Главная-Интернет-Сетевые службы и сетевые сервисы. Классификация антивирусов

Сетевые службы и сетевые сервисы. Классификация антивирусов

Основные положения международного стандарта ISO/IEC 17799.

Часть 19-я: Контроль доступа. Продолжение.

Контроль доступа к вычислительной сети

Доступ как ко внутренним, так и к внешним сетевым сервисам следует контролировать. Это поможет гарантировать, что пользователи, имеющие доступ к сети и сетевым сервисам, не нарушают безопасность этих сервисов. Для этого используются следующие средства:

    соответствующие интерфейсы между сетью организации и общественными сетями и сетями, принадлежащими другим организациям;

    соответствующие механизмы аутентификации для пользователей и оборудования;

    контроль доступа пользователей к информационным сервисам.

Политика использования сетевых сервисов

Незащищенные подключения к сетевым сервисам могут повлиять на безопасность всей организации. Пользователям должен предоставляться непосредственный доступ только к тем сервисам, на использование которых они получили специальное разрешение. Это в особенности важно для сетевых подключений к конфиденциальным или критичным бизнес - приложениям, а также для пользователей, работающих в областях с повышенным риском, например, в общественных местах и на внешних территориях, находящихся за пределами области действия средств защиты, реализованных в организации.

Необходимо разработать политику в отношении использования сетей и сетевых сервисов. Эта политика должна охватывать:

    сети и сетевые сервисы, к которым разрешается доступ;

    административные правила и средства защиты доступа к сетевым подключениям и сетевым сервисам.

Эта политика должна быть согласована с политикой контроля доступа в организации.

Аутентификация пользователей для внешних подключений

Внешние подключения (например, подключения по телефонным линиям) предоставляют потенциальную возможность для несанкционированного доступа к информации организации. В связи с этим для доступа удаленных пользователей должна применяться аутентификация.

Существуют различные методы аутентификации. Некоторые их этих методов обеспечивают более эффективную защиту по сравнению с другими – например, методы, основанные на шифровании, могут обеспечить усиленную аутентификацию. Необходимый уровень защиты следует определить при оценке рисков. Эта информация потребуется при выборе подходящего метода аутентификации.

Для аутентификации удаленных пользователей можно использовать, например, криптографические методы, аппаратные средства или протоколы с запросом и подтверждением. Кроме того, для обеспечения достоверности источника соединения могут использоваться выделенные частные линии или средства проверки сетевых адресов пользователей.

Для защиты от несанкционированных и нежелательных подключений к средствам обработки информации в организациях могут использоваться средства обратного вызова, например, модемы с функцией обратного вызова. Этот метод контроля служит для аутентификации пользователей, пытающихся подключиться к сети организации из удаленного пункта. При применении этого метода не следует использовать сетевые сервисы, обеспечивающие перенаправление вызовов. Если функция перенаправления вызовов все же имеется, ее следует отключить, чтобы избежать связанных с ней уязвимостей. Кроме того, процесс обратного вызова обязательно должен включать проверку реального прекращения соединения со стороны организации. В противном случае удаленный пользователь может остаться на линии, сымитировав проверку путем обратного вызова. Средства обратного вызова следует тщательно проверить на наличие этой возможности.

Аутентификация узлов

Средства автоматического подключения к удаленному компьютеру могут быть использованы злоумышленникам для получения несанкционированного доступа к бизнес -приложениям. В связи с этим подключения к удаленным компьютерным системам должны требовать аутентификации. Это особенно важно в том случае, если для подключения используется сеть, находящаяся за пределами контроля организации.

Аутентификация узлов может служить альтернативным средством для аутентификации групп удаленных пользователей при подключении к совместно используемым защищенным компьютерным сервисам.

