Подсистема обеспечения безопасного межсетевого взаимодействия предназначена для выявления и предотвращения распространения сетевых и вирусных атак в защищаемом сегменте сети.
Подсистема обеспечивает выполнение следующих функций:
· фильтрацию на сетевом уровне независимо для каждого сетевого пакета (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);
· фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
· фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;
· фильтрацию с учетом любых значимых полей сетевых пакетов;
· регистрацию и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);
· идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;
· регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);
· контроль целостности своей программной и информационной части;
· регистрацию запуска программ и процессов (заданий, задач);
· восстановление свойств межсетевого экрана после сбоев и отказов оборудования;
· регламентное тестирование реализации правил фильтрации, процесса регистрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.
Описание технического решения
На АРМ производится установка программного модуля персонального межсетевого экрана «Security Studio Endpoint Protection».
Трафик фильтрованный межсетевым экраном попадает в модуль, в котором происходит выявление аномальной активности. Инспектирование трафика проводится на 2-7 уровнях модели OSI, что позволяет производить полный анализ всех сетевых пакетов. Данный модуль призван идентифицировать, классифицировать и блокировать нежелательный сетевой поток, до того как подобный поток окажет отрицательное воздействие на работоспособность защищаемой сети. Своевременное предотвращение сетевой атаки еще до проникновения злоумышленника через межсетевой экран и до попадания в защищаемую сеть, позволяет описанный подход.
Дополнительные меры защиты
Для защиты от утечки информации по каналам реализации угроз, не устраненных применением описанных выше подсистем, на АРМ применяются следующие дополнительные меры защиты:
- автоматическая проверка на наличие вредоносных программ (вирусов) или последствий их воздействий при импорте в ИСПДн всех программных модулей (прикладных программ), которые могут содержать вредоносные программы, по их типовым шаблонам и с помощью эвристического анализа;
- механизмы автоматического блокирования обнаруженных вредоносных программ и вирусов путем их удаления из программных модулей или уничтожения;
- регулярное выполнение проверки на предмет наличия вредоносных программ и вирусов в средствах защиты.