Sistem pencegahan pencerobohan (sistem IPS).
Melindungi komputer anda daripada capaian yang tidak dibenarkan.

Sistem Pencegahan Pencerobohan– alat keselamatan maklumat aktif yang bukan sahaja mengesan, tetapi juga melindungi daripada pencerobohan dan pelanggaran keselamatan. Untuk sistem sedemikian, singkatan IPS digunakan secara tradisional (daripada Sistem Pencegahan Pencerobohan Bahasa Inggeris - sistem pencegahan pencerobohan). Sistem IPS ialah versi sistem pengesanan pencerobohan yang dipertingkatkan, yang melaksanakan fungsi perlindungan automatik terhadap ancaman siber. Sistem pencegahan pencerobohan mampu mengesan aktiviti berniat jahat, menghantar isyarat kepada pentadbir, menyekat proses yang mencurigakan, dan memecahkan atau menyekat sambungan rangkaian yang melaluinya serangan sedang dijalankan ke atas storan atau perkhidmatan data. IPS juga boleh melakukan defragmentasi paket, menyusun semula paket TCP untuk melindungi daripada paket dengan nombor SEQ dan ACK yang diubah.

Jenis sistem pencegahan pencerobohan yang paling meluas hari ini ialah PINGGUL(daripada Sistem Pencegahan Pencerobohan berasaskan Hos Inggeris - sistem pencegahan pencerobohan di peringkat tuan rumah). Teknologi HIPS ialah asas produk dan sistem keselamatan; di samping itu, elemen perlindungan HIPS telah mula menggunakan cara tradisional untuk memerangi perisian hasad - contohnya, program antivirus.

Jika kita bercakap tentang kelebihan sistem pencegahan pencerobohan jenis HIPS, maka perkara utama, sudah pasti, adalah tahap perlindungan yang sangat tinggi. Pakar keselamatan maklumat bersetuju bahawa sistem HIPS boleh memberikan perlindungan hampir 100% terhadap sebarang, malah yang terbaru, perisian hasad, serta sebarang percubaan untuk mengakses maklumat sulit tanpa kebenaran. Ini adalah perlindungan yang sempurna memenuhi fungsi utamanya - untuk melindungi. Tiada alat keselamatan maklumat tradisional boleh membanggakan tahap perlindungan sedemikian.

Alat dan teknik HIPS adalah teras kepada keupayaan keselamatan maklumat SafenSoft. Produk kami menggabungkan semua faedah sistem pencegahan pencerobohan dan penyelesaian keselamatan tradisional. Perlindungan proaktif SoftControl menghalang sebarang percubaan capaian tanpa kebenaran kepada data dan persekitaran perisian PC rumah (produk SysWatch Personal dan SysWatch Deluxe), stesen kerja rangkaian korporat (Enterprise Suite), ATM dan terminal pembayaran (TPSecure dan TPSecure Teller). Teknologi kawalan aplikasi V.I.P.O.® kami yang dipatenkan menggabungkan 3 lapisan perlindungan: mengawal semua aplikasi yang sedang berjalan, menggunakan kotak pasir dinamik untuk menjalankan proses yang mencurigakan dan mengawal akses aplikasi kepada sistem fail, kunci pendaftaran, peranti luaran dan sumber rangkaian. Penyelesaian SoftControl dapat berfungsi selari dengan pakej anti-virus, memberikan perlindungan lengkap terhadap persekitaran perisian komputer. Apabila bekerja pada rangkaian tempatan, produk SoftControl mempunyai pengurusan terpusat yang mudah dan sistem pemberitahuan pentadbir tentang ancaman. Tidak seperti alat keselamatan tradisional, penyelesaian SoftControl tidak memerlukan kemas kini berterusan pangkalan data tandatangan.

di laman web syarikat Biro ESG dan dalam majalah CAD dan Grafik. I. Fertman – Pengerusi Lembaga Pengarah Biro ESG,
A. Tuchkov – pengarah teknikal Biro ESG, Ph.D.,
A. Ryndin – Timbalan Pengarah Komersial Biro ESG.

Dalam artikel mereka, pekerja Biro ESG telah berulang kali membincangkan topik sokongan maklumat pada pelbagai peringkat kitaran hayat produk. Masa membuat pelarasan sendiri, disebabkan oleh perkembangan berterusan teknologi maklumat dan keperluan untuk memodenkan penyelesaian yang dilaksanakan. Sebaliknya, kini terdapat trend yang jelas ke arah penggunaan alat perisian yang memenuhi keperluan rangka kerja kawal selia domestik dan proses pengeluaran yang diterima pakai di negara kita. Realiti inilah, serta pengalaman terkumpul dalam mengautomasikan aktiviti perusahaan reka bentuk, yang mendorong kami untuk menulis artikel ini.

Keadaan semasa automasi aktiviti reka bentuk, pengeluaran dan sokongan maklumat bagi peringkat seterusnya kitaran hayat produk

Syarikat Biro ESG mempunyai pengalaman yang luas dalam melaksanakan sistem arkib elektronik, PDM, PLM, sistem pengurusan data kejuruteraan dalam pelbagai industri: pembinaan kapal (Baltic Shipyard OJSC - Rosoboronexport, Sevmash OJSC, Institut Penyelidikan Pusat Kejuruteraan Kapal CJSC), kejuruteraan mekanikal ( JSC St. Petersburg "Red October"), pembinaan perindustrian dan awam (PF "Soyuzproektverf", JSC "Giprospetsgaz"), industri nuklear (JSC "Atomproekt", JSC "Roszheldorproekt") dan banyak perusahaan dan organisasi lain, yang tidak disenaraikan adalah termasuk dalam matlamat dan objektif artikel.

Kami menekankan bahawa pelaksanaan telah dijalankan menggunakan pelbagai sistem perisian: TDMS, Search, SmartPlant Fondation, Autodesk Vault dan lain-lain, termasuk pembangunan kami sendiri. Penggunaan persekitaran perisian tertentu ditentukan oleh industri, tugas di tangan dan faktor lain. Pengalaman luas yang dikumpul oleh Biro ESG di kawasan yang disenaraikan membolehkan kami melukis gambaran umum pelaksanaan sistem arkib elektronik, sistem pengurusan dokumen PDM dan PLM di perusahaan Rusia.

Reka bentuk moden, aktiviti pengeluaran, sokongan untuk operasi, pemodenan dan pelupusan produk tidak boleh dibayangkan tanpa menggunakan pelbagai jenis sistem automatik: CAD (CAD), CAM, PDM, sistem penyediaan teknologi, sistem PLM. Gambaran umum digambarkan dalam Rajah. 1.

nasi. 1. Gambaran besar automasi

Sebagai peraturan, semua alat automasi yang tersenarai dan tidak tersenarai hanya terdapat pada tahap tertentu, lebih kerap pada peringkat awal kitaran hayat produk - aktiviti reka bentuk dan pengeluaran. Pada peringkat kitaran hayat yang seterusnya, tahap sokongan maklumat untuk proses kadangkala sangat rendah. Mari kita berikan beberapa contoh biasa bagi peringkat kitaran hayat yang paling automatik, yang menggambarkan gambaran sebenar.

Pernyataan mengenai "pelaksanaan teknologi PDM atau PLM" dalam amalan sering menjadi hanya pelaksanaan sistem pengurusan arkib dan dokumen elektronik, CD dan TD, TDM, dan tidak lebih. Punca:

• "permainan kata-kata" ialah apabila sistem PDM yang mahal digunakan untuk mencipta kefungsian arkib elektronik dan aliran dokumen CD dan TD (yang sering ditafsirkan sebagai "pengenalan teknologi PDM", walaupun tiada perkara seperti itu, terdapat hanyalah pelaksanaan arkib elektronik dan/atau TDM menggunakan perisian - PDM -systems);
• penggantian konsep - apabila nama alat perisian mengandungi singkatan "PDM" atau "PLM", tetapi sistem tidak seperti itu dengan sifat tugas yang diselesaikan dan, sekali lagi, paling baik, menyelesaikan dua masalah, tetapi lebih kerap. satu daripada dua:
• menguruskan kerja pereka pada peringkat dokumen dan kadangkala model 3D,
• pengurusan arkib elektronik CD dan TD.

Mari kita berikan contoh: pengalaman syarikat Biro ESG, yang termasuk kerja-kerja mencipta mock-up model maklumat kapal perang, menunjukkan bahawa pada peringkat kitaran hayat operasi, perkara yang paling penting, sayangnya, bukan maklumat itu. pereka bentuk dan pembina, tetapi dokumentasi operasi, manual teknikal elektronik interaktif (IETR). Pada peringkat kitaran hayat operasi, sokongan logistik amat diperlukan, membolehkan penambahan alat ganti dan aksesori dalam masa yang sesingkat mungkin. Selalunya, tiada satu sistem pun yang diposisikan oleh pengilang sebagai PLM menyelesaikan masalah operasi "secara lalai", walaupun, jangan kita nafikan, sistem sedemikian boleh digunakan dengan pengubahsuaian yang sesuai, sebagai contoh, untuk menyelesaikan isu logistik. Ambil perhatian bahawa dari segi kecekapan dan keamatan buruh yang dibelanjakan untuk semakan, pendekatan ini adalah bersamaan dengan menggunakan sistem perakaunan atau ERP untuk mengurus aktiviti reka bentuk atau penyunting teks untuk membangunkan lukisan reka bentuk.

Cuba untuk menjadi objektif dalam penilaian kami, kami tidak akan memperbesar-besarkan lagi, tetapi hanya akan ambil perhatian:

• automasi moden aktiviti reka bentuk, pengeluaran dan sokongan peringkat seterusnya kitaran hayat produk selalunya merangkumi elemen PDM dan PLM sahaja;
• selalunya pelaksanaan PDM dan PLM tidak lebih daripada penciptaan arkib elektronik dan aliran dokumen CD dan TD;
• Adalah terlalu awal untuk bercakap tentang pelaksanaan penuh teknologi PLM untuk semua peringkat kitaran hayat produk.

Sebab untuk bertukar kepada platform baharu

Walaupun kesimpulan bahagian sebelumnya artikel, kami perhatikan bahawa selalunya dalam perusahaan di mana arkib elektronik, aliran dokumen reka bentuk, sistem automatik untuk penyediaan teknologi pengeluaran, dan elemen PDM/PLM telah dilaksanakan, berfungsi tanpa dilaksanakan. alat tidak lagi mungkin. Ini adalah penunjuk utama pelaksanaan. Terdapat satu kes dalam kerja syarikat kami apabila, disebabkan oleh kegagalan yang berlaku dalam LAN Pelanggan bukan kerana kesalahan kami, pelayan arkib elektronik satu perusahaan binaan mesin menjadi tidak tersedia. Masa dari kegagalan pertama hingga panggilan pertama dari perusahaan ke pejabat kami kepada pakar sokongan teknikal adalah kurang daripada satu minit. Pada masa yang sama, semua pernyataan emosi mempunyai satu persamaan - "tanpa akses kepada pangkalan data, perusahaan tidak boleh beroperasi." Pada pendapat kami, ini adalah penunjuk praktikal yang paling penting, mengatasi semua pengiraan teori.

Sebab peralihan kepada teknologi dan platform baharu, serta pengembangan fungsi yang dilaksanakan, boleh diklasifikasikan kepada beberapa kumpulan.

Pembangunan teknologi dan alat reka bentuk

Salah satu faktor penting dalam peralihan kepada teknologi baharu, penyelesaian perisian dan pengembangan kefungsian yang dilaksanakan sistem aliran dokumen reka bentuk, sistem penyediaan teknologi automatik, elemen PDM/PLM pada peringkat kerja reka bentuk dan pengeluaran ialah kemunculan tiga- alat reka bentuk dimensi dan rangka kerja perundangan yang menentukan kerja dengan model elektronik.