Защита удаленных диагностических портов

Доступ к диагностическим портам должен тщательно контролироваться. Во многих компьютерах и системах связи имеется система удаленной диагностики путем подключения по телефонной линии, используемая инженерами сервисной службы. При отсутствии защиты такие диагностические порты могут быть использованы для несанкционированного доступа. Поэтому они должны быть защищены с помощью соответствующего защитного механизма (например, замка). Необходимо ввести правила, гарантирующие, что эти порты будут доступны только по договоренности между сотрудником, ответственным за компьютерную систему, и специалистами сервисной службы, которым необходим доступ.

Разделение вычислительных сетей

По мере появления партнерских отношений, требующих объединения или совместного использования сетей и средств обработки информации, сети все чаще выходят за традиционные рамки организации. Такое расширение может увеличить риск несанкционированного доступа к подключенным к сети информационным системам, некоторые из которых могут требовать защиты от других пользователей сети из -за своей критичности или конфиденциальности. В подобных условиях рекомендуется рассмотреть внедрение средств сетевого контроля для разделения групп информационных сервисов, пользователей и информационных систем.

Один из методов контроля безопасности в крупных сетях – разделение таких сетей на отдельные логические сетевые зоны, например, внутренние сетевые зоны организации и внешние сетевые зоны. Каждая такая зона защищается определенным периметром безопасности. Подобный периметр можно реализовать путем установки защищенного шлюза между двумя объединяемыми сетями для контроля доступа и передачи информации между этими двумя доменами. Конфигурация данного шлюза должна обеспечивать фильтрацию трафика между этими доменами и блокировку несанкционированного доступа в соответствии с политикой контроля доступа в организации.

Хорошим примером подобного шлюза является система, которую принято называть межсетевым экраном.

требованиях к доступу. Кроме того, при внедрении средств сетевой маршрутизации и шлюзов необходимо учитывать относительную стоимость и влияние на производительность.

Контроль сетевых подключений

Политика контроля доступа в совместно используемых сетях, в особенности в тех сетях, которые выходят за пределы организации, может требовать реализации средств ограничения возможностей подключения для пользователей. Подобные средства могут быть реализованы с помощью сетевых шлюзов, фильтрующих трафик в соответствии с заданной таблицей или набором правил. Вводимые ограничения должны быть основаны на политике доступа и на потребностях организации. Эти ограничения необходимо поддерживать и своевременно обновлять.

Вот примеры областей, для которых необходимо ввести ограничения:

    электронная почта;

    односторонняя передача файлов;

    двухсторонняя передача файлов;

    интерактивный доступ;

    сетевой доступ с привязкой ко времени дня или дате.

Контроль сетевой маршрутизации

В совместно используемых сетях, в особенности в тех сетях, которые выходят за пределы организации, может возникнуть необходимость создания средств контроля маршрутизации, гарантирующих, что компьютерные подключения и потоки данных не нарушают политику контроля доступа в организации. Такой контроль зачастую необходим для сетей, которые используются совместно с другими пользователями, не являющимися сотрудниками организации.

Средства контроля маршрутизации должны быть основаны на специальных механизмах проверки адресов источника и пункта назначения. Кроме того, для изоляции сетей и предотвращения возникновения маршрутов между двумя сетями различных организаций очень удобно использовать механизм трансляции сетевых адресов. Эти средства могут быть реализованы как на программном, так и на аппаратном уровне. При реализации необходимо учитывать мощность выбранных механизмов.

Материалы стандарта предоставлены компанией

Центр обработки данных — физическое местоположение, в котором собраны важные вычислительные ресурсы. Центр предназначен для поддержки необходимых для ведения бизнеса приложений и связанных с ними вычислительных ресурсов, таких как мэйнфреймы, серверы и группы серверов.

К бизнес-приложениям относятся приложения финансовые, кадровые, электронной коммерции и приложения « бизнес-бизнес ». Кроме тех групп серверов, которые поддерживают бизнес приложения, существуют и другие группы серверов, которые поддерживают сетевые сервисы и сетевые приложения. К сетевым сервисам относятся NTP, Telnet, FTP, DNS, DHCP, SNMP, TFTP и NFS. Сетевые приложения, это IP-телефония, передача видео по IP, системы видеокоференцсвязи т.д.

