ГОСТ Р ИСО/МЭК 27033-1—2011
му адресу, а затем сообщение должно быть направлено на внешний сервер защиты от вредоносной программы с
целью проверки на наличие вирусов и любого иного вредоносного наполнения. Наконец, оно должно быть направ
лено на внутренний почтовый сервер для распределения внутренней почтовой системой. Любые полученные сооб
щения с неверным адресом должны отклоняться с включением а протокол соответствующей записи. Любые
полученные сообщения, содержащие вирусы или другое вредоносное наполнение, должны быть отклонены, и об
этом должно быть проинформировано соответствующее лицо или группа лиц;
-для любой исходящей почты направление сообщений, посылаемых через Интернет, сначала с внутреннего
почтового сервера на внешний сервер защиты от вредоносной программы в целях проверки на вирусы и любое дру гое
вредоносное наполнение перед отправкой на внешний почтовый сервер SMTP для направления в Интернет.
Внешний почтовый сервер SMTP должен проверить, находится ли адрес вне внутреннего адресного пространства, и
предназначен ли он для каких-либо других почтовых маршрутов, а затем направить сообщение в Интернет;
- выбор одного из вариантов: отправка сообщения внешним почтовым сервером SMTP на единственный по
чтовый сервер Интернет-провайдера для предстоящей маршрутизации или на любой достоверный почтовый адрес на
любом почтовом сервере. Первый вариант должен быть наиболее безопасным, поскольку он предполагает, что
Интернет-провайдер (предположительно, специалист в сфере электронной почты) отвечает за организацию и под
держку пересылки почты, но он может вызывать задержки, связанные с пересылкой почты. Второй вариант являет ся
более гибким и не вызывает задержек, связанных с пересылкой, осуществляемой Интернет-провайдером, но он
может стать менее безопасным в случае ненадлежащего управления, при этом организация/сообщество должна
поддерживать пересылку почты на многие почтовые серверы и подвергаться риску отказа, если ее ретранслятор не
будет признан удаленным почтовым сервером, что может быть преодолено посредством процедур аутентифика
ции между соответствующими почтовыми серверами. Выбираемый вариант зависит от технических достоинств ре
шения и уровня квалификации лиц, которые будут поддерживать почтовую систему;
- реализацию мер управления доступом на основе принципа наименьшего уровня привилегий;
- конфигурирование почтового сервера для блокирования или удаления почтовых сообщений, содержащих
вложения, которые обычно используются для распространения вредоносной программы, таких, например, как фай лы
с расширениями vbs. bat. exe. pif и scr;
- быстрое устранение инфицированных компьютеров из сети для предотвращения дальнейшей компромета
ции, проведение судебной экспертизы и восстановления с использованием доверенных носителей данных;
- обучение тому, чтобы персонал не открывал вложения, пока они не проверены, и не запускал скаченные из
Интернета программы, если не проведена проверка на наличие вредоносных программ;
- использование на маршрутизаторах списка контроля доступа (ACL). ACL на маршрутизаторах определяет
на обращение с входящим IP-пакетом. Обычные действия при этом включают пересылку, протоколирование и от
брасывание (или отказ). В сочетании с соответствующей политикой маршрутизатора по умолчанию (например,
от каз в прохождении всего трафика) можно определить набор правил для маршрутизатора,
оказывающих существенную помощь в поддержке безопасности базовой сети;
- активизацию антиспуфинга. Спуфинг обычно относят к ситуации, когда исходный адрес сообщения имеет
вид. как будто сообщение исходит от кого-то или откуда-то. но не от его подлинного автора. Меры антиспуфинга
принимают форму непринятия сообщения из Интернета, если в нем утверждается, что оно исходит изнутри органи
зации. и наоборот (более подробную информацию см. в RFC 2827 «Фильтрация на входе сети. Отражение атак от
каза в обслуживании»);
- активизацию модулей доступа электронной почты. Прокси-сервер представляет собой сервер, действую
щий в качестве посредника между пользователем ПК/рабочей станции и Интернетом так. чтобы предприятие могло
обеспечить безопасность, административный контроль и услугу кэширования. Безопасность осуществляется с при
менением:
- сканирования данных по известным образцам (например, проверка на значимые слова для обеспечения со
ответствия):
- перемещения между внутренними и внешними адресами;
• создания журнала регистрации запросов и запрашивающих сторон;
- средств защиты от вредоносной программы, основанных на модулях доступа.
Прокси-серверы также могут проводить проверку на предмет вредоносного наполнения простой обработкой
запроса. Если запрос является вредоносным, на самом прокси-сервере, вероятно, произойдет аварийный отказ.
Поскольку прокси-серверы обычно реализуются в ДМ3, лолудоверенной зоне, такие действия выполняют функцию
«предохранителя» с тем. чтобы обеспечить защиту реальной запрашивающей стороны или сервера;
- реализацию защитных мер и средств контроля и управления вредоносной программой на модулях доступа
электронной почты. После того, как выявлено, что информационные системы свободны от вредоносной программы
(включая вирусы), единственным маршрутом внесения вредоносной программы является внесение ее в качестве
данных (или программ). Почтовые средства являются основными «кандидатами» на передачу вредоносной про
граммы и основными точками реализации защитных мер и средств контроля и управления вредоносной програм мой.
Обычные меры и средства контроля и управления безопасностью включают в себя средства, изолирующие
подозрительные файлы (например, по типу информационного наполнения), и отсеивающие запрошенные адреса
51