при помощи Dr.Web для DOS, запущенного сзащищенного диска.
Кнопка Игнорироватьпредписывает не предпринимать каких-либо действий при обнаруженииподозрительного объекта.
Вкладка Отчёт
/>
На этой вкладке задаетсярежим ведения файла отчета.
По умолчанию установленфлажок Вести файл отчета.
Вы можете настроитьнаименование и расположение файла отчета, кодировку текста, режим открытия(добавлять ли записи в конец файла отчета или перезаписывать его в началекаждого сеанса), а также степень детальности отчета. Также можно указать,следует ли ограничивать максимальный размер отчета и настроить этот размер.
Настоятельнорекомендуется вести файл отчета и периодически анализировать его.
Вкладка Исключения
/>
На этой вкладке задаетсясписок каталогов и файлов, исключаемых из проверки.
В поле Список исключаемыхпутей и файлов можно задать список каталогов и файлов, которые не будутпроверяться. В таком качестве могут выступать каталоги карантина антивируса,рабочие каталоги некоторых программ, временные файлы (файлы подкачки) и т. п.
Для того чтобы добавитьфайл, каталог или маску в список, введите его в поле ввода и нажмите на кнопкуДобавить. Если вводится имя существующего файла или каталога, можновоспользоваться кнопкой и выбрать объект в стандартном окне открытия файла.
Чтобы использовать приуказании имени каталога или файла специальные символы? и *, установите флажокРазрешить использование масок.
Чтобы разрешить добавлениев список файлов без указания пути, установите флажок Разрешить исключениефайлов без указания пути.
Для того чтобы удалитьфайл или каталог из списка, выберите его в списке и нажмите на кнопку Удалить.
Вкладка Статистика
/>
На этой вкладкеотображаются результаты работы сторожа в течение текущего сеанса.
Параметры вкладкистатистика
/>
Вкладка Управление
/>
На этой вкладке элементаПанели управления SpIDer Guard задается режим загрузки сторожа, а такжепроизводится или отменяется регистрация программы как службы.
Переключатель Режимзагрузки позволяет выбрать способ запуска программы.
Если выбран вариантАвтоматический режим, сторож запускается автоматически при каждой загрузкеWindows.
Если выбран Ручной режим,для запуска сторожа нажмите на кнопку Загрузить. Запущенный таким образомсторож можно остановить, нажав на кнопку Выгрузить.
Для того чтобызарегистрировать сторож как службу Windows, нажмите на кнопку Установить, длятого чтобы отменить такую регистрацию – на кнопку Удалить.
Вкладка Параметры
/>
На этой вкладке элементаПанели управления SpIDer Guard задаются отдельные настройки сторожа.
Вкладка Уведомления
/>
На этой вкладке элементаПанели управления SpIDer Guard задаются настройки уведомления о выявленныхвирусных событиях – перечень событий, вызывающих направление уведомления,способ его отправки и перечни адресатов.
Перечень событий задаетсяпри помощи установления любой необходимой комбинации флажков в поле Когдапосылать уведомления. Уведомления могут посылаться по E-mail или по сети (см.ниже), или появляться в виде всплывающего уведомления над значком SpIDer Guardв панели задач (если включен режим Acknowledge=Yes).
Установите флажок Уведомленияпо E-mail, если хотите посылать уведомления о выбранных событиях по электроннойпочте. Установите флажок Уведомления в сети, если хотите посылать уведомления овыбранных событиях в локальной сети (флажки могут устанавливаться независимо).После этого следует создать (отредактировать) списки адресатов уведомлений длявыбранных способов.
Нажмите на кнопкуДобавить E-Mail, чтобы добавить новый элемент в список получателей поэлектронной почте. Откроется окно ввода/редактирования адреса E-mail.
/>
Окно ввода/редактированияадреса E-mail
В этом окне вводитсяадрес электронной почты, по которому будут направляться уведомления, а такжепочтовые настройки для данного адреса.