Seperti yang telah disebutkan, dalam kebanyakan kes "pelaksanaan PDM dan PLM" kita bercakap tentang TDM, arkib elektronik dan aliran dokumen CD dan TD. Penyelesaian sedemikian (tanpa mengira persekitaran di mana ia dibina) dalam amalan, sebagai peraturan, berfungsi dengan CD dan TD dua dimensi. Dari segi sejarah, di kebanyakan perusahaan di mana pelaksanaan sedemikian telah dilaksanakan, prinsip dan pendekatan bekerja dengan reka bentuk dua dimensi dan dokumentasi teknologi sering "berhijrah" kepada sistem baharu dengan beberapa "pemodenan" untuk dokumen dua dimensi elektronik. Sebagai contoh, menurut GOST 2.501-2006, perubahan pada dokumen elektronik dibuat dalam versi baharu. GOST 2.503-90, yang menerangkan membuat perubahan "di atas kertas", membolehkan anda membuat perubahan terus pada lukisan (menyilang, memadam (mencuci), melukis dengan putih, memperkenalkan data baru) atau membuat dokumen baru, helaian mereka menggantikan yang asal satu, pada dasarnya - mencipta versi. Contoh itu menggambarkan bahawa "pemodenan" tidak begitu penting, dan prosedur untuk bekerja dengan dokumen elektronik dua dimensi secara praktikal mengulangi kerja "dengan kertas".

Dan alat pengurusan arkib dan dokumen elektronik itu sendiri, CD dan TD, yang berjaya dilaksanakan pada zaman mereka, selalunya tidak menyokong pendekatan untuk bekerja dengan model 3D, dan sistem maklumat yang dilaksanakan sebelum ini, sebagai peraturan, ketinggalan zaman dan tidak mengandungi mekanisme penyepaduan moden yang membenarkan semakan yang berkesan.

Penyepaduan dan pengoptimuman proses pengeluaran

Faktor seterusnya ialah penyepaduan dan pengoptimuman proses pengeluaran. Selalunya pelanggan kami mempunyai keinginan yang sah untuk mengautomasikan keseluruhan rantaian pengeluaran sebanyak mungkin. Sebagai contoh, adalah agak logik bahawa apabila menulis proses teknikal, adalah berguna untuk ahli teknologi untuk mempunyai akses kepada hasil kerja pereka bentuk. Tidak dinafikan, saya ingin mempunyai beberapa jenis persekitaran bersepadu yang bersatu, dan tidak kira sama sekali bagaimana persekitaran sedemikian dibina - dalam satu atau beberapa sistem. Perkara utama ialah pemindahan data dari hujung ke hujung antara peserta dalam proses pengeluaran, penggunaan dan penyelenggaraan maklumat terkini.

Penciptaan persekitaran bersepadu yang tersebar secara geografi

Selalunya, sistem yang dilaksanakan sebelum ini tidak mengandungi fungsi yang diperlukan, dan cara terbina dalam mengembangkannya tidak membenarkan mencapai yang dikehendaki - mengembangkan fungsi atau mengatur interaksi integrasi yang diperlukan dengan sistem lain. Selalunya biro reka bentuk dan kemudahan pengeluaran diasingkan secara geografi. Kadangkala alat sedia ada tidak memenuhi idea moden tentang automasi yang berkesan. Sebagai contoh, pertukaran fail (tatasusunan pengangkutan) digunakan untuk bertukar maklumat antara sistem dalam pembinaan kapal. Selalunya satu-satunya cara untuk mengatur interaksi integrasi ialah teknologi COM. Pada masa yang sama, sistem moden memungkinkan untuk menyusun pangkalan data yang diedarkan secara geografi dengan berkesan, bekerja dengan data kejuruteraan, dan menukarnya antara biro reka bentuk jauh, biro reka bentuk dan pengeluaran.

Sebab ekonomi

Tidak dinafikan, dalam apa jua keadaan, komponen ekonomi peralihan kepada penggunaan platform baharu bukanlah perkara baharu, tetapi hari ini ia mempunyai dua komponen utama:

• pelaburan dalam platform baharu harus membawa faedah ekonomi;
• pelanggan menyatakan keinginan untuk mengurangkan pelaburan dan tidak bergantung kepada pengeluar asing dalam beberapa industri.

sistem IPS

Atas beberapa sebab, kami tidak akan memikirkan alat automasi Barat yang terkenal. Dalam bahagian ini kami akan cuba menyenaraikan penyelesaian: sistem arkib reka bentuk elektronik, pengurusan dokumen, PDM, PLM, sebenarnya disesuaikan dengan proses domestik, rangka kerja pengawalseliaan semasa Persekutuan Rusia untuk biro reka bentuk dan pengeluaran, di satu pihak, dan mengambil mengambil kira keadaan semasa dan ketersediaan sistem automasi reka bentuk, DBMS, peralatan rangkaian dan interaksi, sebaliknya. Dengan kaveat di atas, pilihan, sayangnya, tidak begitu hebat - mungkin seseorang akan berhujah dengan munasabah (yang kami berterima kasih terlebih dahulu), tetapi hanya tiga penyelesaian yang dapat dilihat di pasaran domestik:

• Sistem IPS yang dikeluarkan oleh Intermech;
• Sistem LOTSMAN:PLM yang dihasilkan oleh Askon;
• Sistem T¬Flex dikeluarkan oleh Top Systems.

Tujuan artikel itu bukanlah perbandingan rasmi bagi ketiga-tiga sistem ini berdasarkan prinsip "kehadiran atau ketiadaan" fungsi tertentu. Pengalaman kami menunjukkan bahawa dalam kebanyakan kes pendekatan ini sangat subjektif dan tidak betul. Dalam hal ini, hari ini kita akan mengehadkan diri kita untuk menerangkan hanya satu sistem IPS.

Fungsi umum

Sistem ini ialah penyelesaian modular yang mengautomasikan tugas reka bentuk dan pengeluaran - kerja kumpulan pereka, aliran dokumen reka bentuk, pelaksanaan sistem arkib elektronik, menjalankan penyediaan teknologi pengeluaran, mengatur interaksi integrasi dengan sistem lain Perusahaan.

Struktur umum sistem IPS ditunjukkan dalam Rajah. 2.

nasi. 2. Struktur am IPS

Heterogeniti persekitaran IPS

Bukan rahsia lagi bahawa sebahagian besar alat tersebut dibangunkan oleh pengeluar sistem CAD. Pada masa yang sama, setiap pengeluar pada mulanya menyelesaikan masalah pemasaran untuk menarik pelanggan untuk bekerja dengan satu set produk perisian "nya". Dengan cara ini, konsep ini wujud dalam penyelesaian perisian bukan sahaja dalam bidang automasi aktiviti reka bentuk dan pengeluaran dan bukan sahaja di negara kita, tetapi menyatakan trend global. Beberapa ketika dahulu, pendekatan ini mengalami perubahan, dan hari ini, sebagai peraturan, mana-mana pengeluar sistem PDM/PLM akan menjawab soalan secara afirmatif tentang ketersediaan interaksi perisian dengan sistem CAD yang bukan asli kepadanya.

Sistem IPS patut diberi perhatian kerana pada asalnya tidak dicipta daripada sistem CAD "sejenis asli". Konsep IPS boleh dicirikan oleh jargon "omnivor," yang paling tepat mencirikan hubungannya dengan alat reka bentuk yang digunakan dalam biro reka bentuk. Pada masa yang sama, pelaksanaan IPS mencerminkan trend semasa perusahaan yang mempunyai pelbagai sistem CAD. Pada masa yang sama, kami perhatikan bahawa kadangkala "kelimpahan alat reka bentuk" sedemikian dalam beberapa kes hanyalah "gema era automasi spontan", dan dalam beberapa kes - hasil daripada dasar ekonomi yang kukuh, ditentukan, seterusnya , dengan kerumitan dan rangkaian produk yang direka. IPS berfungsi sama baik dengan sistem CAD berikut:

• AutoCAD;
• Pencipta Autodesk;
• BricsCAD;
• Catia;
• Pro/JURUTERA/PTC Creo Parametric;
• Tepi Pepejal;
• SolidWorks;
• KOMPAS-3D;
• KOMPAS-Graf.

Dan sebagai tambahan - dengan sistem reka bentuk papan litar elektronik (ECAD): Grafik Mentor dan Pereka Altium.

Pilihan penyesuaian kefungsian

Platform IPS membolehkan anda mengkonfigurasi fungsi secara fleksibel. Apabila membuat tetapan, alat terbina dalam boleh digunakan (tanpa pengaturcaraan). Untuk melaksanakan fungsi unik, persekitaran pengaturcaraan luaran boleh digunakan untuk menulis program pemalam.

Aspek penting dalam automasi reka bentuk, aktiviti pengeluaran, pelaksanaan arkib elektronik, teknologi PDM/PLM dalam perusahaan moden ialah anda tidak perlu bermula "dari awal." Di samping itu, sebagai peraturan, penyimpanan maklumat dalam bentuk elektronik (arkib elektronik) sudah diatur pada satu darjah atau yang lain, dan kejayaan pelaksanaan aliran dokumen reka bentuk, elemen PDM dan PLM bukanlah perkara biasa. Dalam kes yang lebih "maju", terdapat satu ruang maklumat dan interaksi antara sistem diatur. Pada masa yang sama, dalam satu tangan, alat yang dilaksanakan dan berjaya dikendalikan memerlukan pemodenan yang berkaitan dengan peralihan kepada teknologi baharu (contohnya, apabila memperkenalkan sistem CAD tiga dimensi). Sebaliknya, pangkalan data terkumpul sebelum ini, pendekatan teknikal dan organisasi harus dan boleh digunakan apabila memperkenalkan teknologi baharu. Sebagai contoh, pangkalan data dokumentasi "dua dimensi" untuk produk yang dikeluarkan sebelum ini tidak kehilangan kaitannya sama sekali dengan peralihan kepada penggunaan sistem 3D-CAD (produk dikendalikan, dimodenkan, dihasilkan semula, tidak kira bagaimana ia direka bentuk. - “di atas kapal terbang” atau “di atas kertas” ).

Organisasi kerja yang diedarkan secara geografi

Mari kita tambahkan bahawa sistem IPS memungkinkan untuk melaksanakan penyelesaian yang tersebar secara geografi kedua-duanya dalam satu peringkat kitaran hayat produk, contohnya, apabila mereka bentuk satu atau beberapa biro reka bentuk, dan dalam peringkat yang berbeza. Dalam kes ini, adalah mungkin, sebagai contoh, untuk mereka bentuk produk oleh satu atau beberapa biro reka bentuk dan akses jauh ahli teknologi satu atau beberapa kemudahan pengeluaran yang diedarkan kepada hasil kerja pereka, automasi penyediaan teknologi pengeluaran menggunakan modul IPS yang sesuai. Mekanisme untuk menerbitkan dokumen dan model membolehkan perusahaan jauh dari biro reka bentuk membuat anotasi dan memulakan perubahan, bekerja dalam satu persekitaran yang diedarkan secara geografi.

Struktur umum organisasi kerja teragih IPS ditunjukkan dalam Rajah. 3.

nasi. 3. Organisasi kerja IPS yang diedarkan secara geografi

Contoh peralihan KB untuk menggunakan IPS

Mari kita berikan contoh sebenar pemindahan daripada sistem arkib elektronik yang dilaksanakan sebelum ini, aliran dokumen dengan elemen PDM dan PLM dalam salah satu biro reka bentuk yang besar. Sebab utama untuk menjalankan kerja:

• peralihan jabatan reka bentuk kepada reka bentuk tiga dimensi;
• kekurangan keupayaan teknikal untuk menyokong kerja dengan sistem 3D-CAD dalam arkib elektronik dan sistem pengurusan dokumen sedia ada dengan elemen PDM dan PLM;
• seni bina lapuk sistem sedia ada dan kemustahilan penskalaan selanjutnya;
• keperluan untuk interaksi biro reka bentuk yang tersebar secara geografi dengan biro reka bentuk dan pengeluaran lain.

