Contribution to International Economy

Засоби захисту корпоративної комп`ютерної поштової системи

Вступ

Використання комп'ютерів і автоматизованих технологій приводить до появи ряду проблем в процесі управління підприємством. Комп'ютери, часто об'єднані в мережі, можуть надавати доступ до колосальної кількості найрізноманітніших даних. Тому люди турбуються про безпеку інформації і наявність ризиків, пов'язаних з автоматизацією і наданням набагато більшого доступу до конфіденційних, персональних або іншим критичним даним. З кожним роком все збільшується число комп'ютерних злочинів, що може привести в кінці кінців до підриву економічної діяльності будь-якого підприємства. І тому повинно бути ясно, що інформація - це ресурс, який треба захищати!

Електронна пошта — один з найширше використовуємих видів сервісу, як в корпоративних мережах, так і в Інтернет. Вона є не просто способом доставки повідомлень, а найважливішим засобом комунікації, розподіли інформації і управління різними процесами в бізнесі. Роль електронної пошти стає очевидною, якщо розглянути функції, які виконує пошта:

- Забезпечує внутрішній і зовнішній інформаційний обмін;

- Є компонентом системи документообігу;

- Формує транспортний протокол корпоративних застосувань;

- Є засобом утворення інфраструктури електронної комерції.

Завдяки виконанню цих функцій електронна пошта вирішує одне з найважливіших на справжній момент завдань — формує єдиний інформаційний простір. Насамперед це стосується створення загальної комунікаційної інфраструктури, яка спрощує обмін інформацією між окремими людьми, підрозділами однієї компанії і різними організаціями.

Використання електронної пошти для обміну інформацією між людьми як усередині окремо узятій організації, так і за її межами змогло корінним чином змінити технології і методи ведення справ. Перехід до обміну документами в електронному вигляді відкрило нові можливості для підвищення ефективності праці і економії засобів і часу.

Інформація – така ж складова будь-якого бізнесу, як виробниче , конкретні люди, на яких тримається виробництво, збудовані стосунки замовниками і постачальниками і так далі. З цим неможливо сперечатися. Втрата, псування або збій у функціонуванні будь-яка з названих складових бізнесу приводить до наслідків, лежачих в діапазоні від «нанесення збитку» до «закриття бізнесу». І зараз питання безпеки даних регулюється державними законами.

Будь-яке підприємство має в своєму розпорядженні різні види інформації, що представляють інтерес для зловмисників. Перш за все, це комерційні дані, інформація, що є інтелектуальною власністю підприємства і конфіденційні дані

Оскільки автоматизація привела до того, що тепер операції з обчислювальною технікою виконуються простими службовцями організації, а не спеціально підготовленим технічним персоналом, потрібно, щоб кінцеві користувачі знали про свою відповідальність за захист інформації.

Шансів бути спійманим у комп'ютерного злочинця значно менше, чим у грабіжника банку - і навіть при упійманні у нього менше шансів потрапити у в'язницю. Виявляється в середньому 1 відсоток комп'ютерних злочинів. І вірогідність того, що за комп'ютерне шахрайство злочинець потрапить у в'язницю, менше 10 відсотків.

Основною причиною наявності втрат, пов'язаних з комп'ютерами, є недостатня усвідомленість в області безпеки. Тільки наявність деяких знань в області безпеки може припинити інциденти і помилки, забезпечити ефективне застосування мерів захисту, запобігти злочину або своєчасно виявити підозрюваного. Обізнаність кінцевого користувача про заходи безпеки забезпечує чотири рівні захисту комп'ютерних і інформаційних ресурсів:

Запобігання - тільки авторизований персонал має доступ до інформації і технології.

Виявлення - забезпечується раннє виявлення злочинів і зловживань, навіть якщо механізми захисту були обійдені.

Обмеження - зменшується розмір втрат, якщо злочин все-таки відбувся не дивлячись на заходи по його запобіганню і виявленню.

Відновлення - забезпечується ефективне відновлення інформації за наявності документованих і перевірених планів по відновленню.

Що може створювати небезпеку для бізнесменів або комерсантів, зацікавлених, зрозуміло, в дотриманні комерційної таємниці?

Як правило, це:

розвідувальна діяльність конкурентів;

несанкціоновані дії співробітників власної фірми;

неправильна політика фірми в області безпеки.

Темою даного дипломного проекту є «Засоби захисту корпоративної комп`ютерної поштової системи».

Метою даного дипломного проекту є проектування засобів захисту корпоративної комп`ютерної поштової системи на підприємстві.

Виходячи з мети роботи, визначені завдання які необхідно вирішити в роботі:

Проведення аналізу існуючого програмного забезпечення поштових систем.

Проведення аналізу існуючого програмного забезпечення захисту поштових систем.

Постановка завдання.

Визначити ризики, пов`язані з використанням електронної пошти

Запропонувати систему колективної роботи для корпоративної поштової системи

Визначити політику використання електронної пошти.

Так як потреби у захисті інформації зростають з ростом кількості комп`ютерного обладнання на підприємстві, то вважаю, що робота актуальна

 

Комп`ютерні системи та їх інформаційна безпека

Нормативне регулювання функціонування ринку програмного забезпечення

Сьогодні багато компаній стикаються з великим числом законодавчих і галузевих норм, регулюючих ті або інші аспекти IT-безпеки. Найвідоміші з них: стандарт Нацбанку по IT-безпеці, угода Basel II, закон «Про персональні дані», Акт Сарбаніса - Окслі, Директиви Євросоюзу про приватні дані і захист даних. Кожен з цих документів пред'являє свої вимоги до системи IT-безпеки і IT-інфраструктурі підприємства, а недотримання правил, встановлених такими актами, може призвести до серйозних проблемам. Відповідно, перед керівниками стоїть нелегке завдання - як найефективніше реалізувати положення регулюючих норм і підвищити тим самим конкурентоспроможність своєї організації.

У сучасних організаціях проблема забезпечення сумісності із нормативними актами вже перетворилася на загрозу ефективному функціонуванню компанії. Причиною тому постійна зміна, посилювання і розширення державного і галузевого регулювання, внаслідок чого бізнес деколи не встигає за вимогами, що пред'являються до нього. Таким чином, виникає поняття «Нормативні ризики», які згідно з опитуванню організації Economist Intelligence Unit з'являються є найнеприємнішою проблемою менеджерів по управлінню ризиками у всьому світі (мал. 1.1).

 

Природа нормативних ризиків досить складна. Вона, перш за все, виявляється в штрафах, що безпосередньо призначаються регулюючим органом за невиконання певних вимог. Проте найчастіше справа до цього не доходить. Компаніям все ж таки доводиться відволікати цінні ресурси з найбільш важливих напрямів, щоб реалізувати проекти по забезпеченню сумісності з нормативними актами. Тут насамперед страждають бюджети наукових досліджень, інноваційних і інвестиційних проектів. До того ж в законопокірних країнах бізнес може стати менш конкурентоздатним із-за дуже важкого нормативного тягаря. Іншими словами, у вищих виконавчих осіб є серйозні підстави турбуватися про те, щоб компанія дійсно підвищила свою конкурентоспроможність, реалізовуючи положення нормативних актів, а не опинилася в менш вигідних умовах в порівнянні з конкурентами, які по географічних або іншим причинам можуть проігнорувати вимоги регулюючих органів (мал. 1.2).

 

Не дивлячись на надзвичайну актуальність проблем забезпечення сумісності з державними і галузевими актами у всьому світі, Україна вважається за країну з досить м'яким нормативним тягарем. Проте держава і регулюючі органи роблять все більш сильний вплив на різні аспекти IT-безопасности і IT-инфраструктуры організацій. По-перше, до України приходять міжнародні вимоги таких угод, як Basel II. По-друге, федеральні інститути приймають власні нормативні акти. Наприклад, стандарт по IT-безпеці від Нацбанку або законопроект «Про персональні дані» в Верховній Раді. По-третє, багато українських компаній самі виходять на міжнародні ринки (наприклад, шляхом IPO - первинного розміщення цінних паперів на фондовому ринку) і стикаються з Актом Сарбаніса - Окслі і Директивами Євросоюзу. Розглянемо ці нормативні акти докладніше.

