ПЕРМСКИЙ РЕГИОНАЛЬНЫЙ ИНСТИТУТ ПЕДАГОГИЧЕСКИХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
кафедра информатики
Разработка рекомендаций по выбору программного комплекса для защиты информации в ЛВС Кунгурского сельскохозяйственного колледжа
(Выпускная квалификационная работа)
Работу выполнил:
студент 5 курса
группа С – 25
Цепков Андрей Владимирович
научный руководитель:
зав. кафедры информатики,
к.т.н., доцент
Раевский Виктор Николаевич
Пермь 2007 год
Содержание
Введение
Глава 1. Анализ угроз безопасности информации в ЛВС Кунгурского сельскохозяйственного колледжа
1.1 Утечка информации как наиболее серьезная угроза информационной безопасности колледжа
1.2 Неавторизованный доступ к ЛВС
1.3 Несанкционированный доступ к ресурсам ЛВС
Глава 2. Анализ существующих программных продуктов, используемых для защиты информации в ЛВС
2.1 Антивирусные программы
2.2 Брандмауэры
Глава 3. Разработка рекомендаций по составу программного комплекса для защиты информации в ЛВС Кунгурского сельскохозяйственного колледжа
3.1 Административные меры
3.1.2 Состав программного комплекса
3.1.3 Программный комплекс
Заключение
Перечень используемых источников
Приложения
Приложение № 1
Приложение № 2
Введение
В век информационных технологий самой актуальной проблемой является защита информации в локально-вычислительной сети не только среди коммерческих организаций, но и образовательных учреждений, объектом исследования будет защита информации в ЛВС Кунгурского сельскохозяйственного колледжа.
Программное обеспечение для защиты информации в локальной вычислительной сети является предметом исследования.
После выделения объекта и предмета исследования поставим целью своей работы разработать рекомендации по выбору программного комплекса для защиты информации в ЛВС Кунгурского сельскохозяйственного колледжа.
Методами исследования является анализ угроз безопасности информации, а также анализ программных продуктов используемых для защиты информации в ЛВС, проведение эксперимента.
Для достижения цели исследования необходимо решить следующие задачи:
проанализировать угрозы безопасности информации в ЛВС Кунгурского сельскохозяйственного колледжа;
проанализировать рынок существующих программных продуктов, используемых для защиты информации в ЛВС;
окончательной задачей после проведенного анализа, разработать рекомендации по составу программного комплекса для защиты информации в ЛВС Кунгурского сельскохозяйственного колледжа.
Разработанные рекомендации по выбору программного комплекса для защиты информации в дальнейшем будут предложены для реализации на практике в данном колледже.
Главной задачей, решаемой на этапе разработки рекомендаций по выбору программного комплекса для создания системы информационной безопасности, является обеспечение безопасности информации в компьютерных сетях, что предполагает создание препятствий для любых несанкционированных попыток хищения или модификации данных, передаваемых в сети. В то же время очень важно сохранить такие свойства информации, как доступность, целостность и конфиденциальность. Доступность информации подразумевает обеспечение своевременного и беспрепятственного доступа пользователей к интересующим их сведениям. Целостность информации заключается в ее существовании в неискаженном виде, то есть неизменном по отношению к некоторому фиксированному ее состоянию. Конфиденциальность предполагает необходимость введения ограничений доступа к данной информации для определенного круга пользователей. Следует также отметить, что такие области, как банковская и финансовая деятельность, государственное управление, оборонные и специальные структуры, требуют специальных дополнительных мер безопасности данных и предъявляют повышенные требования к надежности функционирования информационных систем.
Прежде чем приступить к разработке рекомендаций по выбору программного комплекса для создания подсистемы информационной безопасности сети, необходимо разработать концепции и политики безопасности. Правильная политика безопасности позволит не только учесть все требования по безопасности, но и оптимально использовать финансовые средства, необходимые для ее реализации. В политике безопасности должны быть учтены все составляющие информационной безопасности.
В первую очередь нужно определить список объектов, на которые могут быть направлены угрозы. Естественно, в данный список должны быть включены все критически важные узлы локальной сети.
Необходимо провести аудит и анализ существующих и возможных внутренних угроз, определить их источники и оценить риски. Эти сведения позволят составить реальное представление о существующей и прогнозируемой степени уязвимости локальной сети, а также о потребностях в защите информационных ресурсов. Многие полагают, что основная угроза исходит снаружи от внешних, сторонних лиц и организаций, от хакеров, которые пытаются проникнуть в сеть и получить доступ к информации и ресурсам. Но кто опаснее: хакер, пытающийся проникнуть в корпоративную сеть извне, или сотрудник (студент), который уже имеет к ней доступ? К тому же злоумышленник может найти в колледже человека, нечистого на руку, или обмануть доверчивого пользователя, используя различные психологические приемы. Тратя огромные деньги на защиту локальной сети, ни в коем случае нельзя забывать об опасности внутренних угроз. Естественно, внешние и внутренние угрозы это – не миф, но если посмотреть правде в глаза, то можно увидеть, что большинство случаев цена этой угрозы сильно завышена. В результате этой истерии появилась тенденция, которая делает людей, занимающихся IT – security, уверенными, что без денег не будет результата. Эти люди любят повторять правило, что деньги, вложенные в безопасность, окупаются и возвращаются. Это правило действительно работает, но мнение, что ноль в бюджете по информационной безопасности дает ноль в защите ошибочно. Когда есть деньги на безопасность – это прекрасно, но главное – их эффективно и разумно тратить. Когда их нет – это не конец: если рационально, с умом управлять и работать, то вероятность создания удобной и эффективной системы управления информационной безопасностью, да и технической инфраструктуры очень высока.
Глава 1. Анализ угроз безопасности информации в ЛВС Кунгурского сельскохозяйственного колледжа
Утечка информации как наиболее серьезная угроза информационной безопасности
Обеспечение информационной безопасности колледжа не ограничивается внедрением технических средств защиты от разного рода угроз. Одним из наиболее опасных элементов с точки зрения возможного ущерба информационным ресурсам учреждения являются ее сотрудники (студенты).
Согласно исследованиям (Silicon Republic), 45% американских сотрудников забирают с собой различные корпоративные данные, когда меняют работу. В то время как сотрудники ИТ–подразделений и служб безопасности компаний ищут эффективные средства защиты от внешних угроз, из поля зрения пропадает гораздо более серьезная угроза - инсайдеры.
Исследование в области корпоративной защиты от внутренних угроз информационной безопасности (ИБ), проведенное компанией InfoWatch в 2006 – 2007 гг. наглядно показывает, что самые опасные угрозы ИБ исходят изнутри организации. При этом в списке самых опасных внутренних угроз (рис.1) лидирует нарушение конфиденциальности информации (70,1%). Далее, с отрывом, следуют искажение информации (38,4%) и утрата информации (17,3%).
Таким образом, риск утечки ценной информации волнует начальников ИТ-отделов гораздо больше, чем любая другая внутренняя угроза ИБ. Стоит отметить тот факт, что в 2004 и в 2005 году эту угрозу как наиболее опасную отмечали 100% респондентов.
Рис. 1. Наиболее опаcные внутренние ИТ-угрозы (по версии InfoWatch)
Самые распространенные каналы утечки информации – мобильные накопители (86,6%), электронная почта (84.8%) и Интернет (82,2%) [, стр.85].
Рис. 2. Каналы утечки информации
Стоит отметить, что такое положение дел наблюдается во всем мире - большая часть информации "утекает" из компаний на мобильных носителях. Инсайдеры крадут любую конфиденциальную информацию. Однако персональные данные интересуют их гораздо чаще любой другой информации.
Исходя из того, что наиболее простой способ вынести информацию из колледжа – скопировать ее на внешний носитель (CD, flash-drive), стоит озаботиться, прежде всего, ограничением возможности подключения таких устройств со стороны пользователя. Применение этих мер наряду со специальным ПО, позволяющим разграничивать права доступа, значительно уменьшает вероятность утечек.
Следующий шаг – ограничение интернет-трафика и электронной почты.
Следует не забывать и про системы сетевого трафика, так как они позволяют если не предотвратить, то заметить попытки несанкционированной передачи данных. Подобные системы могут быть как отдельным решением, установленным на "горле" сети, просматривающие весь исходящий трафик и блокирующие передачу "нежелательных" или "странных" пакетов, так и расширением для существующих сервисов. Подобный подход позволяет бороться с проблемой передачи данных, передаваемых как посредством штатных средств, так и с использованием скрытых каналов – например, инкапсуляция данных в неиспользуемые части передаваемого сетевого пакета. Существует отдельный класс угроз, исходящих от инсайдеров, связанный с неумышленными действиями пользователя. Именно от этих угроз, по мнению некоторых специалистов. Помогает только повышение осведомленности пользователей в области информационной безопасности.
Стоит отметить. Что согласно исследованиям InfoWatch, подавляющее большинство организаций (89,9%) планируют внедрить в ближайшие три года ту или иную систему защиты от утечек. При этом наибольшая часть организаций (32.8%) предполагают установку комплексных решений, второй по популярности класс решений – средства мониторинга интернет-трафика (23,9%), далее следуют системы мониторинга рабочих станций (18,6%).
Любые средства ИБ хороши до тех пор, пока не мешают сотрудникам выполнять их должностные обязанности. Пользователь не должен быть отвлечен такими проблемами, как возможная компрометация используемых паролей третьими лицами или стирание из всех видов памяти компьютера секретных документов. В тоже время, система защиты от инсайдеров должна выполнять свою работу незаметно, не привлекая к себе как можно меньше внимания. В настоящее время, значительное количество организаций пришло к пониманию этих фактов. Остается лишь выбрать лучшее решение и приступить к ее развертыванию в колледже [].
Рис. 3. Наиболее эффективные пути защиты от утечек
1.2 Неавторизованный доступ к ЛВС
ЛВС обеспечивает совместное использование файлов, принтеров, файловой памяти и т.п. Поскольку ресурсы разделяемы и не используются монопольно одним пользователем, необходимо управление ресурсами и учет использования ресурсов. Неавторизованный доступ к ЛВС имеет место, когда кто-то, не уполномоченный на использование ЛВС, получает доступ к ней (действуя обычно, как законный пользователь ЛВС). Два общих метода используются, чтобы получить неавторизованный доступ:
общие пароли;
угадывание пароля и перехват пароля.
Общие пароли позволяют неавторизованному пользователю получить доступ к ЛВС и привилегии законного пользователя; это делается с одобрения какого-либо законного пользователя, под чьим именем осуществляется доступ. Угадывание пароля является традиционным способом неавторизованного доступа. Перехват пароля является процессом, в ходе которого законный пользователь, не зная того, раскрывает учетный идентификатор пользователя и пароль. Это может быть выполнено с помощью программы троянского коня, которая имеет для пользователя вид нормальной программы входа в ЛВС, однако программа - троянский конь предназначена для перехвата пароля. Методы перехвата открытого трафика ЛВС, включая пароли, широко доступны сегодня. Неавторизованный доступ к ЛВС может происходить с использованием следующих типов уязвимых мест:
отсутствие или недостаточность схемы идентификации и аутентификации;
совместно используемые пароли;
плохое управление паролями или легкие для угадывания пароли;
использование известных системных брешей и уязвимых мест, которые не были исправлены;
однопользовательские ПК, не имеющие парольной защиты во время загрузки;
неполное использование механизмов блокировки ПК;
хранимые в пакетных файлах на дисках ПК пароли доступа к ЛВС;
слабый физический контроль за сетевыми устройствами;
отсутствие тайм-аута при установлении сеанса и регистрации неверных попыток;
отсутствие отключения терминала при многочисленных неудачных попытках установления сеанса и регистрации таких попыток;
отсутствие сообщений "дата/время последнего удачного сеанса" и "неуспешная попытка установления сеанса" в начале сеанса;
отсутствие верификации пользователя в реальном времени (для выявления маскарада).