К бизнес-приложениям относится любое приложение, выполняющее функции необходимые для бизнеса, что, вообще говоря, подразумевает очень большое количество таких приложений. Некоторые корпоративные приложения логически организованы в виде нескольких уровней, которые выделены по тем функциям, которые они выполняют.

Некоторые уровни выделены для поддержки клиентских обращений или внешних функций, таких как обслуживание web-страниц или поддержка интерфейса командной строки (CLI) для приложений. В некоторых случаях внешние функции могут быть реализованы на основе web. Другие функции выполняют обработку пользовательских запросов и преобразование их в формат понятный таким уровням как уровень серверов или баз данных.

Такой многоуровневый подход называется N-уровневой моделью, поскольку кроме уровней внешнего и внутреннего может существовать еще несколько уровней между ними. Такие уровни связаны с управлением объектами, их взаимоотношениями, контролируют взаимодействие с базой данных, предлагают необходимые интерфейсы приложениям.

Корпоративные приложения обычно относятся к одной из следующих основных областей бизнеса:

  • Управление отношениями с заказчиками (Customer Relationship Management — CRM).
  • Планирование корпоративных ресурсов (Enterprise Resource Planning — ERP).
  • Управление поставками (Supply Chain Management — SCM).
  • Автоматизация продаж (Sales Force Automation — SFA).
  • Обработка заказов (Order Processing).
  • Электронная коммерция.

Источник: Cisco

Необходимо отметить, что внешний уровень, поддерживающий обращения клиентов к серверу, поддерживает приложения доступа. В настоящее время существуют приложения, как с собственным, так и с web-интерфейсом и наблюдается тенденция перехода к web-приложениям.

Такая тенденция подразумевает, что для работы с клиентами применяется web-интерфейс, но в то же время у приложений существует средний уровень, которые по запросу клиента получают информацию из внутренней базы данных и передают ее на внешний уровень, например, web-серверу, доводя, таким образом, ответ до клиента.

Этот средний уровень приложений и системы баз данных является логически выделенной частью, которая выполняет особые функции. Логическое разделение этих функций делает возможным и разделение физическое. А вывод состоит в том, что серверы приложений и web-серверы теперь не обязательно должны находиться в одном месте физически.

Подобное разделение повышает масштабируемость сервисов и упрощает управление крупными группами серверов. С точки зрения сети такие группы серверов, выполняющие различные функции, можно физически разнести в разные уровни сети по соображениям защищенности и управляемости. На Рис. 10 средний уровень и уровень базы данных обеспечивают сетевое соединение с каждой группой серверов.

Возможности центра обработки данных

Поскольку в названных местах размещены особо важные вычислительные ресурсы, то требуется предпринять специальные меры по подготовке персонала и технических средств для обеспечения круглосуточной поддержки. Объектом поддержки являются вычислительные и сетевые ресурсы. Специфичность этих ресурсов и их важность для ведения бизнеса требуют обратить особое внимание на следующие области:

  • Энергоснабжение
  • Охлаждение
  • Кабельная проводка
  • Контроль температуры и влажности
  • Пожарные и дымовые системы
  • Физическая защита: запрет доступа и системы наблюдения
  • Установочное физическое пространство и фальшполы

Рабочий персонал должен состоять из специалистов, хорошо изучивших требования по управлению центром и контролем его работы. В дополнение к вышеназванным областям обслуживания необходимо упомянуть:

  • Ресурсы серверов, включая сюда аппаратное и программное обеспечение и операционные системы.
  • Инфраструктура сети, поддерживающей серверные ресурсы

Инфраструктура сети

Необходимая для поддержки вычислительных ресурсов инфраструктура во многом определяется тем набором сервисов центра обработки данных, которые служат достижению целей архитектуры. По этим же сервисам затем группируются и основные компоненты сетевой инфраструктуры. Список компонентов сетевой инфраструктуры задает набор сервисов, но сам по себе он очень велик, и его удобнее очертить, описывая подробности каждого сервиса.