Нажмите на кнопкуДобавить сообщение, чтобы добавить новый элемент в список адресатов сообщений влокальной сети. Откроется окно ввода/редактирования сетевого адреса компьютера.
/>
В этом окне вводитсяадрес компьютера в сети Microsoft для включения компьютера в список, покоторому будут направляться уведомления.
Введите в поле вводасетевое имя компьютера, или нажмите на кнопку Просмотр, чтобы найти компьютер вкаталоге Обозревателя сети.
Для того чтобы удалитьэлемент из какого-либо списка, выберите его в одном из списков и нажмите накнопку Удалить.
Для того чтобыотредактировать элемент какого-либо списка, выберите его в одном из списков инажмите на кнопку Изменить. Откроется окно ввода/редактирования адреса E-mailили окно ввода/редактирования сетевого адреса компьютера соответственно.
Вышеуказанное поможетпреподавателям произвести необходимую настройку для эффективной работыантивирусной программы в локально-вычислительной сети колледжа.
Agnitum Outpost FirewallPro 2008
Продуктиз серии решений Outpost 2008, новой линейки программ для безопасной работы вИнтернете. OutpostFirewall Pro 2008 сочетает в себе:
· Передовойбрандмауэр для безопасных соединений с сетью.
· Антишпион длякруговой защиты от шпионского ПО.
· Локальнуюбезопасность для блокировки неизвестных угроз.
· Веб-контроль длязащиты компьютера от широкого спектра Интернет-угроз.
Базовые настройки
Режимы работы
Outpost может применятьразные уровни фильтрации – от полного блокирования Интернет-доступа для приложенийдо разрешения всей сетевой активности. Поэтому Outpost допускает 5 режимовработы, чтобы Вы могли установить нужный Вам уровень защиты данных:
/> Все удаленныесоединения блокируются.
/> Блокировать — все удаленные соединенияблокируются, кроме тех, которые Вы специально укажете.
/> Обучение — Вы разрешаете или запрещаетеприложения во время их первого запуска.
/> Разрешать — все удаленные соединения разрешеныза исключением специально указанных.
/> Отключить — все удаленные соединения разрешены.
Поумолчанию Outpost работает в режиме Обучение. Значок Outpost на панели задачсимволизирует этот режим.
Чтобыизменить рабочий режим брандмауэра:
1. Щелкните правойкнопкой мыши значок Outpost (он может выглядеть так: />, />, />, /> или />)
2. Откроетсяконтекстное меню. Перейдите к пункту Политики и выберите нужный рабочий режим.
/>
Режим Обучение
Режим Обучение позволяетВам решать, какие из приложений получат доступ в Интернет. Outpost спросит Васоб этом всякий раз, когда приложение впервые сделает запрос на соединение.Режим Обучение действует по умолчанию и рекомендуется большинствупользователей. Возможно, Вы захотите создать правило для какого-либоприложения. Если оно не создано, Outpost в режиме Обучение снова спросит, какпоступить, когда приложение попытается получить или отправить данные. Созданиеправил не представляет никаких трудностей. Правила для приложений всегда можноизменить или удалить.
Нижеприведено окно режима Обучение:
/>
Вокне показано название приложения (например, Internet Explorer), вид соединения(входящее/исходящее), вид сервиса, который приложение пытается осуществить, иудаленный адрес для обмена данными.
Вамнужно выбрать один из вариантов фильтрации:
· Разрешить этомуприложению выполнять любые действия — для приложений, которым Вы полностью доверяете. Приложениебудет добавлено в список «Доверенные». (См. меню Параметры, вкладка Приложения.)
· Запретить этомуприложению выполнять какие-либо действия — для этих приложений запрещен сетевой доступ. Приложениебудет добавлено в список «Запрещенные». (См. меню Параметры, вкладка Приложения)
· Создать правилона основе стандартного — OutpostFirewall позволяет создать правила на основе стандартных настроек для известныхприложений или применить настройки, которые лучше подходят данному приложению(тот же Internet Explorer). Outpost предложит Вам оптимальный вариантфильтрации. Приложение будет добавлено в список «Пользовательский уровень»(См. меню Параметры, вкладка Приложения). Рекомендуется применить вариант,предложенный Outpost, однако опытные пользователи могут выбрать другиенастройки в выпадающем меню или даже создать собственное правило, нажав кнопку Другие.