Одним з найбільш важливих інтернаціональних законів є угода Basel II («Міжнародна конвергенція вимірювання капіталу і стандартів капіталу: нові підходи»), яка пред'являє цілий ряд вимог до національних банківських систем і самих кредитно-фінансових організацій. Саме цей закон як «хворий мозоль» згадували практично всі респонденти дослідження Economist Intelligence Unit, що представляли банківський сектор.

Угода Basel II набуде чинності в більшості країн, що входять до складу ОЕСР (Організації економічного співробітництва і розвитку), до кінця 2007 року.

Даний нормативний акт вимагає від фінансових інститутів розрахувати кредитні, ринкові і операційні ризики з метою забезпечення резервного капіталу, достатнього для покриття таких рисок. Хоча в угоді безпосередньо не мовиться про заходи забезпечення IT-безпеки і взагалі про IT-инфраструктуре банків, операційний ризик визначається документом як «прямі або непрямі збитки унаслідок неадекватних або незадовільних внутрішніх процесів, дій персоналу і систем, або зовнішніх подій». Таким чином, погрози IT-безпеки входять до складу операційних ризиків, а внутрішні атаки (крадіжка конфіденційних даних, халатність співробітників) чітко вказані в законі. Крім того, в угоді Basel II особлива увага приділяється ризикам, пов'язаним з втратою репутації, що є прямим наслідком успішного просочування інформації.

У Європейському союзі існують закони, що обмежують бізнес при побудові корпоративної IT-инфраструктуры. Основним нормативним актом є Директива про захист даних (Data Protection Directive), прийнята в 1995 році і визначаюча основні принципи захисту персональної інформації, що ідентифікується (Personal Identifiable Information). Ця директива розширює норми по захисту приватної інформації, які діють в ОЕСР з 1980 року і розповсюджуються на держави-члени Євросоюзу. До найбільш значущих положень належить «Принцип забезпечення безпеки № 11», що вимагає, щоб «персональні дані були захищені розумними засобами безпеки від таких погроз, як несанкціонований доступ, втрата, знищення, використання, зміна і розголошування даних». Директива про захист даних також розрізняє декілька типів персональної інформації, наприклад медичні або фінансові відомості. Для них, зважаючи на особливу важливість, вводяться додаткові заходи безпеки.

Ще одним нормативним актом, що вимагає інвестицій з боку бізнесу, є Директива про збереження даних (Data Retention Directive), затверджена в кінці 2005 року. Відповідно до Директиви всі компанії (в основному в секторі телекомунікацій) повинні архівувати і зберігати протягом одного року всі дані, передавані по електронних каналах зв'язку. Під дію закону потрапляють переговори по мобільних і дротяних телефонах, обмін документами факсом, а також будь-який обмін інформацією в Інтернеті (перш за все, електронні листи).

Таким чином, якщо українська компанія планує вихід на європейський ринок, їй окрім всього іншого слід оцінити об'єм додаткових інвестицій, необхідних для забезпечення сумісності з вказаними директивами.

Україниьский бізнес поступово стає все більш регульованим. Поки компанії стикаються лише з декількома вітчизняними нормативними актами, а деякі фірми, представлені на міжнародній арені, вимушені задовольняти ще і національним законам і директивам тих країн, в яких вони працюють.

Для того, щоб ефективно управляти нормативними ризиками і досягти сумісності з регулюючими вимогами без зниження конкурентоспроможності організації, необхідно дотримуватися певної стратегії.

Перш за все, на думку експертів компанії Gartner, підприємствам треба упроваджувати ті інформаційні рішення, які дозволяють задовольнити вимогам відразу декількох законів і покрити відразу декілька підрозділів компанії. При цьому фірмі не слід робити ставку на «продукти-затички», що дозволяють задовольнити якомусь вузькому набору вимог єдиного нормативного акту. Інакше Gartner прогнозує, що вже до 2007 року витрати на забезпечення сумісності для компанії, що зробила ставку на такі «проекти-затички», можуть зрости в 10 разів.

Іноді жорсткі терміни дійсно підштовхують керівників до реалізації подібних проектів, проте в цьому випадку, очевидно, підприємство втрачає всі довгострокові бонуси, які можна було б отримати при впровадженні стратегічно розумних рішень. Іншими словами, компаніям, які на самому початку процесу досягнення сумісності з нормативними актами не думають про майбутнє, через три-чотири роки доведеться розплачуватися за свою легковажність.

Наступним ключовим елементом ефективної стратегії управління нормативними ризиками, на думку Economist Intelligence Unit, є завчасна реакція на зміну законодавства. Компанії повинні, по-перше, вести постійний діалог з регулюючими органами, щоб краще розуміти вимоги існуючих актів і заздалегідь уявляти собі, в якому напрямі законодавці планують розширювати і посилювати регулювання. По-друге, підприємства можуть істотно заощадити, якщо скористаються передовим досвідом і упровадять останні методики в свою IT-інфраструктуру, не чекаючи, поки вони будуть закріплені законодавчо. В результаті регулюючий орган не почне зводити нові вимоги в ранг обов'язкової норми і, отже, позбудеться можливості накласти штраф у разі порушень.

Таким чином, організаціям слід обдумано підходити до питання управління нормативними ризиками. Держава і регулюючі органи поступово «закручують гайки», ухвалюючи нові закони і акти, що регламентують ті або інші аспекти IT-безреки. Причому все указує на те, що узятий курс на розширення і посилювання нормативних вимог збережеться. У цих умовах підвищити свою конкурентоспроможність зможуть тільки компанії, які слідують ефективній стратегії.

Створення єдиної платформи для управління нормативними ризиками є першочерговим завданням кожної фірми, що стикається з декількома нормативними актами одночасно. З погляду стратегії це дає величезну перевагу, оскільки дозволяє на одному і тому ж плацдармі забезпечити сумісність, наприклад, з Актом Сарбаніса-окслі, угодою Basel II і стандартом ІТ-безпеки від Нацбанку України. Додатково єдина нормативна платформа практично гарантує, що компанія буде готова до нових версій законодавчих актів, які часто надають жорсткіше і ширше попередніх. Більш того, попутно організація може вирішити такі питання, як підвищення ефективності управління своєю ІТ-інфраструктурою, забезпечення внутрішньої і зовнішньої ІТ-безпеки і захисту інформаційних активів. Як сама нормативна платформа повинне виступати комплексне інформаційне рішення, ядро якого автоматично реалізує найскладніші і поширеніші нормативні вимоги (зберігання корпоративної кореспонденції, ведення розширених журналів для аудиту, захист фінансових і інших записів від спотворення, фальсифікації, крадіжки і так далі). При цьому додаткові модулі і супровідні послуги допомагають легко підстроїти це рішення під деякі специфічні особливості конкретного законодавчого акту.

З міжнародними і іноземними законодавчими актами українські компанії стикаються, коли виходять на закордонні ринки. Досвід реалізації проектів по забезпеченню сумісності з різними нормами показує, що бізнес часто виграє в результаті таких проектів. Наприклад, відповідність Акту Сарбаніса-окслі дозволяє зробити організацію більш конкурентоздатної за рахунок підвищення прозорості всіх внутрішніх операцій, ухвалення ефективніших рішень на основі гарантованої достовірної інформації, а також запобігання корпоративним шахрайствам. Окрім цього набору бонусів фірма отримує серйозний плюс у сфері відношення з інвесторами, клієнтами і партнерами, оскільки мати справу з прозорою і ефективно керованою організацією набагато приємніше, ніж із закритою і незрозуміло як функціонуючою фірмою. Іншими словами, в крупних компаніях корпораціях має сенс реалізовувати положення іноземних, наприклад, американських законодавчих актів не тому, що це вимушена міра, а тому, що це вигідно самій компанії. Це певною мірою відповідає ефективній стратегії, що має на увазі використання передового досвіду і останніх методик завчасно. Думаю, саме через це такі закони, як Акт Сарбаніса-окслі, виходять далеко за рамки своєї країни і реалізуються в компаніях по всьому світу.

