Занятие № 10
Модуль 8. Системные вопросы защиты программ и данных
Тема. 1. Порядок контроля локальной вычислительной сети (активного сетевого оборудования) в системе, обрабатывающий ИОД
Порядок защиты систем, обрабатывающих ИОД, от воздействий вредоносного кода.
Трудоемкость темы: 2 часa.
Цель и задачи темы
Формирование у студентов достаточных знаний и практических навыков при ввода и вывода пользователей в систему обрабатывающий ИОД. Изменение прав доступа пользователей системы
Порядок контроля локальной вычислительной сети (активного сетевого оборудования) в системе, обрабатывающий ИОД
Целью эксплуатации АРМ Контроля Локальной вычислительной (АРМ ЛВС) сети является мониторинг информационной безопасности подконтрольной сети.
Задачи, решаемые с помощью АРМ являются:
1. контроль изменений настроек АСО ЛВС:
- интерфейсов;
- таблиц маршрутизации;
- листов доступа.
2. контроль состава технических средств, подключенных к ЛВС.
Объекты контроля
Объектами контроля АРМ являются: АСО (коммутаторы и/или маршрутизаторы, участвующие в формировании ЛВС и состав технических средств, подключенных к ЛВС.
Программное обеспечение АРМ позволяет обнаружить следующие состояния изменения конфигурации АСО:
- изменение списков контроля доступа АСО;
- изменение состояния интерфейсов АСО;
- изменение таблиц маршрутизации АСО;
- изменение количества (добавление/удаление) объектов ЛВС (ПЭВМ или серверов) контролируемого сегмента.
Состояние объектов контроля ЛВС администратор АРМ оценивает по настройке текущего состояния, изменению настроек и информации об устройствах непосредственно обращающихся к АСО.
Формирование эталонного состояния АРМ Контроля сегмента ЛВС
В момент начала функционирования АРМ фиксирует состояние ЛВС по следующим параметрам:
- соответствие IP и MAC-адресов ПЭВМ обращающихся к интерфейсам АСО;
- списки контроля доступа (ACL) АСО;
- состояние интерфейсов (включено/выключено) АСО;
- таблиц маршрутизации АСО;
- подключенных объектов ЛВС (ПЭВМ и серверов) к АСО.
Состояние АСО ЛВС должно соответствовать данным, представленным в «Конфигурации активного сетевого оборудования ЛВС
Основания для изменения объектов контроля
Изменения параметров объектов контроля проводятся персоналом
- на основании нормативных и распорядительных документов;
- на основании служебных записок и заявок подразделений;
- при устранении нештатных ситуаций.
После изменения параметров объектов контроля сотрудниками, отвечающим за администрирование АСО ЛВС, составляется отчет о проделанных работах на АСО.
Анализ контролируемых событий
Цель анализа состоит в определении соответствия зарегистрированных АРМ Контроля ЛВС изменений объектов контроля документальным основаниям на их проведение и действующим требованиям по обеспечению безопасности.
Порядок защиты систем, обрабатывающих ИОД, от воздействий вредоносного кода.
При организации централизованного антивирусного обеспечения в масштабах Организации возможно использование опыта развертывания и использования защиты от воздействий вредоносного кода (ВВК) в различных подразделениях.
Для работы используется Сетевой центр управления, входящий в дистрибутивный пакет и предназначен для организации централизованного контроля и управления антивирусной защитой в корпоративной вычислительной сети.
Сетевой центр управления позволяет выполнять с одного рабочего места следующие функции:
- получение единого интегрированного отчета о состоянии антивирусной защиты корпоративной сети;
- управление параметрами антивирусной защиты каждого компьютера;
- принудительное (вне установленных регламентом расписаний) обновление антивирусных баз на каждом компьютере.
Повышение уровня антивирусной безопасности АС при развертывании централизованного контроля обусловлено следующими факторами:
- повышается оперативность антивирусного контроля – информацию о состоянии антивирусной защиты на всех контролируемых компьютерах можно получить с одного рабочего места в интегрированном виде.
- снижается степень влияния человеческого фактора – обеспечивается строгое соблюдение антивирусного регламента.
- повышается оперативность отработки сбоев (сбои при обновлении, прерывания сеансов проверки).
- повышается оперативность реакции при вирусном заражении (подозрении на заражение) (атаке). Например – срочное внеплановое обновление антивирусных баз, изменение настроек системы, экспресс-проверка конкретных файлов, каталогов и т.д.
- повышается качество антивирусных мероприятий (обслуживания) за счет концентрации соответствующих административных и контролирующих функций в руках ограниченного круга квалифицированных специалистов.
- не требуется прерывание технологического процесса для контроля функционирования антивирусных средств на отдельных рабочих станциях и серверах.
Варианты организации системы централизованного антивирусного обеспечения.
Контролируемые компьютеры (РС) объединяются по технологическому, организационно-штатному и/или территориальному признакам в группы по 30…250 объектов. Каждая группа ставится на обслуживание на отдельный сервер безопасности от ВВК.
В зависимости от способов управления указанными серверами предлагается рассмотреть три варианта (схемы) организации централизованной системы антивирусной защиты в Организации:
- структурно-ориентированная;
- Распределенная;
- централизованная схема.
При структурно-ориентированной схеме организации антивирусной защиты каждым антивирусным сервером (и соответственно – подсоединенной к нему группой РС) управляет администратор информационной безопасности, ответственный за обеспечение антивирусной безопасности технологического участка (администратор антивирусной безопасности – администратор АБ). Данная схема организации антивирусной защиты выполняет функцию по обеспечению антивирусной безопасности от ряда администраторов ИБ подразделений к одному подготовленному администратору АБ.
При распределенной схеме антивирусной защиты организуется централизованная антивирусная служба, объединяющая технологические участки структурно-ориентированной схемы. Основной задачей антивирусной службы является централизованный автоматизированный контроль за состоянием антивирусной безопасности в подразделениях Организации, а также контроль за действиями администраторов АБ.
При централизованной схеме организации антивирусной защиты все функции по обеспечению антивирусной безопасности возлагаются на антивирусную службу Организации.
Особенностями данной схемы являются:
- возможность обеспечения непрерывного глобального квалифицированного антивирусного контроля и профилактики;
- возможность оперативного обеспечения необходимых действий в случаях вирусного заражения;
- значительная нагрузка (и ответственность) на администраторов АБ антивирусной службы.
Централизованная схема обеспечивает максимальную оперативность и адекватность антивирусных мероприятий.