Дополнительные настройки
Защита Вашей системы
Outpost был создан длятого, чтобы блокировать действия «троянцев».
Настройки Outpost длямаксимальной защиты:
· Режим Обучение информирует пользователя о любойпрограмме, пытающейся переслать данные с компьютера по сети.
· Режим Запрещения эффективно прерывает соединениеВашего компьютера с Интернет, которое может быть легко восстановлено, когда Выне работаете в сети.
· Сделайте свойкомпьютер невидимым для хакеров. Выберите меню Параметры, затем вкладку Системные.Отметьте Режим невидимости в поле Режим работы.
/>
Убедитесь, что уровеньNetBIOS отключен (флажок снят), если только Ваш компьютер не работает влокальной сети и использует общие файлы. Если Вам нужен уровень NetBIOS,нажмите кнопку Параметры в поле Настройки локальной сети и поставьте всоответствующей ячейке флажок:
/>
Чтобы внести удаленныйкомпьютер или сеть в список разрешенных соединений NetBIOS, нажмите кнопку Добавить.Появится диалоговое окно:
/>
Длядобавления отдельного компьютера в список Вам нужно знать его IP-адрес. Введитеимя домена, IP-адрес или диапазон IP-адресов в соответствующее поле. Каждаяопция показывает пример адреса определенного формата, который нужно вводить.
Мырекомендуем обратить на эту опцию отдельное внимание, так как разрешениенеограниченного доступа на уровне NetBIOS соединений может привести ксущественному снижению уровня безопасности системы.
Вменю Параметры выберите Подключаемые модули, выделите фильтр Детектор атак.Нажмите кнопку Параметры и установите нужные настройки:
/>
Примечание:Вы можете посмотретьИнтернет-адрес, с которого производится атака на Ваш компьютер, в Журналесобытий Outpost. Чтобы открыть журнал отдельного фильтра, выделите его напанели представлений, затем нажмите кнопку Показать Журнал на информационнойпанели.
Скрытыеинтерактивные элементы web-сайтов
Создателиweb-сайтов применяют различные программные средства, чтобы сделать своиweb-страницы более интересными и полезными. Это анимация, календари,специальные калькуляторы и вспомогательные меню. Подобные программы, внедренныев web-страницы, имеют, в основном, прикладное и эстетическое значение. Однако вруках некоторых хакеров эти программы могут оказывать пагубное действие.Поэтому Outpost позволяет пользователю блокировать каждый сомнительныйкомпонент.
Выможете сделать следующее:
1. Откройте главноеокно Outpost двойным щелчком мыши на значке программы
2. Выберите модуль ИнтерактивныеЭлементы щелчком правой кнопки мыши, вызвав контекстное меню:
/>
НажмитеСвойства. Откроется окно, в котором будут упорядочены активные элементы,встречающиеся в составе web-документов:
/>
Нарисунке показано окно с настройками, применяющимися ко всем просматриваемым Webсайтам. Если Вы хотите изменить эти настройки для отдельных сайтов, то щелкнитеИсключения, затем Добавить и введите адрес требуемого сайта.
/>
Послетого, как Вы щелкните ОК, появится диалоговое окно с параметрами выбранногосайта.
/>
Остерегайтесьпочтовых вложений
Активные элементы могут быть внедрены как в web-страницы, таки в электронные письма. Блокируются они способом, описанным в предыдущей главе.
Другая угроза, которую могут представлять электронные письма– это безобидные на первый взгляд программы, которые приходят в виде почтовыхвложений. Это очень распространенный способ проникновения в систему «червей»и «троянцев». Они действуют под прикрытием внешне полезных программ испособны вызвать сбой и/или предоставить хакеру прямой доступ к системе.
