Организация системы защиты корпоративных информационных систем от вредоносного программного обеспечения.

Требования к системе.

Система защиты корпоративной информационной сети от вредоносного программного обеспечения, в первую очередь должна строиться по модульным признакам и по иерархическому принципу.

Модульность системы проявляется в специализации программного обеспечения по месту применения. Можно выделить следующие типы модулей защитного ПО:

- модуль защиты рабочих станций и серверов приложений;

- модуль защиты файловых серверов;

- модуль защиты почтовых серверов;

- модуль защиты интернет-шлюзов;

- модуль обновления информационных баз защитного ПО;

- модуль контроля и управления работой системы защиты.

В общем случае, защита от вредоносного ПО в корпоративной информационной системе должна строиться по иерархическому принципу:

- службы общекорпоративного уровня – 1-й уровень иерархии;

- службы подразделений или филиалов – 2-й уровень иерархии;

- службы конечных пользователей – 3-й уровень иерархии.

Службы общекорпоративного уровня должны функционировать в непрерывном режиме. Службы подразделений и службы конечных пользователей должны функционировать по заданному расписанию. На всех уровнях должны быть предусмотрены средства централизованного администрирования.

Система защиты должна предоставлять следующие виды сервисов на общекорпоративном уровне:

- получение обновления программного обеспечения и информационных баз;

- управление первичной инсталляцией и обновлением защитного программного обеспечения и его настроек;

- управление обновлением информационных баз;

- контроль за работой системы в целом (получение предупреждений об обнаружении вредоносного ПО, регулярное получение комплексных отчетов о работе системы в целом).

На уровне подразделений:

- обновление информационных баз конечных пользователей;

- инсталляция и обновление программного обеспечения конечных пользователей, управление политиками локальных групп пользователей.

На уровне конечных пользователей:

- автоматическая защита данных пользователя.

Функционально система защиты должна отвечать следующим требованиям:

- возможность управления всей системой с одного рабочего места (например, с рабочей станции администратора);

- ведение журналов работы системы в единой удобной настраиваемой форме;

- в системе защиты должна быть возможность отправки оповещений о происходящих событиях;

- возможность регулировки уровня нагрузки на информационную систему системой защиты;

- «всеядность» системы защиты по отношению к вредоносному ПО, возможность обнаружения различных типов вирусов, троянов, spyware, и т.п., в том числе и спама, кроме этого, должны быть предусмотрены механизмы обнаружения неизвестных вирусов;

- система в целом должна обладать продолжать функционировать независимо от функционирования ее отдельных узлов, и должна обладать средствами восстановления после отказа;

- система защиты должна быть масштабируема, и формироваться с учетом роста числа защищенных объектов;

- система должна формироваться с учетом возможности пополнения и обновления ее функций и состава, без нарушения функционирования вычислительной среды в целом;

- система защиты должна быть совместима с максимально-возможным количеством сетевых ресурсов и сервисов, используемых в организации, она не должна нарушать логику работы остальных используемых приложений;

- система должна функционировать в режиме функционирования объекта (рабочая станция/сервер) на котором она установлена.

 

 

Общая структура решения.

Общая структура решения по защите корпоративной информационной системы от вредоносного ПО выглядит следующим образом:

На первом уровне защищают подключение к Интернет или в сеть поставщика услуг связи – это межсетевые экраны, proxy-сервера и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вредоносного ПО. Необходимо отметить что таким образом будет обнаружено не все поступающее в систему вредоносное ПО, так как определенная его часть может быть обнаружена только в процессе его активизации.

Применение антивирусов для межсетевых экранов и proxy-серверов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке проходящего трафика. Осуществляемая таким образом проверка сильно замедляет работу сервисов шлюза, и имеет не очень высокий уровень обнаружения, по этому, необходимость подобной фильтрации должна определяться отдельно в каждом случае.

На втором уровне, как правило, защищают файл-сервера, сервера баз данных и сервера систем коллективной работы, поскольку именно они содержат наиболее важную информацию. Антивирусное ПО не является заменой средствам резервного копирования информации, однако без него можно столкнуться с ситуацией, когда резервные копии заражены, а вредоносное ПО активизируется спустя некоторое время с момента заражения. Кроме того, совершенно не лишним будет произвести разделение корпоративной информационной сети на сегменты с различным уровнем доступа, используя средства межсетевого экранирования. Этим будет обеспечена дополнительная защита сети в случае активизации сетевых червей и троянов в одном из сегментов.

На третьем уровне обычно защищают рабочие станции, так как они тоже могут являться источниками распространения вредоносного ПО, кроме того, защита рабочей среды на рабочей станции от деструктивного воздействия вредоносного ПО позволит снизить затраты на восстановление работоспособности при сбоях системы.

Фактически, защите подлежат все компоненты информационной системы, связанные с обработкой информации, ее передачей и хранением.

 

 

Приложение