Физика атомного реактора Сопротивление материалов Математика решение задач Информатика Атомная энергетика безопасность Электротехника и электроника

Вирусные атаки задача антивирусной защиты Межсетевой экран Атаки на межсетевые экраны информационная безопасность предприятия корпоративная сеть технические средства защиты ПО системы защиты метод сетевого контроля.

Backdoor. Это программа для удаленного скрытого управления компьютером, это "черный ход" на компьютер пользователя. Соответственно с компьютера обычного пользователя может вестись любая работа по взлому или рассылке спама, а пользователь не будет об этом даже подозревать.

Механизм удаленного (сетевого) мониторинга активности системы защиты, как альтернатива применению аппаратной компоненте защиты

Очевидно, что наиболее эффективное противодействие переводу системы защиты в пассивное состояние может быть оказано с использованием аппаратной компоненты защиты, которая обеспечивает мониторинг активности системы защиты и автоматическую реакцию на обнаруженный факт перевода системы безопасности в пассивное состояние. Однако использование аппаратной компоненты приводит к дополнительному увеличению стоимости системы защиты (дополнительная компонента должна устанавливаться на каждый защищаемый объект, соответственно, на наиболее критичные объекты). Рассмотрим, можно ли осуществлять мониторинг активности системы защиты без применения аппаратной компоненты и каковы ограничения на эффективность использования данного подхода.

Как отмечалось ранее осуществлять мониторинг активности одной программы другой программой, установленной на том же компьютере, не имеет смысла. Остается единственная возможность осуществления мониторинга без применения аппаратной компоненты защиты -- осуществлять его удаленно из сети: с рабочего места (выделенного компьютера) сервера безопасности.

При защите компьютеров в составе ЛВС, как правило, используются сетевые системы защиты, в состав которых, помимо клиентской части, устанавливаемой на защищаемый объект и реализующей собственно механизмы защиты, включается серверная часть — выделенный компьютер администратора безопасности, либо сервер безопасности.

Различаемые состояния защищаемого объекта и их выявление

В задачи сервера безопасности, как удаленного интерфейсного модуля системы защиты, входят: удаленная настройка механизмов защиты, удаленная обработка журналов аудита и удаленный контроль действий пользователя на защищаемом объекте. В соответсвии с рассматриваемым подходом сервер безопасности решает задачу удаленного мониторинга активности системы защиты.

Основу подобного мониторинга составляет возможность различать три состояния защищаемого объекта:

» штатный режим функционирования: защищаемый объект включен по

питанию, находится в сети, и на нем активна система защиты; » режим отключения объекта: объект отключен либо по питанию, либо находится не в сети (например, отсоединен сетевой кабель); » опасный режим функционирования: объект включен, находится в сети, но на нем система защиты переведена в пассивное состояние.

Выявление опасного режима крайне важно, т.к. при этом фиксируется возможность удаленной атаки на сетевые объекты (компьютер не защищен) [10, 16].

Очевидно, что при использовании подобной модели контроля активности системы защиты (без применения аппаратной компоненты) должна использоваться технология хранения и обработки данных на файл-серверах. Соответственно, данная технология может эффективно использоваться в системах обработки баз данных, например, с использованием СУБД, реализующей централизованное хранение и обработку баз данных на сервере.

Выявление опасного режима функционирования компьютера означает, что на данном компьютере пассивна система защиты. С учетом этого реакцией администратора безопасности может служить только противодействие доступа с этого компьютера к другим защищаемым объектам. Для этого администратор должен воспользоваться настройками системы защиты, установленной на сервере, и запретить удаленный доступ к ней с незащищенной рабочей станции. При этом какие-либо действия с рабочей станцией, на которой система защиты переведена в пассивное состояние, администратор безопасности удаленно совершить не может, так как удален соответствующий инструментарий клиентская часть системы защиты.

Программы-звонилки. Это программные модули, проникающие на ПК и призванные постоянно устанавливать соединение с сервером владельца. Эти программки устанавливают себя на автозапуск, внедряются в другие приложения, создают свои копии во всех доступных местах.

Антивирусная защита Межсетевое экранирование Экспертные системы и языки представления знаний