Чтобы защитить свой компьютер, укажите, как Outpost следуетобращаться с разными типами вложений. Щелкните правой кнопкой мыши фильтр Фильтрацияпочтовых вложений и нажмите Параметры:
/>
Появится следующеедиалоговое окно:
/>
КнопкаСоздать позволяет добавлять в список типы файлов для фильтрации:
/>
После добавления записиукажите, что Outpost следует делать с этим файлом, когда он появится в папкевходящих писем в виде почтового вложения. Рекомендуется выбрать опцию Переименоватьи, таким образом, нейтрализовать файл. Тогда Вы сможете спокойно сохранить егона жестком диске, проверить с помощью антивирусной программы и только послеэтого открыть.
Блокировка рекламы
Рекламодатели оплачиваютрасходы многих web-сайтов, благодаря чему они могут предоставлять информацию ипрограммное обеспечение бесплатно. Однако рекламные объявления часто замедляютсоединение, носят навязчивый характер, а иногда просто раздражают.
Чтобы Outpost блокировалспецифические рекламные объявления на web-страницах, выберите правой кнопкоймыши фильтр Реклама на панели представлений. Выберите команду Параметры, вызвавследующее диалоговое окно:
/>
Убедитесь, что опция БлокироватьHTML-строки отмечена флажком.
Если Вы хотите добавитьадрес в список блокировки, введите его имя в поле ввода и нажмите кнопку Добавить.Чтобы изменить адрес, нужно выбрать его в списке, и после внесения измененийнажать кнопку Изменить. Для удаления адреса воспользуйтесь кнопкой Удалить.
С помощью кнопки Поумолчанию список блокировки можно вернуть в первоначальное состояние.
Чтобы блокироватьрекламные объявления определенного размера, выберите вкладку Размерыизображений. Появится следующее диалоговое окно:
/>
Это окно устроено так же,как и предыдущее.
Примечание: Блокировка изображений по размерупредполагает удаление всех изображений указанных размеров, имеющих ссылки (т.e.внутри тегов), независимо от того, связаны ли они с другим сайтом илидругой страницей того же сайта.
Баннеры могут бытьзаменены как текстовым сообщением [AD], так и прозрачным изображением. Длянастройки этого параметра щелкните закладку Разное:
/>
Примечание. Некоторыебаннеры невозможно заменить прозрачным изображением, поэтому даже при выбореэтой опции они будут по-прежнему заменяться текстом.
Обратите внимание, чтоOutpost Firewall блокирует рекламные баннеры согласно введенным параметрам.Некоторые нужные объявления могут быть блокированы, если Вы зададите слишкомстрогие условия фильтрации (например, введете слово «image» («изображение»)в перечень блокировки).
Вслучае если блокировка рекламы мешает Вам просматривать определенные сайты, Выможете занести их в список Доверенных. Outpost не блокирует рекламные баннеры сДоверенных Сайтов. Чтобы добавить сайт в этот список просто щелкните Редактировать,в появившемся диалоге введите адрес сайта и нажмите Добавить. Outpost такжеможет блокировать рекламные объявления, выполненные в виде интерактивныхэлементов (таких как анимированные Flash объекты). Выберите флажок Block … чтобывключить блокировку интерактивных рекламных объявлений и снизить, таким образом,нагрузку на систему и сетевой трафик.
Блокировкапо содержимому
Outpostпозволяет блокировать любой web-сайт или web-страницу, содержащие определенноеслово или фразу.
Чтобыблокировать нежелательное содержимое, щелкните правой кнопкой мыши фильтр
Содержимоена панели представленийглавного окна Outpost и выберите Параметры:
/>
Выувидите окно, содержащее параметры, аналогичные параметрам фильтра Реклама. Выможете управлять списком сайтов внутри вкладки По адресу:
/>
Действия в окнеаналогичны тем, которые применимы к рекламным объявлениям. На вкладке Разное Выможете задать сообщение, которое будет отображаться вместо страниц снежелательным содержимым.
