Межсетевые экраны (МЭ) реализуют методы контроля за информацией, поступающей в АИС и (или) выходящей из неё, и обеспечения защиты АИС при помощи фильтрации информации на основе критериев, заданных администратором. Процедура фильтрации включает в себя анализ заголовков каждого пакета, проходящего через МЭ, и передачу его дальше по маршруту следования только в случае, если он удовлетворяет заданным правилам фильтрации. При помощи фильтрования МЭ позволяют обеспечить защиту от сетевых атак путём удаления из информационного потока тех пакетов данных, которые представляют потенциальную опасность для АИС.

Средства анализа защищённости выделены в представленной выше классификации в обособленную группу, поскольку предназначены для выявления уязвимостей в программно-аппаратном обеспечении АИС. Системы анализа защищённости являются превентивным средством защиты, которое позволяет выявлять уязвимости при помощи анализа исходных текстов ПО АИС, анализа исполняемого кода ПО АИС или анализа настроек программно-аппаратного обеспечения АИС.

Средства антивирусной защиты предназначены для обнаружения и удаления вредоносного ПО, присутствующего в АИС. К таким вредоносным программам относятся компьютерные вирусы, а также ПО типа «троянский конь», spyware и adware.

Средства защиты от спама обеспечивают выявление и фильтрацию незапрошенных почтовых сообщений рекламного характера. В ряде случаев для рассылки спама применяется вредоносное программное обеспечение: оно внедряется на хосты АИС и использует адресные книги, которые хранятся в почтовых клиентах пользователей. Наличие спама в АИС может привести к одному из следующих негативных последствий:

— нарушению работоспособности почтовой системы вследствие большого потока входящих сообщений. При этом может быть нарушена доступность как всего почтового сервера, так и отдельных почтовых ящиков (они будут переполнены). В результате пользователи АИС не смогут отправлять или получать сообщения при помощи почтовой системы организации;

— реализации так называемых phishing-атак, в результате которых пользователю присылается почтовое сообщение от чужого имени с предложением выполнить определённые действия. В таком сообщении пользователя могут попросить запустить определённую программу, ввести своё регистрационное имя и пароль или выполнить какие-либо другие действия, которые способны помочь злоумышленнику успешно провести атаку на информационные ресурсы АИС. Примером атаки этого типа является посылка пользователю сообщения от имени известного банка, в котором содержится запрос о необходимости смены пароля доступа к ресурсам web-сайта банка. В случае если пользователь обратится по интернет-адресу, указанному в таком почтовом сообщении, то он будет перенаправлен на сайт злоумышленника, представляющий собой копию реального сайта банка. В результате такой атаки вся парольная информация, введённая пользователем на ложном сайте, будет автоматически передана нарушителю;

─ снижению производительности труда персонала из-за необходимости ежедневно просматривать и вручную удалять спамерские сообщения из почтовых ящиков.

Средства контентного анализа предназначены для мониторинга сетевого трафика с целью выявить нарушения политики безопасности. В настоящее время можно выделить два основных вида средств контентного анализа, аудит почтовых сообщений и мониторинг Интернет-трафика.

Системы аудита почтовых сообщений предполагают сбор информации об SMTP-сообщениях, циркулирующих в АИС, и её последующий анализ с целью выявить несанкционированные почтовые сообщения, нарушающие требования безопасности, заданные администратором. Так, например, системы этого типа позволяют выявлять и блокировать возможные каналы утечки конфиденциальной информации через почтовую систему. Системы мониторинга Интернет-трафика предназначены для контроля доступа пользователей к ресурсам сети Интернет. Средства защиты данного типа позволяют заблокировать доступ пользователей к запрещённым Интернет-ресурсам, а также выявить попытку передачи конфиденциальной информации по протоколу HTTP. Системы мониторинга устанавливаются таким образом, чтобы через них проходил весь сетевой трафик, передаваемый в Интернет.

Системы обнаружения атак представляют собой специализированные программные или программно-аппаратные комплексы, задача которых обнаружить информационные атаки на ресурсы АИС. Атаки выявляются при помощи сбора и анализа данных о событиях, регистрируемых в системе. Желательно, чтобы подобный комплекс обнаружения атак включал в себя следующие компоненты:

модули-датчики (сенсоры), предназначенные для сбора необходимой информации о функционировании АИС;

─ модуль выявления атак, выполняющий анализ данных, собранных датчиками, с целью обнаружения информационных атак;

— модуль реагирования на обнаруженные атаки;

─ модуль хранения данных, в котором содержится вся конфигурационная информация, а также результаты работы средств обнаружения атак;

─ модуль управления компонентами средств обнаружения атак.

Обеспечить информационную безопасность можно только при комплексном подходе. Комплексный подход к защите от информационных атак предусматривает согласованное применение правовых, организационных и программно-технических мер, перекрывающих в совокупности все основные каналы реализации вирусных и прочих угроз. В соответствии с этим подходом в организации должен быть реализован следующий комплекс мер:

— выявление и устранение уязвимостей, на основе которых реализуются угрозы. Это позволит исключить причины возможного возникновения информационных атак;

— своевременное обнаружение и блокирование информационных атак;

— выявление и ликвидацию последствий атак.

Данный класс мер защиты направлен на то, чтобы свести к минимуму ущерб, нанесённый в результате реализации угроз безопасности.

Важно понимать, что эффективная реализация вышеперечисленных мер на предприятии возможна только при условии наличия нормативно-методического, технологического и кадрового обеспечения информационной безопасности.

Нормативно-методическое обеспечение информационной безопасности предполагает создание сбалансированной правовой базы в области защиты от угроз. Для этого в компании должен быть разработан комплекс внутренних нормативных документов и процедур, обеспечивающих процесс эксплуатации системы информационной безопасности. Состав таких документов во многом зависит от размеров самой организации, уровня сложности АИС, количества объектов защиты и т. д. Например, для крупных организаций основополагающим нормативным документом в области защиты информации должна быть концепция или политика безопасности.

В рамках кадрового обеспечения информационной безопасности в компании должно быть организовано обучение сотрудников противодействию информационным атакам. В процессе обучения должны рассматриваться как теоретические, так и практические аспекты информационной защиты. При этом программа обучения может составляться в зависимости от должностных обязанностей сотрудника, а также с учётом того, к каким информационным ресурсам он имеет доступ.