1.3 Несанкционированный доступ к ресурсам ЛВС
Одна из выгод от использования ЛВС состоит в том, что большое количество ресурсов легко доступны большому количеству пользователей, что лучше, чем владение каждым пользователем ограниченных выделенных ему ресурсов. Эти ресурсы могут включать файловую память, приложения, принтеры, данные, и т.д.. Однако не все ресурсы должны быть доступны каждому пользователю. Чтобы предотвратить компрометацию безопасности ресурса (то есть разрушение ресурса, или уменьшение его доступности), нужно разрешать использовать этот ресурс только тем, кому требуется использование ресурса. Несанкционированный доступ происходит, когда пользователь, законный или неавторизованный, получает доступ к ресурсу, который пользователю не разрешено использовать. Несанкционированный доступ может происходить просто потому, что права доступа пользователей к ресурсу не назначены должным образом. Однако, несанкционированный доступ может также происходить потому, что механизм управления доступом или механизм назначения привилегий обладают недостаточной степенью детализации. В этих случаях единственный способ предоставить пользователю необходимые права доступа или привилегии для выполнения определенной функции состоит в том, чтобы предоставлять пользователю больше доступа, чем необходимо, или больше привилегий, чем необходимо.
Несанкционированный доступ к ресурсам ЛВС может происходить при использовании следующих типов уязвимых мест:
использование при назначении прав пользователям по умолчанию таких системных установок, которые являются слишком, разрешающими для пользователей;
неправильное использование привилегий администратора или менеджера ЛВС;
данные, хранящиеся с неадекватным уровнем защиты или вообще без защиты;
недостаточное или неправильное использование механизма назначения привилегий для пользователей ПК, на которых не используют никакого контроля доступа на уровне файлов.
В данной главе проведен анализ и аудит существующих и возможных внутренних угроз безопасности информации в ЛВС Кунгурского сельскохозяйственного колледжа.
Были выделены основные угрозы:
нарушение целостности информации;
нарушение конфиденциальности информации;
неавторизованный доступ;
несанкционированный доступ.
На основании анализа, наиболее эффективным путем для защиты информации в ЛВС будет применение программного комплекса, в состав которого войдут антивирусная программа и брандмауэр.
Глава 2. Анализ существующих программных компонентов, используемых для защиты информации в ЛВС
2.1 Антивирусные программы
Компьютерные вирусы остаются в настоящее время наиболее актуальной проблемой информационной безопасности корпоративных систем. За последние годы ущерб, наносимый вирусными атаками бизнесу, удваивался каждый год и сейчас измеряется сотнями миллиардов. Согласно статистике антивирусных компаний, более 95% всех вредоносных программ, распространяющихся в сети Интернет, составляют сетевые черви, из них 99% почтовые. При этом по данным Института компьютерной безопасности США, порядка 80% организаций подвергаются вирусным атакам в течение года.
Для эффективной защиты информации в ЛВС необходимы четкие требования к антивирусной системе.
Обязательным требованиями к системе антивирусной защиты являются возможности удаленного администрирования и контроля загрузки вычислительных ресурсов. Система в целом должна продолжать функционировать независимо от работоспособности ее отдельных узлов. Желательно наличие средств автоматического восстановления после сбоев.
При развертывании систем антивирусной защиты необходимо учитывать возможности роста организации и, как следствие, защищаемых объектов. При этом система должна быть построена на базе открытых стандартов с тем, чтобы она не стала "узким местом" при включении в комплексную систему информационной безопасности. Компоненты системы, при этом, должны представлять собой стандартные средства, имеющие широкую сферу применения и возможности взаимодействия с другим отраслевым ПО.
Надежность функционирования системы антивирусной защиты определяется следующим рядом требований:
система не нарушает логику работы остальных используемых приложений;
система обеспечивает возможность отката до ранних версий;
система оповещает администратора о текущих событиях (сбои, обнаружения вирусов и т. д.).
Рассмотрим наиболее популярные виды антивирусного программного обеспечения.
Kaspersky Open Space Security
Kaspersky Open Space Security – это новый подход к безопасности современных корпоративных сетей любого масштаба, обеспечивающий централизованную защиту IT-систем, а также поддержку удаленных офисов и мобильных пользователей.
Современные возможности
Сегодня практически в любой точке земного шара можно получить доступ в Интернет, а значит, оставаться на связи с коллегами, клиентами и партнерами, осуществлять покупки и банковские операции, а также пользоваться разнообразной информацией. Однако новые возможности доступны и киберпреступникам, которые используют все более разнообразные методы, чтобы получить доступ к конфиденциальной информации частных лиц и организаций.
Нестандартные задачи
Если раньше объект защиты был очевиден – периметр сети, представляющий собой четкую границу безопасного пространства, то сегодня мы имеем дело с множеством взаимопроникающих и пересекающихся периметров отдельных подсетей, сетевых узлов и просто устройств (ноутбуков, КПК, смартфонов). Корпоративная сеть перестала быть статичным закрытым образованием, ее состав и границы динамически изменяются.
Очевидно, что вопрос защиты сети нового типа от современных интернет-угроз требует нового подхода. Именно поэтому мы говорим о новой концепции защиты корпоративных сетей – Kaspersky Open Space Security.
Инновационные решения
Решение Kaspersky Open Space Security – это новый подход к защите корпоративной сети, в котором безопасное рабочее пространство больше не ограничено стенами офиса, теперь оно охватывает и удаленных пользователей и сотрудников в командировке. Мы считаем, что свобода коммуникаций полностью совместима с надежной защитой от таких современных компьютерных угроз, как вирусы и другие вредоносные программы, хакерские атаки, шпионское программное обеспечение и спам.
Kaspersky Open Space Security полностью отвечает современным требованиям к системам защиты корпоративных сетей:
решения для защиты каждого узла сети;
технологии защиты от всех типов интернет-угроз;
поддержка всех распространенных ОС / платформ;
высокая скорость реакции на новые угрозы;
комплексное применение различных технологий защиты.
Kaspersky Open Space Security позволяет в полной мере использовать преимущества новых мобильных технологий, обеспечивая:
полноценную защиту пользователей за пределами сети;
проверку по возвращении в сеть / проверку "гостей".
Kaspersky Open Space Security – это уникальные технологии для распознавания самых последних уловок злоумышленников:
защита от утечек информации;
защита от руткитов;
отмена вредоносных изменений;
самозащита антивируса.
Kaspersky Open Space Security обеспечивает высокий уровень защиты сложных, распределенных сетей, не теряя удобства и управляемости:
централизованное администрирование;
удаленная установка, управление и лечение;
поддержка самых современных технологий Microsoft, Intel, Cisco;
эффективное использование сетевых ресурсов.
Решения Kaspersky Open Space Security полностью отвечают современным требованиям, предъявляемым к системе информационной безопасности корпоративной сети. Уникальные технологии Kaspersky Open Space Security способны распознавать новейшие уловки киберпреступников. Благодаря специально разработанному инструменту управления это гибкое и надежное security-решение может быть внедрено в корпоративные сети любого масштаба и любой сложности [].
Symantec Endpoint Protection
Symantec Endpoint Protection – это единый агент, включающий в себя Symantec Antivirus и усовершенствованное средство предотвращения угроз, обеспечивая непревзойденную защиту переносных и настольных компьютеров, а также серверов от вредоносных программ. Кроме того, обеспечивается защита даже от наиболее сложных, неуловимых для традиционных средств безопасности атак, таких как руткит, эксплойт "нулевого дня" и изменяющиеся программы-шпионы.
Комплексная защита – интеграция лучших технологий для предотвращения угроз безопасности даже от самых удаленных новых и неизвестных злоумышленников до их проникновения в сеть.
Превентивная защита – в новом модуле превентивного поиска угроз Proactive Threat Scan используется уникальная технология Symantec для оценки правильных и неправильных действий неизвестных приложений, которая улучшает обнаружение и уменьшает число ошибочных идентификаций без необходимости создания конфигураций на основе правил.
Выявление угроз – механизмы защиты компании Symantec развивают передовую в отрасли сеть Global Intelligence Network для обеспечения беспрецедентной возможности просмотра всех Интернет-угроз. Благодаря такому выявлению создается защита, ведущая к действиям, и достигается уверенность в сдерживании меняющихся угроз.
Единый агент, единая консоль объединяет весь спектр технологий безопасности в единого агента и консоль централизованного управления с интуитивным пользовательским интерфейсом, а также средством создания графических отчетов с web-интерфейсом. Эти компоненты позволяют установить и усилить политики безопасности на предприятии, чтобы обеспечить защиту важных активов. С их помощью упрощается управление, понижается использование ресурсов системы, а при добавлении поддержки Symantec Network Access Control не требуются дополнительные агенты.
Простота развертывания – поскольку требуется только один агент и одна консоль управления, а работа осуществляется с существующими инвестициями организации в IT и безопасность, решение Symantec Endpoint Protection обеспечивает простоту реализации и развертывания. Для организаций, которым необходимо привлекать сторонних исполнителей для контроля безопасности и управления, компания Symantec предоставляет службу Managed Security Services, обеспечивающую защиту в режиме реального времени.
Простота установки, настройки и управления – решение Symantec Endpoint Protection упрощает включение/отключение и настройку необходимых технологий в соответствии с вашей средой.
Поддержка Symantec Network Access Control – каждая конечная точка получает поддержку Symantec Network Access Control, что устраняет необходимость развертывания дополнительного программного обеспечения агента конечных точек для контроля доступа к сети.
Повышение эффективности существующих технологий безопасности и IT-инвестиций – возможность работы с другими ведущими поставщиками антивирусного ПО, брандмауэров, технологий IPS и инфраструктур контроля доступа к сети. Кроме того, предоставляется возможность работы с ведущими средствами разработки программного обеспечения, средствами управления исправлениями и информацией о безопасности.[]
Symantec Endpoint Protection Client (32-bit)
Минимальные требования:
Windows 2000 SP3+, Windows XP, Windows Server 2003, Windows Vista (x86), Windows SBS 2003;
Pentium III 300 MHz;
256MB RAM;
500 MB disk (плюс дополнительных 440 МВ в течение установки).
Symantec Endpoint Protection Client (64-bit)
Минимальные требования:
Windows XP (x64) SP1+, Windows Server 2003 (x64), Windows Vista (x64);
1 GHz: Intel Xeon with Intel EM64T поддерживает, Intel Pentium IV with EM64T поддерживает, AMD 64-bit Opteron, AMD 64-bit Athlon;
256MB RAM;
500 MB disk (плюс 440 MB для установки).
Symantec AntiVirus for Linux Client
Linux поддержка:
Red Hat Enterprise Linux;
SuSE Linux Enterprise (server/desktop);
Novell Open Enterprise Server;
VMWare ESX.