Hasil kerja:

• penghuraian isu migrasi data daripada sistem sedia ada kepada IPS;
• penghuraian isu migrasi proses daripada sistem sedia ada kepada IPS;
• penyelesaian perisian - subsistem interaksi antara muka antara sistem sedia ada dan IPS untuk memastikan interaksi penyepaduan sistem, membolehkan "peralihan yang lancar";
• komponen organisasi peralihan kepada menggunakan sistem baharu dirumuskan, dengan mengambil kira pengoptimuman kos masa dan sumber.

Peringkat pertama - pembangunan teknologi dan penyelesaian perisian dan perkakasan - telah dijalankan pada produk "juruterbang" yang direka bentuk sebelum ini.

Pada masa ini, mengikut jadual kerja, pakar syarikat kami sedang melaksanakan peringkat kerja seterusnya berdasarkan hasil yang diperoleh sebelum ini: sokongan untuk reka bentuk dua produk sebenar sistem 3D-CAD dan sistem IPS.

Kesimpulan

• Selalunya peringkat automasi biro reka bentuk dan perusahaan, diletakkan sebagai pelaksanaan sebenar teknologi PDM/PLM, adalah penciptaan arkib elektronik, sistem pengurusan dokumen CD dan TD, TDM (biasanya untuk dokumen dua dimensi). Dalam kebanyakan kes, kita hanya boleh bercakap tentang pelaksanaan sebenar elemen PDM dan PLM;
• dengan peralihan kepada reka bentuk tiga dimensi, arkib elektronik yang dilaksanakan sebelum ini dan sistem pengurusan dokumen CD dan TD, elemen PDM dan PLM yang diperkenalkan tidak selalu memenuhi keperluan baru;
• memindahkan sistem pengurusan dokumen dan pengarkiban elektronik CD dan TD, elemen PDM dan PLM, ke platform baharu bukanlah tugas yang mudah, tetapi boleh diselesaikan sepenuhnya, memerlukan pendekatan sistematik yang dibangunkan oleh Biro ESG, yang hanya sebahagiannya diliputi dalam artikel.

Bibliografi

1. Turetsky O., Tuchkov A., Chikovskaya I., Ryndin A. Pembangunan baru syarikat InterCAD - sistem untuk menyimpan dokumen dan model 3D // REM. 2014. No 1.
2. Tuchkov A., Ryndin A. Mengenai cara untuk mencipta sistem pengurusan data kejuruteraan // REM. 2014. No 1.
3. Kazantseva I., Ryndin A., Reznik B. Maklumat dan sokongan kawal selia untuk kitaran hayat penuh kapal. Pengalaman Biro ESG // Korabel.ru. 2013. No 3 (21).
4. Tuchkov A., Ryndin A. Reka bentuk sistem pengurusan data dalam bidang pembinaan perindustrian dan awam: pengalaman dan pemahaman kami // CAD dan grafik. 2013. No. 2.
5. Galkina O., Korago N., Tuchkov A., Ryndin A. Sistem arkib elektronik D'AR ialah langkah pertama ke arah membina sistem pengurusan data reka bentuk // CAD dan grafik. 2013. No. 9.
6. Ryndin A., Turetsky O., Tuchkov A., Chikovskaya I. Mencipta repositori model dan dokumen 3D apabila bekerja dengan sistem CAD tiga dimensi // CAD dan grafik. 2013. No. 10.
7. Ryndin A., Galkina O., Blagodyr A., ​​​​Korago N. Automasi aliran dokumentasi adalah langkah penting ke arah mewujudkan ruang maklumat bersatu perusahaan // REM. 2012. No 4.
8. Petrov V. Pengalaman mencipta ruang maklumat bersatu di St. Petersburg JSC "Red October" // CAD dan grafik. 2012. No. 11.
9. Malashkin Yu., Shatskikh T., Yukhov A., Galkina O., Karago N., Ryndin A., Fertman I. Pengalaman dalam membangunkan sistem pengurusan dokumen elektronik di OJSC Giprospetsgaz // CAD dan grafik. 2011. No. 12.
10. Sanyov V., Suslov D., Smirnov S. Penggunaan teknologi maklumat di Institut Penyelidikan Pusat Kejuruteraan Kapal // CADmaster. 2010. No. 3.
11. Vorobyov A., Danilova L., Ignatov B., Ryndin A., Tuchkov A., Utkin A., Fertman I., Shcheglov D. Senario dan mekanisme untuk mewujudkan ruang maklumat bersatu // CADmaster. 2010. No 5.
12. Danilova L., Shcheglov D. Metodologi untuk mewujudkan ruang maklumat bersatu untuk industri roket dan angkasa // REM. 2010. No 6.
13. Galkina O.M., Ryndin A.A., Ryabenkiy L.M., Tuchkov A.A., Fertman I.B. Model maklumat elektronik produk pembinaan kapal pada pelbagai peringkat kitaran hayat // CADmaster. 2007. No. 37a.
14. Ryndin A.A., Ryabenkiy L.M., Tuchkov A.A., Fertman I.B. Teknologi untuk memastikan kitaran hayat produk // Computer-INFORM. 2005. No. 11.
15. Ryndin A.A., Ryabenkiy L.M., Tuchkov A.A., Fertman I.B. Peringkat pelaksanaan teknologi IPI // Pembinaan Kapal. 2005. No. 4.

Dalam dunia yang ideal, hanya mereka yang anda perlukan masuk ke dalam rangkaian anda - rakan sekerja, rakan, pekerja syarikat... Dengan kata lain, mereka yang anda kenali dan percayai.

Dalam dunia nyata, selalunya perlu untuk memberikan akses kepada rangkaian dalaman kepada pelanggan, vendor perisian, dll. Pada masa yang sama, terima kasih kepada globalisasi dan perkembangan meluas bidang freelancing, akses kepada orang yang anda tidak kenali dan lakukan tidak amanah sudah menjadi satu keperluan.

Tetapi sebaik sahaja anda membuat keputusan bahawa anda ingin membuka akses kepada rangkaian dalaman anda 24/7, anda harus faham bahawa bukan sahaja "orang baik" akan menggunakan "pintu" ini. Biasanya, sebagai tindak balas kepada kenyataan sedemikian, anda boleh mendengar sesuatu seperti "baik, ini bukan tentang kami, kami mempunyai syarikat kecil," "siapa yang memerlukan kami," "tidak ada gunanya memecahkan apa yang kami ada."

Dan ini tidak sepenuhnya benar. Walaupun anda membayangkan sebuah syarikat yang tiada apa-apa pada komputernya kecuali OS yang baru dipasang, ini adalah sumber. Sumber yang boleh berfungsi. Dan bukan sahaja untuk anda.

Oleh itu, walaupun dalam kes ini, mesin ini boleh menjadi sasaran penyerang, sebagai contoh, untuk mencipta botnet, perlombongan Bitcoin, retakan hash...

Terdapat juga pilihan untuk menggunakan mesin pada rangkaian anda untuk permintaan penyerang proksi. Oleh itu, aktiviti haram mereka akan mengikat anda ke dalam rantaian paket dan, sekurang-kurangnya, menambah sakit kepala kepada syarikat sekiranya berlaku litigasi.

Dan di sini timbul persoalan: bagaimana membezakan tindakan undang-undang dari yang haram?

Sebenarnya, soalan ini harus dijawab oleh sistem pengesanan pencerobohan. Dengan bantuannya, anda boleh mengesan serangan yang paling terkenal pada rangkaian anda dan mempunyai masa untuk menghentikan penyerang sebelum mereka sampai ke perkara penting.

Biasanya, pada ketika ini dalam perbincangan, timbul pemikiran bahawa apa yang diterangkan di atas boleh dilakukan oleh tembok api biasa. Dan ini betul, tetapi tidak dalam segala-galanya.

Perbezaan antara firewall dan fungsi IDS mungkin tidak kelihatan pada pandangan pertama. Tetapi IDS biasanya boleh memahami kandungan paket, pengepala dan kandungan, bendera dan pilihan, dan bukan hanya port dan alamat IP. Iaitu, IDS memahami konteks, yang biasanya tidak dapat dilakukan oleh tembok api. Berdasarkan ini, kita boleh mengatakan bahawa IDS melaksanakan fungsi Firewall, tetapi dengan lebih bijak. Ia bukan tipikal untuk Firewall biasa mempunyai situasi di mana, sebagai contoh, anda perlu membenarkan sambungan pada port 22 (ssh), tetapi menyekat hanya beberapa paket yang mengandungi tandatangan tertentu.

Firewall Moden boleh ditambah dengan pelbagai pemalam yang boleh melakukan perkara serupa yang berkaitan dengan pemeriksaan mendalam pakej. Selalunya pemalam sedemikian ditawarkan oleh vendor IDS sendiri untuk mengukuhkan gabungan Firewall - IDS.

Sebagai abstraksi, anda boleh menganggap IDS sebagai sistem penggera untuk rumah atau pejabat anda. IDS akan memantau perimeter dan memberitahu anda apabila sesuatu yang tidak dijangka berlaku. Tetapi pada masa yang sama, IDS tidak akan menghalang penembusan dalam apa cara sekalipun.

Dan ciri ini membawa kepada hakikat bahawa dalam bentuk tulennya, IDS kemungkinan besar bukan yang anda inginkan daripada sistem keselamatan anda (kemungkinan besar, anda tidak mahu sistem sedemikian melindungi rumah atau pejabat anda - ia tidak mempunyai sebarang kunci) .

Oleh itu, kini hampir mana-mana IDS adalah gabungan IDS dan IPS (Intrusion Prevention System).

Seterusnya, anda perlu memahami dengan jelas perbezaan antara IDS dan VS (Vulnerability Scanner). Dan mereka berbeza dalam prinsip tindakan. Pengimbas kerentanan adalah langkah pencegahan. Anda boleh mengimbas semua sumber anda. Jika pengimbas menemui sesuatu, anda boleh membetulkannya.

Tetapi, selepas saat anda mengimbas dan sebelum imbasan seterusnya, perubahan mungkin berlaku dalam infrastruktur, dan imbasan anda kehilangan maknanya, kerana ia tidak lagi menggambarkan keadaan sebenar. Perkara seperti konfigurasi, tetapan perkhidmatan individu, pengguna baharu, hak pengguna sedia ada dan sumber serta perkhidmatan baharu yang ditambahkan pada rangkaian boleh berubah.

Perbezaan antara IDS ialah mereka melakukan pengesanan dalam masa nyata, dengan konfigurasi semasa.

Adalah penting untuk memahami bahawa IDS, sebenarnya, tidak mengetahui apa-apa tentang kelemahan dalam perkhidmatan pada rangkaian. Dia tidak memerlukannya. Ia mengesan serangan mengikut peraturannya sendiri - berdasarkan penampilan tandatangan dalam trafik pada rangkaian. Oleh itu, jika IDS mengandungi, sebagai contoh, tandatangan untuk serangan pada Apache WebServer, tetapi anda tidak mempunyainya di mana-mana, IDS masih akan mengesan paket dengan tandatangan sedemikian (mungkin seseorang cuba menghantar eksploitasi daripada Apache kepada nginx daripada kejahilan, atau membuat kit alat automatik).

Sudah tentu, serangan sedemikian terhadap perkhidmatan yang tidak wujud tidak akan membawa apa-apa, tetapi dengan IDS anda akan sedar bahawa aktiviti sedemikian sedang berlaku.

Penyelesaian yang baik ialah menggabungkan imbasan kelemahan berkala dengan IDS/IPS didayakan.

Kaedah pengesanan pencerobohan. Penyelesaian perisian dan perkakasan.

Hari ini, banyak vendor menawarkan penyelesaian IDS/IPS mereka. Dan mereka semua menjual produk mereka dengan cara yang berbeza.

