Административные меры

3.1 Административные меры

Защита информации подразумевает использование трех основных критериев: достоверности, конфиденциальности и доступности.

Достоверность означает, что защищаемые данные не претерпели изменений (в результате передачи или умышленного модифицирования) с момента создания до момента их просмотра. Достигается, главным образом, при помощи электронной подписи.

Конфиденциальность – невозможность прочитать данные посторонними, даже если и произошла утечка информации (применение криптозащиты).

Доступность (актуальность) – это возможность получить необходимую информацию в любой необходимый момент со всеми изменениями на этот момент.

Как показывает исторический опыт, основная угроза по преодолению системы защиты заключается в человеческом факторе, т.е. возможности получения информации от человека, имеющего доступ к секретной информации, или несоблюдении установленных правил безопасности. При построении системы защиты (СЗ) необходимо, в первую очередь, учесть возможность утечки защищаемой информации или средств к ее доступу со стороны персонала, имеющего доступ к этой информации. Первое решается путем тщательной подборкой кадров, второе – созданием такой системы защиты, при которой один человек не может получить неограниченный доступ к информации, подлежащей сокрытию, или к значительной ее части (вплоть до введения нескольких должностей администраторов с разными правами).

Значение четких правил зачастую недооценивают. Вместе с тем, они являются самым дешевым (почти ничего не надо приобретать) способом защитить свою сеть. Кроме того, без них использование программных средств защиты просто будет бессмысленным, а также не стоит забывать:

·          стоимость защиты не должна превышать стоимости защищаемой информации, иначе это будет просто выброс денег;

·          стоимость преодоления установленной защиты должна превышать стоимость защищаемой информации. В противном случае такая защита не спасет, или затраты времени будут столь велики, что при успешном преодолении СЗ, полученная информация потеряет свою ценность.

3.1.2 Разработка программного комплекса

На основе проведенного анализа угроз безопасности в ЛВС колледжа, и анализа существующих программных продуктов для защиты информации в ЛВС Кунгурского сельскохозяйственного колледжа была разработана схема и состав программного комплекса, для защиты информации в ЛВС Кунгурского сельскохозяйственного колледжа.

Схема программного комплекса предоставлена на рисунке № 4

Рис. 4 Схема программного комплекса

3.1.3 Состав программного комплекса

В состав вошли программные продукты: Dr. Web 4.44. и Agnitum Outpost Firewall Pro 2008.

Dr.Web 4.44

Новейшие разработки, технологии и идеи всего коллектива компании легли в основу новой версии.

Улучшенный SpiDer Guard

Претерпел изменения файловый монитор SpiDer Guard, в котором существенно усовершенствована работа и повышена устойчивость при большом количестве одновременных файловых операций.

Улучшен пользовательский графический интерфейс монитора (GUI).

Настройки SpIDer Guard

Для того чтобы изменить настройки программы:

Выберите в контекстном меню значка сторожа пункт Настройки

1.         Откроется окно настроек, содержащее несколько вкладок.

2.         Внесите необходимые изменения.

3.         По окончании редактирования настроек нажмите на кнопку ОК для сохранения внесенных изменений или на кнопку Отмена для отказа от них.

На вкладке "Проверка" задается режим проверки файлов и процессов защищаемого компьютера.

В группе флажков Режим проверки "на лету" задается действие с объектом, при котором производится его проверка "на лету".

По умолчанию выбран режим Оптимальный. В этом режиме файлы и загрузочные сектора жестких дисков компьютера проверяются только при попытке создания файла или записи в существующий файл (загрузочный сектор), а файлы и загрузочные сектора сменных устройств - также при открытии на чтение или запуск программы. Этот режим рекомендуется использовать после тщательной проверки всех жестких дисков при помощи Dr.Web Сканер для Windows. При этом будет исключено проникновение на компьютер новых вирусов через сменные устройства, а повторной проверки заведомо "чистых" объектов не происходит.

При выборе режима Другие становятся доступными флажки Запуск и открытие (предписывает проверять все файлы и загрузочные сектора при открытии на чтение или запуск программы) и Создание и запись (проверять при попытке создания файлов или записи в существующие). С помощью этих флажков вы можете самостоятельно установить уровень защиты компьютера. Установка обоих флажков обеспечивает максимальный уровень защиты, но значительно увеличивает нагрузку на компьютер.

По умолчанию версия сторожа SpIDer Guard XP работает в режиме расширенной защиты. В этом режиме сторож проверяет все файлы, проверка которых предусмотрена настройками программы, немедленно, а остальные открывающиеся файлы помещает в очередь отложенной проверки (файлы, открывающиеся на чтение при режимах Оптимальный и Создание и запись). При наличии свободных ресурсов ПК эти файлы также будут проверены сторожем.