Symantec Endpoint Protection Manager
Central Administration Server
Минимальные требования:
Windows 2000, Windows XP Professional SP2+, Windows Server 2003 Standard/Enterprise, Windows SBS 2003;
Microsoft Internet Information Services (IIS);
2GB RAM;
1GB свободного места на диске.
Dr.Web 4.44
Компания "Доктор Веб" выпустила новую версию антивируса Dr.Web для Windows – 4.44. новейшие разработки, технологии и идеи всего коллектива компании легли в основу новой версии.
Улучшенный SpiDer Guard
Претерпел изменения файловый монитор SpiDer Guard, в котором существенно усовершенствована работа и повышена устойчивость при большом количестве одновременных файловых операций.
Улучшен пользовательский графический интерфейс монитора (GUI).
Улучшена стабильность работы SpiDer Guard под нагрузкой и взаимодействие с различным программным обеспечением, работающим в фоновом режиме.
Усовершенствован алгоритм перехода в режим фонового сканирования.
Изменены параметры оптимального режима работы. Теперь в оптимальном режиме файлы попадают на проверку только в момент сохранения, а также проверяются файлы запускаемых процессов.
В новом файловом мониторе реализован механизм напоминаний об устаревших базах. Если базы не обновлялись в течение 7 суток и более, в области уведомлений панели задач над иконкой SpiDer Guard будет периодически появляться напоминание об этом. Если установлен модуль автоматического обновления, будет предложено провести их обновление.
Утилита обновления
В новой версии реализована возможность скачивания обновлений в виде заархивированных файлов. Также реализован механизм патчей. Теперь для обновления отдельных компонентов не требуется скачивания новой версии компонента целиком. Обновление производится при помощи специальных фрагментов файлов (patches). Благодаря этому пользователь получает большое преимущество и экономию Интернет-трафика, а антивирус Dr. Web становится еще менее заметным для пользователя.
Технологии
Dr. Web Shield – борьба с руткит-технологиями
В последнее время одним из основных направлений развития вредоносных программ стало применение в них всевозможных способов защиты от обнаружения антивирусными средствами – так называемые руткит-технологии. Без противодействия такого рода угрозам современные антивирусные программы становятся бесполезными и, зачастую дорогостоящими – в прямом и переносном смысле – компьютерными игрушками. Разработчики Dr. Web для Windows 4.44 для борьбы с руткитами включен новый компонент антивирусного сканера – Dr. Web Shield. Реализованный в виде драйвера, он обеспечивает доступ к вирусным объектам, скрывающимся в глубинах операционной системы.
Origins Tracing – несигнатурный поиск неизвестных вирусов
Разработчиками Dr. Web реализован уникальный алгоритм несигнатурного обнаружения вредоносных объектов, который дополняет традиционный сигнатурный поиск и эвристический анализатор Dr.Web, что еще больше повышает эффективность детектирования. Имена вредоносных объектов, обнаруженных с применением новой технологии, имеют в названии расширение "Origin". Новая технология дает возможность существенным образом повысить уровень детектирования ранее неизвестных вредоносных программ.
Сканер (GUI-версия и консольная версия для Windows), а также сторож SpIDer Guard работают на ПК под управлением ОС Windows 95/98/Me или Windows NT/2000/XP/2003, причем сторож SpIDer Guard работает только в 32-разрядных системах. Работа под управлением Windows 95 возможна только, начиная с версии Windows 95 OSR2 (v.4.00.950B).
Сканер для DOS работает под управлением MS-DOS или в режиме командной строки Windows.
Минимальные требования программ к конфигурации ПК совпадают с таковыми для соответствующих ОС. ПК должен полностью поддерживать систему команд процессора i80386 [].
McAfee VirusScan Professional 2006
Решение McAfee VirusScan Professional 2006 гарантирует качественно новый уровень защиты от вирусов, сочетая элементы системы предотвращения вторжений и технологий межсетевого экрана в рамках отдельного решения для компьютеров и файловых серверов. Эта комбинация позволить активно защищаться от самых современных типов угроз (включая атаки "buffer-overflow" и смешанные типы атак).
Полноценная защита от вирусов. Механизм антивирусного сканирования McAfee, обеспечивает защиту от любых типов вирусов и вредоносного кода.
Защита от атак "buffer-overflow" (функция системы IPS), направленных на 20 наиболее распространенных приложений и служб Microsoft Windows.
Эффективная борьба с вторжениями. Администраторы смогут реагировать на вторжения путем блокирования/отключения портов, мониторинга приложений, блокирования файла, каталога или общего ресурса.
Мощные механизмы сканирования памяти. Программа VirusScan Professional 2006 оснащена усовершенствованными механизмами сканирования памяти на наличие вирусов, червей и троянских приложений, которое выполняется по запросу или в автоматическом режиме.
Расширенные возможности сканирования электронной почты. VirusScan Professional 2006 допускает сканирование электронной почты, поступающей на компьютер через клиентские приложения Lotus Notes и Microsoft Outlook.
Версия McAfee VirusScan 2006 оснащена, помимо антивирусных средств, технологиями защиты от "шпионских" программ входящей и исходящей почты, сообщений IM-систем и загружаемых файлов. Ежедневные обновления антивирусных баз автоматически скачивает из Интернета, что обеспечивает стойкость системы к самым актуальным угрозам. McAfee VirusScan 2006 занимает на диске всего 6МБ – намного меньше, чем большинство антивирусных решений [].
BitDefender SBS Standard Security
Решение, объединяющее продукты: BitDefender Client Security, BitDefender Enterprise Manager, BitDefender Security for File Servers, BitDefender Security for Exchange, BitDefender Security for SharePoint в одно мощное средство для защиты серверов (файловых, Exchange и SharePoint) и рабочих станций от угроз проникновения вредоносного программного обеспечения, попыток краж конфиденциальной и ценной информации.
BitDefender Enterprise Manager позволяет полностью автоматизировать стандартные задачи (включая обновления и апдейты), в то время как администратор может заниматься установкой программ и выполнением различных действий из любого места в сети без угрозы для безопасности.
BitDefender Enterprise Manager создан в соответствии с насущными потребностями крупных корпораций и организаций. Данный продукт значительно снижает затраты на администрирование в комплексных сетях. Превосходная защита достигается при сохранении низкой себестоимости.
BitDefender Professional Plus Client объединяет антивирус, брандмауэр, антиспам и антишпион в одно всестороннее защитное решение для рабочих станций.
BitDefender Security for File Servers - это лучший способ защиты файловых серверов, используемых для хранения и обмена информацией в организациях любых размеров.Отличающийся простым в использовании интерфейсом, BitDefender Security for File Servers обладает функциями постоянного мониторинга, автоматического обновления антивирусных баз и унитарной конфигурацией защиты.
Антивирус BitDefender Security for Exchange обеспечивает антивирусную защиту и снабжён механизмом антиспам, глубоко интегрированным в сервер MS Exchange. Данный продукт представляет лучшие технологии для создания совершенной защиты Exchange.
В то время как Microsoft SharePoint Portal Server 2003 обеспечивает возможность совместной работы и делает её более легкой и эффективной для пользователей, Антивирус BitDefender Security for SharePoint обеспечивает антивирусную защиту для сервера SharePoint.
Антивирус BitDefender Security for SharePoint производит сканирование в режиме реального времени выгружаемых или загружаемых файлов в списках и библиотеках документов с превосходным уровнем обнаружения и лечения, а также с опцией занесения в карантин зараженных файлов.
Эвристика в виртуальном окружении
Эвристика в виртуальном окружении (HiVE) эмулирует виртуальную машину внутри машины, где части программного обеспечения, запускаются для их проверки на наличие поведения, свойственного вредоносным объектам. Данная технология BitDefender обеспечивает новый уровень безопасности, который оберегает операционную систему от неизвестных вирусов, обнаруживая части вредоносного кода, до выхода соответствующих обновлений баз сигнатур.
Ежечасные обновления
Ваша копия BitDefender будет обновляться 24 раза в день с помощью Интернета, напрямую или через прокси. Продукт может самовосстанавливаться при необходимости, скачивая поврежденные или недостающие файлы с серверов BitDefender. Владельцы лицензии BitDefender получают возможность бесплатно обновлять базы сигнатур и продукт в течение срока лицензии.
Поддержка 24/7
Клиенты получают поддержку квалифицированных специалистов и доступ к он-лайн базе часто задаваемых вопросов.
Системные требования для Enterprise Manager:
Microsoft Windows Network (TCP/IP);
Internet Explorer 5.0+.
For BitDefender Server:
Intel Pentium 200 MHz;
100MB дискового пространства;
RAM - 128MB (256MB рекомендуемая);
Windows NT 4.0 SP6/2000/ XP/2003.
For BitDefender Deployment Tool:
Windows NT 4.0 SP6/ 2000/ XP.
For BitDefender Management Console/Local Manager:
процессор Intel Pentium;
10MB дискового пространства;
RAM - 64MB;
Windows 98SE/NT4.0 SP6/Me/2000/XP/2003.
Системные требования для BitDefender Professional Plus Client:
Pentium MMX 200 MHz или выше;
40MB дискового пространства;
64MB оперативной памяти (128MB рекомендуемая);
Windows 98/NT-SP6/Me/2000/XP 32-bit, IE 5.5(+).
Системные требования для BitDefender Security for File Servers:
минимум Pentium II 300 MHz;
64 MB оперативной памяти (128 MB рекомендуемая);
20 MB свободного места на диске.
операционная система:
Windows NT 4.0 SP6 + MMC v1.2;
Windows 2000, Windows XP or Windows 2003 Server.
Системные требования для BitDefender Security for Exchange:
минимум 20 MB дискового пространства (50 MB рекомендуемая);
MS Exchange 5.5+SP3, 2000+SP1, 2003;
Internet Explorer 4.0.
Системные требования для BitDefender Security for SharePoint:
Microsoft SharePoint Portal Server 2003;
Microsoft Windows SharePoint Services.
Операционные системы:
Microsoft Windows Server 2003 Standard Edition;
Windows Server 2003 Enterprise;
Windows Server 2003 Datacenter.
Windows Server 2003 Web Edition; Internet Explorer 6.0 [].
Eset NOD32
NOD32 - это комплексное антивирусное решение для защиты в реальном времени от широкого круга угроз. Eset NOD32 обеспечивает надежную защиту от вирусов, а также от других угроз, включая троянские программы, черви, spyware, adware, phishing-атаки. В решении Eset NOD32 используется патентованная технология ThreatSense®. Эта технология предназначена для выявления новых возникающих угроз в реальном времени путем анализа выполняемых программ на наличие вредоносного кода, что позволяет предупреждать действия авторов вредоносных программ.
Проактивная защита в реальном времени
Лучшая безопасность - это безопасность, обеспеченная заранее. Защита от вредоносных программ должна производиться в реальном времени в момент атаки. В любой момент, пока вы ждете обновления вирусных сигнатур, в системе может открыться "окно уязвимости", что может привести к разрушительным последствиям. Технология ThreatSense® антивируса Eset NOD32 закрывает "окно уязвимости", в то время как другие антивирусные программы оставляют его открытым до получения вирусных сигнатур.
NOD32 анализирует выполняемые программы на наличие вредоносного кода в реальном времени, проактивно определяет и блокирует свыше 90% новых вредоносных программ, при этом в большинстве случае не требуя обновления вирусных сигнатур. Большинство других разработчиков антивирусного ПО выпускают обновления сигнатур спустя несколько часов после атаки на пользователей и предоставления образцов вредоносного кода.
