Защита рабочих станций

Модуль доверенной загрузки (МДЗ) представляет собой комплекс аппаратно-программных средств (плата, аппаратные средства идентификации и аутентификации, программное обеспечение для поддерживаемых ОС), устанавливаемый на рабочее место вычислительной системы (персональный компьютер, сервер, ноутбук, специализированный компьютер и др.) и выполняет следующие функции:
1. Идентификация и аутентификация пользователей до загрузки ОС с помощью персональных электронных идентификаторов (USB-ключи, смарт-карты, идентификаторы iButton и др.).
2. Контроль целостности программного и аппаратного обеспечения компьютера до загрузки ОС.
3. Блокировка несанкционированной загрузки ОС с внешних съемных носителей.
4. Функционирование сторожевого таймера, позволяющего блокировать работу компьютера при условии, что после его включения и по истечении определенного времени управление не было передано плате МДЗ.
5. Контроль работоспособности основных компонентов МДЗ (энергонезависимой памяти, идентификаторов, датчика случайных чисел и др.).
6. Регистрация действий пользователей и совместная работа с внешними приложениями (датчики случайных чисел, средства идентификации и аутентификации, программные средства защиты информации и др.).

Межсетевой экран (файрвол, МЭ) — это локальное (однокомпонентное) или функционально — распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему и/или выходящей из нее.
Среди задач, которые решают межсетевые экраны, основной является защита сегментов сети или отдельных хостов от несанкционированного доступа с использованием уязвимых мест в протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах сети.
Межсетевые экраны пропускают или запрещают трафик, сравнивая его характеристики с заданными шаблонами.
Наиболее распространённое место для установки межсетевых экранов — граница периметра локальной сети для защиты внутренних хостов от атак извне.
Однако атаки могут начинаться и с внутренних узлов — в этом случае, если атакуемый хостинг расположен в той сети, трафик не пересечёт границу сетевого периметра, и межсетевой экран не будет задействован. Поэтому межсетевые экраны размещают не только на границе, но и между различными сегментами сети, что обеспечивает дополнительный уровень безопасности.
Выделяют следующие виды межсетевых экранов:
1. Межсетевой экран уровня сети.
2. Межсетевой экран уровня логических границ.
3. Межсетевой экран уровня узла.
4. Межсетевой экран уровня веб-сервера колу передачи гипертекста, проходящих к веб-серверу и от веб-сервера.
5. Межсетевой экран уровня промышленной сети.

Системы обнаружения и предотвращения вторжений (IPS/IDS) — это комплекс программных или аппаратных средств, которые выявляют факты и предотвращают попытки несанкционированного доступа в корпоративную систему. Их обычно разделяют на два основных компонента: системы обнаружения IDS и IPS — системы предотвращения вторжений.
К основным функциям IDS относятся:
1. Обнаружение вторжений и выявление сетевых атак.
2. Прогнозирование и поиск уязвимостей.
3. Распознавание источника атаки (взломщики или инсайдеры).
4. Обеспечение контроля качества системного администрирования.
Концептуальная схема систем обнаружения вторжений включает в себя:
1. Подсистему сбора событий или сенсорную.
2. Подсистему анализа данных, полученных от сенсорной подсистемы.
3. Подсистему хранения событий, консоль администрирования.
Выделяют следующие виды систем обнаружения вторжений:
1. СОВ уровня сети.
2. СОВ уровня узла.

Сканеры уязвимостей — это программные или аппаратные средства, служащие для осуществления диагностики и мониторинга сетевых компьютеров, позволяющее сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности, оценивать и устранять уязвимости.
Сканеры уязвимостей позволяют проверить различные приложения в системе на предмет наличия «дыр», которыми могут воспользоваться злоумышленники. Также могут быть использованы низкоуровневые средства, такие как сканер портов, для выявления и анализа возможных приложений и протоколов, выполняющихся в системе.
В нормативных требованиях сканеры уязвимости периодически называются средствами анализа и контроля защищенности информации.
Основные функции сканеров уязвимости:
1. Получение информации о системе.
2. Проверка сетевых устройств.
3. Проверка возможности осуществления атак типа «отказ в обслуживании» («Denial of Service»), «подмена» («Spoofing»).
4. Проверка паролей.
5. Проверка межсетевых экранов.
6. Проверка удаленных сервисов.
7. Проверка DNS.
8. Проверка учетных записей ОС.
9. Проверка сервисов ОС.

