Современные электронные устройства являются практически универсальными. Так, например, смартфон превосходно справляется не только со звонками (их приемом и совершением), но и возможностью бороздить просторы интернета, слушать музыку, просматривать видеоролики или читать книги. Для этих же задач подойдет планшет. Экран является одной из важнейших частей электроники, особенно если он - сенсорный и служит не только для отображения файлов, но и для управления. Ознакомимся с характеристиками дисплеев и технологиями, по которым они создаются. Уделим особое внимание тому, что такое IPS-экран, что это за технология, в чем ее преимущества.

Как устроен ЖК-экран

Прежде всего разберемся, как устроен которым оснащается современная техника. Во-первых, это активная матрица. Она состоит из микропленочных транзисторов. Благодаря им и формируется изображение. Во-вторых, это слой жидких кристаллов. Они оснащены светофильтрами и создают R-, G-, B-субпиксели. В-третьих, это система подсветки экрана, которая позволяет сделать изображение видимым. Она может быть люминесцентной или светодиодной.

Особенности IPS-технологии

Строго говоря, матрица IPS - разновидность технологии TFT, по которой создаются ЖК-экраны. Под TFT часто понимают мониторы, произведенные способом TN-TFT. Исходя из этого, можно произвести их сравнение. Чтобы ознакомиться с тонкостями выбора электроники, разберемся, что такое технология экрана IPS, что это понятие обозначает. Главное, что отличает эти дисплеи от TN-TFT, - расположение жидкокристаллических пикселей. Во втором случае они располагаются по спирали, находятся под углом в девяносто градусов горизонтально между двумя пластинами. В первом (который нас интересует больше всего) матрица состоит из тонкопленочных транзисторов. Причем кристаллы располагаются вдоль плоскости экрана параллельно друг другу. Без поступления на них напряжения они не поворачиваются. У TFT каждый транзистор управляет одной точкой экрана.

Отличие IPS от TN-TFT

Рассмотрим подробнее IPS, что это такое. У мониторов, созданных по данной технологии, есть масса преимуществ. Прежде всего, это великолепная цветопередача. Весь спектр оттенков ярок, реалистичен. Благодаря широкому углу обзора изображение не блекнет, с какой точки на него ни взгляни. У мониторов более высокая, четкая контрастность благодаря тому, что черный цвет передается просто идеально. Можно отметить следующие минусы, которыми обладает тип экрана IPS. Что это, прежде всего, большое потребление энергии, значительный недостаток. К тому же устройства, оснащенные такими экранами, стоят дорого, так как их производство очень затратное. Соответственно, TN-TFT обладают диаметрально противоположными характеристиками. У них меньше угол обзора, при изменении точки взгляда изображение искажается. На солнце ими пользоваться не очень удобно. Картинка темнеет, мешают блики. Однако такие дисплеи имеют быстрый отклик, меньше потребляют энергии и доступны по цене. Поэтому подобные мониторы устанавливают в бюджетных моделях электроники. Таким образом, можно заключить, в каких случаях подойдет IPS-экран, что это великолепная вещь для любителей кино, фото и видео. Однако из-за меньшей отзывчивости их не рекомендуют поклонникам динамичных компьютерных игр.

Разработки ведущих компаний

Сама технология IPS была создана японской компанией Hitachi совместно с NEC. Новым в ней было расположение жидкокристаллических кристаллов: не по спирали (как в TN-TFT), а параллельно друг другу и вдоль экрана. В результате такой монитор передает цвета более яркие и насыщенные. Изображение видно даже на открытом солнце. Угол обзора IPS-матрицы составляет сто семьдесят восемь градусов. Смотреть можно на экран с любой точки: снизу, сверху, справа, слева. Картинка остается четкой. Популярные планшеты с экраном IPS выпускает компания Apple, они создаются на матрице IPS Retina. На один дюйм используется увеличенная плотность пикселей. В результате изображение на дисплее выходит без зернистости, цвета передаются плавно. По словам разработчиков, человеческий глаз не замечает микрочастиц, если пикселей более 300 ppi. Сейчас устройства с IPS-дисплеями становятся более доступными по цене, ими начинают снабжать бюджетные модели электроники. Создаются новые разновидности матриц. Например, MVA/PVA. Они обладают быстрым откликом, широким углом обзора и замечательной цветопередачей.