Комплексная защита
Вирусы, черви, adware и spyware могут и должны обнаруживаться при помощи единого механизма. Такое тщательно спроектированное и интегрированное приложение, как Eset NOD32, может обнаруживать adware, spyware, вирусы, руткиты и другие виды злонамеренного воздействия. Использование отдельных приложений для каждого типа возможной угрозы может замедлить работу компьютера и затрудняет управление; при этом эффективность защиты находится под вопросом. Крупные комплексы интернет-безопасности потребляют сотни мегабайт памяти компьютера. Обычно такие программные комплексы появляются в результате объединения продуктов разных производителей в одном пакете. Напротив, Eset NOD32 был изначально спроектирован как единый высоко оптимизированный механизм для борьбы с вредоносными программами.
Защита от угроз с разных направлений обеспечивается следующими модулями:
Antivirus MONitor (AMON).
On-access (резидентный) сканер, который автоматически проверяет файлы перед осуществлением доступа к ним.
NOD32.
"On-demand" сканер, который можно запустить вручную для проверки отдельных файлов или сегментов диска. Этот модуль можно также запрограммировать на запуск в часы с наименьшей загрузкой.
Internet MONitor (IMON).
Резидентный сканер, работающий на уровне Winsock и препятствующий попаданию зараженных файлов на диски компьютера. Данный модуль проверяет Интернет-трафик (HTTP) и входящую почту, полученную по протоколу POP3.
E-mail MONitor (EMON).
Дополнительный модуль для проверки входящих/исходящих сообщений через интерфейс MAPI, например, в Microsoft Outlook и Microsoft Exchange.
Document MONitor (DMON).
Использует запатентованный интерфейс Microsoft API для проверки документов Microsoft Office (включая Internet Explorer).
Высокая производительность
Эффективное обнаружение вредоносных программ не обязательно должно замедлять работу компьютера. NOD32 по большей части написан на языке ассемблера и неоднократно выигрывал награды за высочайшую производительность среди антивирусных приложений. NOD32 в среднем в 2-5 раз быстрее, чем его конкуренты (источник Virus Bulletin). С переходом на NOD32 производительность вашей системы повысится.
Малое влияние на системные ресурсы
NOD32 экономит ресурсы жесткого диска и оперативной памяти, оставляя их для критических приложений. Установщик занимает всего 8,6 Мбайт, а приложению требуется менее 20 Мбайт оперативной памяти (это значение может варьироваться с изменением технологии обнаружения). Обновления технологии ThreatSense, включающие записи эвристической логики и вирусные сигнатуры, обычно имеют объем 20-50 Кбайт. Переход на NOD32 поможет сохранить ценные системные ресурсы.
Простота управления
Обновления программы и вирусной базы данных выполняются автоматически в фоновом режиме. Если NOD32 используется на личном или домашнем компьютере, можно просто включить функцию автоматического обновления и больше никогда об этом не вспоминать. Предприятия и организации с крупными распределенными сетями могут использовать мощный компонент удаленного администрирования (Remote Administrator), позволяющий разворачивать, устанавливать, наблюдать и контролировать тысячи рабочих станций и серверов NOD32.
NOD32 обеспечивает максимальную защиту при минимальном потреблении ресурсов и высочайшей скорости работы. В рамках NOD32 предлагаются различные уровни защиты для организаций, рабочих мест, файловых серверов или почтовых шлюзов [].
В заключение этого раздела не буду придумывать, что-то сам для сравнения антивирусных программ, и обратимся к независимым экспертам по тестированию антивирусных программ из лаборатории FomSoft.[86]
2.2 Брандмауэры
Неотъемлемым элементом защиты сети организации от вторжения злоумышленников является межсетевой экран (МЭ). Предложение на этом рынке представлено десятками компаний, готовых представить решения для любых сред: настольных систем, малого и среднего офиса, среднего и малого бизнеса, телекоммуникационных компаний и т.д. Поэтому, для принятия правильного решения о выборе МЭ необходимо понимание потребностей сетевой безопасности.
Использование МЭ может быть эффективно при решении следующих задач:
защита и изоляция приложений, сервисов и устройств во внутренней сети от нежелательного трафика, приходящего из Интернета (разделение сетей);
ограничение или запрет доступа к сервисам сети для определенных устройств или пользователей;
поддержка преобразования сетевых адресов, что позволяет использовать во внутренней сети частных IP-адресов либо автоматически присваиваемых публичных адресов.
Одна из главных тенденций на рынке МЭ – увеличение функционала и стремление к универсальности. Кроме непосредственного контроля трафика и разделения сетей, функционал современных решений включает в себя:
глубокий анализ пропускаемого трафика;
шифрование трафика;
организация удаленного доступа пользователей к ресурсам локальной сети;
аутентификация пользователей.
В настоящее время МЭ все чаще предлагаются не в виде отдельных решений, а как компоненты более сложных систем.
На сегодняшний день на рынке представлено значительное количество МЭ различной функциональности. Мы с вами рассмотрим наиболее популярные межсетевые экраны.
Agnitum Outpost Firewall Pro 2008
Санкт-Петербург, 23 октября 2007 года — Эксперты в сетевой безопасности из компании Agnitum объявили о выпуске Outpost Firewall Pro 2008 – продукта из серии решений Outpost 2008, новой линейки программ для безопасной работы в Интернете.
Продукты линейки Outpost Pro версии 2008 являются полностью новыми разработками Agnitum. Vista-совместимое поколение программ Outpost 2008 появилось в итоге двух лет работы компании, вобрав в себя весь 9-летний опыт разработки приложений для защиты пользователей ПК в Интернете.
Outpost Firewall Pro 2008 сочетает в себе:
Передовой брандмауэр для безопасных соединений с сетью.
Антишпион для круговой защиты от шпионского ПО.
Локальную безопасность для блокировки неизвестных угроз.
Веб-контроль для защиты компьютера от широкого спектра Интернет-угроз.
OFP 2008 имеет следующие новые функции и возможности:
Полная поддержка Vista на 32- и 64-битной платформах.
Поддержка протокола IPv6 (широко используемого в Vista).
Автоматически обновляемый "черный список" вредоносных и мошеннических сайтов.
Режим автообучения в течение первой недели работы.
Поддержка быстрого переключения учетных записей пользователей.
Соединение и управление через удаленный рабочий стол.
Модуль Веб-контроль (блокировка сайтов и фильтрация активного содержимого веб-страниц).
Усиленный Anti-leak (продвинутая техника защиты от утечки данных).
Локальная безопасность (защита от несанкционированной активности программ и попадания ПК в сети компьютеров-"зомби", а также блокирование известных руткитов).
Новый журнал событий в текстовом формате (быстрый и удобный при импортировании, обработке и отслеживании данных по истории активности системы).
Outpost Firewall Pro 2008 – профессиональный и вместе с тем легкий в использовании инструмент для поддержания Интернет-безопасности ПК с привлекательным и эргономичным интерфейсом в стиле Windows Vista.
Пользователям OFP 2008 предлагается наилучшая защита при максимуме комфорта. Теперь Outpost 2008 в любое время может быть переключен в режим автообучения, автоматически запоминая все легальные соединения и принимая решения без вопросов к пользователю. При этом локальная безопасность и веб-контроль определяют и блокируют по поведению неизвестные угрозы и вредоносные элементы веб-сайтов. В то же время механизм локальной безопасности и ранний старт антивирусного модуля Outpost 2008 предотвращают загрузку изощренного вредоносного ПО. Дополняет продукт модуль защиты от шпионских программ.
Гибко настраиваемый интерфейс Outpost 2008 предлагает также изобилие опций для настройки продвинутыми пользователями. Менее опытным пользователям предложены автоматические настройки, доступ к которым максимально облегчен.
Так или иначе, Outpost Firewall Pro 2008 гарантирует высокий уровень автоматизированной защиты для пользователей Vista и предыдущих версий Windows (XP, 2003 Server, 2000 Pro) – вне зависимости от их уровня технических познаний.
Дополнительные преимущества продуктов линейки Outpost 2008:
Надежная настраиваемая самозащита программы.
Автоматические обновления.
Режимы автообучения и автоприменения правил.
Простота и удобство использования.
Для уменьшения нагрузки программ семейства Outpost на системные ресурсы было принято большое число особых мер. Outpost Firewall Pro 2008 легко установится на ПК, частота центрального процессора которого начинается с 450 МГц (включая поддержку многоядерных процессоров), при объеме оперативной памяти от 256 Мб и наличии 40 Мб свободного пространства на диске. Outpost 2008 полностью совместим с 32- и 64-битными Windows Vista, XP, 2003 Server, а также с Windows 2000 Pro (SP3 и выше).[]
Trend Micro NeatSuite
Trend Micro NeatSuite представляет собой полностью интегрированный централизованно управляемый пакет программ, рассчитанный на обеспечение защиты доступа в корпоративную сеть. В состав NeatSuite входят антивирусные приложения для защиты шлюзов, серверов и настольных ПК, для централизованного управления которыми используется Trend Micro Control Manager. В результате получается мощная многоуровневая система защиты корпоративной сети от вирусов и вредоносного кода.
Всеобъемлющая защита
В соcтав пакета входят продукты Trend Micro InterScan, ScanMail, ServerPotect и OfficeScan, обеспечивающие полный охват корпоративной информации.
Обнаружение и удаление вирусов и иных вредоносных программ из электронных сообщений, вложенных файлов и общедоступных папок.
Централизованное управление
Централизованное управление интегрированным пакетом продуктов облегчает их обновление и мониторинг системы.
отчеты о состоянии дел в масштабах всего предприятия позволяют снизить вероятность возникновения эпидемий в будущем путем выявления уязвимых мест сети.
Поддержка Trend Micro Enterprise Protection Strategy
NeatSuite является ключевым компонентом стратегии защиты предприятий Trend Micro Enterprise Protection Strategy – не имеющего аналогов в отрасли подхода к защите от гибридных вирусов путем согласованного использования взаимодополняющих продуктов, служб и экспертной информации.
NeatSuite позволяет корпоративным пользователям максимально полно использовать все преимущества EPS для удержания под контролем временных и материальных затрат, связанных с эпидемиями вирусов.
Kaspersky Internet Security 7.0
Популярное решение для защиты ПК от всех видов вредоносного ПО дополнено средствами родительского контроля (настройка "белых" и "черных" списков и других фильтров web-сайтов для ограждения детей от нежелательного контента, а также ограничение времени работы в Интернете), предотвращение утечек конфиденциальной информации и улучшенным персональным сетевым экраном с системой IDS/IPS.
Защита от всех видов вредоносных программ.
Комплекс трех технологий защиты оберегает пользователя от вирусов, троянских программ и червей, от потенциально опасных шпионских и рекламных программ, а также от всех видов клавиатурных шпионов и последних модификаций руткитов.
Блокирование сетевых атак.
Персональный сетевой экран последнего поколения с предустановленными правилами для популярных приложений эффективно защищает от проникновения в систему и от утечки информации, жестко регулируя сетевую активность приложений и предотвращая сетевые атаки с помощью системы IDS/IPS.
Фильтрация спама.
Программа применяет целый ряд методов фильтрации спама:
проверка адресатов и фраз в тексте письма по "черным" и "белым" спискам;
анализ текста с помощью самообучающегося алгоритма;
анализ изображений.