 

Поняття інформаційної безпеки комп'ютерних систем

Як показали результати аудиту стану безпеки інформації, які проводила «Лабораторія Інформаційних Систем» на декількох підприємствах, керівництво компаній не завжди має уявлення про види і ступінь погроз для своїх ІС, так само як і про їх наслідки. Рідко хто| розуміє, як забезпечити цю саму ІБ. На деяких підприємствах ІС починала створюватися в часи, коли всі знали, що «локальна мережа – це п'ять комп'ютерів, щоб з дискетами не ходити» і «в цій мережі щось зрозуміти може тільки наш «гуру». В результаті безпека інформації залежить винятково від чесності персоналу або пильності охорони на прохідній.

Але ситуація змінилася, функції доступу, записи і передачі даних тепер забезпечені «інтуїтивно зрозумілими інтерфейсами». А використовувані при цьому пристрої малі і мобільні.

У реальності існує два види погроз інформаційній безпеці:

- зовнішня – несанкціонований доступ з мережі Інтернет; зняття інформації з кабельних систем (ЛВС і електроживлення) за допомогою технічних засобів; запис розмов на відстані крізь стіни (вікна, двері) і т. д.;

- внутрішня – несанкціонований доступ в приміщення; несанкціонований і невиборчий доступ до даних|всередині корпоративної мережі; можливість запису інформації на переносні пристрої (флеш накопичувачі , CD і DVD-диски і тому подібне), пересилка фотознімків паперових носіїв і екранів моніторів за допомогою мобільних телефонів; програмні віруси і «троянські» програми, не контрольована електронна пошта і так далі.

Для захисту від зовнішнього несанкціонованого доступу є| перевірені сертифіковані програмні і програмно-апаратні засоби. При грамотному налаштуванні і супроводі вони достатньо ефективно протистоять зовнішнім вторгненням. А ось боротьба з несанкціонованим доступом усередині підприємства – це більшою мірою питання політика керівництва у сфері інформаційної безпеки. Тут потрібне продумане розділення доступу до інформації, випуск адміністративних інструкцій (з обов'язковим ознайомленням з цими документами всього персоналу підприємства). Необхідне застосування спеціальних програмно-апаратних комплексів і засобів, антивірусних програм. ІТ-служби повинні адекватно настроїти політику безпеки в операційних системах і корпоративних застосуваннях. Природно, надійний результат може забезпечити лише робота з легальним програмним забезпеченням. Необхідна наявність служби або співробітника, відповідального за інформаційну безпеку.

Підводячи підсумок, можна сказати, що система інформаційної безпеки – це саме СИСТЕМА, що вимагає розуміння, планування і адекватних витрат для нормального і успішного функціонування будь-якого бізнесу і виробництва. Зараз питання ІБ регулюється законодавчо. Для державних підприємств вимоги по забезпеченню інформаційної безпеки є обов'язковими для виконання. Для комерційних організацій ці вимоги носять рекомендаційний характер.

 

Оцінка захищеності популярних програмних продуктів

У грудні 2007 року був проведений тест за допомогою Vсirus Bulletin, який виявив низьку якість антивірусних програм.

Російські антивіруси провалили тест дослідницької лабораторії Virus Bulletin - Vb100. Незадовільні результати показали як антивірус "Лабораторії Касперського", так і "Доктор Веб". Також не пройшли тест розробки Sophos і ряду інших виробників. Якнайкращі результати показали продукти Symantec, ESET, Agnitum і F-secure. В цілому ж експерти Virus Bulletin оцінили якість сучасних засобів захисту як украй низьке, повідомляє сайт Cnews.

Грудневий тест Virus Bulletin продемонстрував низький рівень якості сучасних антивірусних продуктів. З тих, що 32 брали участь в тесті Vb100 продуктів успішно витримали випробування лише 17, причому найпопулярніші російські антивіруси - "Антивірус Касперського" і "Доктор Веб" - також опинилися в числі аутсайдерів. Але якщо продукт "Лабораторії Касперського" пропустив всього лише один вірус, то антивірус "Доктор Веб" не виявив 11 шкідливих програм, при цьому допустившись два помилкові спрацьовування.

У число інших відомих продуктів, що не пройшли тест, увійшли розробки Sophos, Avira, CA Home, РС Tools Spyware Doctor і Trend Micro. Якнайгірші результати показав Kingsoft Antivirus, що пропустив 60 вірусів. Лідерами тесту сталі програми Agnitum Outpost, Mcafee Virusscan, Bitdefender Antivirus, Microsoft Forefront, ESET Nod32, F-secure Anti-virus, Symantec Endpoint і дещо інших. В цілому ж результати виявилися незадовільними - як заявив techworld.com Джон Хоєс (John Hawes) з Virus Bulletin, "низька ефективність багатьох продуктів привела нас в стан шоку".

У "Лабораторії Касперського" свою невдачу пояснюють таким чином: "Монітор "Антівіруса Касперського" складки 7.0.0.125, що брала участь в тесті, пропустив W32/autorun!ITW#3 - шкідливий зразок з колекції In-the-wild (ITW), в той же час сканер "Антівіруса Касперського" визначає його як virus Worm.Win32.AutoIt.i". Іншими словами, пояснюють в ЛК, дана шкідлива програма визначається як архів, що самораспаковивающийся, а оскільки опція "Перевіряти інсталяційні пакети" в "Антівірусе Касперського" 7.0 не включена за умовчанням (з міркувань продуктивності ПК), то і шкідливий архів не виявляється монітором програми.

У компанії завірили, що відповідні зміни в існуючі політики безпеки вже внесені, і тепер подібні шкідливі файли детектуватимуться у будь-якому випадку. "Важливо відзначити, що захищеність користувачів, що використовують "Антівірус Касперського" 7.0, не була понижена, оскільки другий рівень комплексного захисту - поведінковий аналізатор, що входить в модуль проактивного захисту, блокує роботу даного шкідливого файлу на самому початку його роботи", - заявили в компанії. У "Доктор Веб" пообіцяли прокоментувати свої результати в тесті Vb100 найближчим часом.

Грудневий тест Vb100 перевіряв якість роботи антивірусів на платформі Windows 2000. Раніше в поточному році продукти були протестовані на SUSE Linux, Windows XP, Windows Vista x64 і Netware 6.5. Якнайкращі результати по всіх тестах показали CAT Quickheal, ESET, Mcafee і Symantec. За наслідками недавно проведеного листопадового Av-comparatives якнайкращий результат (Advanced+) показали продукти "Лабораторії Касперського" і ESET.

A тепер порівняємо різні антивіруси на основі імовірнісної оцінки їх якості.

В даний час немає недоліку в інформації про тестування антивірусів.

Як правило, всі тестування зводяться до оцінки результатів перевірки тих або інших антивірусів на деякому наборі шкідливих програм. Існує немало "колекцій" вірусів, які включають програмні модулі, схожі тільки на віруси, а насправді не здатні нанести якого було шкоди. Найчастіше це програми, які були заражені вірусом, але надалі вірус, що знаходиться в них, був стерилізований, тобто програма була видозмінена і код вірусу вже не отримує управління. Така програма вже не є шкідливим об'єктом, але містить сліди (сигнатури) присутності вірусу. Якщо вона перевіряється антивірусом з примітивними алгоритмами розпізнавання вірусу, наприклад, методом сканування тіла об'єкту, що перевіряється, на наявність якихось сигнатур, то цей "антивірус" видасть переможний клич, і його автор гордитиметься тим, що інший антивірус "пропускає" вірус. Таких прикладів можна привести величезну множину, тому якщо якість колекції не перевірена і не підтверджена незалежними фахівцями, ціна тестування на такій колекції буде не високою. Таким чином, примітивні антивіруси здаватиметься краще за досконаліші антивіруси, що уміють моделювати виконуваний код програми.