Вы можете отключить данный режим, установив флажок Запретить режим расширенной защиты.

Внесите необходимые изменения.

По окончании редактирования настроек нажмите на кнопку ОК для сохранения внесенных изменений или на кнопку Отмена для отказа от них.

Вкладка Типы файлов

На этой вкладке задается дополнительное ограничение на состав файлов, которые должны проверяться в соответствии с условиями, заданными на вкладке Проверка.

По умолчанию выбран вариант отбора проверяемых файлов По формату. В этом случае проверяются только такие файлы, которые по своей внутренней структуре могут быть "носителями" вирусов (например, исполняемые файлы, документы MS Office и т.п.), а также файлы, расширения которых входят в список по умолчанию при выборе варианта Выбранные типы (см. ниже). Данный вариант обеспечивает надежную защиту и экономное использование ресурсов.

Вариант Все файлы обеспечивает максимальную защиту, но значительно увеличивает расход системных ресурсов и вероятность ложного срабатывания эвристического анализатора. См. вкладку Проверка.

Варианты Выбранные типы и Заданные маски предписывают проверять только файлы, расширения или имена которых соответственно входят в список, задаваемый в правой части вкладки. По умолчанию список включает расширения основных типов файлов, могущих быть носителями вирусов, и основных типов файловых архивов. Вы можете отредактировать этот список.

На этой вкладке задается также режим проверки файловых архивов и почтовых файлов. Файловые архивы по умолчанию не проверяются (если какой-либо файл в архиве инфицирован, вирус будет обнаружен сторожем при извлечении файла из архива до появления возможности заражения ПК). Включение этой проверки значительно увеличит нагрузку на компьютер.

Почтовые ящики по умолчанию не проверяются (если какой-либо файл в почтовом вложении инфицирован, вирус будет обнаружен сторожем при извлечении файла до появления возможности заражения ПК). Включение этой проверки может исключительно сильно увеличить нагрузку на процессор. Для предотвращения проникновения вирусов с сообщениями электронной почты используйте почтовый сторож SpIDer Mail.

Вкладка Действия

На этой вкладке задается реакция программы на обнаружение зараженных или подозрительных файлов, вредоносных программ, а также инфицированных архивов.

Реакция задается отдельно для объектов, зараженных известным и (предположительно) излечимым вирусом, для предположительно зараженных (подозрительных), а также для отдельных видов вредоносных программ и отдельных типов архивов.

Все виды объектов представлены в иерархическом списке в левой части окна. При выборе объекта из списка в правой части окна отображается реакция программы по умолчанию на его обнаружение. Указывается действие, предписанное текущими настройками, и действие, которое будет предпринято в случае неудачности первой реакции.

При обнаружении зараженного или подозрительного объекта сторож в пакете Dr.Web для рабочих станций по умолчанию лишь информирует пользователя. При этом сведения об обнаруженных инфекциях выводятся в окно Запрос пользователю, в котором вы можете в дальнейшем предписать программе необходимые действия вручную.

Dr.Web для серверов Windows в случае обнаружения известного вируса или при подозрении на зараженность объекта вирусом по умолчанию предпринимает автоматические действия по предотвращению вирусной угрозы.

При обнаружении объектов, содержащих программы-шутки, потенциально-опасные программы и программы взлома, по умолчанию предусмотрено игнорирование.

При обнаружении объектов, содержащих рекламные программы и программы дозвона, для сторожа в пакете Dr.Web для серверов Windows по умолчанию предусмотрено перемещение, для сторожа в пакете Dr.Web для рабочих станций – информирование пользователя.

Вы можете изменить реакции программы на обнаружение каждого типа объектов в отдельности.

Чтобы изменить настройки первого действия, укажите в раскрывающемся списке Первое действие первичную реакцию программы. Нажмите на кнопку Изменить, чтобы предписать программе в дальнейшем использовать выбранную вами реакцию.

В зависимости от выбранного типа объекта в списке могут быть доступны следующие действия:

·          Вылечить (доступно только при настройке реакции Для зараженных объектов) предписывает сторожу пытаться излечить объект, зараженный известным вирусом.

·          Переместить в карантин предписывает переместить объект в каталог карантина, задаваемый в поле

Папка для карантина (по умолчанию подкаталог infected.!!! в каталоге установки программы).

·          Переименовать предписывает переименовать расширение имени зараженного или подозрительного объекта в соответствии с маской, задаваемой в поле Маска переименования (по умолчанию #??, т. е. заменить первый символ расширения на #).