Отмена вредоносных изменений в системе.
Kaspersky Internet Security 7.0 фиксирует все подозрительные действия в системе и после признания некоторого процесса опасным может не только удалить вредоносную программу, но и отменить все результаты ее деятельности – например, восстановить зашифрованные злоумышленниками данные [].
ZoneAlarm Pro
Программа ZoneAlarm (ZAP) отслеживает все попытки проникнуть в компьютер извне, а также все попытки программ, установленных на компьютере, передать какую-либо информацию через Интернет.
Имеется возможность разрешить или запретить той или иной программе доступ в сеть. При работе в сети, если какая-либо программа пытается установить соединение, пользователь немедленно получает информацию об этом. После этого необходимо подтвердить разрешение на доступ или заблокировать соединение.
Это одна из немногих программ, которая подходит и новичкам, и профессионалам среднего уровня, стремящимся защитить свою небольшую локальную сеть. Прежде всего, подкупает очень простой интерфейс, а все всплывающие оповещения о сетевой активности понятны даже неопытным пользователям. ZAP предлагает, по сути, всего два варианта — допустить соединение или отказаться от него (при этом есть возможность запомнить выбор на будущее). Каждая зарегистрированная программа при последующем доступе в сеть проходит авторизацию. Возможна индивидуальная настройка, например, с указанием разрешенных IP-адресов и портов.
Одна из весьма полезных функций программы — защита почты (E-mail Protection), предотвращающая запуск потенциально опасных скриптов, полученных по электронной почте, что (по крайней мере, теоретически) может защитить от новых неизвестных вирусов и зловредных скриптов.
В ZAP существуют контроль за cookies, возможность фильтрации http-трафика, блокировка вредоносных скриптов.
В принципе, данный брандмауэр имеет практически все вообразимые в идеале функции, а к недостаткам могут быть отнесены не более чем мелкие неудобства вроде отсутствия автоматического распознавания распространенных приложений и запрета доступа к нежелательным узлам, а также невозможности фильтрации активного контента в почтовом трафике.
В отличие от большинства брандмауэров, по умолчанию здесь практически ничего не разрешено.
Firewall виден в списке задач и не препятствует своему удалению — после удаления защита не отключается.
Персональный Firewall среднего класса, вполне соответствующий современным требованиям [].
Norton Internet Security 2008
Norton Internet Security 2008 – инновационный набор средств защиты от самых свежих сетевых угроз. Используя проактивные технологии безопасности, решение останавливает практически любые вирусы, "шпионы", "черви", руткиты и хакерские атаки еще до проникновения в систему.
Предотвращает кражу идентификационных данных сети – дополнительный уровень безопасности обеспечивает защиту при работе с Интернет-магазинами, банками и другими web-сайтами.
Выявляет и удаляет программы-шпионы – предоставляет расширенную защиту от новейших угроз.
Удаляет вирусы и Интернет-черви – быстрый фоновый осмотр обеспечивает комплексную автоматическую защиту.
Защищает от атак хакеров – обеспечивает защиту компьютера с помощью интеллектуального брандмауэра, который автоматически настраивает параметры защиты.
Незаметная работа в фоновом режиме.
Увеличена скорость запуска работы.
Технология CONAR и firewall на основе данной технологии.
Быстрая связь с технической поддержкой по средствам e-mail или встроенного чата.
Улучшенные средства мониторинга беспроводных сетей.
Norton Identify Safe позволяет сохранить конфиденциальные данные.
Обнаружение устранение программ-шпионов.
Автоматическое удаление вирусов и программ-шпионов.
Защищает e-mail и программы по обмену мгновенными сообщениями.
Защищает от хакеров.
Блокирует кражу персональных данных на фишинговых сайтах.
Предотвращает распространение зараженных писем.
Обнаруживает руткит и устраняет скрытые угрозы.
Включает в себя обновление антивирусных баз и программных модулей на весь сервисный период.
По согласии клиента позволяет автоматически продлевать подписку [].
Рассмотрев наиболее популярные брандмауэры, обратимся к экспертам из независимой лаборатории matousec.com.projects.[Error: Reference source not found].
На основе проведенного анализа антивирусных программ и брандмауэров для защиты информации в ЛВС КСХК, а также независимых экспертов из лабораторий FomSoft и Matousec, были определены следующие программные продукты:
Антивирусный комплекс Dr. Web 4.44.
Брандмауэр Agnitum Outpost Firewall Pro 2008.
Важным показателем качества работы антивирусного комплекса Dr.Web 4.44., является не только способность находить вирусы, но также лечить их, не просто удалять инфицированные файлы с компьютера вместе с важной для пользователя информацией, но возвращать их в первоначальное состояние. И если с детектированием вредоносных объектов справляется большинство антивирусных программ, то с лечением успешно справляются единицы. Dr.Web один из немногих антивирусов, который качественно лечит от вирусов, в результатах проверки реакции на надежность антивирусных программ это наглядно видно.
Agnitum Outpost Firewall Pro 2008 сочетает в себе:
Передовой брандмауэр для безопасных соединений с сетью.
Антишпион для круговой защиты от шпионского ПО.
Локальную безопасность для блокировки неизвестных угроз.
Веб-контроль для защиты компьютера от широкого спектра Интернет-угроз.
Agnitum Outpost Firewall Pro 2008 функции и возможности:
Полная поддержка Vista на 32- и 64-битной платформах.
Поддержка протокола IPv6 (широко используемого в Vista).
Автоматически обновляемый "черный список" вредоносных и мошеннических сайтов.
Режим автообучения в течение первой недели работы.
Поддержка быстрого переключения учетных записей пользователей.
Соединение и управление через удаленный рабочий стол.
Модуль Веб-контроль (блокировка сайтов и фильтрация активного содержимого веб-страниц).
Усиленный Anti-leak (продвинутая техника защиты от утечки данных).
Локальная безопасность (защита от несанкционированной активности программ и попадания ПК в сети компьютеров-"зомби", а также блокирование известных руткитов).
Agnitum Outpost Firewall Pro 2008 гарантирует высокий уровень автоматизированной защиты для пользователей Vista и предыдущих версий Windows (XP, 2003 Server, 2000 Pro) – вне зависимости от их уровня технических познаний. Agnitum Outpost Firewall Pro 2008 по результатам тестирования брандмауэров в лаборатории Matousec показал наилучшие результаты даже при настройках по умолчанию.
Глава 3. Разработка рекомендаций по составу программного комплекса для защиты информации в ЛВС Кунгурского сельскохозяйственного колледжа
Прежде, чем рекомендовать состав программного комплекса по защите информации в ЛВС КСХК. Необходимо реализовать политику безопасности ЛВС.
Под политикой безопасности понимают "формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации". Попытаюсь несколько расширить определение. Начну с того, что эта задача не имеет простого и универсального решения, так как относится к комплексным. Она должна решаться каждый раз индивидуально, применительно к конкретной ЛВС. Тем не менее, как и любая проблема, она имеет ряд общих черт. Так, реализацию политики безопасности можно подразделить на два больших направления:
административные меры;
использование программного обеспечения.
3.1 Административные меры
Защита информации подразумевает использование трех основных критериев: достоверности, конфиденциальности и доступности.
Достоверность означает, что защищаемые данные не претерпели изменений (в результате передачи или умышленного модифицирования) с момента создания до момента их просмотра. Достигается, главным образом, при помощи электронной подписи.
Конфиденциальность – невозможность прочитать данные посторонними, даже если и произошла утечка информации (применение криптозащиты).
Доступность (актуальность) – это возможность получить необходимую информацию в любой необходимый момент со всеми изменениями на этот момент.
Как показывает исторический опыт, основная угроза по преодолению системы защиты заключается в человеческом факторе, т.е. возможности получения информации от человека, имеющего доступ к секретной информации, или несоблюдении установленных правил безопасности. При построении системы защиты (СЗ) необходимо, в первую очередь, учесть возможность утечки защищаемой информации или средств к ее доступу со стороны персонала, имеющего доступ к этой информации. Первое решается путем тщательной подборкой кадров, второе – созданием такой системы защиты, при которой один человек не может получить неограниченный доступ к информации, подлежащей сокрытию, или к значительной ее части (вплоть до введения нескольких должностей администраторов с разными правами).
Значение четких правил зачастую недооценивают. Вместе с тем, они являются самым дешевым (почти ничего не надо приобретать) способом защитить свою сеть. Кроме того, без них использование программных средств защиты просто будет бессмысленным, а также не стоит забывать:
стоимость защиты не должна превышать стоимости защищаемой информации, иначе это будет просто выброс денег;
стоимость преодоления установленной защиты должна превышать стоимость защищаемой информации. В противном случае такая защита не спасет, или затраты времени будут столь велики, что при успешном преодолении СЗ, полученная информация потеряет свою ценность.
3.1.2 Разработка программного комплекса
На основе проведенного анализа угроз безопасности в ЛВС колледжа, и анализа существующих программных продуктов для защиты информации в ЛВС Кунгурского сельскохозяйственного колледжа была разработана схема и состав программного комплекса, для защиты информации в ЛВС Кунгурского сельскохозяйственного колледжа.
Схема программного комплекса предоставлена на рисунке № 4
Рис. 4 Схема программного комплекса
3.1.3 Состав программного комплекса
В состав вошли программные продукты: Dr. Web 4.44. и Agnitum Outpost Firewall Pro 2008.
Dr.Web 4.44
Новейшие разработки, технологии и идеи всего коллектива компании легли в основу новой версии.
Улучшенный SpiDer Guard
Претерпел изменения файловый монитор SpiDer Guard, в котором существенно усовершенствована работа и повышена устойчивость при большом количестве одновременных файловых операций.
Улучшен пользовательский графический интерфейс монитора (GUI).
Настройки SpIDer Guard
Для того чтобы изменить настройки программы:
Выберите в контекстном меню значка сторожа пункт Настройки
Откроется окно настроек, содержащее несколько вкладок.
Внесите необходимые изменения.
По окончании редактирования настроек нажмите на кнопку ОК для сохранения внесенных изменений или на кнопку Отмена для отказа от них.
На вкладке "Проверка" задается режим проверки файлов и процессов защищаемого компьютера.
В группе флажков Режим проверки "на лету" задается действие с объектом, при котором производится его проверка "на лету".
По умолчанию выбран режим Оптимальный. В этом режиме файлы и загрузочные сектора жестких дисков компьютера проверяются только при попытке создания файла или записи в существующий файл (загрузочный сектор), а файлы и загрузочные сектора сменных устройств - также при открытии на чтение или запуск программы. Этот режим рекомендуется использовать после тщательной проверки всех жестких дисков при помощи Dr.Web Сканер для Windows. При этом будет исключено проникновение на компьютер новых вирусов через сменные устройства, а повторной проверки заведомо "чистых" объектов не происходит.
При выборе режима Другие становятся доступными флажки Запуск и открытие (предписывает проверять все файлы и загрузочные сектора при открытии на чтение или запуск программы) и Создание и запись (проверять при попытке создания файлов или записи в существующие). С помощью этих флажков вы можете самостоятельно установить уровень защиты компьютера. Установка обоих флажков обеспечивает максимальный уровень защиты, но значительно увеличивает нагрузку на компьютер.