Системы мониторинга и управления событиями безопасности строятся на базе SIEM-систем.
SIEM обеспечивает анализ в реальном времени событий, происходящих в ИТ-инфраструктуре. Подобный анализ необходим для обнаружения и определения среди всех событий событий информационной безопасности и реагирования на них.
SIEM обладают следующим функционалом:
1. Агрегация данных — сбор, обработка и хранение логов с различных устройств и приложений.
2. Корреляция событий — поиск общих атрибутов события. Подобная технология обеспечивает применение различных технических приёмов для интеграции данных из различных источников для превращения исходных данных в информацию, с которой можно работать дальше.
3. Оповещение — SIEM поддерживают возможность оповещения о событиях по различным каналам связи.
4. Анализ и управление рисками безопасности.
5. Проведение расследования инцидентов.
6. Формирование отчётов.
7. Реакция на атаки.
Источниками данных для SIEM систем являются:
1. IDS/IPS системы.
2. Антивирусные программы.
3. Журналы событий операционных систем и программного обеспечения.
4. Межсетевые экраны.
5. Сканеры уязвимостей.
6. Системы инвентаризации.
7. Прокси-сервера.
8. Системы аутентификации.
9. Средства защиты от несанкционированного доступа.
10. Сетевое оборудование.

Антивирусная программа — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики — предотвращение заражения (модификации) файлов или операционной системы вредоносным кодом.
Выделяют следующие виды средств антивирусной защиты:
1. Предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах).
2. Предназначенные для применения на серверах информационных систем.
3. Предназначенные для применения на автоматизированных рабочих местах информационных систем.
4. Предназначенные для применения на автономных автоматизированных рабочих местах.

Системы предотвращения утечек информации (Data Leak Prevention, DLP) — технические устройства (программные или программно-аппаратные), которые строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активный компонент системы, и передача сообщения (пакета, потока, сессии) блокируется.
Функции DLP-систем:
1. Архивирование пересылаемых сообщений на случай возможных в будущем расследований инцидентов.
2. Предотвращение передачи не только конфиденциальной, но и другой нежелательной информации (обидных выражений, спама, эротики, излишних объёмов данных и т. п.).
3. Предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи внутрь информационной системы.
4. Предотвращение использования работниками информационных ресурсов в личных целях.
5. Оптимизация загрузки каналов, экономия трафика.
6. Контроль присутствия работников на рабочем месте.
7. Контроль активности работника на рабочем месте.
8. Контроль записи информации в различные источники.
9. Контроль содержимого текстов.

Средства криптографической защиты информации (СКЗИ) – аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
Выделяют следующие виды СКЗИ:
1. СКЗИ для локального шифрования информации (для доверенного хранения на рабочем месте).
2. СКЗИ для обеспечения юридической значимости электронных документов, подтверждения подлинности адресата и целостности информации.
3. СКЗИ для организации частных виртуальных сетей (криптомаршрутизаторы, крипто-клиенты, удостоверяющие ключевые центры и центры управления сетями).
4. СКЗИ для организации защищенных сессий на основе отечественных алгоритмов шифрования протокола защиты транспортного уровня (TLS-сервера, TLS-клиенты).

Средства унифицированного управления угрозами (Unified threat management — UTM) — универсальное устройство, решение в сфере компьютерной безопасности, обеспечивающее мощную комплексную защиту от сетевых угроз.
UTM — модификация файрволла, который объединяет в себе множество функций, связанных с обеспечением сетевой связанной и безопасности.
Система обнаружения и предотвращения вторжений, межсетевой экран, VPN, антивирус, средства анализа и инспектирования сетевого трафика.