- Ще один важливий аспект полягає в тому, наскільки вибраний склад колекції вірусів адекватний існуючій загрозі. Знову ж таки існує величезна безліч колекцій, що складаються з вірусів, вірогідність попадання яких на комп'ютери дорівнює нулю. Доводиться стикатися з результатами "тестування" на колекційних вірусах, що знаходяться тільки у автора антивіруса, який дуже гордий тим, що цей набір вірусів визначає тільки його антивірус і більше ніхто! Реальна цінність такого "антивіруса" також дорівнює нулю.

Насправді дійсна цінність антивіруса полягає в його здатності запобігти атакам шкідливих об'єктів, які реально і зараз загрожують Вашому комп'ютеру. На жаль, всі існуючі методи тестування антивірусів такої оцінки дати не можуть!

Нижче пропонується методика оцінки якості антивірусів, яка заснована на обчисленні вірогідності антивіруса, протистояти атакам шкідливих об'єктам, які реально загрожували комп'ютерній системі. Чисельне значення такої оцінки можна розрахувати по формулі:

 

Pav = (Nvir - Nbad) / Nvir (1.1)

Де:

Pav - Імовірнісна оцінка якості антивіруса, чим вона ближче до одиниці, тим краще антивірус.

Nvir - Загальне число зафіксованих шкідливих об'єктів на даному комп'ютері (організації).

Nbad - Число шкідливих об'єктів, які антивірус у момент атаки не виявив.

Таблиця 1.1 містить розрахунки показника надійності (остання колонка) різних антивірусів. Як початкові дані були використані результати перевірки реакції різних антивірусів на шкідливі об'єкти, з якими реально зіткнувся автор цієї публікації в період з січня 2006 по липень 2007. Загальне число зафіксованих шкідливих об'єктів було 51. Розрахункові показники надійності різних антивірусів приведені в таблиці 1.1 об'єктів. Найбільшою мірою об'єктивність результату таких перевірок залежить від наступних аспектів:

доступність колекції вірусів або її складу авторам антивірусів;

якість колекції вірусів;

адекватність набору вірусів реальній вірусній загрозі.

Таблиця 1.1 Показники надійності антивірусів

Найменування

антивірусу Пропущено вірусів за відповідний період 2006 - 2007 років Пропущено

вірусів з

51 атаки Якість

антивіруса

10.12 - 23.02

17.05

05.06 - 13.07

12.07

17.07

21.07

24-26.07

27.07

27.07

30.07

31.07

03.08

 

DrWeb 12 1 0 0 0 0 3 0 0 1 0 0 17 0,667

Kaspersky 11 1 3 1 0 0 2 1 0 0 1 1 21 0,588

AntiVir 13 1 2 0 2 1 0 0 1 0 1 1 22 0,569

Fortinet 14 1 0 0 2 2 1 0 1 1 1 1 23 0,549

Sophos 19 1 0 0 0 1 0 0 1 1 1 0 24 0,529

BitDefender 14 1 3 0 2 1 0 1 1 1 1 1 25 0,510

McAfee 19 0 1 0 2 2 0 0 1 1 0 1 27 0,471

Ikarus 19 1 1 0 2 1 1 0 1 0 1 0 27

eSafe 15 1 4 1 1 2 3 1 1 0 0 0 28 0,451

NOD32v2 16 1 4 0 2 1 0 1 1 1 1 1 29 0,431

CAT-QuickHeal 19 0 3 0 2 2 0 1 1 0 1 1 30 0,412

ClamAV 16 0 3 1 2 2 2 1 1 1 1 1 31 0,392

VBA32 18 0 4 0 1 1 2 1 1 1 1 1 31

Sunbelt 20 1 3 0 2 2 0 1 1 0 1 1 32 0,373

Norman 21 1 1 1 1 1 3 0 1 1 1 0 32

F-Prot 16 1 4 1 2 2 3 1 1 1 1 1 33 0,353

Microsoft 26 1 1 0 0 1 0 0 1 1 1 1 33

Panda 19 1 4 0 2 2 1 1 1 0 1 1 33

Authentium 16 1 4 1 2 2 3 1 1 1 1 1 34 0,333

AVG 18 1 4 0 2 2 2 1 1 1 1 1 34

TheHacker 23 1 2 1 1 1 3 0 1 1 1 1 36 0,294

Ewido 22 1 4 1 2 1 3 1 1 1 1 1 38 0,255

Avast 25 0 4 1 2 2 0 1 1 1 1 0 39 0,235

 

Системи корпоративної електронної пошти

Система корпоративної електронної пошти - неодмінний інструмент бізнесу сучасного підприємства. Ринок корпоративних поштових систем, є одним з найбільших сегментів світового ринку програмного забезпечення, а додатки, для яких використовуються ці технології, відносяться до категорії "критично" і "життєво важливих". Досить сказати, що за даними міжнародної дослідницької компанії International Data Corporation (IDC) "середня" європейська організація витрачає близько $90000 на системи колективної роботи і $50000 на програмне забезпечення для організації електронної пошти.

Корпоративна електронна поштова система забезпечує своєчасність і високу якість ухвалення рішень, економію робочого часу і підвищення ефективності бізнес-процесів. Це досягається тим, що система забезпечує:

швидкий і універсальний спосіб обміну інформацією (повідомленнями, службовими записками, документами) усередині організації, з партнерами і клієнтами;

залучення до обговорення питань необхідного числа співробітників;

можливість планування робочого часу і організації нарад;

транспортну платформу для автоматизації документообігу.

Сьогодні технології електронної пошти у високому ступені стандартізовани на рівні базових протоколів і реалізовані у ряді промислових платформ. Лідерами серед них є системи Microsoft Exchange і IBM Lotus Domino.

Обидві системи забезпечують створення повноцінних корпоративних систем і не мають переважних технологічних переваг один перед одним. Обидва виробники постійно удосконалюють свої продукти і випускають все нові версії з покращуваними характеристиками і виправленими недоліками. Властивості системи сильно залежать від умов застосування (якість устаткування, архітектура поштової системи, необхідні функції системи, якість каналів зв'язку і так далі), що робить вибір тієї або іншої системи неоднозначним. Тому при виборі платформи на перший план виходять економічні і організаційні чинники: ступінь готовності до використання тієї або іншої платформи (наявність навченого персоналу, досвіду експлуатації, певних інвестицій в ту або іншу платформу), перспективи подальшого розвитку системи електронної пошти і інформаційної системи в цілому, сумісність системи електронної пошти з рештою компонентів інформаційної системи і так далі.

Система електронної пошти тісно інтегрована в інформаційну систему підприємства, і для коректного порівняння-вибору необхідне зіставлення всієї сукупності програм для автоматизації інформаційної роботи, від яких залежить ефективність роботи користувачів. Велику увагу слід приділити сполученню з системою антивірусного захисту, оскільки частка вірусів, що передаються через поштові повідомлення, складає на сьогоднішній день 80% від загального числа. При побудові захисту корпоративних систем компанія IBS спирається на Сертифікований центр технічної підтримки Symantec, що діє в її стінах.

Створення крупної поштової системи є складним і трудомістким завданням. У міру зростання кількості співробітників і територіальною распределенності офісів ефективне рішення даної задачі під силу лише професіоналам з високою кваліфікацією і практичним досвідом. На перше місце виходить організоване і кваліфіковане проектування, що враховує питання надійності, розподіли навантаження, резервування даних і основних функцій системи, а також створення системи експлуатації, навчання обслуговуючого персоналу і користувачів системи. Компанія IBS володіє обширною практикою, тому проектування і впровадження такої системи може бути проведене у відносно короткі терміни, а переваги для бізнесу очевидні і починають виявлятися практично відразу.