Преимущества создания центров обработки данных

Преимущества центров обработки данных можно описать одним предложением: «Центр обработки данных объединяет важнейшие вычислительные ресурсы в защищенных условиях для централизованного управления, обеспечивая предприятию возможность работы по собственному, в том числе круглосуточному графику».

Круглосуточная работа предполагается для всех сервисов, поддерживающих центр обработки данных. Нормальную деловую активность поддерживают важнейшие бизнес-приложения, в отсутствии которых бизнес либо серьезно страдает, либо останавливается вообще.

Для построения центра необходимо провести серьезное планирование. Стратегии эффективности, масштабируемости, защищенности и управления должны быть понятны, и явным образом соответствовать требованиям бизнеса.

Потерю доступа к важной информации можно оценить количественно, так как она влияет на результат — на доход. Существуют предприятия, которые обязаны по закону планировать непрерывность своей деятельности: федеральные агентства, финансовые институты, здравоохранение и т.п.

Разрушительность последствий при возможной потери доступа к информации вынуждают предприятия искать пути снижения такого риска и его влияния на бизнес. Значительная часть планов рассматривает использование центров обработки данных, которые охватывают важнейшие вычислительные ресурсы.

Михаил Кадер / Cisco

Второй способ оптимизации работы антивируса - это создание различных его версий для компьютеров, служащих разным целям. Зачастую они отличаются лишь наличием тех или иных специфических модулей и различием в интерфейсе, в то время как непосредственно антивирусная проверка осуществляется одной и той же подпрограммой, называемой антивирусным ядром 1Антивирусное ядро - это реализация механизма сигнатурного сканирования и эвристического анализа на основе имеющихся сигнатур вирусов .

Антивирусный комплекс - набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз

Всякая локальная сеть , как правило, содержит компьютеры двух типов - рабочие станции, за которыми непосредственно сидят люди, и сетевые серверы, используемые для служебных целей. В соответствии с характером выполняемых функций сервера делятся на:

  • Сетевые , которые обеспечивают централизованное хранилище информации: файловые сервера, сервера приложений и другие
  • Почтовые , на которых работает программа, служащая для передачи электронных сообщений от одного компьютера к другому
  • Шлюзы , отвечающие за передачу информации из одной сети в другую. Например, шлюз необходим для соединения локальной сети с Интернет

Следовательно, выделяют четыре вида антивирусных комплексов - для защиты рабочих станций, файловых серверов, почтовых систем и шлюзов 2Любой почтовый сервер или шлюз в тоже время является сетевым сервером. Соответственно, возможен вариант, когда один компьютер может выполнять все три функции - если на сетевом сервере устанавливается и программа для трансляции почты, и шлюз. Противоположный случай - файловый сервер, реализующий исключительно файловое хранилище, относится только к сетевым серверам и требует установки только антивирусного комплекса для защиты сетевых серверов .

Рабочие станции - это компьютеры локальной сети, за которыми непосредственно работают пользователи. Главной задачей комплекса для защиты рабочих станций является обеспечение безопасной работы на рассматриваемом компьютере - для этого необходима проверка в режиме реального времени, проверка по требованию и проверка локальной электронной почты.

Сетевые сервера - это компьютеры, специально выделенные для хранения или обработки информации. Они обычно не используются для непосредственной работы за ними и поэтому в отличие от рабочих станций проверка электронной почты на наличие вирусов тут не нужна. Следовательно, антивирусный комплекс для файловых серверов должен производить проверку в режиме реального времени и проверку по требованию.