·          Удалить предписывает удалить зараженный или подозрительный объект (для загрузочных секторов никаких действий производиться не будет).

По умолчанию программа не проверяет и не позволяет удалять файловые архивы. Если проверка файловых архивов включена (включение этой проверки значительно увеличит нагрузку на компьютер), вы можете разрешить выбор действия Удалить для архива. Для этого откройте в текстовом редакторе конфигурационный файл программы (файл drweb32.ini в каталоге установки программы), в секции [SpIDerGuardNT] добавьте строку EnableDeleteArchiveAction=Yes (или, если такая строка есть, исправьте значение No на Yes) и сохраните файл.

Для файлов внутри архивов никакие действия невозможны. При выборе действия Удалить архив будет удален целиком.

·          Информировать – предписывает информировать пользователя об обнаружении объекта (в окне Запрос пользователю).

·          Запретить доступ – предписывает запретить доступ к файлу, проверка которого вызвала реакцию сторожа. Блокировка доступа к файлу снимается только после перезагрузки компьютера.

·          Игнорировать – не предпринимать каких-либо действий при обнаружении подозрительного объекта.

·          Останов системы – предписывает немедленно завершить работу Windows при обнаружении объекта (в ряде случаев из-за действия вируса корректное завершение будет невозможно). В дальнейшем рекомендуется удалить вирус при помощи Dr.Web для DOS, запущенного с защищенного диска.

В области Что делать, если действие не удалось настройки задаются отдельно для следующих возможных вариантов первого действия: лечение, перемещение в карантин, переименование, удаление. В каждом из соответствующих раскрывающихся списков вы можете выбрать действие, которое будет предпринято при неудаче соответствующего первого действия.

Запрос пользователю в случае обнаружения инфекции

Данное окно открывается при обнаружении сторожем зараженного или подозрительного объекта, если в настройках реакции программы задано информирование.

Состав доступных кнопок зависит от типа обнаруженной инфекции и типа зараженного объекта (для архивов, почтовых файлов и файловых контейнеров часть реакций недоступна).

Кнопка Лечить (доступна только при обнаружении предположительно излечимого вируса, недоступна для архивов любого типа) предписывает сторожу пытаться излечить объект, зараженный известным вирусом. Если вирус неизлечим или попытка лечения не была успешной, окно откроется снова в виде, предусмотренном для обнаружения неизлечимых вирусов.

Кнопка Удалить предписывает удалить зараженный или подозрительный файл (для загрузочных секторов никаких действий производиться не будет). При настройках по умолчанию недоступна для архивов любого типа.

Кнопка Переименовать предписывает переименовать расширение имени зараженного или подозрительного файла в соответствии с настройками по умолчанию.

Кнопка Переместить предписывает переместить зараженный или подозрительный файл в каталог карантина, заданный по умолчанию.

Кнопка Запретить предписывает запретить доступ к файлу, проверка которого вызвала реакцию сторожа. Блокировка доступа к файлу снимается только после перезагрузки компьютера.

Кнопка Выключить предписывает немедленно завершить работу Windows при обнаружении объекта (в ряде случаев из-за действия вируса корректное завершение будет невозможно). В дальнейшем рекомендуется удалить вирус при помощи Dr.Web для DOS, запущенного с защищенного диска.

Кнопка Игнорировать предписывает не предпринимать каких-либо действий при обнаружении подозрительного объекта.

Вкладка Отчёт

На этой вкладке задается режим ведения файла отчета.

По умолчанию установлен флажок Вести файл отчета.

Вы можете настроить наименование и расположение файла отчета, кодировку текста, режим открытия (добавлять ли записи в конец файла отчета или перезаписывать его в начале каждого сеанса), а также степень детальности отчета. Также можно указать, следует ли ограничивать максимальный размер отчета и настроить этот размер.

Настоятельно рекомендуется вести файл отчета и периодически анализировать его.

Вкладка Исключения

На этой вкладке задается список каталогов и файлов, исключаемых из проверки.

В поле Список исключаемых путей и файлов можно задать список каталогов и файлов, которые не будут проверяться. В таком качестве могут выступать каталоги карантина антивируса, рабочие каталоги некоторых программ, временные файлы (файлы подкачки) и т. п.

Для того чтобы добавить файл, каталог или маску в список, введите его в поле ввода и нажмите на кнопку Добавить. Если вводится имя существующего файла или каталога, можно воспользоваться кнопкой и выбрать объект в стандартном окне открытия файла.

Чтобы использовать при указании имени каталога или файла специальные символы ? и *, установите флажок Разрешить использование масок.

Чтобы разрешить добавление в список файлов без указания пути, установите флажок Разрешить исключение файлов без указания пути.