Компанія IBS має в своєму розпорядженні штат кваліфікованих фахівців і практичний досвід реалізації корпоративних систем електронної пошти на базі різних платформ. Ми пропонуємо замовникам послуги з проектування і впровадження корпоративних поштових систем, покликаних підвищити ефективність роботи підприємства, побудованих на базі як Microsoft Exchange, так і IBM Lotus. Фахівці компанії починають знайомство з новими продуктами з перших beta-версій продуктів, задовго до виходу в світ комерційних версій, що дозволяє ретельно вивчити нововведення, особливості продуктів, протестувати рішення в тестовій лабораторії. Це дозволяє пропонувати нашим клієнтам сучасні і апробовані рішення, що пройшли експертизу створеного в компанії Центру компетенції Microsoft.

 

Система електронної пошти Microsoft Exchange.

Фахівці компанії Microsoft постаралися якомога повніше врахувати побажання і пропозиції ІТ-спеціалістів, що експлуатують системи Exchange, а також доклали серйозні зусилля для зниження витрат на оновлення існуючих поштових систем і скорочення сукупної вартості володіння. Нові технології резервного копіювання даних в режимі online і гнучкі засоби вибіркового відновлення поштових скриньок і окремих повідомлень дозволяють значно спростити і здешевити обслуговування поштових серверів Microsoft. Завдяки новим механізмам зберігання і обробки електронних повідомлень, один сервер Exchange 2003 може використовуватися для підтримки більшого числа користувачів в порівнянні з системами попередніх версій, що відкриває нові перспективи для консолідації поштових серверів підприємства і централізації управління ними. Компанія Microsoft також пропонує вичерпний набір інструментів для плавного і безболісного перенесення існуючих поштових систем Exchange 5.5 на свою нову платформу.

Exchange 2003 - це рішення, масштабоване для потреб крупних підприємств, з сучасним набором можливостей:

підтримка Imap/messaging API (MAPI);

підтримка Web-клиента;

підтримка клієнта Outlook;

доступ до мобільних пристроїв;

швидке резервування і відновлення багатопримірникової бази даних;

єдина точка зберігання даних;

резервування в оперативному і автономному режимах;

вдосконалений інструментарій адміністратора;

можливості централізованого адміністрування всієї організації;

інтегроване антивірусне сканування;

засоби боротьби із спамом;

кластеризація.

Exchange Server 2003 забезпечує створення сучасної і гнучкої інфраструктури доставки повідомлень, що дозволяє співробітникам діставати доступ до електронної пошти завжди і скрізь. Новий поштовий клієнт Outlook 2003, що входить до складу Exchange Server 2003, не тільки пропонує вдосконалені засоби обробки електронних листів, але і оптимізований для ефективної роботи в умовах низькошвидкісного або нестабільного зв'язку, наприклад при використанні комутованих з'єднань або мереж GPRS. Outlook Web Access 2003 – новий інструмент для доступу до серверів Exchange за допомогою браузера – тепер практично не відрізняється від Outlook 2003 на вигляд, а значно розширений набір функцій перетворює його на могутній і зручний засіб для роботи з корпоративною поштою з будь-якої точки Інтернету.

Ця версія Exchange також пропонує вбудовану підтримку широкого спектру компактних мобільних пристроїв, таких як КПК і смартфони.

 

Система електронної пошти IBM Lotus Domino.

Поштовий сервер Domino Mail Server надає передачі повідомлень і спільної роботи, що ведуть в галузі засобу, включаючи бази даних дискусій, інтегрований доступ до Інтернету, функції ведення календаря і групового планування. Вбудовані інструментальні засоби оновлення дозволяють користувачам швидко досягти високої продуктивності роботи. Крім того, завдяки комплексним і інтуїтивно зрозумілим інструментальним засобам адміністрування сервером Domino дуже просто управляти – незалежно від того, чи розгортається він в знов створеній компанії або на крупному підприємстві з великою кількістю видалених серверів. Підтримка найпоширеніших стандартів Інтернету і найширшого спектру клієнтів – HTTP, IMAP, Pop3, що веде в галузі клієнта Notes, а також пристроїв PDA і інтелектуальних телефонів – дозволяє дістати доступ до захищених засобів передачі повідомлень через інтернет у будь-який час і з будь-якого місця.

У вересні 2003 року компанія IBM представила новий реліз своєї клієнт-серверної системи для колективної роботи Lotus Notes & Domino 6.5, в яку упроваджена нова технологія взаємодії Lotus Workplace, що дозволяє дістати доступ до додатків і можливостей середовища Workflow з єдиної точки входу. Крім того, в реліз 6.5 включені наступні можливості:

- інтегровані служби Lotus Instant Messaging і Web Conferencing, що раніше входять до складу Lotus Sametime;

- антиспамер для електронної пошти;

- захищений доступ для Domino Web Access;

- можливість розробки в середовищі Lotus з використанням Java/corba класів;

- сумісність з Linux на платформах IBM zseries для серверів і підтримка доступу в Web через браузер Mozilla для робочих станцій.

Кількість підтримуваних платформ Lotus - як і раніше поза конкуренцією. Система може працювати на Windows 95/98/NT/2000/XP/Vista, Linux, HP-UX, Solaris, AIX, Os/400 і Os/390.

 

Постановка задачі

Для більшості компаній сьогодні корпоративна поштова система виконує критично важливі для бізнесу функції, надаючи сервіси для отримання і передачі інформації, організації зустрічей, постановки і контролю над виконанням завдань.

Часто поштова система є основним інструментом для координації взаємодії співробітників компанії між собою, а також з партнерами і клієнтами.

Тому стійка, безперебійна робота і доступність поштової системи, а також збереження передаваної інформації особливо важливі для бізнесу.

Вимоги до корпоративної поштової системи:

- цілодобова працездатність;

- швидкодія;

- доступність у філіях і для мобільних користувачів;

- збереження і конфіденційність інформації;

- захист від вірусів;

- високий рівень захисту від спаму.

 

Захист поштових серверів корпоративних клієнтів

Організація захисту корпоративних клієнтів (інакше кажучи, юридичних осіб) може бути організована двома різними способами - провайдером або безпосередньо самою компанією. Для того, щоб розглянути варіанти захисту, необхідно визначити способи організації поштових серверів. Отже:

- поштовий сервер знаходиться на території компанії, встановлений на фізичному сервері, підключений до Інтернету і підтримується системним адміністратором;

- поштовий сервер розміщується на фізичному сервері, що належить компанії або що орендується у провайдера, і знаходиться на технологічному майданчику провайдера, при цьому провайдер не має доступу до управління сервером;

- поштовий сервер розміщується на фізичному сервері, що орендується у провайдера у виділеному режимі (сервер орендований виключно під поштову систему даної компанії) або режимі, що розділяється (поштовий сервер надається декільком компаніям).

У всіх варіантах повинні вирішуватися проблеми спаму, вірусів, здійснюватися резервне копіювання, моніторинг, адміністрування як поштового сервера, так і устаткування, тобто забезпечуватися безвідмовна робота поштової системи. Різниця лише в тому, що по-перше двох випадках це лягає на плечі компанії, а третьому - на плечі провайдера. Часто ефективним рішенням може бути саме аутсорсинг - передача даній функції цілком сторонньому постачальникові або провайдерові.

Таким чином, проект корпоративної поштової системи повинен забезпечувати:

- організацію єдиної корпоративної поштової системи;

- забезпечення її відмовостійкоcті;

- підтримка працездатності системи;

- забезпечення доступу до пошти мобільних користувачів;

- скорочення витрат на зміст.

 

Аналітична частина

Організаційна характеристика ООО "Інвестпроект"

У дипломній роботі досліджуваним підприємством вибрана торгово-сервісна компанія «Інвестпроект» м. Київ, яка здійснює свою діяльність на українському ринку з 1995 року.

В основному вся діяльність підприємства пов'язана з розробкою, закупівлею і продажем систем водо і теплопостачання.