Антивирусный комплекс для защиты почтовых систем предназначен для проверки всех проходящих электронных писем на наличие в них вирусов. То есть, проверять другие файлы, размещенные на этом компьютере, он не обязан (для этого существует комплекс для защиты сетевых серверов). Поэтому к нему предъявляются требования по наличию собственно программы для проверки всей принимаемой и отправляемой почтовой корреспонденции в режиме реального времени, и дополнительно механизма проверки по требованию почтовых баз данных.

Аналогично в соответствии со своим назначением, антивирусный комплекс для шлюза осуществляет только проверку проходящих через шлюз данных.

Поскольку все вышеперечисленные комплексы используют сигнатурный анализ , то в обязательном порядке в них должно входить средство для поддержания антивирусных баз в актуальном состоянии, то есть, механизм их обновления. Дополнительно часто оказывается полезным модуль для удаленного централизованного управления, который позволяет системному администратору со своего рабочего места настраивать параметры работы антивируса, запускать проверку по требованию и обновление антивирусных баз 3Подробнее средства удаленного управления описаны далее в соответствующем разделе курса.

Антивирус для домашнего компьютера часто отличается особой простотой в настройках и интерфейсе и не требует от пользователя особых знаний. Это же можно сказать и про защиту мобильных пользователей 4К мобильным относятся все устройства, предназначенные для работы без привязки к конкретному рабочему месту и локальной компьютерной: мобильные телефоны, смартфоны, карманные компьютеры. Однако по всем остальным параметрам, кроме отсутствия возможности централизованно и удаленно управляться системным администратором, такие программы относятся к антивирусному комплексу для защиты рабочих станций.

Когда говорят об использовании сети Интернет, то на самом деле речь идет об отдельных службах (сервисах), которые реализованы в этой сети. В зависимости от целей и задач клиенты сети используют те службы, которые им необходимы.

Разные службы имеют различные прикладные протоколы. Их соблюдение обеспечивается и поддерживается работой специальных программ, которые необходимо установить на компьютере. Напомним, что такие программы называются клиентскими.

Терминальный режим (Telnet ) . Исторически одной из самых ранних служб сети Интернет является служба удаленного управления компьютеромTelnet. Подключившись к удаленному компьютеру по протоколу этой службы, можно управлять его работой. Такое управление называют консольным или терминальным. Раньше эту службу широко использовали для проведения сложных математических расчетов на мощных вычислительных машинах. Название основныхTelnet-клиентов указывать нецелесообразно, поскольку каждый сервер, предоставляющий такой сервис, предлагает свое клиентское обеспечение. Работа в этом случае напоминает работу за терминалом компьютера в режиме разделения времени. На практике этот режим используется редко.

Электронная почта (E-mail). Это метод передачи сообщений электронным способом. Обеспечением этой службы в сети Интернет занимаются специальные почтовые серверы. Почтовые серверы получают сообщения от клиентов и пересылают их по цепочке к почтовым серверам адресатов.

Принцип работы с электронной почтой очень похож на работу с обычной корреспонденцией. Поставщик услуг Интернета (провайдер) открывает пользователю электронный почтовый ящик, в который будет попадать направляемая пользователю корреспонденция. Этому почтовому ящику ставится в соответствие адрес почты, так называемый E-mail и пароль. На самом деле пользователю предоставляется возможность сохранять определенный объем информации на компьютере провайдера. Так как емкость дисков провайдера не беспредельна, информация в почтовых ящиках либо ограничивается по объему и срокам хранения, либо устанавливается плата за хранение почты. При обмене почтовыми сообщениями отправителю и получателю не нужно одновременно быть на линии связи. Отправляемые сообщения попадают в почтовый ящик, откуда их можно взять в удобное для себя время. При установлении соединения между адресатом и его почтовым сервером происходит автоматическая передача поступивших сообщений на компьютер адресата.

Почтовая служба основана на двух прикладных протоколах SMTP (Simple Mail Transfer Protocol Простейший протокол передачи почты) иPOP 3 (Post Office Protocol 3 –Протокол почтового отделения, версия 3). По первому происходит отправка корреспонденции с компьютера на сервер, а по второму - прием поступивших сообщений.