Pendekatan yang berbeza didorong oleh pendekatan yang berbeza untuk mengkategorikan peristiwa keselamatan, serangan dan pencerobohan.

Perkara pertama yang perlu dipertimbangkan ialah skala: adakah IDS/IPS berfungsi hanya dengan trafik hos tertentu atau adakah ia akan memeriksa trafik keseluruhan rangkaian.

Kedua, beginilah kedudukan produk pada mulanya: ia boleh menjadi penyelesaian perisian, atau boleh menjadi perkakasan.

Mari lihat apa yang dipanggil Host-based IDS (HIDS - Host-based Intrusion Detection System)

HIDS hanyalah contoh pelaksanaan perisian produk dan dipasang pada satu mesin. Oleh itu, sistem jenis ini "melihat" hanya maklumat yang tersedia untuk mesin tertentu dan, dengan itu, mengesan serangan hanya menjejaskan mesin ini. Kelebihan sistem jenis ini ialah apabila pada mesin, mereka melihat keseluruhan struktur dalamannya dan boleh memantau dan memeriksa lebih banyak objek. Bukan hanya trafik luaran.

Sistem sedemikian biasanya memantau fail log, cuba mengenal pasti anomali dalam strim acara, menyimpan senarai semak fail konfigurasi kritikal dan membandingkan secara berkala sama ada seseorang telah menukar fail ini.

Sekarang mari kita bandingkan sistem sedemikian dengan sistem berasaskan rangkaian (NIDS) yang kita bincangkan pada awal-awal lagi.

Untuk NIDS berfungsi, pada asasnya hanya antara muka rangkaian diperlukan dari mana NIDS boleh menerima trafik.

Seterusnya, semua NIDS lakukan ialah membandingkan trafik dengan corak serangan yang dipratentukan (tandatangan), dan sebaik sahaja sesuatu berada di bawah tandatangan serangan, anda menerima pemberitahuan tentang percubaan pencerobohan. NIDS juga mampu mengesan DoS dan beberapa jenis serangan lain yang tidak dapat dilihat oleh HIDS.

Anda boleh mendekati perbandingan dari sisi lain:

Jika anda memilih IDS/IPS yang dilaksanakan sebagai penyelesaian perisian, anda mendapat kawalan ke atas perkakasan yang akan anda pasangkannya. Dan, jika anda sudah mempunyai perkakasan, anda boleh menjimatkan wang.

Terdapat juga pilihan IDS/IPS percuma yang tersedia dalam pelaksanaan perisian. Sudah tentu, anda perlu memahami bahawa menggunakan sistem percuma anda tidak mendapat sokongan, kelajuan kemas kini dan penyelesaian masalah yang sama seperti pilihan berbayar. Tetapi ini adalah tempat yang baik untuk bermula. Di dalamnya anda boleh memahami apa yang anda perlukan dari sistem sedemikian, melihat apa yang hilang, apa yang tidak perlu, mengenal pasti masalah, dan anda akan tahu apa yang perlu ditanya kepada vendor sistem berbayar pada awalnya.

Jika anda memilih penyelesaian perkakasan, anda menerima kotak yang hampir sedia untuk digunakan. Kelebihan pelaksanaan sedemikian adalah jelas - perkakasan dipilih oleh vendor, dan dia mesti menjamin bahawa pada perkakasan ini penyelesaiannya berfungsi dengan ciri yang diisytiharkan (tidak perlahan, tidak membeku). Biasanya di dalamnya terdapat beberapa jenis pengedaran Linux dengan perisian yang telah dipasang. Pengedaran sedemikian biasanya sangat dilucutkan untuk memastikan kelajuan operasi yang pantas, hanya meninggalkan pakej dan utiliti yang diperlukan (pada masa yang sama, masalah saiz kit pada cakera diselesaikan - semakin kecil semakin kurang HDD diperlukan - semakin rendah kos - lebih besar keuntungan!).

Penyelesaian perisian selalunya sangat menuntut sumber pengkomputeran.

Sebahagiannya disebabkan oleh ini, hanya IDS/IPS yang berfungsi dalam "kotak", dan pada pelayan dengan perisian IDS/IPS biasanya terdapat banyak perkara tambahan yang berjalan.

Artikel ini membincangkan penyelesaian IPS yang popular dalam konteks pasaran global dan Rusia. Takrif istilah asas, sejarah kemunculan dan perkembangan penyelesaian IPS diberikan, dan masalah umum dan skop penggunaan penyelesaian IPS juga dipertimbangkan. Ia juga menyediakan ringkasan fungsi penyelesaian IPS yang paling popular daripada pelbagai pengeluar.

Apakah IPS?

Pertama sekali, mari kita berikan definisi. Sistem pengesanan pencerobohan (IDS) atau Sistem pencegahan Pencerobohan (IPS) ialah perisian dan perkakasan yang direka untuk mengesan dan/atau mencegah pencerobohan. Ia direka untuk mengesan dan menghalang percubaan yang tidak dibenarkan untuk mengakses, menggunakan atau melumpuhkan sistem komputer, terutamanya melalui Internet atau rangkaian kawasan setempat. Percubaan sedemikian boleh berbentuk serangan oleh penggodam atau orang dalam, atau hasil daripada perisian hasad.

Sistem IDS/IPS digunakan untuk mengesan aktiviti rangkaian anomali yang boleh menjejaskan keselamatan dan kerahsiaan data, contohnya: percubaan untuk mengeksploitasi kelemahan perisian; percubaan untuk menggantung keistimewaan; akses tanpa kebenaran kepada data sulit; aktiviti perisian hasad, dsb.

Penggunaan sistem IPS mempunyai beberapa tujuan:

• Mengesan dan mencegah pencerobohan atau serangan rangkaian;
• Ramalkan kemungkinan serangan masa depan dan kenal pasti kelemahan untuk menghalang perkembangan selanjutnya;
• Dokumen ancaman sedia ada;
• Memastikan kawalan kualiti pentadbiran dari perspektif keselamatan, terutamanya dalam rangkaian yang besar dan kompleks;
• Dapatkan maklumat berguna tentang penembusan yang berlaku untuk memulihkan dan membetulkan faktor yang menyebabkan penembusan;
• Tentukan lokasi sumber serangan berhubung dengan rangkaian tempatan (serangan luaran atau dalaman), yang penting apabila membuat keputusan tentang lokasi sumber pada rangkaian.

Secara umum, IPS adalah serupa dengan IDS. Perbezaan utama ialah mereka beroperasi dalam masa nyata dan secara automatik boleh menyekat serangan rangkaian. Setiap IPS termasuk modul IDS.

IDS pula biasanya terdiri daripada:

• sistem pengumpulan acara;
• sistem untuk menganalisis peristiwa yang dikumpul;
• penyimpanan di mana peristiwa terkumpul dan hasil analisisnya terkumpul;
• pangkalan data kelemahan (parameter ini adalah kunci, kerana lebih besar pangkalan data pengeluar, lebih banyak ancaman sistem boleh mengenal pasti);
• konsol pengurusan, yang membolehkan anda mengkonfigurasi semua sistem, memantau status rangkaian yang dilindungi, melihat pelanggaran yang dikesan dan tindakan yang mencurigakan.

Berdasarkan kaedah pemantauan, sistem IPS boleh dibahagikan kepada dua kumpulan besar: NIPS (Network Intrusion Prevention System) dan HIPS (Host Intrusion Prevention System). Kumpulan pertama tertumpu pada peringkat rangkaian dan sektor korporat, manakala wakil kedua berurusan dengan maklumat yang dikumpul di dalam satu komputer, dan oleh itu boleh digunakan pada komputer peribadi. Hari ini, HIPS sering dimasukkan dalam produk antivirus, oleh itu, dalam konteks artikel ini, kami tidak akan mempertimbangkan sistem ini.

Antara NIPS dan HIPS terdapat juga:

• IPS berasaskan protokol, PIPS. Ia adalah sistem (atau ejen) yang memantau dan menganalisis protokol komunikasi dengan sistem atau pengguna yang berkaitan.
• IPS berasaskan Protokol Aplikasi, APIPS. Ia adalah sistem (atau ejen) yang memantau dan menganalisis data yang dihantar menggunakan protokol khusus aplikasi. Contohnya, menjejaki kandungan arahan SQL.

Bagi faktor bentuk, sistem IPS boleh dibentangkan sama ada sebagai penyelesaian perkakasan yang berasingan atau sebagai mesin atau perisian maya.

Perkembangan teknologi. masalah IPS.

Sistem pencegahan pencerobohan muncul di persimpangan dua teknologi: tembok api dan sistem pengesanan pencerobohan (IDS). Yang pertama dapat menghantar trafik melalui diri mereka sendiri, tetapi hanya menganalisis pengepala paket IP. Yang terakhir, sebaliknya, "boleh" melakukan semua yang telah dilucutkan oleh firewall, iaitu, mereka menganalisis lalu lintas, tetapi tidak dapat mempengaruhi keadaan dalam apa cara sekalipun, kerana ia dipasang secara selari dan tidak membenarkan lalu lintas melalui diri mereka sendiri. Mengambil yang terbaik daripada setiap teknologi, sistem IPS muncul.

Pembangunan sistem IPS moden melalui empat arah. Jadi untuk bercakap, dari khusus kepada umum.

Arah pertama ialah pembangunan IDS menjadi inline-IDS. Dalam erti kata lain, adalah perlu untuk mengintegrasikan sistem IDS ke dalam rangkaian bukan secara selari, tetapi secara bersiri. Penyelesaiannya ternyata mudah dan berkesan: IDS diletakkan di antara sumber yang dilindungi dan tidak dilindungi. Varian perisian IPS berkemungkinan besar berkembang dari arah ini.

Arah kedua dalam pembangunan IPS tidak kurang logiknya: evolusi firewall. Seperti yang anda faham, mereka tidak mempunyai kedalaman analisis trafik yang melaluinya. Menambah fungsi untuk penembusan mendalam ke dalam badan data dan pemahaman protokol yang dihantar membenarkan tembok api menjadi sistem IPS sebenar. IPS perkakasan kemungkinan besar berkembang dari arah ini.

"Sumber" ketiga ialah antivirus. Ia tidak jauh dari memerangi cacing, Trojan dan perisian hasad lain kepada sistem IPS. HIPS berkemungkinan besar berkembang dari arah ini.

Akhirnya, arah keempat ialah penciptaan sistem IPS dari awal. Di sini, sebenarnya, tiada apa yang perlu ditambah.

Bagi masalah, IPS, seperti mana-mana penyelesaian lain, mempunyainya. Terdapat tiga masalah utama:

1. sejumlah besar positif palsu;
2. automasi tindak balas;
3. sejumlah besar tugas pengurusan.

Dengan pembangunan sistem, masalah ini berjaya diselesaikan. Jadi, sebagai contoh, untuk mengurangkan peratusan positif palsu, mereka mula menggunakan sistem korelasi peristiwa yang "menetapkan keutamaan" untuk acara dan membantu sistem IPS melaksanakan tugasnya dengan lebih cekap.

Semua ini membawa kepada kemunculan sistem IPS generasi akan datang (Next Generation IPS - NGIPS). NGIPS mesti mempunyai fungsi minimum berikut:

• Bekerja dalam masa nyata tanpa kesan (atau dengan kesan minimum) pada aktiviti rangkaian syarikat;
• Bertindak sebagai platform tunggal yang menggabungkan semua kelebihan IPS generasi sebelumnya, serta keupayaan baharu: kawalan dan pemantauan aplikasi; penggunaan maklumat daripada sumber pihak ketiga (pangkalan data kelemahan, data geolokasi, dsb.); analisis kandungan fail.

Rajah 1. Rajah berfungsiperingkat evolusi sistem IPS

Pasaran IPS global dan Rusia. Pemain utama, perbezaan.