Розглянемо докладніше ті види діяльності, якими займається «Інвестпроект»:

1. продаж (водолічильники, фільтри, засувки, люки для оглядових колодязів, гідранти пожежники, сполучні вузли ДРК і ПФРК, коліна, переходи, трійники, муфти, зворотні клапани, кульові крани, затвори, вантузи і інше);

2. розробка і впровадження систем обліку енергоресурсів ( для систем холодного водопостачання, для систем гарячого водопостачання, - для парових систем, для природного і технічних газів, для систем електропостачання);

3. розробка систем автоматизації центральних і індивідуальних теплових пунктів і комплектація систем, що розробляються, засобами автоматизації.

4. обстеження і розробки проектної документації;

5. узгодження проектів з енергозабезпечуючою організацією;

6. постачання технічних засобів для реалізації систем обліку енергоресурсів;

7. монтаж технічних засобів;

8. наладка, пуск і здача в експлуатацію системи обліку;

9. гарантійне і сервісне обслуговування системи обліку енергоресурсів.

Окрім цього підприємство здійснює комплектацію систем обліку енергоресурсів різними датчиками, а також доставкою замовленого устаткування в будь-яку точку України.

Замовниками для підприємства можуть бути як юридичні так і фізичні особи, наприклад різні комунальні, будівельні компанії і так далі

На мал. 2.1 приведена організаційна структура управління «Інвестпроект».

 

ООО «Інвестпроект» очолює генеральний директор, який вирішує в основному управлінські питання, а також питання стратегічного характеру. Він контролює діяльність всіх відділів. Також в його компетенції питання руху фінансових потоків.

Закупівлею товарів займається відділ постачання. У його функції також входить пошук нових постачальників з вигіднішими умовами постачання. Цей відділ вирішує питання закупівлі по всьому асортименту. Закупівля проводиться на підставі заявок покупців, оформленими менеджерами.

У відділ збуту входять менеджери, які займаються безпосередньо клієнтами. Кожен менеджер має совою базу клієнтів, з якими він працює. Він укладає договори, обговорює терміни, умови постачання і оплати товару; здійснює прийом замовлень від покупців. Збільшує свою базу клієнтів за рахунок пошуку нових.

Відділ бухгалтерії включає три підвідділи: це головний бухгалтер, виписка і каса.

Головний бухгалтер веде бухгалтерський облік, робить баланс, різні зустрічні звірки, рахує всі податки і вирішує питання, що виникають у відділах, що знаходяться в його підпорядкуванні.

Касир займається розподілом наявних засобів фірми (видача заробітної плати, виділення засобів на господарські потреби, видача відряджень і так далі)

Основні завдання відділу кадрів - це робота з кадрами.

У відділ безпеки входять: начальник охорони, який відповідає за безпеку об'єкту і пропускною системою; системний адміністратор, обов'язком якого є збереження інформаційної безпеки і забезпечення функціональності обчислювального комплексу.

Головний інженер керує роботою технічних служб підприємства, несе відповідальність за виконання плану, випуск високоякісної продукції, використання новітньої техніки і технології. У нього підвідомчі відділи:

- виробничий

- технічного контролю

- техніки безпеки.

 

Програмне забезпечення підприємства

Недавно на підприємстві було ухвалено рішення про повсюдну автоматизацію діяльності.

Спочатку було придбано 25 персональних комп'ютерів і один сервер. Їх об'єднали в локальну однорангову мережу. Комп'ютери розположені по відділах і у генерального директора.

Технічні характеристики, комп'ютерів, що є на підприємстві, приведені в таблиці 1.1.

 

Таблиця 2.1 – Технічні характеристики компьютерів підприємства.

Опис характеристики Характеристики

Конфігурація системного блоку

Материнська плата

Процесор Pentium ІV

Оперативна пам'ять 1024 Mb

Ємкість НЖМД 250 Gb

DVD-RW привід 32х

Монітор

Розмір екрану 19’’

Принтер

Тип Лазерний

Формат А4

 

Оскільки комп'ютери були куплені партією - всі вони мають однотипну конфігурацію, що в принципі дозволило заощадити засоби при покупці, а також полегшити роботу по їх обслуговуванню.

На всіх комп'ютерах, окрім сервера встановлена операційна система Windows XP, на сервері - Windows 2003 Server. Також на кожному комп'ютері встановлений пакет офісних програм Microsoft Office 2003, який включає в себе Microsoft Access.

У нинішній момент керівництво підприємства приймає вирішення про автоматизацію всієї діяльності підприємства, в т.ч. і вибір програмного забезпечення для цих цілей.

За інформаційну безпеку на підприємстві відповідальний системний адміністратор. Який вирішує проблеми збереження і захисту інформації.

Також недавно підприємсто закупило програмне забезпечення для автоматизації ведення своєї діяльності. Воно представляє собою базу даних у Microsoft SQL Server 2005 з середовищем користувача розробленим з допомогою Delphi.

 

Політика безпеки компанії при роботі в Internet

Як правило, керівники вітчизняних підприємств розглядають проблему захисту конфіденційної інформації переважно з технічної точки зору. При цьому вирішення проблеми зв'язується з придбанням і налаштуванням відповідних апаратно-програмних засобів захисту інформації. Проте для ефективної організації режиму інформаційної безпеки компанії цього недостатньо.

Сучасний ринок засобів захисту інформації можна умовно розділити на дві групи:

- засоби захисту для держструктур, що дозволяють виконати вимоги нормативно-правових документів;

- засоби захисту для комерційних компаній і структур.

Наприклад, для захисту конфіденційної інформації в органах виконавчої влади пред'являються наступні вимоги:

1. Вибір конкретного типу підключення до мережі Інтернет, що в сукупності забезпечує міжмережеве екранування з метою управління доступом, фільтрації мережевих пакетів і трансляції мережевих адрес для утаєння структури внутрішньої мережі; проведення аналізу захищеності вузла Інтернет; використання засобів антивірусного захисту;

2. АС організації повинні забезпечувати захист інформації від НСД (несанкціонованого доступу)

3. Засоби обчислювальної техніки і програмні засоби АС повинні задовольняти вимогам захищеності.

4. Програмно-апаратні засоби міжмережевого екранування, вживані для ізоляції корпоративної мережі від мереж загального користування.

5. Інформаційні системи повинні задовольняти вимогам по захищеності інформационих систем в рамках заданих профілів захисту.

6. Програмно-апаратні засоби криптографічного захисту конфіденційної інформації, зокрема використовувані для створення віртуальних захищених мереж, VPN повинні мати сертифікати.

7. Обов'язковим є використання електронно-цифрофого підпису для підтвердження достовірності документів.

8. Для введення використання персональних цифрових сертифікатів і підтримки інфраструктури відкритих ключів для використання засобів ЕЦП і шифрування необхідно створити легітимний засвідчуючий центр (систему засвідчуючих центрів).

9. Політика інформаційної безпеки повинна передбачати обов'язкове включення в технічні завдання на створення комунікаційних і іформационних систем вимог інформаційної безпеки.

10. Має бути регламентований порядок введення в експлуатацію нових інформаційних систем, їх атестації по вимогах інформаційної безпеки.

Для виконання перерахованих вимог і належного захисту конфіденційної інформації в держструктурах прийнято використовувати сертифіковані засоби. Наприклад, засоби захисту від несанкціонованого доступу (НСД), міжмережеві екрани і засоби побудови VPN, засоби захисту інформації від витоку за рахунок ПЕМІН та інші. Зокрема, для захисту інформації від НСД рекомендується використовувати апаратно-програмні засоби сімейств Secret Net («Інформзахист»), Dallas Lock («Конфідент»), «Акорд» (ОКБ САПР), електронні замки «Соболь» («Інформзахист»), Usb-токени («Аладдіна») та інші. Для захисту інформації, передаваної по відкритих каналах зв'язку рекомендовані апаратно-програмні міжмережеві екрани з функціями організації VPN, наприклад, Firewall-1/vpn-1» (Check Point),«"застава («Елвіс+»), Vipnet («Інфотекс»), «Континент» («Інформзащита»), Фпсн-ip («АМІКОН») та інші.