/>
Щелкните Редактировать изадайте желаемый текст сообщения, после чего нажмите ОК для его сохранения.
Установка пароля
ЕслиВы опасаетесь, что кто-то может нарушить произведенные Вами настройки Outpost,Вы можете защитить их паролем. Внутри вкладки Общие (поле Защита паролем)выберите опцию Включить. Появится диалоговое окно:
/>
Введите пароль и укажитедолжен ли он защищать только конфигурацию Outpost или также предотвращатьзапуск Журнала событий и/или остановку службы Outpost. Нажмите OK и подтвердитепароль в появившемся окне.
Данное краткое описание принципов работы и функцийбрандмауэра Agnitum Outpost Firewall Pro, кроме того, оно содержит базовуюинформацию о том, как настроить брандмауэр преподавателям, без помощиИТ-специалиста
Заключение
В процессе выполненияработы проведен анализ существующих и возможных внутренних угроз безопасности информации в ЛВСКунгурского сельскохозяйственного колледжа. Были выделены основные угрозы,такие как нарушение целостности информации, нарушение конфиденциальностиинформации, неавторизованный доступ, несанкционированный доступ. Наиболееэффективным путем для защиты информации в ЛВС будет применение программногокомплекса, в состав которого войдут антивирусная программа и брандмауэр.
Во — второй главе был проанализированРоссийский рынок программных средств антивирусной защиты, а также брандмауэров,в результате, которого выбраны наиболее востребованные и программные продуктыкомпаний:
· Антивирусныйкомплекс Dr.Web 4.44.
· Брандмауэр Agnitum Outpost FirewallPro 2008.
Данные программныепродукты зарекомендовали себя на Российском рынке и за рубежом как наиболеелучшие. При проведенных тестах показали наилучшие показатели при разных видахугроз.
В последнее время нарынке антивирусной защиты стали появляться программные комплексы, в составкоторых входит межсетевой экран и модули для защиты конфиденциальнойинформации. В результате чего трудно было ориентироваться в выборе каких-токонкретных программных продуктов, таких как межсетевые экраны, которые в своюочередь, также включают модули «Антивирус+Антишпион». Такое развитиеданных программных продуктов для защиты информации в сети, явилась потребностьрынка продуктов для малых и средних организации, что и послужило стимулом дляразвития универсальных программных средств защиты информации.
При разработкерекомендаций по выбору программного комплекса для защиты информации в ЛВС КСХКбыли определены основные направления реализации политики безопасности.
На основе проведенногоанализа угроз безопасности и анализа существующих программных продуктов длязащиты информации в ЛВС КСХК разработана схема и состав программного комплекса.Приведены настройки выбранных программных продуктов для защиты информации в ЛВСКСХК.
На основании проведенной работыможно сделать следующие выводы:
1. Защита информации является актуальнойпроблемой не только среди коммерческих организаций, но и для образовательныхучреждений.
2. Защита информации в образовательномучреждении не должна подразумевать наличие ИТ-специалиста, а может бытьорганизована преподавателями информатики.
3. Для защиты информации в ЛВСКунгурского сельскохозяйственного колледжа, были выбраны программные продукты,антивирусная программа Dr. Web 4.44. и брандмауэр Agnitum Outpost Firewall Pro 2008, как наиболее подходящие программные продукты изимеющихся на рынке программных средств защиты.
Перечень используемых источников
1. Журнал IT-спец №10 /2007.
2. Каталог программного обеспеченияSoftline №11/2007.
3. http://www.antivirus.ru/VirAnalizC.html.
4. http://www.antivirus.ru/OknoA.html
5. www.agnitum.ru/news/2007-11-Outpost-Firewall-2008-champion-in-leak-tests.php
6. http://www.av-comparatives.org
7. www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
8. us.mcafee.com/
9. http://www.protect-me.com/ru/dl/
10. http://www.osp.ru/
11. http://www.infosecurity.ru/
12. www.ixbt.com/soft/zonealarm5.shtml
13. softkey.ru/catalog/program.php?