По умолчанию версия сторожа SpIDer Guard XP работает в режиме расширенной защиты. В этом режиме сторож проверяет все файлы, проверка которых предусмотрена настройками программы, немедленно, а остальные открывающиеся файлы помещает в очередь отложенной проверки (файлы, открывающиеся на чтение при режимах Оптимальный и Создание и запись). При наличии свободных ресурсов ПК эти файлы также будут проверены сторожем.
Вы можете отключить данный режим, установив флажок Запретить режим расширенной защиты.
Внесите необходимые изменения.
По окончании редактирования настроек нажмите на кнопку ОК для сохранения внесенных изменений или на кнопку Отмена для отказа от них.
Вкладка Типы файлов
На этой вкладке задается дополнительное ограничение на состав файлов, которые должны проверяться в соответствии с условиями, заданными на вкладке Проверка.
По умолчанию выбран вариант отбора проверяемых файлов По формату. В этом случае проверяются только такие файлы, которые по своей внутренней структуре могут быть "носителями" вирусов (например, исполняемые файлы, документы MS Office и т.п.), а также файлы, расширения которых входят в список по умолчанию при выборе варианта Выбранные типы (см. ниже). Данный вариант обеспечивает надежную защиту и экономное использование ресурсов.
Вариант Все файлы обеспечивает максимальную защиту, но значительно увеличивает расход системных ресурсов и вероятность ложного срабатывания эвристического анализатора. См. вкладку Проверка.
Варианты Выбранные типы и Заданные маски предписывают проверять только файлы, расширения или имена которых соответственно входят в список, задаваемый в правой части вкладки. По умолчанию список включает расширения основных типов файлов, могущих быть носителями вирусов, и основных типов файловых архивов. Вы можете отредактировать этот список.
На этой вкладке задается также режим проверки файловых архивов и почтовых файлов. Файловые архивы по умолчанию не проверяются (если какой-либо файл в архиве инфицирован, вирус будет обнаружен сторожем при извлечении файла из архива до появления возможности заражения ПК). Включение этой проверки значительно увеличит нагрузку на компьютер.
Почтовые ящики по умолчанию не проверяются (если какой-либо файл в почтовом вложении инфицирован, вирус будет обнаружен сторожем при извлечении файла до появления возможности заражения ПК). Включение этой проверки может исключительно сильно увеличить нагрузку на процессор. Для предотвращения проникновения вирусов с сообщениями электронной почты используйте почтовый сторож SpIDer Mail.
Вкладка Действия
На этой вкладке задается реакция программы на обнаружение зараженных или подозрительных файлов, вредоносных программ, а также инфицированных архивов.
Реакция задается отдельно для объектов, зараженных известным и (предположительно) излечимым вирусом, для предположительно зараженных (подозрительных), а также для отдельных видов вредоносных программ и отдельных типов архивов.
Все виды объектов представлены в иерархическом списке в левой части окна. При выборе объекта из списка в правой части окна отображается реакция программы по умолчанию на его обнаружение. Указывается действие, предписанное текущими настройками, и действие, которое будет предпринято в случае неудачности первой реакции.
При обнаружении зараженного или подозрительного объекта сторож в пакете Dr.Web для рабочих станций по умолчанию лишь информирует пользователя. При этом сведения об обнаруженных инфекциях выводятся в окно Запрос пользователю, в котором вы можете в дальнейшем предписать программе необходимые действия вручную.
Dr.Web для серверов Windows в случае обнаружения известного вируса или при подозрении на зараженность объекта вирусом по умолчанию предпринимает автоматические действия по предотвращению вирусной угрозы.
При обнаружении объектов, содержащих программы-шутки, потенциально-опасные программы и программы взлома, по умолчанию предусмотрено игнорирование.
При обнаружении объектов, содержащих рекламные программы и программы дозвона, для сторожа в пакете Dr.Web для серверов Windows по умолчанию предусмотрено перемещение, для сторожа в пакете Dr.Web для рабочих станций – информирование пользователя.
Вы можете изменить реакции программы на обнаружение каждого типа объектов в отдельности.
Чтобы изменить настройки первого действия, укажите в раскрывающемся списке Первое действие первичную реакцию программы. Нажмите на кнопку Изменить, чтобы предписать программе в дальнейшем использовать выбранную вами реакцию.
В зависимости от выбранного типа объекта в списке могут быть доступны следующие действия:
Вылечить (доступно только при настройке реакции Для зараженных объектов) предписывает сторожу пытаться излечить объект, зараженный известным вирусом.
Переместить в карантин предписывает переместить объект в каталог карантина, задаваемый в поле
Папка для карантина (по умолчанию подкаталог infected.!!! в каталоге установки программы).
Переименовать предписывает переименовать расширение имени зараженного или подозрительного объекта в соответствии с маской, задаваемой в поле Маска переименования (по умолчанию #??, т. е. заменить первый символ расширения на #).
Удалить предписывает удалить зараженный или подозрительный объект (для загрузочных секторов никаких действий производиться не будет).
По умолчанию программа не проверяет и не позволяет удалять файловые архивы. Если проверка файловых архивов включена (включение этой проверки значительно увеличит нагрузку на компьютер), вы можете разрешить выбор действия Удалить для архива. Для этого откройте в текстовом редакторе конфигурационный файл программы (файл drweb32.ini в каталоге установки программы), в секции [SpIDerGuardNT] добавьте строку EnableDeleteArchiveAction=Yes (или, если такая строка есть, исправьте значение No на Yes) и сохраните файл.
Для файлов внутри архивов никакие действия невозможны. При выборе действия Удалить архив будет удален целиком.
Информировать – предписывает информировать пользователя об обнаружении объекта (в окне Запрос пользователю).
Запретить доступ – предписывает запретить доступ к файлу, проверка которого вызвала реакцию сторожа. Блокировка доступа к файлу снимается только после перезагрузки компьютера.
Игнорировать – не предпринимать каких-либо действий при обнаружении подозрительного объекта.
Останов системы – предписывает немедленно завершить работу Windows при обнаружении объекта (в ряде случаев из-за действия вируса корректное завершение будет невозможно). В дальнейшем рекомендуется удалить вирус при помощи Dr.Web для DOS, запущенного с защищенного диска.
В области Что делать, если действие не удалось настройки задаются отдельно для следующих возможных вариантов первого действия: лечение, перемещение в карантин, переименование, удаление. В каждом из соответствующих раскрывающихся списков вы можете выбрать действие, которое будет предпринято при неудаче соответствующего первого действия.
Запрос пользователю в случае обнаружения инфекции
Данное окно открывается при обнаружении сторожем зараженного или подозрительного объекта, если в настройках реакции программы задано информирование.
Состав доступных кнопок зависит от типа обнаруженной инфекции и типа зараженного объекта (для архивов, почтовых файлов и файловых контейнеров часть реакций недоступна).
Кнопка Лечить (доступна только при обнаружении предположительно излечимого вируса, недоступна для архивов любого типа) предписывает сторожу пытаться излечить объект, зараженный известным вирусом. Если вирус неизлечим или попытка лечения не была успешной, окно откроется снова в виде, предусмотренном для обнаружения неизлечимых вирусов.
Кнопка Удалить предписывает удалить зараженный или подозрительный файл (для загрузочных секторов никаких действий производиться не будет). При настройках по умолчанию недоступна для архивов любого типа.
Кнопка Переименовать предписывает переименовать расширение имени зараженного или подозрительного файла в соответствии с настройками по умолчанию.
Кнопка Переместить предписывает переместить зараженный или подозрительный файл в каталог карантина, заданный по умолчанию.
Кнопка Запретить предписывает запретить доступ к файлу, проверка которого вызвала реакцию сторожа. Блокировка доступа к файлу снимается только после перезагрузки компьютера.
Кнопка Выключить предписывает немедленно завершить работу Windows при обнаружении объекта (в ряде случаев из-за действия вируса корректное завершение будет невозможно). В дальнейшем рекомендуется удалить вирус при помощи Dr.Web для DOS, запущенного с защищенного диска.
Кнопка Игнорировать предписывает не предпринимать каких-либо действий при обнаружении подозрительного объекта.
Вкладка Отчёт
На этой вкладке задается режим ведения файла отчета.
По умолчанию установлен флажок Вести файл отчета.
Вы можете настроить наименование и расположение файла отчета, кодировку текста, режим открытия (добавлять ли записи в конец файла отчета или перезаписывать его в начале каждого сеанса), а также степень детальности отчета. Также можно указать, следует ли ограничивать максимальный размер отчета и настроить этот размер.
Настоятельно рекомендуется вести файл отчета и периодически анализировать его.
Вкладка Исключения
На этой вкладке задается список каталогов и файлов, исключаемых из проверки.
В поле Список исключаемых путей и файлов можно задать список каталогов и файлов, которые не будут проверяться. В таком качестве могут выступать каталоги карантина антивируса, рабочие каталоги некоторых программ, временные файлы (файлы подкачки) и т. п.
Для того чтобы добавить файл, каталог или маску в список, введите его в поле ввода и нажмите на кнопку Добавить. Если вводится имя существующего файла или каталога, можно воспользоваться кнопкой и выбрать объект в стандартном окне открытия файла.
Чтобы использовать при указании имени каталога или файла специальные символы ? и *, установите флажок Разрешить использование масок.
Чтобы разрешить добавление в список файлов без указания пути, установите флажок Разрешить исключение файлов без указания пути.
Для того чтобы удалить файл или каталог из списка, выберите его в списке и нажмите на кнопку Удалить.
Вкладка Статистика
На этой вкладке отображаются результаты работы сторожа в течение текущего сеанса.
Параметры вкладки статистика
Вкладка Управление
На этой вкладке элемента Панели управления SpIDer Guard задается режим загрузки сторожа, а также производится или отменяется регистрация программы как службы.
Переключатель Режим загрузки позволяет выбрать способ запуска программы.
Если выбран вариант Автоматический режим, сторож запускается автоматически при каждой загрузке Windows.
Если выбран Ручной режим, для запуска сторожа нажмите на кнопку Загрузить. Запущенный таким образом сторож можно остановить, нажав на кнопку Выгрузить.
Для того чтобы зарегистрировать сторож как службу Windows, нажмите на кнопку Установить, для того чтобы отменить такую регистрацию – на кнопку Удалить.
Вкладка Параметры
На этой вкладке элемента Панели управления SpIDer Guard задаются отдельные настройки сторожа.
Вкладка Уведомления
На этой вкладке элемента Панели управления SpIDer Guard задаются настройки уведомления о выявленных вирусных событиях – перечень событий, вызывающих направление уведомления, способ его отправки и перечни адресатов.
Перечень событий задается при помощи установления любой необходимой комбинации флажков в поле Когда посылать уведомления. Уведомления могут посылаться по E-mail или по сети (см. ниже), или появляться в виде всплывающего уведомления над значком SpIDer Guard в панели задач (если включен режим Acknowledge=Yes).
Установите флажок Уведомления по E-mail, если хотите посылать уведомления о выбранных событиях по электронной почте. Установите флажок Уведомления в сети, если хотите посылать уведомления о выбранных событиях в локальной сети (флажки могут устанавливаться независимо). После этого следует создать (отредактировать) списки адресатов уведомлений для выбранных способов.
Нажмите на кнопку Добавить E-Mail, чтобы добавить новый элемент в список получателей по электронной почте. Откроется окно ввода/редактирования адреса E-mail.
