IV-ый рубеж. Рабочая станция
Для защиты рабочей станции (хоста) используют, обычно, следующий набор средств ЗИ:
· персональные МСЭ;
· антивирусное программное обеспечение;
· укрепление операционной системы;
Обычно персональные МСЭ реализуются в виде программных модулей, выполняемых на рабочих станциях и следящих за сетевым трафиком: входящим и выходящим из системы. Конфигурация многих из них выполняется в применении к приложению; это означает, что сам пользователь определяет, какие приложения имеют права доступа к Интернету или права функционирования в качестве серверов (принимающих входящие соединения). Персональные МСЭ оправдывают свою стоимость, притом, что они могут быть как совершенно бесплатными, так и очень дорогими. Они помогают организовать многоуровневую защиту, усиливая периметр на каждом хосте. Персональный МСЭ может защитить хост, к примеру, от троянских программ, и защитить остальные внутренние хосты, как в случае со злоумышленными внутренними пользователями. Если у вас не установлен персональный МСЭ, а соединение с Интернетом осуществляется вне вашего офиса (комната отеля во время путешествия или работа на дому), вы не можете рассчитывать на то, что находитесь под защитой.
Персональные МСЭ – исключительно полезные программы, усиливающие периметр. Если в точке входа в сеть традиционный МСЭ развернуть невозможно, в качестве альтернативы имеет смысл использовать персональные МСЭ, особенно если в сети не так много систем. Персональные МСЭ также будут удобны для пользователей, постоянно находящихся в разъездах и подключающихся к сети за пределами офиса. Практически для каждой сети необходима технология МСЭ, будь то статические пакетные фильтры, МСЭ экспертного уровня или прокси-МСЭ в периметре или на рабочей станции.
Для большинства сетей с рабочими станциями пользовательского уровня необходимы также антивирусные средства.
В большинстве случаев антивирусное программное обеспечение (ПО) и сетевые системы обнаружения вторжений схожи между собой в том, что они часто выполняют проверку данных на наличие сигнатур известных злоумышленных намерений. Антивирусные программы обычно просматривают данные в файловой системе, в то время как IDS выполняет проверку данных в сети. Продавцы предлагают антивирусное ПО, персональный МСЭ и систему обнаружения вторжений в одном продукте, и провести различие между этими технологиями становится все труднее. Роль антивирусного ПО в многоуровневой защите предельно ясна - защита от злоумышленного кода.
Эффективность антивирусного ПО катастрофически падает без регулярного обновления, а также если на данный момент оно не обладает сигнатурой для идентификации самого последнего вируса или червя. Чаще всего это касается червей, которые очень быстро появляются и распространяются. «Бронирование» хоста становится очень важной процедурой в случае малоэффективного антивирусного программного обеспечения.
Защита (укрепление) хоста (host hardening) – это процесс изменения конфигурации операционной системы и приложений хоста с целью перекрытия любых потенциально уязвимых мест в системе. Обычно этот процесс заключает в себе установку разнообразных исправлений (патчей) операционной системы и приложений, установку разрешений файловой системы, запрещение ненужных в данный момент служб и ввод ограничений паролей. Если все остальное терпит неудачу, укрепление хоста остается последним уровнем защиты индивидуальной системы. Поэтому эта операция крайне необходима при организации многоуровневой защиты.
Об укреплении хоста можно легко забыть, если система окружена множеством уровней защиты. Но никакая защита не является совершенной, и нам все равно потребуется последний уровень. Естественно, возникает вопрос – как же сохранять защиту хоста работоспособной в течение продолжительного времени.
V-ый рубеж. Приложения
Следующий рубеж защиты обеспечивает технология контроля деятельности приложений (Application Control, AC), завершающая линейку средств информационной защиты рубежа приложений. Технология AC может предотвращать атаки в фазе их выполнения или раньше.
Механизм АС, как и персональный МСЭ, основан на регулировании политики безопасности путем создания списка разрешенных на запуск приложений (замкнутая программная среда) и ограничения прав доступа приложений (различного типа, включая различные приложения Peer-to-Peer) на обращение к корпоративной сети. Кроме того, с помощью АС можно проверять пользовательскую систему на наличие установленных обновлений ОС и антивирусных средств. Несмотря на достоинства этой технологии, ее использование будет иметь эффект только в случае ее использования совместно с другими защитными технологиями, но не в качестве единственного средства защиты.