14. www.trendmicro.com/en/products/%20smb/src/overview.htm
/>
Приложения
Приложение № 1
Лучший антивирус ноября2007 года (http://www.antivirus.ru/VirAnalizC.htm).
Ниже представленырезультаты проверки реакции различных антивирусов на вирусную инфекцию, скоторыми реально столкнулась лаборатория FomSoft 8 октября 2007 года.
В таблице приведенареакция различных антивирусов, которые источниками которых были:
· атаки вирусов принепосредственной работе в Интернет;
· письмаэлектронной почты;
· жесткие диски ивнешние носители клиентов, поступившие в лабораторию для восстановления данных;
Показатели надежностиантивирусов в ноябре 2007 года, в условиях информационной среды лабораторииFomSoft.
/>
В качестве критерия,«какой антивирус лучше», используется показатель качестваантивирусов, он рассчитывается по формуле:
Pav = (Nvir — Nbad) / Nvir
Где:
Pav — вероятностная оценка качества антивируса, чем она ближек единице, тем лучше антивирус.
Nvir — общее число зафиксированных вредоносных объектов наданном компьютере (организации).
Nbad — число вредоносных объектов, которыеантивирус в момент атаки не выявил.
Для того чтобыопределить, как реагирует тот или иной антивирус на конкретный вредоносныйобъект, использовался он-лайн сервис: VirusTotal (http://www.virustotal.com/).
www.antivirus.ru/VirAnalizC.html
2007-08-13 11:34
Реакция различныхантивирусов на вирус Net-Worm.Win32.Mytob.c.
Вирус был обнаружен вприкреплённом файле к электронному письму. Файл имел наименование readme.exe сявным расчетом на любопытство пользователя, который пренебрегает элементарнымиправилами компьютерной гигиены. В последующие дни были получены испорченныеархивные файлы, из которых можно было выделить файлы, аналогичные по содержаниюфайлу readme.exe. Подозрительные файлы были отправлены в службу техническойподдержки компании Компания «Доктор Веб», откуда пришел неожиданныйответ:
/>
Поэтому мы приносим своиизвинения компании «Доктор Веб», за публикацию информации о том, чтоантивирус DrWeb не обнаружил этот «вирус». Мы вносим соответствующиеизменения в таблицу, приведенную ниже, таблицу «Лучший антивирус августа2007 года». В данном случае правы все антивирусы:
· те, кто находят внем вирус, потому что файл действительно был заражен вирусом и его тело видноне вооруженным глазом;
· те, кто считаетэтот файл не вирусом, потому что это файл не представляет для пользователя никакойугрозы.
Неоднозначность подобнойоценки будет отрицательна только в том случае, если подобный файл попадет вколлекцию для тестирования антивирусов, а таких файлов в некоторых«коллекциях» бывает достаточно. В этом случае антивирус, которыйимеет более продвинутый алгоритм анализа вредоносных объектов, по результатам«тестирования» будет иметь незаслуженно низкий результат!
Таблица 2. Реакцияразличных антивирусов на неработоспособный файлНаименование антивирусов Текущая версия антивируса Актуальная дата вирусной базы Реакции антивируса. DrWeb 4.33 2007.08.13 no virus found Kaspersky 4.0.2.24 2007.08.13 Net-Worm.Win32.Mytob.c McAfee 5095 2007.08.10 !!! W32/Mytob.gen@MM NOD32 2455 2007.08.13 probably a variant of Win32/Mytob.D Symantec 10 2007.08.13 no virus found BitDefender 7.2 2007.08.13 no virus found
Ниже предлагаетсяметодика оценки качества антивирусов, которая основана на вычислениивероятности антивируса, противостоять атакам вредоносных объектам, которыереально угрожали компьютерной системе. Численное значение такой оценки можнорассчитать по формуле:
Pav = (Nvir — Nbad) /Nvir
Где:
Pav — Вероятностная оценка качества антивируса, чем онаближе к единице, тем лучше антивирус.