Окно ввода/редактирования адреса E-mail
В этом окне вводится адрес электронной почты, по которому будут направляться уведомления, а также почтовые настройки для данного адреса.
Нажмите на кнопку Добавить сообщение, чтобы добавить новый элемент в список адресатов сообщений в локальной сети. Откроется окно ввода/редактирования сетевого адреса компьютера.
В этом окне вводится адрес компьютера в сети Microsoft для включения компьютера в список, по которому будут направляться уведомления.
Введите в поле ввода сетевое имя компьютера, или нажмите на кнопку Просмотр, чтобы найти компьютер в каталоге Обозревателя сети.
Для того чтобы удалить элемент из какого-либо списка, выберите его в одном из списков и нажмите на кнопку Удалить.
Для того чтобы отредактировать элемент какого-либо списка, выберите его в одном из списков и нажмите на кнопку Изменить. Откроется окно ввода/редактирования адреса E-mail или окно ввода/редактирования сетевого адреса компьютера соответственно.
Вышеуказанное поможет преподавателям произвести необходимую настройку для эффективной работы антивирусной программы в локально-вычислительной сети колледжа.
Agnitum Outpost Firewall Pro 2008
Продукт из серии решений Outpost 2008, новой линейки программ для безопасной работы в Интернете. Outpost Firewall Pro 2008 сочетает в себе:
Передовой брандмауэр для безопасных соединений с сетью.
Антишпион для круговой защиты от шпионского ПО.
Локальную безопасность для блокировки неизвестных угроз.
Веб-контроль для защиты компьютера от широкого спектра Интернет-угроз.
Базовые настройки
Режимы работы
Outpost может применять разные уровни фильтрации – от полного блокирования Интернет-доступа для приложений до разрешения всей сетевой активности. Поэтому Outpost допускает 5 режимов работы, чтобы Вы могли установить нужный Вам уровень защиты данных:
Все удаленные соединения блокируются.
Блокировать — все удаленные соединения блокируются, кроме тех, которые Вы специально укажете.
Обучение — Вы разрешаете или запрещаете приложения во время их первого запуска.
Разрешать — все удаленные соединения разрешены за исключением специально указанных.
Отключить — все удаленные соединения разрешены.
По умолчанию Outpost работает в режиме Обучение. Значок Outpost на панели задач символизирует этот режим.
Чтобы изменить рабочий режим брандмауэра:
Щелкните правой кнопкой мыши значок Outpost (он может выглядеть так: , , , или )
Откроется контекстное меню. Перейдите к пункту Политики и выберите нужный рабочий режим.
Режим Обучение
Режим Обучение позволяет Вам решать, какие из приложений получат доступ в Интернет. Outpost спросит Вас об этом всякий раз, когда приложение впервые сделает запрос на соединение. Режим Обучение действует по умолчанию и рекомендуется большинству пользователей. Возможно, Вы захотите создать правило для какого-либо приложения. Если оно не создано, Outpost в режиме Обучение снова спросит, как поступить, когда приложение попытается получить или отправить данные. Создание правил не представляет никаких трудностей. Правила для приложений всегда можно изменить или удалить.
Ниже приведено окно режима Обучение:
В окне показано название приложения (например, Internet Explorer), вид соединения (входящее/исходящее), вид сервиса, который приложение пытается осуществить, и удаленный адрес для обмена данными.
Вам нужно выбрать один из вариантов фильтрации:
Разрешить этому приложению выполнять любые действия — для приложений, которым Вы полностью доверяете. Приложение будет добавлено в список "Доверенные". (См. меню Параметры, вкладка Приложения.)
Запретить этому приложению выполнять какие-либо действия — для этих приложений запрещен сетевой доступ. Приложение будет добавлено в список "Запрещенные". (См. меню Параметры, вкладка Приложения)
Создать правило на основе стандартного — Outpost Firewall позволяет создать правила на основе стандартных настроек для известных приложений или применить настройки, которые лучше подходят данному приложению (тот же Internet Explorer). Outpost предложит Вам оптимальный вариант фильтрации. Приложение будет добавлено в список "Пользовательский уровень" (См. меню Параметры, вкладка Приложения). Рекомендуется применить вариант, предложенный Outpost, однако опытные пользователи могут выбрать другие настройки в выпадающем меню или даже создать собственное правило, нажав кнопку Другие.
Дополнительные настройки
Защита Вашей системы
Outpost был создан для того, чтобы блокировать действия "троянцев".
Настройки Outpost для максимальной защиты:
Режим Обучение информирует пользователя о любой программе, пытающейся переслать данные с компьютера по сети.
Режим Запрещения эффективно прерывает соединение Вашего компьютера с Интернет, которое может быть легко восстановлено, когда Вы не работаете в сети.
Сделайте свой компьютер невидимым для хакеров. Выберите меню Параметры, затем вкладку Системные. Отметьте Режим невидимости в поле Режим работы.
Убедитесь, что уровень NetBIOS отключен (флажок снят), если только Ваш компьютер не работает в локальной сети и использует общие файлы. Если Вам нужен уровень NetBIOS, нажмите кнопку Параметры в поле Настройки локальной сети и поставьте в соответствующей ячейке флажок:
Чтобы внести удаленный компьютер или сеть в список разрешенных соединений NetBIOS, нажмите кнопку Добавить. Появится диалоговое окно:
Для добавления отдельного компьютера в список Вам нужно знать его IP-адрес. Введите имя домена, IP-адрес или диапазон IP-адресов в соответствующее поле. Каждая опция показывает пример адреса определенного формата, который нужно вводить.
Мы рекомендуем обратить на эту опцию отдельное внимание, так как разрешение неограниченного доступа на уровне NetBIOS соединений может привести к существенному снижению уровня безопасности системы.
В меню Параметры выберите Подключаемые модули, выделите фильтр Детектор атак. Нажмите кнопку Параметры и установите нужные настройки:
Примечание: Вы можете посмотреть Интернет-адрес, с которого производится атака на Ваш компьютер, в Журнале событий Outpost. Чтобы открыть журнал отдельного фильтра, выделите его на панели представлений, затем нажмите кнопку Показать Журнал на информационной панели.
Скрытые интерактивные элементы web-сайтов
Создатели web-сайтов применяют различные программные средства, чтобы сделать свои web-страницы более интересными и полезными. Это анимация, календари, специальные калькуляторы и вспомогательные меню. Подобные программы, внедренные в web-страницы, имеют, в основном, прикладное и эстетическое значение. Однако в руках некоторых хакеров эти программы могут оказывать пагубное действие. Поэтому Outpost позволяет пользователю блокировать каждый сомнительный компонент.
Вы можете сделать следующее:
Откройте главное окно Outpost двойным щелчком мыши на значке программы
Выберите модуль Интерактивные Элементы щелчком правой кнопки мыши, вызвав контекстное меню:
Нажмите Свойства. Откроется окно, в котором будут упорядочены активные элементы, встречающиеся в составе web-документов:
На рисунке показано окно с настройками, применяющимися ко всем просматриваемым Web сайтам. Если Вы хотите изменить эти настройки для отдельных сайтов, то щелкните Исключения, затем Добавить и введите адрес требуемого сайта.
После того, как Вы щелкните ОК, появится диалоговое окно с параметрами выбранного сайта.
Остерегайтесь почтовых вложений
Активные элементы могут быть внедрены как в web-страницы, так и в электронные письма. Блокируются они способом, описанным в предыдущей главе.
Другая угроза, которую могут представлять электронные письма – это безобидные на первый взгляд программы, которые приходят в виде почтовых вложений. Это очень распространенный способ проникновения в систему "червей" и "троянцев". Они действуют под прикрытием внешне полезных программ и способны вызвать сбой и/или предоставить хакеру прямой доступ к системе.
Чтобы защитить свой компьютер, укажите, как Outpost следует обращаться с разными типами вложений. Щелкните правой кнопкой мыши фильтр Фильтрация почтовых вложений и нажмите Параметры:
Появится следующее диалоговое окно:
Кнопка Создать позволяет добавлять в список типы файлов для фильтрации:
После добавления записи укажите, что Outpost следует делать с этим файлом, когда он появится в папке входящих писем в виде почтового вложения. Рекомендуется выбрать опцию Переименовать и, таким образом, нейтрализовать файл. Тогда Вы сможете спокойно сохранить его на жестком диске, проверить с помощью антивирусной программы и только после этого открыть.
Блокировка рекламы
Рекламодатели оплачивают расходы многих web-сайтов, благодаря чему они могут предоставлять информацию и программное обеспечение бесплатно. Однако рекламные объявления часто замедляют соединение, носят навязчивый характер, а иногда просто раздражают.
Чтобы Outpost блокировал специфические рекламные объявления на web-страницах, выберите правой кнопкой мыши фильтр Реклама на панели представлений. Выберите команду Параметры, вызвав следующее диалоговое окно:
Убедитесь, что опция Блокировать HTML-строки отмечена флажком.
Если Вы хотите добавить адрес в список блокировки, введите его имя в поле ввода и нажмите кнопку Добавить. Чтобы изменить адрес, нужно выбрать его в списке, и после внесения изменений нажать кнопку Изменить. Для удаления адреса воспользуйтесь кнопкой Удалить.
С помощью кнопки По умолчанию список блокировки можно вернуть в первоначальное состояние.
Чтобы блокировать рекламные объявления определенного размера, выберите вкладку Размеры изображений. Появится следующее диалоговое окно:
Это окно устроено так же, как и предыдущее.
Примечание: Блокировка изображений по размеру предполагает удаление всех изображений указанных размеров, имеющих ссылки (т.e. внутри <a> тегов), независимо от того, связаны ли они с другим сайтом или другой страницей того же сайта.
Баннеры могут быть заменены как текстовым сообщением [AD], так и прозрачным изображением. Для настройки этого параметра щелкните закладку Разное:
Примечание. Некоторые баннеры невозможно заменить прозрачным изображением, поэтому даже при выборе этой опции они будут по-прежнему заменяться текстом.
Обратите внимание, что Outpost Firewall блокирует рекламные баннеры согласно введенным параметрам. Некоторые нужные объявления могут быть блокированы, если Вы зададите слишком строгие условия фильтрации (например, введете слово "image" ("изображение") в перечень блокировки).
В случае если блокировка рекламы мешает Вам просматривать определенные сайты, Вы можете занести их в список Доверенных. Outpost не блокирует рекламные баннеры с Доверенных Сайтов. Чтобы добавить сайт в этот список просто щелкните Редактировать, в появившемся диалоге введите адрес сайта и нажмите Добавить. Outpost также может блокировать рекламные объявления, выполненные в виде интерактивных элементов (таких как анимированные Flash объекты). Выберите флажок Block … чтобы включить блокировку интерактивных рекламных объявлений и снизить, таким образом, нагрузку на систему и сетевой трафик.
Блокировка по содержимому
Outpost позволяет блокировать любой web-сайт или web-страницу, содержащие определенное слово или фразу.
Чтобы блокировать нежелательное содержимое, щелкните правой кнопкой мыши фильтр
Содержимое на панели представлений главного окна Outpost и выберите Параметры:
Вы увидите окно, содержащее параметры, аналогичные параметрам фильтра Реклама. Вы можете управлять списком сайтов внутри вкладки По адресу:
Действия в окне аналогичны тем, которые применимы к рекламным объявлениям. На вкладке Разное Вы можете задать сообщение, которое будет отображаться вместо страниц с нежелательным содержимым.
Щелкните Редактировать и задайте желаемый текст сообщения, после чего нажмите ОК для его сохранения.
Установка пароля
Если Вы опасаетесь, что кто-то может нарушить произведенные Вами настройки Outpost, Вы можете защитить их паролем. Внутри вкладки Общие (поле Защита паролем) выберите опцию Включить. Появится диалоговое окно:
Введите пароль и укажите должен ли он защищать только конфигурацию Outpost или также предотвращать запуск Журнала событий и/или остановку службы Outpost. Нажмите OK и подтвердите пароль в появившемся окне.
Данное краткое описание принципов работы и функций брандмауэра Agnitum Outpost Firewall Pro, кроме того, оно содержит базовую информацию о том, как настроить брандмауэр преподавателям, без помощи ИТ-специалиста
Заключение
В процессе выполнения работы проведен анализ существующих и возможных внутренних угроз безопасности информации в ЛВС Кунгурского сельскохозяйственного колледжа. Были выделены основные угрозы, такие как нарушение целостности информации, нарушение конфиденциальности информации, неавторизованный доступ, несанкционированный доступ. Наиболее эффективным путем для защиты информации в ЛВС будет применение программного комплекса, в состав которого войдут антивирусная программа и брандмауэр.
Во - второй главе был проанализирован Российский рынок программных средств антивирусной защиты, а также брандмауэров, в результате, которого выбраны наиболее востребованные и программные продукты компаний:
Антивирусный комплекс Dr.Web 4.44.
Брандмауэр Agnitum Outpost Firewall Pro 2008.
Данные программные продукты зарекомендовали себя на Российском рынке и за рубежом как наиболее лучшие. При проведенных тестах показали наилучшие показатели при разных видах угроз.
В последнее время на рынке антивирусной защиты стали появляться программные комплексы, в состав которых входит межсетевой экран и модули для защиты конфиденциальной информации. В результате чего трудно было ориентироваться в выборе каких-то конкретных программных продуктов, таких как межсетевые экраны, которые в свою очередь, также включают модули "Антивирус+Антишпион". Такое развитие данных программных продуктов для защиты информации в сети, явилась потребность рынка продуктов для малых и средних организации, что и послужило стимулом для развития универсальных программных средств защиты информации.
При разработке рекомендаций по выбору программного комплекса для защиты информации в ЛВС КСХК были определены основные направления реализации политики безопасности.
На основе проведенного анализа угроз безопасности и анализа существующих программных продуктов для защиты информации в ЛВС КСХК разработана схема и состав программного комплекса. Приведены настройки выбранных программных продуктов для защиты информации в ЛВС КСХК.
На основании проведенной работы можно сделать следующие выводы:
Защита информации является актуальной проблемой не только среди коммерческих организаций, но и для образовательных учреждений.
Защита информации в образовательном учреждении не должна подразумевать наличие ИТ-специалиста, а может быть организована преподавателями информатики.
Для защиты информации в ЛВС Кунгурского сельскохозяйственного колледжа, были выбраны программные продукты, антивирусная программа Dr. Web 4.44. и брандмауэр Agnitum Outpost Firewall Pro 2008, как наиболее подходящие программные продукты из имеющихся на рынке программных средств защиты.
Перечень используемых источников
Журнал IT-спец №10 /2007.
Каталог программного обеспечения Softline №11/2007.
http://www.antivirus.ru/VirAnalizC.html.
http://www.antivirus.ru/OknoA.html
http://www.agnitum.ru/news/2007-11-Outpost-Firewall-2008-champion-in-leak-tests.php
http://www.av-comparatives.org
http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
http://us.mcafee.com/
http://www.protect-me.com/ru/dl/
http://www.osp.ru/
http://www.infosecurity.ru/
http://www.ixbt.com/soft/zonealarm5.shtml
http://softkey.ru/catalog/program.php?
http://www.trendmicro.com/en/products/%20smb/src/overview.htm
Приложения
Приложение № 1
Лучший антивирус ноября 2007 года (http://www.antivirus.ru/VirAnalizC.htm).
Ниже представлены результаты проверки реакции различных антивирусов на вирусную инфекцию, с которыми реально столкнулась лаборатория FomSoft 8 октября 2007 года.
В таблице приведена реакция различных антивирусов, которые источниками которых были:
атаки вирусов при непосредственной работе в Интернет;
письма электронной почты;
жесткие диски и внешние носители клиентов, поступившие в лабораторию для восстановления данных;
Показатели надежности антивирусов в ноябре 2007 года, в условиях информационной среды лаборатории FomSoft.
В качестве критерия, "какой антивирус лучше", используется показатель качества антивирусов, он рассчитывается по формуле:
Pav = (Nvir - Nbad) / Nvir
Где:
Pav - вероятностная оценка качества антивируса, чем она ближе к единице, тем лучше антивирус.
Nvir - общее число зафиксированных вредоносных объектов на данном компьютере (организации).
Nbad - число вредоносных объектов, которые антивирус в момент атаки не выявил.
Для того чтобы определить, как реагирует тот или иной антивирус на конкретный вредоносный объект, использовался он-лайн сервис: VirusTotal (http://www.virustotal.com/).
http://www.antivirus.ru/VirAnalizC.html
2007-08-13 11:34
Реакция различных антивирусов на вирус Net-Worm.Win32.Mytob.c.
Вирус был обнаружен в прикреплённом файле к электронному письму. Файл имел наименование readme.exe с явным расчетом на любопытство пользователя, который пренебрегает элементарными правилами компьютерной гигиены. В последующие дни были получены испорченные архивные файлы, из которых можно было выделить файлы, аналогичные по содержанию файлу readme.exe. Подозрительные файлы были отправлены в службу технической поддержки компании Компания "Доктор Веб", откуда пришел неожиданный ответ:
Поэтому мы приносим свои извинения компании "Доктор Веб", за публикацию информации о том, что антивирус DrWeb не обнаружил этот "вирус". Мы вносим соответствующие изменения в таблицу, приведенную ниже, таблицу "Лучший антивирус августа 2007 года". В данном случае правы все антивирусы:
те, кто находят в нем вирус, потому что файл действительно был заражен вирусом и его тело видно не вооруженным глазом;
те, кто считает этот файл не вирусом, потому что это файл не представляет для пользователя никакой угрозы.
Неоднозначность подобной оценки будет отрицательна только в том случае, если подобный файл попадет в коллекцию для тестирования антивирусов, а таких файлов в некоторых "коллекциях" бывает достаточно. В этом случае антивирус, который имеет более продвинутый алгоритм анализа вредоносных объектов, по результатам "тестирования" будет иметь незаслуженно низкий результат!
Таблица 2. Реакция различных антивирусов на неработоспособный файл
Наименование антивирусов | Текущая версия антивируса | Актуальная дата вирусной базы | Реакции антивируса. |
DrWeb | 4.33 | 2007.08.13 | no virus found |
Kaspersky | 4.0.2.24 | 2007.08.13 | Net-Worm.Win32.Mytob.c |
McAfee | 5095 | 2007.08.10 !!! | W32/Mytob.gen@MM |
NOD32 | 2455 | 2007.08.13 | probably a variant of Win32/Mytob.D |
Symantec | 10 | 2007.08.13 | no virus found |
BitDefender | 7.2 | 2007.08.13 | no virus found |
Ниже предлагается методика оценки качества антивирусов, которая основана на вычислении вероятности антивируса, противостоять атакам вредоносных объектам, которые реально угрожали компьютерной системе. Численное значение такой оценки можно рассчитать по формуле:
Pav = (Nvir - Nbad) / Nvir
Где:
Pav - Вероятностная оценка качества антивируса, чем она ближе к единице, тем лучше антивирус.
Nvir - Общее число зафиксированных вредоносных объектов на данном компьютере (организации).
Nbad - Число вредоносных объектов, которые антивирус в момент атаки не выявил.
Таблица 3 содержит расчеты показателя надежности (последняя колонка) различных антивирусов. В качестве исходных данных были использованы результаты проверки реакции различных антивирусов на вредоносные объекты, с которыми реально столкнулся автор этой публикации в период с января 2006 по июль 2007. Общее число зафиксированных вредоносных объектов было 51. Расчетные показатели надежности различных антивирусов приведены в таблице 3.
Таблица 3. Показатели надежности антивирусов
К сожалению, в таблицу 3 не вписался один из известных в России антивирусов Symantec, более известный у нас как Norton Antivirus. Это связано с тем, что данный антивирус был включен в базу антивирусов сайта Virus Total с 30 января 2007, что не дало возможности включить его показатели в общую таблицу.
Однако, благодаря гибкости предлагаемой методики оценки, надежность антивируса Symantec удалось рассчитать по имеющимся данным последней проверки.
Таблица 4. Сравнение показателя надежности антивируса Symantec с другими антивирусами
Приложение № 2
http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
Эта страница содержит результаты тестов и сравнения особенностей самых популярных брандмауэров.
Мы проверили 6 брандмауэров из нашего списка против 26 тестов угроз.
С этой целью, мы также осуществили наши собственные угрозы. Наши тесты на угрозы называют, Fake Protection Revealer (FPR) и Runner. Позже, мы проверили больше продуктов и повторно проверили новые версии уже проверенных продуктов. Против этого арсенала ни один из проверенных продуктов не был в состоянии получить 100%-ый счет до 2-ого ноября 2007.
Каждый брандмауэр был проверен дважды против 26 тестов угроз – один раз, с параметрами настройка "из коробки", и с самыми высокими параметрами настроек безопасности. Каждому брандмауэру тогда предоставляли полный счет, полученный результат подводили после каждого теста. Чем выше счет, тем лучше брандмауэр прошел против диапазона тестов угроз. Для каждого теста брандмауэр проходил с параметрами настройка по умолчанию, это получило 125 пунктов. Для тех тестов, которые брандмауэр не прошел с параметрами настройка по умолчанию, но прошел с самыми высокими настройками безопасности, это получило 100 пунктов. Число тестов с параметрами настроек брандмауэра - 77. Таким образом, максимальный счет - 77 * от 125 до 9625 пунктов. Проверенные брандмауэры были установлены на Windows XP SP2, Internet Explorer 6.0 был установлен как браузер по умолчанию в течение всех тестов.
Рейтинг Брандмауэров
Таблица ниже проверенных брандмауэров с их окончательной оценкой. Эта таблица также показывает точную версию каждого проверенного продукта.
Продукт | баллы | Уровень защиты от угроз | |
Outpost Firewall Pro 2008 6.0.2162.205.402.266 | 9625 | отлично - 100% | |
ZoneAlarm Pro 7.0.408.000 | 8600 | очень хороший | |
Kaspersky Internet Security 7.0.0.125 | 8475 | очень хороший | |
Trend Micro PC-cillin Internet Security 2007 15.30.1151 | 7000 | хороший | |
Norton Internet Security 2008 15.0.0.60 | 3600 | удовлетворительно |
Интерпретация результатов
Явный победитель наших тестов Outpost Firewall Pro 2008 6.0.2162.205.402.266. Данный продукт достиг абсолютного множества даже на параметрах настройки по умолчанию. Поздравления! Другой важный результат наших тестов - брандмауэр, выигравший против FPR. FPR stands for Fake Protection Revealer. Kaspersky Internet Security 7.0.0.125.