Bercakap tentang pasaran global untuk sistem IPS, pakar sering merujuk kepada laporan Gartner, dan terutamanya kepada "petak ajaib" (Kuadran Ajaib Gartner untuk Sistem Pencegahan Pencerobohan, Julai 2012). Pada tahun 2012 keadaan adalah seperti berikut:

Rajah 2. Taburan pemain pasaran utamaSistem IPS di dunia. MaklumatGartner, Julai 2012

Terdapat pemimpin yang jelas dalam McAfee, Sourcefire dan HP, yang sangat diminati oleh Cisco yang terkenal itu. Walau bagaimanapun, musim panas 2013 membuat pelarasan sendiri. Pada awal Mei, gelombang perbincangan melanda pelbagai blog dan forum tematik, dibangkitkan oleh pengumuman perjanjian antara McAfee dan Stonesoft. Orang Amerika akan membeli "berwawasan" Finland, yang dengan lantang mengumumkan dirinya beberapa tahun lalu dengan membuka jenis serangan baharu AET (Teknik Pengelakan Lanjutan).

Walau bagaimanapun, kejutan tidak berakhir di sana dan, secara harfiah beberapa bulan kemudian, Cisco mengumumkan perjanjian dengan Sourcefire dan pembelian syarikat ini untuk rekod $ 2.7 bilion. Sebabnya lebih daripada menarik. Sourcefire terkenal dengan sokongannya terhadap dua pembangunan sumber terbuka: enjin pengesanan dan pencegahan pencerobohan Snort dan antivirus ClamAV. Pada masa yang sama, teknologi Snort telah menjadi standard de facto untuk sistem amaran dan pengesanan pencerobohan. Intinya ialah dalam pasaran Rusia Cisco Systems adalah pembekal utama penyelesaian keselamatan rangkaian. Ia adalah salah satu yang pertama memasuki pasaran Rusia; peralatan rangkaiannya dipasang di hampir setiap organisasi; oleh itu, bukan sesuatu yang luar biasa bahawa penyelesaian keselamatan rangkaian juga dipesan dari syarikat ini.

Di samping itu, Cisco Systems sedang menjalankan usaha yang sangat cekap untuk mempromosikan talian keselamatannya di pasaran Rusia. Dan pada masa ini, tiada syarikat boleh membandingkan dengan Cisco Systems dari segi tahap kerja dengan pasaran, baik dari segi pemasaran dan dari segi bekerja dengan rakan kongsi, organisasi kerajaan, pengawal selia, dll. Secara berasingan, perlu diperhatikan bahawa ini syarikat memberi perhatian yang sangat besar kepada isu pensijilan mengikut keperluan Rusia, membelanjakan lebih banyak daripada pengeluar Barat yang lain, yang juga membantu mengekalkan kedudukan utama dalam pasaran Rusia. Seperti yang mereka katakan, buat kesimpulan anda sendiri.

Dan, jika semuanya lebih atau kurang jelas dengan pasaran global sistem IPS - tidak lama lagi akan ada "shuffling" pemimpin - maka dengan pasaran Rusia tidak semuanya begitu mudah dan telus. Seperti yang dinyatakan di atas, pasaran domestik mempunyai spesifikasi tersendiri. Pertama, pensijilan memainkan peranan yang besar. Kedua, untuk memetik Mikhail Romanov, yang merupakan salah seorang pengarang kajian global "Pasaran Keselamatan Maklumat Persekutuan Rusia", kemudian “Hampir tiada penyelesaian IPS kompetitif yang dibuat di Rusia. Penulis mengetahui hanya tiga penyelesaian Rusia jenis ini: "Argus", "Forpost" dan "RUCHEY-M" (tidak diletakkan sebagai IPS). Tidak mungkin untuk mencari “Argus” atau “RUCHEY-M” di Internet dan membelinya. Penyelesaian Forpost, yang dihasilkan oleh RNT, diletakkan sebagai penyelesaian yang diperakui sepenuhnya berdasarkan kod SNORT (dan pembangun tidak menyembunyikan perkara ini). Pemaju tidak menyediakan penyelesaiannya untuk ujian, produk itu tidak dipromosikan di pasaran dalam apa jua cara, iaitu, nampaknya RNT mempromosikannya hanya kepada projeknya sendiri. Oleh itu, adalah tidak mungkin untuk melihat keberkesanan penyelesaian ini."

Tiga sistem yang disebutkan juga termasuk kompleks RUBICON, yang diletakkan oleh syarikat Eshelon bukan sahaja sebagai tembok api yang diperakui, tetapi juga sebagai sistem pengesanan pencerobohan. Malangnya, tidak banyak maklumat mengenainya.

Penyelesaian terbaru daripada pengeluar Rusia yang berjaya mereka temui ialah sistem IPS (termasuk dalam peranti ALTELL NEO UTM), iaitu, dalam kata-kata mereka, teknologi Surricata terbuka yang "diubah suai" yang menggunakan pangkalan data tandatangan semasa daripada sumber terbuka (Nasional Pangkalan Data Kerentanan dan bugtrax). Semua ini menimbulkan lebih banyak persoalan daripada pemahaman.

Walau bagaimanapun, berdasarkan cadangan penyepadu, kami boleh meneruskan senarai sistem IPS yang ditawarkan di pasaran Rusia dan memberikan penerangan ringkas untuk setiap penyelesaian:

Cisco IPS (diperakui oleh FSTEC)

Sebagai sebahagian daripada Rangkaian Tanpa Sempadan Cisco Secure, Cisco IPS menyediakan keupayaan berikut:

• Mencegah pencerobohan lebih daripada 30,000 eksploitasi yang diketahui;
• Kemas kini tandatangan automatik dari laman web Cisco Global Correlation untuk mengenali dan mencegah serangan pencerobohan secara dinamik daripada Internet;
• Penyelidikan lanjutan dan pengalaman Operasi Perisikan Keselamatan Cisco;
• Interaksi dengan komponen rangkaian lain untuk mengelakkan pencerobohan;
• Menyokong pelbagai pilihan penggunaan hampir masa nyata.

Semua ini membolehkan anda melindungi rangkaian anda daripada serangan seperti:

• Serangan langsung (serangan terarah);
• Cacing, virus (cacing);
• Rangkaian botnet (botnet);
• perisian hasad;
• Aplikasi yang dijangkiti (penyalahgunaan aplikasi).

Sourcefire IPS, IPS Adaptif dan Pengurusan Ancaman Perusahaan

Antara kelebihan utama ialah:

• Pembangunan sistem berdasarkan SNORT;
• Peraturan fleksibel;
• Integrasi dengan MSSP;
• Teknologi penyadapan pasif (impak sifar pada rangkaian);
• Bekerja dalam masa nyata;
• Pengesanan Anomali Tingkah Laku Rangkaian (NBA);
• Pemperibadian acara.

Platform Keselamatan Rangkaian McAfee (dahulunya Sistem Pencegahan Pencerobohan Rangkaian IntruShield) (diperakui oleh FSTEC)

Kelebihan penyelesaian:

• Pengurusan Keselamatan Pintar

Penyelesaian itu mengurangkan kakitangan dan masa yang diperlukan untuk memantau dan menyiasat peristiwa keselamatan sambil memudahkan pengurusan penempatan berskala besar yang kompleks. Melalui analisis terperinci dan berpandu, penemuan berjujukan menyampaikan maklumat yang anda perlukan tepat pada masa dan di mana anda memerlukannya, manakala kawalan hierarki membolehkan skala.

• Tahap perlindungan ancaman yang tinggi

Perlindungan ancaman disediakan oleh enjin tandatangan berasaskan kecerdasan kerentanan yang telah diubah menjadi platform generasi akan datang dengan menyepadukan analisis tingkah laku terkini dan teknologi korelasi pelbagai peristiwa. Sentuhan rendah, perlindungan berasaskan tandatangan mengekalkan kos operasi rendah dan berkesan melindungi daripada ancaman yang diketahui, manakala analisis tingkah laku lanjutan dan teknologi korelasi peristiwa melindungi daripada ancaman generasi akan datang dan sifar hari.

• Menggunakan perlindungan anti-perisian hasad global
• Infrastruktur Berkaitan Keselamatan

Penyelesaian itu meningkatkan tahap keselamatan rangkaian, membantu mengoptimumkan sistem keselamatan rangkaian, meningkatkan kecekapan ekonominya. Di samping itu, penyelesaian itu membolehkan anda menyelaraskan keselamatan rangkaian dengan program perniagaan untuk mencapai matlamat strategik.

• Prestasi dan kebolehskalaan
• Pengumpulan dan kawalan maklumat. Mendapatkan maklumat tentang tindakan dan peranti pengguna, yang disepadukan secara langsung ke dalam proses kawalan dan analisis

Stonesoft StoneGate IPS (diperakui oleh FSTEC)

StoneGate IPS adalah berdasarkan pengesanan pencerobohan dan fungsi pencegahan, yang menggunakan pelbagai kaedah pengesanan pencerobohan: analisis tandatangan, teknologi penyahkodan protokol untuk mengesan pencerobohan yang tidak mempunyai tandatangan, analisis anomali protokol, analisis tingkah laku hos tertentu, pengesanan sebarang jenis pengimbasan rangkaian , tandatangan aplikasi adaptif (profil maya).

Ciri khas Stonesoft IPS ialah kehadiran sistem analisis peristiwa keselamatan terbina dalam, yang mengurangkan trafik yang dihantar dari IPS ke sistem pengurusan dengan ketara dan bilangan positif palsu. Analisis awal peristiwa dijalankan oleh sensor Stonesoft IPS, kemudian maklumat daripada beberapa sensor dihantar ke penganalisis, yang mengaitkan peristiwa. Oleh itu, berbilang peristiwa mungkin menunjukkan serangan teragih masa atau cecacing rangkaian - di mana keputusan mengenai aktiviti berniat jahat dibuat berdasarkan beberapa peristiwa daripada "gambaran besar", dan bukannya pada setiap peristiwa individu.

Ciri utama StoneGate IPS:

• pengesanan dan pencegahan percubaan capaian yang tidak dibenarkan dalam masa nyata dalam mod yang telus kepada pengguna rangkaian;
• penggunaan teknologi AET proprietari (Teknik Pengelakan Lanjutan) - teknologi untuk perlindungan terhadap teknik pintasan dinamik;
• senarai luas tandatangan serangan (mengikut kandungan, konteks paket rangkaian dan parameter lain);
• keupayaan untuk memproses trafik rangkaian yang berpecah-belah;
• keupayaan untuk memantau pelbagai rangkaian pada kelajuan yang berbeza;
• protokol penyahkodan untuk mengenal pasti serangan tertentu dengan tepat, termasuk dalam sambungan SSL;
• keupayaan untuk mengemas kini pangkalan data tandatangan serangan daripada pelbagai sumber (tandatangan boleh diimport daripada pangkalan data Sumber Terbuka);
• menyekat atau menamatkan sambungan rangkaian yang tidak diingini;
• analisis "sejarah" peristiwa keselamatan;
• analisis protokol untuk pematuhan RFC;
• penganalisis peristiwa terbina dalam, yang membolehkan anda mengurangkan aliran positif palsu dengan berkesan;
• mencipta tandatangan serangan anda sendiri, templat analisis serangan, anomali, dsb.;
• kefungsian tambahan tembok api telus Kawalan Capaian Telus, yang membenarkan dalam sesetengah kes untuk menolak menggunakan tembok api tanpa sebarang pengurangan dalam keberkesanan perlindungan;
• analisis terowong GRE, sebarang gabungan IP v6, enkapsulasi IPv4;
• pengurusan dan pemantauan berpusat, mudah digunakan dan pada masa yang sama fleksibel untuk mengkonfigurasi sistem penjanaan laporan.

Pengesan serangan APKSh "Benua" (Kod Keselamatan) (diperakui oleh FSTEC dan FSB)

Pengesan serangan Benua direka untuk mengesan serangan rangkaian secara automatik menggunakan analisis trafik dinamik susunan protokol TCP/IP. Pengesan serangan Benua melaksanakan fungsi sistem pengesanan pencerobohan (IDS) dan menyediakan analisis dan analisis trafik untuk mengenal pasti serangan komputer yang ditujukan kepada sumber dan perkhidmatan maklumat.

