Доступ к Веб-ресусам: проблемы контроля

Вячеслав Михеев,
заместитель директора по режиму и безопасности ОАО "Концерн "Бега"

Алексей Николаев,
специалист по защите информации ОАО "Концерн "Бега"

Проблема

Функционирование современной, динамично развивающейся компании невозможно себе представить без использования сервисов, предоставляемых сетью Интернет.

Без доступа к Веб-ресурсам, электронной почты, обмена файлами и голосовыми сообщениями, а также данными с использованием видео-приложений функционирование компаний стало бы малоэффективным, а зачастую просто невозможным. Однако бесконтрольное предоставление сотрудникам компании доступа в Интернет может привести к нецелевому использованию сервисов сети. К такому нецелевому использованию можно отнести:

• использование программ передачи мгновенных сообщений (ICQ, QIP и другие);
• использование электронной почты и mail-агентов;
• посещение социальных сетей (odnoklassniki.ru, vkontakte.ru и др.)
• посещение нецелевых Вебсайтов.

В связи с этим необходим постоянный контроль за использованием ресурсов сети, который обеспечит:

• контроль за посещением сотрудниками конкретных Вебсайтов;
• минимизацию расходов компании на услуги по доступу в Интернет;
• повышение уровня информационной безопасности компании путем блокирования эксплойтов, социальных сетей и нецелевых ресурсов, в том числе программ передачи мгновенных сообщений;
• оптимизацию нагрузки на локальную сеть.

Методы решения

Одним из методов решения представленной проблемы является пост-фактумная защита. В этом случае администратором безопасности анализируются логи и выделяются сайты, которые впоследствии добавляются в Black-листы. Black-листы представляют собой списки известных нецелевых ресурсов глобальной сети Интернет. Вошедшие в списки сайты и порталы блокируются межсетевым экраном. Кроме того, уже сформированные Black-листы можно скачать с соответствующих Интернет-ресурсов, например: bl.spamcop.net, dnsbl.njabl.org, dnsbl.sorbs.net и т.п.

К нецелевому использованию сети можно отнести: использование программ передачи мгновенных сообщений (ICQ, QIP и другие); использование электронной почты и mail-агентов; посещение социальных сетей (odnoklassniki.ru, vkontakte.ru и др.) посещение нецелевых Веб-сайтов.

Другой вариант - on-line-защита, которая в режиме реального времени использует средства упреждающего контроля. В этом случае на межсетевом экране устанавливаются правила, запрещающие пользователям с рабочего компьютера пользоваться программами мгновенных сообщений для общения в сети, а те же самые Black-листы позволяют межсетевому экрану блокировать доступ к нецелевым сайтам и социальным сетям. Администратор безопасности может самостоятельно корректировать и дополнять Black-листы, а также анализировать  log-файлы брандмауэра. Для ускорения такого анализа можно применять специальное программное обеспечение.

Однако использование лишь Black-листов не является достаточно эффективным средством, необходимым для осуществления постоянного контроля за доступом пользователей в Интернет. Это обусловлено весьма большими масштабами глобальной сети, значительными объемами аккумулируемой в ней самой разнообразной информации, а также постоянным увеличением масштаба ее ресурсов, использованием множества различных протоколов, появлением новых технологий, которые применяются для создания сайтов. Актуальной проблемой стало расширение тематик Интернет-порталов, изменяющееся со временем. Таким образом, целесообразным стало применение контентной фильтрации и определение категории ресурса на основе анализа его содержимого для контроля доступа пользователей к Веб-ресурсам.

В большинстве своем средства контроля доступа к Веб-ресурсам функционируют по следующим схемам:

• межсетевое экранирование с использованием черного списка ресурсов (рис. 1);
• специализированные программы контентной фильтрации (рис. 2).

Во втором случае, как правило, на рабочие места устанавливается ПО клиентского уровня - агенты, которые собирают точную информацию о запросах пользователей к Веб-ресурсам, мгновенных сообщениях и передают ее на сервер с установленным ПО для контен-того анализа и моментального принятия решения о том, пропустить ли данную информацию в глобальную сеть или заблокировать. Такой сервер работает в режиме двухстороннего анализа: как из локальной сети во внешнюю, так и наоборот - из внешней в локальную сеть компании. Администратор безопасности в любой момент может удаленно подсоединиться к этому серверу и получить подробную информацию обо всех принятых сервером автоматизированных решениях по бло-кирванию и разрешению доступа к Веб-ресурсам, а также добавить свои правила контент-ной фильтрации. Фильтрация данных в случае использования специализированных программных средств также позволяет обеспечить защиту от утечки информации компании за счет применения алгоритмов контентного разбора передаваемых данных и алгоритмов блокировки такой передачи.

Несмотря на то что фильтры, основанные на использовании заранее подготовленных баз адресов Веб-ресурсов и соответствующих их категорий, хорошо себя зарекомендовали, все же наиболее эффективно совместное применение как первого, так и второго вариантов фильтрации.  Поэтому современные системы контентной фильтрации сочетают в себе методы on-line категоризации данных путем анализа содержимого страниц в режиме реального времени и методы с использованием предопределенных баз категорий сайтов с регулярным обновлением списка сайтов и категорий. Такие базы предоставляют многие компании, в том числе Websence, SurfControl, ISS/Co-bion, NetStar, Astaro AG и другие. Блокирование сайтов on-line по их содержимому позволяет добиться моментального реагирования на появление новых сайтов, так как информация анализируется по фактическому содержанию Веб-ресурса, а не по его адресу.

Выбор программного продукта и практическая реализация в каждом конкретном случае зависят от конкретных условий заказчика. Правильно подобранное средство контроля доступа к Веб-ресурсам и его грамотное использование позволит решить проблемы нецелевого использования ресурсов сети, тем самым сократить уровень расходов и повысить уровень безопасности компании.