Засоби захисту інформації для комерційних структур більш багатообразні, серед них:

- засоби управління оновленнями програмних компонент АС;

- міжмережевого екранування;

- побудови VPN;

- контролю доступу;

- виявлення вторгнень і аномалій;

- резервного копіювання і архівації;

- централізованого управління безпекою;

- запобігання вторгненням на рівні серверів;

- аудиту і моніторингу засобів безпеки;

- контролю діяльності співробітників в мережі Інтернет;

- аналізу вмісту поштових повідомлень;

- аналізу захищеності інформаційних систем;

- захисту від спаму;

- захисту від атак класу «Відмова в обслуговуванні»;

- контролю цілісності;

- інфраструктура відкритих ключів;

- посиленій аутентифікації та інші.

 

Дамо коротку характеристику перерахованим засобам захисту.

Засоби управління оновленнями. Впровадження засобів управління оновленнями програмних компонент АС, наприклад Microsoft Software Update Services, дозволяє зменшити об'єм Інтернет-трафіку компанії в цілому. Оскільки стає можливим організувати і котроліровать необхідні оновлення програмних компонент АС компанії з однієї крапки - виділеного внутрішнього сервера. При цьому підприємство отримує наступні переваги:

- зменшуються витрати по оплаті трафіку;

- збільшується надійність функціонування програмних компонент АС;

- зменшується час на технічну підтримку і супровід програмних компонент АС;

- підвищується захищеність АС в цілому, зокрема, зменшується кількість інцидентів, пов'язаних з вірусами і

ворожими аплетами.

Засоби міжмережевого екранування. Міжмережеві екрани (брандмауери) використовуються як засоби захисту від несанкціонованого доступу периметра мережі і основних критичних компонент АС. Міжмережеві екрани (МЕ) дозволяють забезпечувати захист на рівні доступу до компонентів і мережі в цілому (MAC-адреса), на мережевому рівні (контроль IP-адресов), на транспортному рівні ("машини станів" основних протоколів), на прикладному рівні (проксі-системи). Характеристики ринку МЕ представлені на мал. 2.2.

 

Засоби побудови VPN. Засоби побудови віртуальних приватних сетей,vpn, використовуються для організації для захисту трафіку даних, передаваних по відкритих каналах зв'язку. При цьому захист організовується на фізичному рівні (захист кабелів, екранізація наведень), на мережевому рівні (наприклад, шифрування трафіку від комп'ютера до комп'ютера на основі протоколу Ipsec), на транспортному рівні (наприклад, шифрування даних, передаваних одним застосуванням іншому (на іншому комп'ютері) на основі протоколу SSL), на прикладному рівні (наприклад, шифрування даних додатком самостійно). На мал. 2.3 представлена оцінка ринку SSL VPN.

 

Засоби контролю доступу. Поява засобів контролю доступу обумовлена необхідністю регламентувати доступ безлічі користувачів до додатків і інформаційних ресурсів компанії. Дані засоби здійснюють аутентифікацію (точне пізнання) тих, що підключаються АС користувачів і процесів, авторизацію (наділ певними повноваженнями) користувачів і процесів. Стан ринку засобів контролю доступу представлений на мал 2.4.

 

Засоби виявлення вторгнень і аномалій. Засоби виявлення вторгнень, IDS (Intrusion Detection Systems) і аномалій дозволяють за допомогою деякого регламенту перевірок контролювати полягання безпеки корпоративної мережі в реальному масштабі часу. Загальний аналіз ринку систем виявлень і аномалій представлений на мал. 2.5.

 

Засоби резервного копіювання і архівації. Засоби резервного копіювання і архівації застосовуються для забезпечення цілісності сховищ даних у випадках апаратних і програмних збоїв, помилкових дій адміністраторів і користувачів, а також відмов засобів обчислювальної техніки. Поточний стан ринку систем резервування представлений на мал. 2.6.

 

Засоби централізованого управління безпекою. Засоби централізованого управління інформаційною безпекою дозволяють ефективно створювати, перевіряти і підтримувати технічні політики безпеки програмних компонент АС. Наприклад, система централізованого управління Cisco Works Vpn/security Management Solution дозволяє контролювати і управляти політиками безпеки наступних пристроїв безпеки компанії Cisco Systems:

- Cisco PIX Firewall;

- Cisco VPN Router;

- Cisco IDS 4200;

- Cisco Security Agent.

 

Засоби запобігання вторгненням на рівні серверів. Оскільки сервера компанії зазвичай є основною метою атак зловмисників (на них обробляється основна частина конфіденційної інформації компанії), то необхідно використовувати засоби запобігання вторгненням на рівні серверів, наприклад, Cisco Security Agent. Інші можливі рішення представлені на мал. 2.7.

 

Засоби моніторингу безпеки. Велику кількість засобів забезпечення інформаційної безпеки (міжмережеві екрани, системи виявлення вторгнень, маршрутизатори, засоби створення віртуальних приватних мереж, журнали безпеки серверів, системи аутентифікації, засобу антивірусного захисту і т. д.) генерує величезна кількість повідомлень. Для успішного моніторингу і управління цими засобами рекомендується використовувати відповідні засоби аудиту безпеки, наприклад Cisco Security Information Management Solution. Інші рішення можна побачити на мал. 2.8.

 

Засоби контролю діяльності співробітників в Internet. В даний час одній з серйозних проблем в роботі вітчизняних служб безпеці є запобігання спробам використання Internet-ресурсов компанії в особистих цілей (завантаження відео, аудіо, картинок, неліцензійного програмного забезпечення). За статистикою, нецільове використання мережі Інтернет приводить до втрати продуктивності співробітників компанії приблизно на 30-40% (згідно данним виробника засобів захисту Surfcontrol) (мал. 2.9).

 

Для попередження названих дій рекомендується встановлювати відповідні засоби, наприклад Websense, які дозволяють аналізувати і формувати звіти по використанню співробітниками компанії ресурсів Internet, контролювати використання співробітниками програмного забезпечення на своїх робочих місцях, а також проводити аналіз мережевої активності і пропускної спроможності мережі компанії в цілому.

Засоби аналізу вмісту поштових повідомлень. Засоби аналізу вмісту поштових повідомлень призначені для виявлення і запобігання передачі конфіденційній інформації за допомогою корпоративної електронної пошти. В даний час на вітчизняному ринку засобів захисту інформації є такі системи, зокрема «Дозор-Джет» компанії «Інфосистеми Джет і Maile Swipper компанії «Інформзахист».

Засоби аналізу захищеності. Аналіз захищеності АС є одним з ключових аспектів побудови надійної системи забезпечення інформаційної безпеки підприємства і заснований на застосуванні сканерів безпеки. На ринку комерційних сканерів можна виділити чотири основні групи виробників сканерів - постачальники рішень згідно 7-рівневої моделі OSI:

- прикладного рівня - 1 рівень моделі OSI (зверху вниз);

- представницького рівня - 2 рівень OSI;

- сеансового рівня і нижче - 3-5 рівнів OSI;

- мережевого рівня - 6-7 рівнів OSI.

 

Див. малюнок 2.10. Перша група (Application Security, Pentest, NGS SQUIRRD, DB Scanner ISS та інші) пропонують сканери прикладного рівня (додатки, розподілені БД, системи електронного документообігу, ERP та інші). Серед них виділяється компаніїя Application Security (www.appsecinc.com), яка пропонує рішення для Oracle, MS SQL, Sybase, Db2 IBM, MYSQL, Lotus Notes, тобто практично всіх основних лідерів і постачальників вирішень електронного обороту, ERP, CRM.

 

Друга група (KAVADO, Sanctum, Spidinamics) пропонує послуги і продукти для сканування представницького рівня.

