В силу специфики работы глобальных сетей программных анализаторов для них не существует. По своей природе глобальные сети двунаправлены. Это значит, что аппаратура передачи данных (data communications equipment, DCE) и оконечное оборудование (data terminal equipment, DTE) имеют один приемник и один передатчик. Кроме того, для приложений WAN часто необходим специализированный интерфейс, учитывающий множество скоростей и оконечных устройств. Для мониторинга трафика в обоих направлениях анализатор должен следить как за стороной передачи, так и за стороной приема. Для этого необходимо иметь два приемника.
При слежении за трафиком WAN-анализатор должен "понимать" различные типы инкапсуляций (вложений протоколов), применяемых в сети. Таких как PPP, frame relay, SDLC и т.д. При покупке WAN-анализатора необходимо рассматривать его совместимость с LAN-анализатором.
Распределенные анализаторы предназначены для проведения анализа в ключевых точках по всей сети. Идея состоит в том, чтобы разместить анализаторы в различных сегментах сети и управлять ими удаленно, из одного места.
Распределенные анализаторы могут быть как аппаратными, так и программными для локальных сетей, и только аппаратными для глобальных. Программные анализаторы часто размещают на компьютерах пользователей и в случае необходимости запускают их в фоновом режиме. В зависимости от потребностей количество "агентов" распределенного анализатора может составлять от двух до нескольких сотен. При выборе компьютеров для размещения "агентов" следует руководствоваться определенными соображениями. Некоторые пользователи устанавливают компьютеры, полностью посвященные работе приложений анализатора. Это гарантирует постоянный доступ и исключает возможность изменения конфигурации таким образом, что это остановит работу "агента". Кроме того, характеристики анализатора будут лучше, если на компьютере одновременно не будут запускаться конкурирующие приложения.
Блоки аппаратного анализатора размещают в различных местах по всей сети. Аппаратные анализаторы часто применяются как для обычного мониторинга сети, так и для анализа. Текущее состояние сети можно сравнивать с данными собранными ранее, что позволяет увидеть отклонения в степени загруженности сети и принять меры раньше, чем возникнут проблемы.
Если Вы собираетесь устанавливать распределенный анализатор в сети, то продумайте способ подключения и управления блоками. Помимо подключения через локальную сеть надо предусмотреть подключение по телефонной линии. Распределенный анализатор, к которому невозможно подключиться по причине выхода сети из строя, принесет мало пользы.
Распределенный аппаратный анализатор должен поддерживать метод сегментированной коммутации.
Многие пользователи выбирают комбинацию аппаратных и программных анализаторов в распределенной системе. Аппаратные анализаторы размещают в критически важных участках, таких как магистраль Ethernet или линия ATM, или frame relay глобальной сети. Они дополняются распределенными программными анализаторами, работающими на компьютерах, подключенных к менее критическим участкам Ethernet.
Часто программные анализаторы размещают на компьютерах пользователей в ключевых сегментах по всей сети, а аппаратные анализаторы устанавливают возле маршрутизаторов и коммутаторов в помещении для оборудования. Этот способ выгоден тем, что обеспечивает низкую стоимость анализа индивидуальных сегментов и, в то же время, помещает мощь аппаратных анализаторов в то место, где от них будет максимум пользы.
Антивирусные средства
Антивирусная программа (антивирус) — любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.
Классифицировать антивирусные продукты можно сразу по нескольким признакам, таким как: используемые технологии антивирусной защиты, функционал продуктов, целевые платформы.
По используемым технологиям антивирусной защиты:
- Классические антивирусные продукты (продукты, применяющие только сигнатурный метод детектирования);
- Продукты проактивной антивирусной защиты (продукты, применяющие только проактивные технологии антивирусной защиты);
- Комбинированные продукты (продукты, применяющие как классические, сигнатурные методы защиты, так и проактивные).
По функционалу продуктов:
- Антивирусные продукты (продукты, обеспечивающие только антивирусную защиту);
- Комбинированные продукты (продукты, обеспечивающие не только защиту от вредоносных программ, но и фильтрацию спама, шифрование и резервное копирование данных, и другие функции);
По целевым платформам:
- Антивирусные продукты для ОС семейства Windows;
- Антивирусные продукты для ОС семейства *NIX (к данному семейству относятся ОС BSD, Linux, Mac OS X и др.);
- Антивирусные продукты для мобильных платформ (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др.);
- Антивирусные продукты для корпоративных пользователей можно также классифицировать по объектам защиты:
¾ Антивирусные продукты для защиты рабочих станций;
¾ Антивирусные продукты для защиты файловых и терминальных серверов;
¾ Антивирусные продукты для защиты почтовых и Интернет-шлюзов;
¾ Антивирусные продукты для защиты серверов виртуализации;
¾ и др.
Далее будут упоминаться и рассматриваться только антивирусные средства для корпоративных пользователей. В качестве примера можно привести следующие продукты: Kaspersky Open Space Security, Dr.Web Enterprise Security Suite, ESET NOD32 Smart Security Business Edition (или ESET NOD32 Business Edition), Symantec Endpoint Protection.
Межсетевые экраны
Межсетевой экран (МЭ) представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.
Показатели защищенности применяются к МЭ для определения уровня защищенности, который они обеспечивают при межсетевом взаимодействии. Конкретные перечни показателей определяют классы защищенности МЭ.
Деление МЭ на соответствующие классы по уровням контроля межсетевых информационных потоков с точки зрения защиты информации необходимо в целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии сетей ЭВМ, АС. Дифференциация подхода к выбору функций защиты в МЭ определяется АС, для защиты которой применяется данный экран.
Устанавливается пять классов защищенности МЭ. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.
При включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться.
Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса.
Для АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов:
- при обработке информации с грифом “секретно” - не ниже 3 класса;
- при обработке информации с грифом “совершенно секретно” - не ниже 2 класса;
- при обработке информации с грифом “особой важности” - не ниже 1 класса.
Требования к показателям защищенности представлены в таблице 5.1.5.1.
Таблица 5.1.5.1 – Требования к показателям защищенности МЭ
Показатели защищенности