Существует большое разнообразие клиентских почтовых программ. К ним относятся, например, MicrosoftOutlookExpress, входящая в состав операционной системыWindows98 как стандартная. Более мощная программа, интегрирующая в себе кроме поддержки электронной почты другие средства делопроизводства -MicrosoftOutlook2000. Определенной популярностью пользуются программыTheBatиEudoraPro.

Списки рассылки (Mail List ). Обычная электронная почта предполагает участие в переписке двух партнеров. Для расширения своего круга общения можно подписаться на получение почтовой информации по интересующей вас тематике на так называемыесписки рассылки . Специальные тематические серверы, собирающие информацию по определенным темам, переправляют ее по вашему адресу электронной почты.

Службы телеконференций (Usenet). Это огромная, базирующаяся на сообщениях, электронная доска объявлений, которую называюттелеконференциями илигруппами новостей . В отличие от электронной почты, информация в группах новостей доступна для всеобщего обозрения. Для удобства дискуссий образованы различные группы, участники которых посылают и принимают сообщения по определенной тематике.

Основной прием использования групп новостей состоит в том, чтобы задать вопрос, обращаясь ко всему миру, а затем получить ответ или совет от тех, кто с этим вопросом уже разобрался. Необходимо следить за тем, чтобы вопрос соответствовал теме конференции.

Для работы со службой телеконференций существуют специальные клиентские программы. Так, например, приложение MicrosoftOutlookExpressтакже позволяет работать со службой телеконференций. Для начала работы необходимо настроить программу на взаимодействие с сервером групп новостей, оформить подписку на определенные группы и периодически получать все сообщения, проходящие по выбранной теме.

Сервис FTP (File Transfer Protocol - Протокол передачи файлов). Этот сервис позволяет получать и передавать файлы и сегодня является самым распространенным для получения программных продуктов.

WWW (World Wide Web - Всемирная паутина). Этотсервис дает возможность работать с гипертекстовыми и гипермедия документами. Для работы с WWW используется специальный протокол HTTPHyper Text Transfer Protocol (Протокол передачи гипертекста). Гипертекстовые документы создаются с помощью специального языка HTMLHyper Text Markup Language (Язык разметки гипертекста). Документ, подготовленный с помощью этого языка и доступный для просмотра пользователем, называется Web-страницей. Программы для просмотраWeb-страниц называются брaузерами или обозревателями. Наиболее удачный термин для обозначения операции просмотраWeb-страниц - навигация.

Сервис Archie. Позволяет найти файл в Интернет по его имени. Однако в последнее время этот сервис стал менее популярным, так как в WWW появились поисковые системы, позволяющие выполнить поиск более простым способом.

Gopher. Эта система доступа к информации посредством вложенных меню. Она является прообразом всемирной паутины, но в настоящее время постепенно отмирает, так как перемещение по WWW более простое и удобное.

WAIS (Wide Area Information Service -Информационный сервис широкой области) . Эта система поиска информации по ключевому слову.

IRC . (Internet Relay Chat) . Предназначена для прямого общения нескольких человек в режиме реального времени. Иногда эту службу называютчат-конференциями иличатами .

Существует несколько популярных клиентских программ для работы с серверами и сетями, поддерживающими сервис IRC. Одна из наиболее популярных программ программа mIRC.exe.

ICQ . Эта служба предназначена для поиска сетевогоIP-адреса человека, подключенного в данный момент к сети Интернет. Для пользования этой службой необходимо зарегистрироваться на центральном сервере (http :// www . icq . com ) и получить персональный идентификационный номерUIN(Universal Internet Number ). Данный номер можно сообщить партнерам по контактам, и тогда службаICQприобретает характерInernet- пейджера.

Существует еще много интересных направлений использования Интернет, например, телефонные переговоры ,получение радио- и телепередач .

Похожие публикации: