Модернизация системы информационной безопасности БТИ

Необходимость квалифицированных действий по отражению вирусной атаки.

Неквалифицированные действия по отражению вирусной атаки могут  приводить к усугублению последствий заражения, частичной или полной утрате критичной информации, неполной ликвидации вирусного заражения или даже расширению очага заражения.

Необходимость планирования мероприятий по выявлению последствий вирусной атаки и восстановлению пораженной информационной системы.

В случае непосредственного  воздействия вируса на автоматизированную банковскую систему, либо при проведении неквалифицированных лечебных мероприятий может быть утрачена информация или искажено программное обеспечение.

В условиях действия указанных  факторов только принятие жестких комплексных мер безопасности по всем возможным видам угроз позволит контролировать постоянно растущие риски полной или частичной остановки бизнес процессов в результате  вирусных заражений/37/.

Решения ESET NOD32 прошли сертификацию и получили сертификат Федеральной службы по техническому и экспортному контролю (ФСТЭК России) класса «К1». Данный сертификат подтверждает, что программные продукты ESET соответствуют требованиям, предъявляемым к информационным системам защиты персональных данных первого класса, и могут использоваться на предприятиях, обрабатывающих персональные данные высшей категории конфиденциальности.

В ФГУП используется антивирусная программа ESET NOD32 Platinum Pack 4.0.

Согласно федеральному закону ФЗ № 152 «О персональных данных», к 1 января 2011 года все организации, обрабатывающие персональные данные физических лиц, обязаны привести свои информационные системы в соответствие с требованиями регулирующих органов и обязаны использовать средства информационной безопасности, которые прошли сертификацию ФСТЭК, в том числе, средства антивирусной защиты.

В случае нарушения закона деятельность организаций может  быть приостановлена, а ее должностным лицам грозит административная, дисциплинарная или уголовная ответственность.

Комплект ESET NOD32 Platinum Pack 4.0 – это специальный медиапак с дистрибутивами программных продуктов ESET, которые прошли сертификацию ФСТЭК по высшему классу «К1» (сертификат соответствия ФСТЭК России № 1914 от 22 сентября 2009 года).

Сертификат ФСТЭК выдан  на комплект программ под названием ESET NOD32 Platinum Pack 4.0, который включает в себя решения:

• защита рабочих станций и серверов Windows:
• ESET NOD32 Антивирус версия 4 (32- и 64-bit);
• ESET NOD32 Smart Security версия 4 (32- и 64-bit);
• удаленное администрирование:
• ESET Remote Administrator;
• защита файловых серверов Linux, BSD:
• ESET NOD32 for Linux File Server;
• ESET NOD32 for BSD File Server.

Комплексная защита серверов и рабочих станций для  всех типов организаций, включающая в себя антивирус, антишпион, антиспам, персональный файервол, а также приложение ESET Remote Administrator, которое обеспечивает централизованное администрирование антивирусного решения в корпоративных сетевых средах предприятия или глобальных сетях/36/.

Масштабируемое  решение: ориентировано на предприятия  от 5 до 100 000 ПК в рамках одной структуры, устанавливается как на сервер, так и на рабочие станции

Современные технологии:

• проактивная защита от неизвестных угроз;
• применение интеллектуальных технологий, сочетающих эвристический и сигнатурный методы детектирования;
• обновляемое эвристическое ядро ThreatSenseтм;
• регулярное автоматическое обновление сигнатурных баз.

Фильтрация  почтового и веб-контента, антиспам:

• полное сканирование всей входящей корреспонденции через протокол POP3 и POP3s;
• сканирование входящей и исходящей электронной почты, подробный отчет по обнаруженным вредоносным программам и спам-фильтрации;
• антиспам надежно защищает пользователя от нежелательных сообщений;
• полная интеграция в популярные почтовые клиенты: Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail и Mozilla Thunderbird, The Bat!.

 Персональный  файервол:

• защита от внешних вторжений;
• низкоуровневое сканирование трафика обеспечивает высокий уровень защиты от сетевых атак;
• пять режимов работы:
• автоматический режим;
• автоматический режим с исключениями;
• интерактивный режим;
• режим на основе политик.

Централизованное  управление

С помощью решения ESET Remote Administrator можно удаленно осуществлять инсталляцию и деинсталляцию программных продуктов ESET, контролировать работу антивирусного ПО, создавать внутри сети серверы для локального обновления продуктов ESET («зеркала»), позволяющие существенно сокращать внешний интернет-трафик.

Удобные отчеты

ESET NOD32 Business Edition автоматически формирует отчет  по обна­руженным инфицированным объектам, отправленным в карантин, по динамике угроз, событиям, проверкам, задачам, можно сформировать различные комбинированные отчеты и т.д. Возможна отправка предупреждений и сообщений через протокол SMTP или посредством менеджера сообщений.

Системные требования

Поддержка файловых серверов: Windows, Novell Netware и Linux/FreeBSD.

Поддерживаемые  процессоры: 32-разрядный (x86) и 64-разрядный (x64) Intel®, AMD® .

Операционные  системы:

• Microsoft Windows 7/Vista/XP/ 2000 (32-bit e 64-bit версии);
• Microsoft Windows Server 2000 / 2003 / 2008 (32-bit и 64-bit версии);
• Linux (RedHat, Mandrake, SuSE, Debian и др., FreeBSD 4.X, 5.X и 6.Х, NetBSD 4);
• Novell Netware 4.x, 5.x и 6.х.

Средства  ОС

Windows 2003 Server имеет средства обеспечения безопасности, встроенные в операционную систему. Ниже рассмотрены наиболее значимые из них.

Слежение за деятельностью сети

Windows 2003 Server дает  много инструментальных средств  для слежения за сетевой деятельностью  и использованием сети. ОС позволяет:

• просмотреть сервер и увидеть, какие ресурсы он  использует;
• увидеть пользователей, подключенных в настоящее время к   серверу и увидеть, какие файлы у них открыты;
• проверить данные в журнале безопасности;
• проверитьзаписи в журнале событий;
• указать, о каких ошибках администратор должен быть предупрежден, если они произойдут.

Журнал  событий безопасности

Windows 2003 Server позволяет определить, что войдет в ревизию и будет записано в журнал событий безопасности всякий раз, когда выполняются определенные действия или осуществляется доступ к файлам. Элемент ревизии показывает выполненное действие, пользователя, который выполнил его, а также дату и время действия. Это позволяет контролировать как успешные, так и неудачные попытки каких-либо действий.

Журнал событий безопасности  для условий предприятия является обязательным, так как в случае попытки несанкционированного проникновения к АСОД можно будет отследить источник.

Начало сеанса на ПЭВМ

Всякий раз, когда пользователь начинает сеанс  на рабочей станции, экран начала сеанса запрашивает имя пользователя, пароль и домен. Затем рабочая  станция посылает имя пользователя и пароль в  домен для идентификации. Сервер в  домене проверяет имя пользователя и пароль в базе данных учетных карточек пользователей домена. Если имя пользователя и пароль идентичны данным в учетной карточки в АD, сервер уведомляет рабочую станцию о начале сеанса. Сервер также загружает другую информацию при начале сеанса пользователя, как например установки пользователя, свой каталог и переменные среды.

Шифрованная файловая система EFS

Windows 2000 предоставляет возможность еще более надежнее защитить зашифрованные файлы и папки на томах NTFS, всё это благодаря использованию шифрованной файловой системы EFS (Encrypting File System). При работе в среде Windows 2000 можно работать только с теми томами, на которые есть права доступа.

При использовании  шифрованной файловой системы EFS, можно использовать файлы и папки, данные которых, будут зашифрованы с помощью пары ключей. Любой пользователь, который необходимо получить доступ к определенному файлу, должен обладать личным ключом, с помощью которого данные файла будут расшифровываться. Система EFS так же обеспечивает схему защиты файлов в среде Windows 2003. Однако, на предприятии не используется эта возможность, так как при использовании шифрования производительность работы системы снижается/14/.

Архивирование

Организация надежной и эффективной системы архивации  данных является одной из важнейших задач по обеспечению сохранности информации в сети. В небольших сетях, где установлены один - два сервера, чаще всего применяется установка системы архивации непосредственно в свободные слоты серверов. В крупных корпоративных сетях наиболее предпочтительно организовать выделенный специализированный архивационный сервер.

Такой сервер автоматически  производит архивирование информации с жестких дисков серверов и рабочих станций в указанное администратором локальной вычислительной сети время, выдавая отчет о проведенном резервном копировании.

Хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном охраняемом помещении. Специалисты рекомендуют хранить дубликаты архивов наиболее ценных данных в другом здании, на случай пожара или стихийного бедствия. Для обеспечения восстановления данных при сбоях магнитных дисков в последнее время чаще всего применяются системы дисковых массивов - группы дисков, работающих как единое устройство, соответствующих стандарту RAID (Redundant Arrays of Inexpensive Disks). Эти массивы обеспечивают наиболее высокую скорость записи/считывания данных, возможность полного восстановления данных и замены вышедших из строя дисков в "горячем" режиме (без отключения остальных дисков массива).

Организация дисковых массивов предусматривает различные  технические решения, реализованные на нескольких уровнях:

RAID уровеня 0 предусматривает простое разделение потока данных между двумя или несколькими дисками. Преимущество подобного решения заключается в увеличении скорости ввода/вывода пропорционально количеству задействованных в массиве дисков.

RAID уровня 1 заключается  в организации так называемых "зеркальных" дисков. Во время  записи данных информация основного  диска системы дублируется на зеркальном диске, а при выходе из строя основного диска в работу тут же включается "зеркальный".

RAID уровни 2 и 3 предусматривают создание параллельных дисковых массивов, при записи на которые данные распределяются по дискам на битовом уровне.

RAID уровни 4 и 5 представляют собой модификацию нулевого уровня, при котором поток данных распределяется по дискам массива. Отличие состоит в том, что на уровне 4 выделяется специальный диск для хранения избыточной информации, а на уровне 5 избыточная информация распределяется по всем дискам массива/20/.

Виртуальная частная сеть (VPN)

Аббревиатура VPN расшифровывается как Virtual Private Network – “виртуальная частная сеть”. Суть этой технологии в том, что при подключении к VPN серверу при помощи специального программного обеспечения поверх общедоступной сети в уже установленном соединении организуется зашифрованный канал, обеспечивающий высокую защиту передаваемой по этому каналу информации за счёт применения специальных алгоритмов шифрования.

В общем случае VPN - это объединение локальных  сетей или отдельных машин, подключенных к сети общего пользования, в единую виртуальную (наложенную) сеть, обеспечивающую секретность и целостность передаваемой по ней информации (прозрачно для пользователей).

Использование технологии VPN необходимо там, где требуется  защита корпоративной сети от воздействия вирусов, злоумышленников, просто любопытных, а также от других угроз, являющихся результатом ошибок в конфигурировании или администрировании сети.

Виртуальные частные  сети (VPN), создаваемые на базе арендуемых и коммутируемых каналов связи сетей общего пользования (и, в первую очередь, Интернет), являются отличной альтернативой изолированным корпоративным сетям, причем, альтернативой, обладающей рядом несомненных преимуществ:

• низкая стоимость арендуемых каналов и коммуникационного оборудования развитая топология сети (широкий географический охват);
• высокая надежность;
• легкость масштабирования;
• легкость изменения конфигурации;
• контроль событий и действий пользователей. 

Каналы VPN защищены мощными алгоритмами шифрования, заложенными в стандарты протокола безопасности Internet Protocol Security (IPSec). Данный стандарт, выбранный международным сообществом, группой Internet Engineering Task Force (IETF), создает основы безопасности для интернет-протокола (IP), незащищенность которого долгое время являлась притчей во языцех. Протокол IPSec обеспечивает защиту на сетевом уровне и требует поддержки стандарта IPSec только от общающихся между собой устройств по обе стороны соединения. Все остальные устройства, расположенные между ними, просто обеспечивают трафик IP-пакетов.