Ciri utama pengesan serangan Benua:

• Pengurusan berpusat dan kawalan operasi menggunakan pusat kawalan sistem Benua.
• Gabungan kaedah pengesanan serangan tandatangan dan heuristik.
• Sambutan segera terhadap pencerobohan yang dikesan.
• Memberitahu pusat kawalan pusat tentang aktivitinya dan tentang peristiwa yang memerlukan campur tangan segera dalam masa nyata.
• Mengesan dan merekod maklumat tentang serangan.
• Analisis maklumat yang dikumpul.

Sistem Pencegahan Pencerobohan Rangkaian IBM Proventia (diperakui oleh FSTEC)

Sistem pencegahan serangan IPS Rangkaian Proventia direka untuk menyekat serangan rangkaian dan mengaudit operasi rangkaian. Menggunakan teknologi analisis protokol yang dipatenkan, Sistem Keselamatan Internet IBM menyediakan perlindungan proaktif—perlindungan tepat pada masanya bagi rangkaian perusahaan daripada pelbagai ancaman. Perlindungan pencegahan adalah berdasarkan pemantauan ancaman sepanjang masa di pusat keselamatan GTOC (gtoc.iss.net) dan penyelidikan dan pencarian kelemahan kumpulan X-Force sendiri.

Ciri utama Proventia Network IPS:

• Menghuraikan 218 protokol berbeza termasuk protokol lapisan aplikasi dan format data;
• Lebih daripada 3,000 algoritma digunakan dalam analisis trafik untuk melindungi daripada kelemahan;
• Teknologi Patch Maya – melindungi komputer sehingga kemas kini dipasang;
• Mod pemantauan pasif dan dua mod pemasangan setiap saluran;
• Menyokong berbilang zon keselamatan dengan satu peranti, termasuk zon VLAN;
• Ketersediaan modul pintasan terbina dalam dan luaran untuk penghantaran data berterusan melalui peranti sekiranya berlaku ralat sistem atau gangguan kuasa;
• Pelbagai cara untuk bertindak balas kepada peristiwa, termasuk mengelog paket serangan;
• Kawalan kebocoran maklumat dalam data dan dokumen pejabat yang dihantar melalui rangkaian peer-to-peer, perkhidmatan pemesejan segera, mel web dan protokol lain;
• Tetapan dasar terperinci;
• Rakaman trafik serangan;
• Sokongan untuk tandatangan tersuai;
• Keupayaan untuk menyekat ancaman baharu berdasarkan cadangan daripada pakar X-Force.

Check Point IPS (firewall dan diperakui UTM)

Check Point IPS Software Blade menyediakan keupayaan pencegahan pencerobohan yang luar biasa pada kelajuan berbilang gigabit. Untuk mencapai tahap perlindungan rangkaian yang tinggi, Enjin Pengesanan Ancaman IPS berbilang peringkat menggunakan banyak kaedah pengesanan dan analisis yang berbeza, termasuk: menggunakan tandatangan kelemahan dan percubaan untuk mengeksploitasinya, mengenal pasti anomali dan menganalisis protokol. Enjin IPS boleh menapis trafik masuk dengan pantas tanpa memerlukan analisis trafik yang mendalam, memastikan hanya segmen trafik yang berkaitan dianalisis untuk serangan, menyebabkan kos yang lebih rendah dan ketepatan yang meningkat.

Penyelesaian IPS memanfaatkan keupayaan pengurusan dinamik peringkat tinggi Check Point untuk membolehkan anda memaparkan secara grafik maklumat yang berkaitan sahaja, mengasingkan data dengan mudah dan mudah yang memerlukan tindakan pentadbiran selanjutnya, dan mematuhi keperluan kawal selia dan piawaian pelaporan. Selain itu, penyelesaian IPS Check Point—kedua-dua Bilah Perisian IPS dan Perkakas Perkakasan Check Point IPS-1—diuruskan melalui konsol pengurusan tunggal, SmartDashboard IPS, yang menyediakan pengurusan bersepadu aset IPS.

Faedah utama:

• Alat perlindungan IPS penuh – Semua fungsi IPS terbina dalam tembok api yang digunakan;
• Prestasi peneraju industri – IPS Berbilang Gigabit dan prestasi tembok api;
• Pengurusan Dinamik – Rangkaian penuh alat pengurusan, termasuk paparan acara keselamatan masa nyata dan proses keselamatan automatik;
• Perlindungan antara keluaran patch – Peningkatan tahap perlindungan dalam kes keluaran patch tertunda.

Sistem Pengurusan Ancaman Mikro Trend (berdasarkan Rangkaian Perlindungan Pintar)

Sistem Pengurusan Ancaman Mikro Trend ialah analisis rangkaian dan penyelesaian pemantauan yang menyediakan keupayaan unik dalam bidang mengesan pencerobohan halus, serta mengautomasikan pemulihan ancaman. Dikuasakan oleh Rangkaian Perlindungan Pintar Trend Micro (suit modul pengesanan dan analisis ancaman) dan maklumat terkini daripada penyelidik ancaman Trend Micro, penyelesaian teguh ini menyediakan keupayaan pencegahan ancaman yang paling berkesan dan terkini.

Kelebihan utama:

• Respons yang lebih pantas terhadap potensi kehilangan data disebabkan pengesanan awal perisian hasad baharu dan diketahui;
• Mengurangkan pembendungan ancaman dan kos kawalan kerosakan dan mengurangkan masa henti dengan pendekatan tersuai untuk pemulihan automatik bagi ancaman keselamatan baharu;
• Rancang dan urus infrastruktur keselamatan anda secara proaktif melalui peningkatan pengetahuan tentang kelemahan rangkaian dan punca ancaman;
• Simpan jalur lebar dan sumber rangkaian dengan mengenal pasti aplikasi dan perkhidmatan yang mengganggu rangkaian anda;
• Pengurusan ancaman dan pelanggaran keselamatan yang dipermudahkan dengan portal pengurusan berpusat yang mudah;
• Tidak campur tangan dengan perkhidmatan sedia ada dengan penggunaan yang fleksibel dan luar jalur lebar.

Rangkaian Palo Alto IPS

Palo Alto Networks™ ialah peneraju pasaran dalam keselamatan rangkaian dan pencipta tembok api generasi akan datang. Visualisasi penuh dan kawalan semua aplikasi dan kandungan pada rangkaian oleh pengguna, dan bukan dengan alamat IP atau port, pada kelajuan sehingga 20Gbps tanpa kehilangan prestasi, adalah kelebihan utama di kalangan penyelesaian yang kompetitif.

Tembok api Rangkaian Palo Alto, berdasarkan teknologi App-ID™ yang dipatenkan, mengenal pasti dan mengawal aplikasi dengan tepat—tanpa mengira port, protokol, gelagat atau penyulitan—dan mengimbas kandungan untuk mengelakkan ancaman dan kebocoran data.

Idea utama tembok api generasi baharu, berbanding dengan pendekatan tradisional, termasuk penyelesaian UTM, adalah untuk memudahkan infrastruktur keselamatan rangkaian, menghapuskan keperluan untuk pelbagai peranti keselamatan yang berdiri sendiri, dan juga menyediakan pecutan trafik kerana pengimbasan satu laluan. Platform Rangkaian Palo Alto menangani pelbagai keperluan keselamatan rangkaian yang diperlukan oleh pelbagai jenis pelanggan: daripada pusat data ke perimeter korporat dengan sempadan logik bersyarat, termasuk cawangan dan peranti mudah alih.

Tembok api generasi seterusnya Rangkaian Palo Alto membolehkan anda mengenal pasti dan mengawal aplikasi, pengguna dan kandungan - bukan hanya port, alamat IP dan paket - menggunakan tiga teknologi pengenalan unik: App-ID, User-ID dan Content-ID. Teknologi identiti ini membolehkan anda membuat dasar keselamatan yang membenarkan aplikasi khusus yang diperlukan oleh perniagaan anda, dan bukannya mengikut pendekatan biasa atau tidak sama sekali bagi tembok api penyekat port tradisional.

Sistem Pencegahan Pencerobohan HP TippingPoint

TippingPoint ialah Sistem Pencegahan Pencerobohan (IPS) yang terkemuka dalam industri, tiada tandingan dalam keselamatan, prestasi, ketersediaan dan kemudahan penggunaan. TippingPoint ialah satu-satunya sistem IPS yang menerima Anugerah Emas Kumpulan NSS dan pensijilan Kriteria Biasa, menjadikannya penanda aras de facto untuk pencegahan pencerobohan rangkaian.

Teknologi teras dalam produk TippingPoint ialah Enjin Penindasan Ancaman (TSE), yang dilaksanakan pada litar bersepadu khusus aplikasi (ASIC). Melalui gabungan ASIC tersuai, satah belakang 20 Gbps dan pemproses rangkaian berprestasi tinggi, enjin TSE menyediakan analisis aliran paket lengkap pada lapisan 2-7; Pada masa yang sama, kelewatan aliran melalui sistem IPS adalah kurang daripada 150 μs, tanpa mengira bilangan penapis yang digunakan. Ini memastikan pembersihan intranet dan trafik Internet secara berterusan dan pengesanan tepat ancaman seperti worm, virus, Trojan, ancaman bercampur, pancingan data, ancaman melalui serangan VoIP, DoS dan DDoS, memintas sistem keselamatan, Walk-in worm. -Worms), secara haram menggunakan lebar jalur sebelum sebarang bahaya sebenar dilakukan. Di samping itu, seni bina TSE mengklasifikasikan trafik untuk memberi keutamaan tertinggi kepada aplikasi kritikal misi.

TippingPoint juga menyediakan perlindungan berterusan terhadap ancaman daripada kelemahan yang baru ditemui. Semasa menganalisis kelemahan ini untuk Institut SANS, TippingPoint, yang merupakan pengarang utama surat berita, yang menerbitkan maklumat terkini tentang kelemahan keselamatan rangkaian baharu dan sedia ada, pada masa yang sama membangunkan penapis perlindungan terhadap serangan yang menyasarkan kelemahan ini dan memasukkannya. dalam keluaran berikutnya bagi Vaksin Digital (“vaksin digital”). Vaksin dicipta untuk meneutralkan bukan sahaja serangan khusus, tetapi juga kemungkinan variasinya, yang memberikan perlindungan terhadap ancaman seperti Zero-Day.

"Vaksin digital" dihantar kepada pelanggan setiap minggu, dan jika kelemahan kritikal dikenal pasti, segera. Ia boleh dipasang secara automatik tanpa campur tangan pengguna, menjadikannya lebih mudah bagi pengguna untuk mengemas kini sistem keselamatan mereka.

Hari ini, produk utama syarikat ialah Sistem Pencegahan Pencerobohan Generasi Seterusnya HP TippingPoin, yang membolehkan anda mengawal semua peringkat aktiviti rangkaian syarikat dengan paling berkesan disebabkan oleh:

• Pangkalan data DV Aplikasi dan DV Reputasi Sendiri
• Membuat keputusan berdasarkan banyak faktor yang digabungkan oleh Sistem Pengurusan Keselamatan HP TippingPoin;
• Penyepaduan mudah dengan perkhidmatan HP DVLabs yang lain

kesimpulan

Pasaran sistem IPS tidak boleh dipanggil tenang. 2013 membawa dua transaksi penting yang boleh membuat pelarasan serius, kedua-duanya pada skala Rusia dan global. Kami bercakap tentang konfrontasi antara dua "tandem": Cisco+Sourcefire lawan McAfee+Stonesoft. Di satu pihak, Cisco mengekalkan tempat pertama yang stabil dalam pasaran dari segi bilangan penyelesaian yang diperakui, dan pemerolehan syarikat terkenal seperti Sourcefire seharusnya hanya mengukuhkan kedudukan pertamanya yang layak. Pada masa yang sama, pengambilalihan Stonesoft, sebenarnya, membuka peluang yang sangat baik untuk McAfee untuk mengembangkan pasaran Rusia, kerana Stonesoft merupakan syarikat asing pertama yang berjaya memperoleh sijil FSB untuk penyelesaiannya (sijil ini memberikan lebih banyak peluang daripada sijil FSTEC).