Для того чтобы удалить файл или каталог из списка, выберите его в списке и нажмите на кнопку Удалить.

Вкладка Статистика

На этой вкладке отображаются результаты работы сторожа в течение текущего сеанса.

Параметры вкладки статистика

Вкладка Управление

На этой вкладке элемента Панели управления SpIDer Guard задается режим загрузки сторожа, а также производится или отменяется регистрация программы как службы.

Переключатель Режим загрузки позволяет выбрать способ запуска программы.

Если выбран вариант Автоматический режим, сторож запускается автоматически при каждой загрузке Windows.

Если выбран Ручной режим, для запуска сторожа нажмите на кнопку Загрузить. Запущенный таким образом сторож можно остановить, нажав на кнопку Выгрузить.

Для того чтобы зарегистрировать сторож как службу Windows, нажмите на кнопку Установить, для того чтобы отменить такую регистрацию – на кнопку Удалить.

Вкладка Параметры

На этой вкладке элемента Панели управления SpIDer Guard задаются отдельные настройки сторожа.

Вкладка Уведомления

На этой вкладке элемента Панели управления SpIDer Guard задаются настройки уведомления о выявленных вирусных событиях – перечень событий, вызывающих направление уведомления, способ его отправки и перечни адресатов.

Перечень событий задается при помощи установления любой необходимой комбинации флажков в поле Когда посылать уведомления. Уведомления могут посылаться по E-mail или по сети (см. ниже), или появляться в виде всплывающего уведомления над значком SpIDer Guard в панели задач (если включен режим Acknowledge=Yes).

Установите флажок Уведомления по E-mail, если хотите посылать уведомления о выбранных событиях по электронной почте. Установите флажок Уведомления в сети, если хотите посылать уведомления о выбранных событиях в локальной сети (флажки могут устанавливаться независимо). После этого следует создать (отредактировать) списки адресатов уведомлений для выбранных способов.

Нажмите на кнопку Добавить E-Mail, чтобы добавить новый элемент в список получателей по электронной почте. Откроется окно ввода/редактирования адреса E-mail.

Окно ввода/редактирования адреса E-mail

В этом окне вводится адрес электронной почты, по которому будут направляться уведомления, а также почтовые настройки для данного адреса.

Нажмите на кнопку Добавить сообщение, чтобы добавить новый элемент в список адресатов сообщений в локальной сети. Откроется окно ввода/редактирования сетевого адреса компьютера.

В этом окне вводится адрес компьютера в сети Microsoft для включения компьютера в список, по которому будут направляться уведомления.

Введите в поле ввода сетевое имя компьютера, или нажмите на кнопку Просмотр, чтобы найти компьютер в каталоге Обозревателя сети.

Для того чтобы удалить элемент из какого-либо списка, выберите его в одном из списков и нажмите на кнопку Удалить.

Для того чтобы отредактировать элемент какого-либо списка, выберите его в одном из списков и нажмите на кнопку Изменить. Откроется окно ввода/редактирования адреса E-mail или окно ввода/редактирования сетевого адреса компьютера соответственно.

Вышеуказанное поможет преподавателям произвести необходимую настройку для эффективной работы антивирусной программы в локально-вычислительной сети колледжа.

Agnitum Outpost Firewall Pro 2008

Продукт из серии решений Outpost 2008, новой линейки программ для безопасной работы в Интернете. Outpost Firewall Pro 2008 сочетает в себе:

·          Передовой брандмауэр для безопасных соединений с сетью.

·          Антишпион для круговой защиты от шпионского ПО.

·          Локальную безопасность для блокировки неизвестных угроз.

·          Веб-контроль для защиты компьютера от широкого спектра Интернет-угроз.

Базовые настройки

Режимы работы

Outpost может применять разные уровни фильтрации – от полного блокирования Интернет-доступа для приложений до разрешения всей сетевой активности. Поэтому Outpost допускает 5 режимов работы, чтобы Вы могли установить нужный Вам уровень защиты данных:

         Все удаленные соединения блокируются.

        Блокировать — все удаленные соединения блокируются, кроме тех, которые Вы специально укажете.

        Обучение — Вы разрешаете или запрещаете приложения во время их первого запуска.

        Разрешать — все удаленные соединения разрешены за исключением специально указанных.

        Отключить — все удаленные соединения разрешены.

По умолчанию Outpost работает в режиме Обучение. Значок Outpost на панели задач символизирует этот режим.

Чтобы изменить рабочий режим брандмауэра:

1.         Щелкните правой кнопкой мыши значок Outpost (он может выглядеть так: , , ,  или )