Третя група (Foundstone, ISS, E. Eye, Nessus, Retina, NETIQ, Xpider) пропонує вирішення для 3-5 рівнів моделі OSI. Популярні в Росії сканери сімейства ISS, а також сканери Nessus, Retia, Xpider.

Четверта група (Network Associates, Symantec) пропонує рішення переважно для 6-7 рівнів моделі OSI. Основною особливістю комерційних сканерів, що найбільш продаються і використовуваних, є способностюк як мінімум щонеділі оновлювати бази даних уязвімостей, взамодействія з найбільшими центрами по збору нових уязвімостей, а також з провідними виробниками мережевого устаткування і програмного забезпечення.

Засоби захисту від спаму. В Україні об'єм спаму в повідомленнях електронної пошти досяг 60%. Співробітникам доводиться витрачати свій робочий час, а це гроші підприємства, на проглядання таких повідомлень, їх видалення, налаштування правив по нейтралізації. Спам також містить програми типу «Троянський кінь», програми-шпигуни (spyware) і віруси. Для запобігання отриманню повідомлень, що містять спам, можна використовувати один з продуктів наступних фірм: Symantec (використовує технологію фірми Brightmail), Trend Micro (технологія фірми Postini) або "Лабораторія Касперського". (мал. 2.11)

 

Засоби захисту від атак «Відмова в обслуговуванні». Також великі збитки підприємствам наносить реалізація атак «Відмова в обслуговуванні». Для захисту від такого виду атак рекомендується використовувати, наприклад, продукцію компанії Riverhead, яка була придбана компанією Cisco Systems і продається під торговою маркою Cisco Guard XT 5650 і Cisco Traffic Anomaly Detector XT 5600.

 

Засоби контролю цілісності. Внесення некоректної зміни в конфігурації сервера або маршрутизатора може привести до виходу з ладу важливого сервісу або цілої мережі. Дуже важливо попередити і відстежити несанкціоновані зміни на порталі підприємства. Для попередження і швидкого реагування на таку ситуацію необхідно мати спосіб відстежування всіх вироблюваних змін. Дану можливість надає серія продуктів компанії Tripwire.

Інфраструктури відкритих ключів. Впровадження інфраструктури відкритих ключів дуже трудомістке завдання, що вимагає ретельного опрацьовування і аналізу. При рішенні цієї задачі реомендуєтся використовувати продукти компанії RSA Security (Keon) і Кріптопро (Кріптопровайдер), зберігання сертифікатів здійснювати на апаратних пристроях Aladdin USB etoken.

Засоби посиленої аутентифікації. На критичних елементах мережевої інфраструктури рекомендується реалізувати систему посиленої аутентифікації на базі продукту Cisco Secure Access Control Server з використанням системи одноразових паролів RSA Security SECURID.

 

Ризики, пов`язані з використанням електронної пошти

Електронна пошта володіє численними перевагами, але саме із-за цих переваг виникають основні ризики, пов'язані з її використанням. Наприклад, доступність електронної пошти перетворюється на недолік, коли користувачі починають застосовувати пошту для розсилки спаму, легкість у використанні і безконтрольність приводить до просочувань інформації, можливість пересилки різних форматів документів — до розповсюдження вірусів і так далі

Зрештою будь-який з цих ризиків може привести до серйозних наслідків для компанії. Це і втрата ефективності роботи, і зниження якості послуг інформаційних систем, і розголошування конфіденційної інформації. Недостатня увага до даної проблеми загрожує значними втратами в бізнесі, а в деяких випадках навіть притяганням до юридичної відповідальності у зв'язку з порушенням законодавства.

Компанія піддається даним ризикам через ряд властивостей електронної пошти. Наприклад, завдяки застосуванню MIME-стандарта електронна пошта може переносити великі об'єми інформації різних форматів даних у вигляді прикріплених до повідомлень файлів. Такою можливістю відразу скористалися зловмисники. Гідність електронної пошти перетворилася на загрозу, оскільки електронна пошта почала бути практично ідеальним середовищем для перенесення різного роду "небезпечних" вкладень, а саме комп'ютерних вірусів, шкідливих програм, "троянських" програм і тому подібне. Якщо належний контроль за використанням електронної пошти не забезпечений, це може привести до надзвичайно серйозних наслідків і навіть завдати непоправного збитку. Позбавитися від даного рисзику можна лише шляхом блокування листів з "небезпечними" вкладеннями, а також антивірусної перевірки прикріплених файлів. На практиці ж оптимальним засобом може виявитися блокування певних типів файлів. Це, як правило, виконувані файлы(exe, com, bat) і файли, що містять макроси і OLE-объекты (файли, створені в додатках MS Office).

 

Серйозну небезпеку для корпоративної мережі представляють різного роду атаки з метою "засмічення" поштової системи. Це, насамперед, пересилка як вкладення в повідомленнях електронної пошти файлів великих об'ємів або файлів, що багато разів заархівували. "Відкриття" таких файлів або спроба "розвернути" архів може привести до "зависання" системи. При цьому однаково небезпечні як умисні атаки цього типу, наприклад, "відмова в обслуговуванні" (Denial of Service) і "поштові бомби" (mail-bombs), так і "ненавмисні", коли користувачі відправляють електронні листи з вкладеннями великого об'єму, просто не подумавши про те, до яких наслідків може привести відкриття подібного файлу на комп'ютері адресата. Дієвий спосіб позбавитися від "засмічення" поштової системи і її перевантаження — фільтрація за об'ємом передаваних даних, по кількості вкладень в повідомлення електронної пошти і глибині вкладеності файлів, що архівуються.

Іншою особливістю електронної пошти є її доступність і простота у використанні. Багато в чому результатом цього стало широке і повсюдне застосування цього виду сервісу Інтернет. Стихійність розвитку і відсутність єдиних правил функціонування поштового сервісу привели до неконтрольованого використання електронної пошти, а у зв'язку з цим, і до виникнення цілого ряду ризиків, пов'язаних з некерованою циркуляцією електронної пошти в мережі.

Відсутність контролю над поштовим потоком, як правило, стає причиною того, що співробітники компанії використовують електронну пошту в цілях, не пов'язаних з діяльністю компанії (наприклад, для обміну відео-файлами і графікою, приватного листування, ведення власного бізнесу з використанням поштових ресурсів компанії, розсилки резюме в різні організації і тому подібне). Це приводить до різкого падіння продуктивності праці в цілому по компанії, оскільки результатом такої діяльності співробітників є:

- Зниження продуктивності роботи інформаційної системи (збільшення об'єму неділового трафіку);

- Зниження продуктивності роботи окремого співробітника (невиправдана втрата робочого часу);

- "Засмічення" ресурсів інформаційної системи (заняття дискового простору під неділову пошту).

Крім того, до такого ж результату може привести непродуктивне використання поштових ресурсів в трудовій діяльності співробітників (наприклад, надмірне захоплення поштовим листуванням у випадках, коли необхідності в такому листуванні немає, використання електронної пошти не за призначенням і тому подібне). Причиною цього, як правило, є відсутність в компанії правил, що регламентують використання системи електронної пошти. Наслідками непродуктивного використання поштового сервісу є зниження продуктивності праці в компанії, а також зайві фінансові витрати. Заощадити засоби в значній мірі допоможе проведення аналізу ефективності використання системи електронної пошти, який грунтується на базі статистичних даних про функціонування системи. Подібну статистику можливо отримати лише у разі ведення архіву електронної пошти. Обробка інформації, що міститься в архіві, дозволяє отримувати звіти про різні параметри електронної пошти, її об'єми і структуру, представити наочну картину використання поштового трафіку співробітниками компанії, а це, у свою чергу, допоможе запобігти використанню електронної пошти, незв'язаному з діяльністю компанії, і підвищити ефективність роботи корпоративної по


Переплет дипломов
Главная Новости О компании Наши услуги Цены Способы оплаты Авторам Вопрос-ответ Карта сайта Контакты
Партнеры: "ЦОДНТИ" "Первая Переплетная Мастерская""ЮТЭК"
Academic Journal Catalogue (AJC)