Malangnya, pengeluar domestik belum lagi menggalakkan perniagaan, lebih suka mengembangkan aktiviti dalam bidang pesanan kerajaan. Keadaan ini tidak mungkin memberi kesan positif kepada pembangunan penyelesaian ini, kerana telah lama diketahui bahawa tanpa persaingan, sesuatu produk berkembang dengan kurang cekap dan, akhirnya, merosot.

Pada masa ini, perlindungan yang disediakan oleh firewall dan antivirus tidak lagi berkesan terhadap serangan rangkaian dan perisian hasad. Di barisan hadapan ialah penyelesaian kelas IDS/IPS yang boleh mengesan dan menyekat kedua-dua ancaman yang diketahui dan tidak diketahui.

INFO

• Mengenai Mod_Security dan GreenSQL-FW, baca artikel "The Last Frontier", ][_12_2010.
• Bagaimana untuk mengajar iptables untuk "melihat" di dalam paket, baca artikel "Fire Shield", ][_12_2010.

teknologi IDS/IPS

Untuk membuat pilihan antara IDS atau IPS, anda perlu memahami prinsip dan tujuan operasinya. Oleh itu, tugas IDS (Intrusion Detection System) adalah untuk mengesan dan mendaftar serangan, serta memberitahu apabila peraturan tertentu dicetuskan. Bergantung pada jenis, IDS boleh mengesan pelbagai jenis serangan rangkaian, mengesan percubaan akses tanpa kebenaran atau peningkatan keistimewaan, kemunculan perisian hasad, memantau pembukaan port baharu, dsb. Apa yang berbeza ialah tembok api yang mengawal parameter sesi sahaja (IP, nombor port dan keadaan sambungan), IDS "kelihatan" di dalam paket (sehingga lapisan OSI ketujuh), menganalisis data yang dihantar. Terdapat beberapa jenis sistem pengesanan pencerobohan. Sangat popular ialah APIDS (Application protocol-based IDS), yang memantau senarai terhad protokol aplikasi untuk serangan tertentu. Wakil biasa kelas ini ialah PHPIDS, yang menganalisis permintaan kepada aplikasi PHP, Mod_Security, yang melindungi pelayan web (Apache) dan GreenSQL-FW, yang menyekat arahan SQL berbahaya (lihat artikel "The Last Frontier" dalam [_12_2010).

Rangkaian NIDS (Network Intrusion Detection System) adalah lebih universal, yang dicapai berkat teknologi DPI (Deep Packet Inspection). Mereka mengawal lebih daripada satu aplikasi khusus, semua lalu lintas, bermula pada peringkat saluran.

Sesetengah penapis paket juga menyediakan keupayaan untuk "melihat ke dalam" dan menyekat ancaman. Contohnya termasuk projek OpenDPI dan Fwsnort. Yang terakhir ialah program untuk menukar pangkalan data tandatangan Snort kepada peraturan sekatan yang setara untuk iptables. Tetapi pada mulanya firewall direka untuk tugas lain, dan teknologi DPI adalah "mahal" untuk enjin, jadi fungsi untuk memproses data tambahan terhad kepada menyekat atau menandakan protokol yang ditetapkan dengan ketat. IDS hanya membenderakan (memberi amaran) semua tindakan yang mencurigakan. Untuk menyekat hos yang menyerang, pentadbir mengkonfigurasi semula tembok api secara bebas sambil melihat statistik. Sememangnya, tiada respons masa nyata yang terlibat di sini. Sebab itu IPS (Intrusion Prevention System, attack prevention system) lebih menarik masa kini. Mereka adalah berdasarkan IDS dan boleh membina semula penapis paket secara bebas atau menamatkan sesi dengan menghantar TCP RST. Bergantung pada prinsip operasi, IPS boleh dipasang "letup" atau menggunakan pencerminan trafik (SPAN) yang diterima daripada beberapa penderia. Sebagai contoh, letupan dipasang oleh Hogwash Light BR, yang beroperasi pada lapisan OSI. Sistem sedemikian mungkin tidak mempunyai alamat IP, yang bermaksud ia kekal tidak dapat dilihat oleh penyerang.

Dalam kehidupan biasa, pintu bukan sahaja dikunci, tetapi juga dilindungi dengan meninggalkan pengawal di dekatnya, kerana hanya dalam kes ini anda boleh memastikan keselamatan. BIT, IPS hos bertindak sebagai keselamatan sedemikian (lihat "Sempadan pertahanan baharu" dalam][_08_2009), melindungi sistem setempat daripada virus, rootkit dan penggodaman. Mereka sering keliru dengan antivirus yang mempunyai modul perlindungan proaktif. Tetapi HIPS, sebagai peraturan, tidak menggunakan tandatangan, yang bermaksud mereka tidak memerlukan pengemaskinian berterusan pangkalan data. Mereka mengawal lebih banyak parameter sistem: proses, integriti fail sistem dan pendaftaran, entri log, dan banyak lagi.

Untuk mengawal keadaan sepenuhnya, adalah perlu untuk mengawal dan mengaitkan peristiwa di peringkat rangkaian dan di peringkat hos. Untuk tujuan ini, IDS hibrid telah dicipta yang mengumpul data daripada sumber yang berbeza (sistem sedemikian sering dirujuk sebagai SIM - Pengurusan Maklumat Keselamatan). Antara projek OpenSource, yang menarik ialah Prelude Hybrid IDS, yang mengumpul data daripada hampir semua OpenSource IDS/IPS dan memahami format log pelbagai aplikasi (sokongan untuk sistem ini telah digantung beberapa tahun yang lalu; pakej yang disusun masih boleh didapati dalam Linux dan * repositori BSD).

Malah seorang profesional boleh keliru dalam pelbagai penyelesaian yang dicadangkan. Hari ini kita akan bertemu dengan wakil sistem IDS/IPS yang paling menonjol.

Kawalan Ancaman Bersatu

Internet moden membawa sejumlah besar ancaman, jadi sistem yang sangat khusus tidak lagi relevan. Anda perlu menggunakan penyelesaian pelbagai fungsi yang komprehensif yang merangkumi semua komponen perlindungan: tembok api, IDS/IPS, antivirus, pelayan proksi, penapis kandungan dan penapis antispam. Peranti sedemikian dipanggil UTM (Unified Threat Management, united threat control). Contoh UTM termasuk Trend Micro Deep Security, Kerio Control, Sonicwall Network Security, FortiGate Network Security Platforms and Appliances atau pengedaran Linux khusus seperti Untangle Gateway, IPCop Firewall, pfSense (baca ulasan mereka dalam artikel “Pengawal selia rangkaian”, ] [_01_2010 ).

Suricata

Versi beta IDS/IPS ini telah dikeluarkan kepada umum pada Januari 2010 selepas tiga tahun pembangunan. Salah satu matlamat utama projek adalah untuk mencipta dan menguji teknologi pengesanan serangan baharu sepenuhnya. Di belakang Suricata adalah persatuan OISF, yang menikmati sokongan rakan kongsi yang serius, termasuk lelaki dari Jabatan Keselamatan Dalam Negeri AS. Keluaran paling relevan hari ini ialah nombor 1.1, dikeluarkan pada November 2011. Kod projek diedarkan di bawah lesen GPLv2, tetapi rakan kongsi kewangan mempunyai akses kepada versi enjin bukan GPL, yang boleh mereka gunakan dalam produk mereka. Untuk mencapai hasil yang maksimum, kerja itu melibatkan komuniti, yang membolehkan kita mencapai kadar pembangunan yang sangat tinggi. Sebagai contoh, berbanding versi 1.0 sebelumnya, jumlah kod dalam 1.1 meningkat sebanyak 70%. Sesetengah IDS moden dengan sejarah yang panjang, termasuk Snort, tidak menggunakan sistem berbilang pemproses/berbilang teras dengan sangat berkesan, yang membawa kepada masalah apabila memproses sejumlah besar data. Suricata secara asli berjalan dalam mod berbilang benang. Ujian menunjukkan bahawa ia adalah enam kali lebih pantas daripada Snort (pada sistem dengan 24 CPU dan 128 GB RAM). Apabila membina dengan parameter '--enable-cuda', pecutan perkakasan pada bahagian GPU menjadi mungkin. IPv6 pada mulanya disokong (dalam Snort ia diaktifkan oleh kekunci '—dayakan-ipv6'); antara muka standard digunakan untuk memintas trafik: LibPcap, NFQueue, IPFRing, IPFW. Secara umum, susun atur modular membolehkan anda menyambungkan elemen yang dikehendaki dengan cepat untuk menangkap, menyahkod, menganalisis atau memproses paket. Penyekatan dilakukan menggunakan penapis paket OS standard (dalam Linux, untuk mengaktifkan mod IPS, anda perlu memasang perpustakaan baris gilir netlink atau libnfnetlink). Enjin secara automatik mengesan protokol penghuraian (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP dan SCTP), jadi peraturan tidak perlu terikat pada nombor port (seperti yang dilakukan oleh Snort), anda hanya perlu tetapkan tindakan untuk protokol yang dikehendaki. Ivan Ristic, pengarang Mod_security, mencipta perpustakaan HTP khas yang digunakan di Suricata untuk menganalisis trafik HTTP. Pembangun terutamanya berusaha untuk mencapai ketepatan pengesanan dan meningkatkan kelajuan semakan peraturan.

Output keputusan disatukan, jadi anda boleh menggunakan utiliti standard untuk menganalisisnya. Sebenarnya, semua bahagian belakang, antara muka dan penganalisis yang ditulis untuk Snort (Barnyard, Snortsnarf, Sguil, dll.) berfungsi tanpa pengubahsuaian dengan Suricata. Ini juga merupakan satu kelebihan yang besar. Komunikasi HTTP dilog secara terperinci dalam format fail Apache standard.

Mekanisme pengesanan di Suricata adalah berdasarkan peraturan. Di sini pembangun belum mencipta apa-apa lagi, tetapi membenarkan sambungan set roda yang dibuat untuk projek lain: Sourcefire VRT (boleh dikemas kini melalui Oinkmaster), dan Emerging Threats Pro. Dalam keluaran pertama, sokongan hanya sebahagian, dan enjin tidak mengenali dan memuatkan beberapa peraturan, tetapi kini masalah ini telah diselesaikan. Format peraturan proprietari telah dilaksanakan, yang secara luarannya menyerupai Snort. Peraturan terdiri daripada tiga komponen: tindakan (lulus, lepas, tolak atau makluman), pengepala (IP/port sumber dan destinasi) dan perihalan (apa yang perlu dicari). Tetapan menggunakan pembolehubah (mekanisme flowint), membenarkan, sebagai contoh, untuk membuat pembilang. Dalam kes ini, maklumat daripada strim boleh disimpan untuk kegunaan kemudian. Pendekatan untuk menjejaki percubaan meneka kata laluan ini adalah lebih berkesan daripada pendekatan berasaskan ambang Snort. Ia dirancang untuk mencipta mekanisme Reputasi IP (seperti SensorBase Cisco, lihat artikel "Sentuh Cisco" dalam][_07_2011).

Untuk meringkaskan, saya perhatikan bahawa Suricata ialah enjin yang lebih laju daripada Snort, serasi sepenuhnya dengan bahagian belakang dan mampu menyemak aliran rangkaian yang besar. Satu-satunya kelemahan projek adalah dokumentasi yang jarang, walaupun pentadbir yang berpengalaman tidak perlu memikirkan tetapan. Pakej pemasangan telah pun muncul dalam repositori pengedaran, dan arahan yang jelas untuk memasang kod sumber secara bebas tersedia di tapak web projek. Terdapat pengedaran siap Smooth-sec, dibina di atas Suricata.

