Подсистема обеспечения безопасного межсетевого взаимодействия

Подсистема обеспечения безопасного межсетевого взаимодействия предназначена для выявления и предотвращения распространения сетевых и вирусных атак в защищаемом сегменте сети.

Подсистема обеспечивает выполнение следующих функций:

· фильтрацию на сетевом уровне независимо для каждого сетевого пакета (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);

· фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

· фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;

· фильтрацию с учетом любых значимых полей сетевых пакетов;

· регистрацию и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);

· идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;

· регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);

· контроль целостности своей программной и информационной части;

· регистрацию запуска программ и процессов (заданий, задач);

· восстановление свойств межсетевого экрана после сбоев и отказов оборудования;

· регламентное тестирование реализации правил фильтрации, процесса регистрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.

Описание технического решения

На АРМ производится установка программного модуля персонального межсетевого экрана «Security Studio Endpoint Protection».

Трафик фильтрованный межсетевым экраном попадает в модуль, в котором происходит выявление аномальной активности. Инспектирование трафика проводится на 2-7 уровнях модели OSI, что позволяет производить полный анализ всех сетевых пакетов. Данный модуль призван идентифицировать, классифицировать и блокировать нежелательный сетевой поток, до того как подобный поток окажет отрицательное воздействие на работоспособность защищаемой сети. Своевременное предотвращение сетевой атаки еще до проникновения злоумышленника через межсетевой экран и до попадания в защищаемую сеть, позволяет описанный подход.

Дополнительные меры защиты

Для защиты от утечки информации по каналам реализации угроз, не устраненных применением описанных выше подсистем, на АРМ применяются следующие дополнительные меры защиты:

- автоматическая проверка на наличие вредоносных программ (вирусов) или последствий их воздействий при импорте в ИСПДн всех программных модулей (прикладных программ), которые могут содержать вредоносные программы, по их типовым шаблонам и с помощью эвристического анализа;

- механизмы автоматического блокирования обнаруженных вредоносных программ и вирусов путем их удаления из программных модулей или уничтожения;

- регулярное выполнение проверки на предмет наличия вредоносных программ и вирусов в средствах защиты.