Безопасность и Internet - статьи
       

Обнаружение вторжений


Необходимым в современных условиях дополнением к возможностям межсетевых экранов и VPN-шлюзов является система обнаружения вторжений Check Point RealSecure. Эта система представляет собой совместный продукт двух лидеров -лидера сектора адаптивных систем управления безопасностью компании Internet Security Systems (ISS) и лидера в области построения интегрированных систем безопаоснти компании CheckPoint.

Система Check Point RealSecure:

  • Автоматически анализирует и сопоставляет в реальном времени данные мониторинга событий, происходящих в сетевых сегментах и узлах корпоративной сети
  • Попытки взлома системы защиты автоматически рапознаются экспертной подсистемой на основе обширной базы знаний, которая на сегодня включает более 160 известных образцов атак и постоянно пополняется. Также отслеживаются несанкционированные и подозрительные действия, которые могут нанести ущерб информационным ресурсам предприятия.
  • При обнаружении атаки или подозрительной активности:

  • автоматически предупреждает администратора системы с помощью уведомлений разного типа,
  • регистрирует событие в системном журнале
  • может автоматически блокировать атаку или нескнкционированные действия путем реконфигурации межсетевого экрана FireWall-1

  • Позволяет очень гибко генерировать отчеты разной степени подробности в удобной для администратора форме. Новая технология Fusion компании ISS способна сгруппировать многочисленные взаимосвязанные события в одно укрупненное событие, которое и предоставляется в отчете администратору для осмысления ситуации. Последнее свойство очень важно при управлении безопасностью, так как системы искусственного интеллекта в обозримом будущем не смогут замеить естественный интеллект и совершенствование системы безопасности в конечном счете должно опираться на решения человека.
  • "Проигрывает" зарегистрированные события для детального анализа или для использования в качестве доказательства факта нарушения
  • Обладает развитой контекстно-зависимой справочной системой, которая сама по себе является хорошим инструментом помощи администратору при принятии решений.


    • Система RealCecure обладает хорошей масштабируемостью за счет распределенной архитектуры клиент-сервер. Сетевые агенты устанавливаются во всех требующих внимания сегментах сети (например, перед межсетевым экраном, в демилитаризованной зоне, а также в ответственных внутренних сегментах), а системные агенты контролируют активность операционных систем и приложений в компьютерах сети. Все данные собираются в общей базе данных и обрабатываются таким компонентом системы как RealSecure Engine, а централизованное управление обеспечивает RealSecure Manager, доступ к которому возможен с помощью графических консолей администраторов, распределенных по сети. Дальнейшее развитие распределенных свойств RealSecure возможно на основе архитектуры микроагентов, над которой работает в настоящее время компания ISS. Микроагенты встариваются во все защищаемые узлы корпоративной сети - маршрутизаторы, коммутаторы, компьютеры - и контролируют только тот трафик, который относится к данному узлу, за счет чего резко повышается производительность системы, что очень важно в условиях применения высокоскоростных технологий, таких как Fast Ethernet, Gigabit Ethernet, ATM и других.


    Содержание раздела