Выберите из списка ваш регион

«ИнфоТеКС Интернет Траст»

Логотип ИнфоТеКС Интернет Траст
Техподдержка 24/7
По России звонок бесплатный
8 800 250-0-260
8 800 250-0-265
ноль
линия
Электронная отчетность
линия
Электронный документооборот
линия
Удостоверяющий центр
линия
Информационная безопасность
Аудит информационной безопасности
Разработка документов политики ИБ
Создание защищенных ИС
Примеры типовых систем защиты информации
Аутсорсинг информационной безопасности
Содействие в получении лицензии ФСБ России
линия
Защита каналов связи
линия
СМЭВ

Типовая система обнаружения вторжения

Функциорнальным назначением предлагаемых к внедрению систем обнаружения вторжений является обнаружение сетевых атак, как на уровне сети информационной системы Заказчика, так и на уровне операционных систем автоматизированных рабочих мест и серверов.

Внедряемые системы обнаружения вторжений обеспечивает:

  • защиту от угроз, связанных с сетевыми атаками из внешних неконтролируемых сетей;
  • обнаружение сетевых атак и иных попыток реализации угроз удаленного доступа;
  • обнаружение попыток проникновения и компрометации информационных ресурсов защищаемой сети.

Базовый функционал системы обнаружения вторжений включает в себя:

  • обнаружение сетевых атак с использованием метода эвристического анализа;
  • обнаружение сетевых атак с использованием сигнатурного метода анализа;
  • протоколирование всех событий, возникающих при срабатывании правил обнаружения;
  • возможность аудита всех запротоколированных событий.

Система обнаружения вторжений представляет собой комплекс программно-технических и организационных решений, обеспечивающих функции контроля сетевого трафика с целью обнаружения угроз удаленного доступа и сетевых атак на защищаемые сетевые ресурсы информационной системы Заказчика.

В состав типовой системы обнаружения вторжений входят:

  1. Средство обнаружения вторжений на уровне сети;

  2. Средства обнаружения вторжений на уровне операционных систем автоматизированных рабочих мест и серверов;

  3. Средства обнаружения вторжений на уровне сетевых узлов, выполненных в виде станций ловушек (Honeypots);

  4. Автоматизированное рабочее место администратора системы обнаружения вторжений.

Применяемые в системе средства обнаружения вторжений позволяют:

  • производить автоматический анализ и обнаружение компьютерных атак (вторжений) на основе динамического анализа сетевого трафика стека протоколов TCP/IP для протоколов всех уровней модели взаимодействия открытых систем, начиная с канального и заканчивая прикладным уровнем;
  • производить эвристический анализ по выявлению аномалий в сетевом трафике;
  • анализировать сетевой трафик в режиме, близком к реальному масштабу времени;
  • анализировать сетевой трафик, поступающий одновременно с нескольких сетевых интерфейсов;
  • обнаруживать вторжения на основе анализа служебной информации протоколов сетевого уровня;
  • журналировать обнаруженные события и атаки (вторжения) для последующего анализа;
  • отображать обнаруженные атаки (вторжения) в интерфейсе средства обнаружения вторжений и уведомлять администратора об обнаруженных атаках по электронной почте;
  • отображать обобщенную статистическую информацию об атаках;
  • производить выборочный поиск событий и атак (вторжений) в соответствии с заданными фильтрами;
  • экспортировать журналы атак (вторжений) в файл формата CSV для последующего анализа в сторонних приложениях;
  • регистрировать, отображать и экспортировать в файл формата PCAP IP-пакеты, соответствующие зарегистрированным атакам (вторжениям);
  • обновлять базы решающих правил в автоматизированном режиме при предоставлении новой версии указанной базы производителем;
  • добавлять собственные правила для анализа сетевого трафика;
  • выборочно использовать отдельные правила обнаружения или группы правил;
  • маскировать средство обнаружения вторжений в сети;
  • автоматически передавать данные о сетевых атаках (вторжениях) системе централизованного мониторинга по протоколу SNMP;
  • контролировать целостность собственного программного обеспечения, конфигурационных файлов и базы решающих правил;
  • производить выборочный контроль ресурсов сети на уровне отдельных объектов контроля;
  • производить резервное копирование и восстановление системы, конфигурационных файлов и журналов;
  • разграничивать полномочия субъектов доступа пользователей в зависимости от предоставленных им полномочий;
  • производить аудит функций средства обнаружения вторжений.

Типовое решение по созданию системы обнаружения вторжений представлено на рисунке.

Типовое решение по созданию системы обнаружения вторжений

Рисунок — Типовое решение по созданию системы обнаружения вторжений

Вернуться к разделу «Примеры типовых систем защиты информации»