Samhain

Dikeluarkan di bawah lesen OpenSource, Samhain ialah IDS berasaskan hos yang melindungi komputer individu. Ia menggunakan beberapa kaedah analisis untuk menangkap sepenuhnya semua peristiwa yang berlaku dalam sistem:

• penciptaan tandatangan fail penting pada pelancaran pertama pangkalan data dan perbandingan seterusnya dengan sistem "langsung";
• pemantauan dan analisis catatan log;
• kawalan kemasukan/keluar ke dalam sistem;
• memantau sambungan untuk membuka port rangkaian;
• kawalan fail dengan SUID yang dipasang bagi proses tersembunyi.

Program ini boleh dilancarkan dalam mod stealth (menggunakan modul kernel) apabila proses kernel tidak dapat dikesan dalam ingatan. Samhain juga menyokong pemantauan berbilang nod yang menjalankan OS berbeza, merekodkan semua peristiwa pada titik yang sama. Dalam kes ini, ejen yang dipasang pada nod jauh menghantar semua maklumat yang dikumpul (TCP, AES, tandatangan) ke saluran yang disulitkan ke pelayan (yule), yang menyimpannya dalam pangkalan data (MySQL, PostgreSQL, Oracle). Di samping itu, pelayan bertanggungjawab untuk menyemak status sistem klien, mengedarkan kemas kini dan fail konfigurasi. Beberapa pilihan telah dilaksanakan untuk makluman dan menghantar maklumat yang dikumpul: e-mel (mel ditandatangani untuk mengelakkan gangguan), syslog, fail log (ditandatangani), Nagios, konsol, dll. Pengurusan boleh dijalankan menggunakan beberapa pentadbir dengan peranan yang jelas. .

Pakej ini tersedia dalam repositori hampir semua pengedaran Linux; tapak web projek mengandungi penerangan tentang cara memasang Samhain pada Windows.

Sistem Pencegahan Pencerobohan StoneGate

Penyelesaian ini dibangunkan oleh syarikat Finland yang mencipta produk keselamatan rangkaian kelas perusahaan. Ia melaksanakan semua fungsi popular: IPS, perlindungan terhadap serangan DDoS dan 0hari, penapisan web, sokongan untuk trafik yang disulitkan, dll. Menggunakan StoneGate IPS, anda boleh menyekat virus, perisian pengintip, aplikasi tertentu (P2P, IM, dll.). Untuk penapisan web, pangkalan data tapak yang sentiasa dikemas kini dibahagikan kepada beberapa kategori digunakan. Perhatian khusus diberikan untuk melindungi pintasan sistem keselamatan AET (Advanced Evasion Techniques). Teknologi Kawalan Akses Telus membolehkan anda membahagikan rangkaian korporat kepada beberapa segmen maya tanpa mengubah topologi sebenar dan menetapkan dasar keselamatan individu untuk setiap daripada mereka. Dasar pemeriksaan trafik dikonfigurasikan menggunakan templat yang mengandungi peraturan standard. Dasar ini dibuat di luar talian. Pentadbir mengesahkan dasar yang dibuat dan memuat turunnya ke hos IPS jauh. Acara serupa dalam StoneGate IPS diproses mengikut prinsip yang digunakan dalam sistem SIM/SIEM, yang sangat memudahkan analisis. Beberapa peranti boleh digabungkan dengan mudah menjadi satu kluster dan disepadukan dengan penyelesaian StoneSoft yang lain - StoneGate Firewall/VPN dan StoneGate SSL VPN. Pengurusan disediakan oleh konsol pengurusan tunggal (Pusat Pengurusan StoneGate), yang terdiri daripada tiga komponen: Pelayan Pengurusan, Pelayan Log dan Pelanggan Pengurusan. Konsol membolehkan anda bukan sahaja untuk mengkonfigurasi operasi IPS dan mencipta peraturan dan dasar baharu, tetapi juga untuk memantau dan melihat log. Ia ditulis dalam Java, jadi versi tersedia untuk Windows dan Linux.

StoneGate IPS dibekalkan sebagai pakej perkakasan dan sebagai imej VMware. Yang terakhir ini bertujuan untuk pemasangan pada peralatan anda sendiri atau dalam infrastruktur maya. Ngomong-ngomong, tidak seperti pencipta banyak penyelesaian serupa, syarikat pembangunan membenarkan anda memuat turun versi ujian imej.

Sistem Pencegahan Pencerobohan Rangkaian Keselamatan IBM

Sistem pencegahan serangan IBM menggunakan teknologi analisis protokol berpaten yang menyediakan perlindungan proaktif terhadap ancaman 0hari. Seperti semua produk dalam siri Keselamatan IBM, ia berdasarkan modul analisis protokol - PAM (Modul Analisis Protokol), yang menggabungkan kaedah tandatangan tradisional pengesanan serangan (Proventia OpenSignature) dan penganalisis tingkah laku. Pada masa yang sama, PAM membezakan antara 218 protokol peringkat aplikasi (serangan melalui VoIP, RPC, HTTP, dll.) dan format data seperti DOC, XLS, PDF, ANI, JPG untuk meramalkan tempat kod hasad boleh dibenamkan. Lebih daripada 3,000 algoritma digunakan untuk menganalisis trafik, 200 daripadanya "menangkap" DoS. Fungsi tembok api membenarkan anda membenarkan akses hanya kepada port dan IP tertentu, menghapuskan keperluan untuk melibatkan peranti tambahan. Teknologi Patch Maya menyekat virus semasa ia merebak dan melindungi komputer sehingga kemas kini yang membetulkan kerentanan kritikal dipasang. Jika perlu, pentadbir sendiri boleh membuat dan menggunakan tandatangan. Modul kawalan aplikasi membolehkan anda mengurus elemen P2P, IM, ActiveX, alat VPN, dsb. dan, jika perlu, sekatnya. Modul DLP telah dilaksanakan yang memantau percubaan untuk menghantar maklumat sulit dan memindahkan data pada rangkaian yang dilindungi, yang membolehkan anda menilai risiko dan menyekat kebocoran. Secara lalai, lapan jenis data diiktiraf (nombor kad kredit, nombor telefon...), pentadbir menetapkan seluruh maklumat khusus organisasi secara bebas menggunakan ungkapan biasa. Pada masa ini, kebanyakan kelemahan berlaku dalam aplikasi web, jadi produk IBM termasuk modul Keselamatan Aplikasi Web khas yang melindungi sistem daripada jenis serangan biasa: suntikan SQL, suntikan LDAP, XSS, rampasan JSON, termasuk fail PHP, CSRF, dsb. d.

Terdapat beberapa pilihan untuk tindakan apabila serangan dikesan - menyekat hos, menghantar makluman, merekodkan trafik serangan (kepada fail yang serasi dengan tcpdump), mengkuarantin hos, melakukan tindakan yang boleh dikonfigurasikan pengguna dan beberapa yang lain. Polisi ditulis pada setiap port, alamat IP atau zon VLAN. Mod Ketersediaan Tinggi memastikan bahawa jika salah satu daripada beberapa peranti IPS pada rangkaian gagal, trafik akan mengalir melalui yang lain, dan sambungan yang telah ditetapkan tidak akan terganggu. Semua subsistem di dalam perkakasan - RAID, bekalan kuasa, kipas penyejuk - diduplikasi. Persediaan menggunakan konsol web adalah semudah mungkin (kursus latihan hanya berlangsung satu hari). Jika anda mempunyai berbilang peranti, anda biasanya membeli IBM Security SiteProtector, yang menyediakan pengurusan berpusat, analisis log dan pelaporan.

Platform Keselamatan Rangkaian McAfee 7

IntruShield IPS, yang dihasilkan oleh McAfee, pernah menjadi salah satu penyelesaian IPS yang popular. Kini McAfee Network Security Platform 7 (NSP) telah dibangunkan berdasarkannya. Sebagai tambahan kepada semua fungsi NIPS klasik, produk baharu ini mempunyai alatan untuk menganalisis paket yang dihantar daripada rangkaian korporat dalaman, yang membantu mengesan trafik berniat jahat yang dimulakan oleh komputer yang dijangkiti. McAfee menggunakan teknologi Perisikan Ancaman Global, yang mengumpul maklumat daripada ratusan ribu penderia yang dipasang di seluruh dunia dan menilai reputasi semua fail unik, alamat IP dan URL serta protokol yang melaluinya. Terima kasih kepada ini, NSP boleh mengesan trafik botnet, mengenal pasti ancaman 0 hari dan serangan DDoS, dan liputan luas serangan itu mengurangkan kemungkinan positif palsu.

Tidak semua IDS/IPS boleh berfungsi dalam mesin maya, kerana semua pertukaran berlaku pada antara muka dalaman. Tetapi NSP tidak mempunyai masalah dengan ini, ia boleh menganalisis trafik antara VM, serta antara VM dan hos fizikal. Untuk memantau nod, modul ejen daripada Sistem Reflex digunakan, yang mengumpul maklumat trafik dalam VM dan menghantarnya ke persekitaran fizikal untuk analisis.

Enjin ini membezakan lebih daripada 1100 aplikasi yang berjalan pada lapisan OSI ketujuh. Ia memeriksa trafik menggunakan enjin analisis kandungan dan menyediakan alat pengurusan mudah.

Selain NIPS, McAfee menghasilkan hos IPS - Pencegahan Pencerobohan Hos untuk Desktop, yang menyediakan perlindungan PC komprehensif menggunakan kaedah pengesanan ancaman seperti analisis tingkah laku dan tandatangan, memantau status sambungan menggunakan tembok api dan penilaian reputasi untuk menyekat serangan.

Di mana hendak menggunakan IDS/IPS?

Untuk memanfaatkan sepenuhnya IDS/IPS, anda harus mematuhi cadangan berikut:

• Sistem mesti digunakan di pintu masuk rangkaian atau subnet yang dilindungi dan biasanya di belakang tembok api (tiada guna mengawal trafik yang akan disekat) - dengan cara ini kita akan mengurangkan beban. Dalam sesetengah kes, penderia dipasang di dalam segmen.
• Sebelum mengaktifkan fungsi IPS, anda harus menjalankan sistem untuk beberapa waktu dalam mod yang tidak menyekat IDS. Pada masa hadapan, peraturan perlu diselaraskan secara berkala.
• Kebanyakan tetapan IPS adalah berdasarkan rangkaian biasa. Dalam kes tertentu, mereka mungkin menjadi tidak berkesan, jadi perlu untuk menentukan IP subnet dalaman dan aplikasi (port) yang digunakan. Ini akan membantu sekeping perkakasan itu lebih memahami perkara yang dihadapinya.
• Jika sistem IPS dipasang "meletup", adalah perlu untuk memantau prestasinya, jika tidak, kegagalan peranti dengan mudah boleh melumpuhkan keseluruhan rangkaian.

Kesimpulan

Kami tidak akan menentukan pemenang. Pilihan dalam setiap kes tertentu bergantung pada belanjawan, topologi rangkaian, fungsi keselamatan yang diperlukan, keinginan pentadbir untuk memikirkan tetapan dan, tentu saja, risiko. Penyelesaian komersial menerima sokongan dan dibekalkan dengan sijil, yang membolehkan penggunaan penyelesaian ini dalam organisasi yang terlibat dalam pemprosesan data peribadi. Diedarkan di bawah lesen OpenSource, Snort didokumenkan dengan baik, mempunyai pangkalan data yang cukup besar dan rekod prestasi yang baik untuk dalam permintaan di kalangan pentadbir. Imej Suricata yang serasi boleh melindungi rangkaian dengan trafik tinggi dan, yang paling penting, adalah percuma.