Nvir — Общее число зафиксированных вредоносных объектов наданном компьютере (организации).
Nbad — Число вредоносных объектов, которые антивирус вмомент атаки не выявил.
Таблица 3 содержитрасчеты показателя надежности (последняя колонка) различных антивирусов. Вкачестве исходных данных были использованы результаты проверки реакцииразличных антивирусов на вредоносные объекты, с которыми реально столкнулсяавтор этой публикации в период с января 2006 по июль 2007. Общее числозафиксированных вредоносных объектов было 51. Расчетные показатели надежности различныхантивирусов приведены в таблице 3.
Таблица 3. Показателинадежности антивирусов
/>
К сожалению, в таблицу 3не вписался один из известных в России антивирусов Symantec, более известный унас как Norton Antivirus. Это связано с тем, что данный антивирус был включен вбазу антивирусов сайта Virus Totalс 30 января 2007, что не дало возможности включить его показатели в общуютаблицу.
Однако, благодарягибкости предлагаемой методики оценки, надежность антивируса Symantec удалосьрассчитать по имеющимся данным последней проверки.
Таблица 4. Сравнениепоказателя надежности антивируса Symantec с другими антивирусами
/>
Приложение № 2
www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
Этастраница содержит результаты тестов и сравнения особенностей самых популярных брандмауэров.
Мыпроверили 6 брандмауэров из нашего списка против 26 тестов угроз.
Сэтой целью, мы также осуществили наши собственные угрозы. Наши тесты на угрозы называют, Fake Protection Revealer (FPR) и Runner.Позже, мы проверили больше продуктов и повторно проверили новые версии ужепроверенных продуктов. Против этого арсенала ни один из проверенных продуктовне был в состоянии получить 100%-ый счет до 2-ого ноября 2007.
Каждыйбрандмауэр был проверен дважды против 26 тестов угроз – один раз, с параметраминастройка «из коробки», и с самыми высокими параметрами настроекбезопасности. Каждому брандмауэру тогда предоставляли полный счет, полученныйрезультат подводили после каждого теста. Чем выше счет, тем лучше брандмауэр прошелпротив диапазона тестов угроз. Для каждого теста брандмауэр проходил с параметраминастройка по умолчанию, это получило 125 пунктов. Для тех тестов, которыебрандмауэр не прошел с параметрами настройка по умолчанию, но прошел с самымивысокими настройками безопасности, это получило 100 пунктов. Число тестов спараметрами настроек брандмауэра — 77. Таким образом, максимальный счет — 77 *от 125 до 9625 пунктов. Проверенные брандмауэры были установлены на Windows XP SP2, Internet Explorer 6.0 былустановлен как браузер по умолчанию в течение всех тестов.
Рейтинг Брандмауэров
Таблицаниже проверенных брандмауэров с их окончательной оценкой. Эта таблица такжепоказывает точную версию каждого проверенного продукта.
Продукт баллы Уровень защиты от угроз
/> Outpost Firewall Pro 2008 6.0.2162.205.402.266 9625 отлично — 100%
/> ZoneAlarm Pro 7.0.408.000 8600 очень хороший
/> Kaspersky Internet Security 7.0.0.125 8475 очень хороший
/> Trend Micro PC-cillin Internet Security 2007 15.30.1151 7000 хороший
/> Norton Internet Security 2008 15.0.0.60 3600 удовлетворительно Интерпретация результатов
Явныйпобедитель наших тестов Outpost Firewall Pro 2008 6.0.2162.205.402.266. Данный продукт достиг абсолютного множествадаже на параметрах настройки по умолчанию. Поздравления! Другой важныйрезультат наших тестов — брандмауэр, выигравший против FPR. FPR stands for Fake Protection Revealer. Kaspersky Internet Security7.0.0.125.