Устройства с экраном мультитач

В последнее время большую популярность завоевали электронные приборы с сенсорным управлением. Причем это не только смартфоны. Выпускают ноутбуки, планшеты, у которых сенсорный экран IPS, служащий для управления файлами, изображениями. Такие устройства незаменимы для работы с видео, фотографиями. В зависимости от встречаются компактные и полноформатные устройства. мультитач способен распознавать одновременно десять касаний, то есть на таком мониторе можно работать сразу двумя руками. Небольшие мобильные устройства, например смартфоны или планшеты с диагональю в семь дюймов, распознают пять касаний. Этого вполне достаточно, если у вашего смартфона небольшой IPS-экран. Что это очень удобно, оценили многие покупатели компактных устройств.

Дмитрий Волков
Руководитель направления расследования ИТ-инцидентов, Group-IB

Современное развитие IPS

Сетевые системы предотвращения вторжений (IPS) могут стать как эффективным инструментом для людей, занимающихся безопасностью, так и дорогостоящей железякой, пылящейся без дела. Чтобы IPS-система не стала разочарованием, она должна как минимум отвечать следующим требованиям, которые необходимо учитывать при ее выборе.

Система должна:

1. иметь широкий круг моделей, удовлетворяющих требованиям как маленьких региональных офисов, так и основного предприятия с многогигабитными сетями;
2. поддерживать не только сигнатурный анализ, но и аномальный анализ протоколов, и, конечно же, поведенческий анализ;
3. давать ясную картину сети и устройств, подключенных в нее;
4. обеспечивать работу в режиме IDS, осуществлять поведенческий анализ, иметь инструментарий для проведения расследований;
5. иметь централизованное управление установленными IPS/IDS-системами;
6. иметь хорошие средства анализа для эффективного усовершенствования политик безопасности.

IDS/IPS-системы чаще всего подключают там, где есть критичные ресурсы. Но помимо того, что необходимо блокировать атаки на эти ресурсы, следует вести постоянный контроль за ними, а именно: знать, какие из этих ресурсов уязвимы, как изменяется их поведение в сети. Поэтому к IDS/IPS-системам необходимо добавить дополнительный функционал, позволяющий им защищать требуемые ресурсы более надежно, снижая при этом стоимость владения. Итак, защита может осуществляться в три фазы - IPS, Adaptive IPS, Enterprise Threat Management. Функционал каждой последующей фазы включает в себя все функции из предыдущей фазы и наращивается более новыми.

Фаза 1. Вы можете контролировать и/или блокировать атаки, использующие тысячи уязвимостей, то есть это стандартные IPS-сенсоры и центры управления ими.

Фаза 2. Появляется возможность исследования сети, прио-ритизации событий и автоматизации настройки IPS.

Фаза 3. Полный возможный функционал для защиты корпоративной сети до, во время и после атаки.

ETM - это первое воплощение осознанности того, что, защищая информационные ресурсы, необходимо работать умнее, а не усиленнее. С технологической точки зрения ETM - это комбинация четырех технологий управления угрозами и уязвимостями, объединенных в единое решение, управляющееся централизованно. В результате это решение предоставляет больше возможностей, чем каждый продукт по отдельности. Как показано на рис. 3, ETM состоит из системы предотвращения вторжений (IPS), поведенческого анализа сети (NBA), контроля доступа в сеть (NAC), анализа уязвимостей (VA), подсистемы обмена данными и централизованного управления.

Сравнение производителей IPS

На рис. 4 показано, кто из производителей IPS-систем находится в лидерах. Но, не привязываясь к Gartner, посмотрим на то, какой функционал имеется у каждого производителя.

Как видно, у некоторых отсутствуют такие важные функции, как расследование на пакетном уровне, а также просмотр и создание правил. Без таких возможностей порой абсолютно непонятно, почему система выдает предупреждения, и чтобы выяснить причину этих предупреждений, потребуется много времени.

Отсутствие механизма создания политик соответствия тоже накладывает определенные ограничения. Например, при внешнем аудите полезно продемонстрировать, как положения ваших политик выполняются на самом деле. Дальнейшие комментарии излишни, так как истинное положение вещей станет ясно лишь после реального внедрения в промышленной среде.

Необходимо помнить, что обеспечение сетевой безопасности - задача комплексная, а разрозненные решения далеко не всегда обеспечивают целостность восприятия и приводят к дополнительным затратам.

Краткий обзор

Cisco Systems

Надежные решения, имеют отличную поддержку, но тяжелы в настройке, сигнатурный анализ дает много ложных срабатываний, интерфейс управления при большом количестве событий не позволяет адекватно разбирать зафиксированные события. Для полноценного функционирования необходимы дополнительные капиталовложения в Cisco Security Monitoring, Analysis and Response System (CS-MARS).

TippingPoint

Системы этого производителя удобны в настройке и установке. Имеют неплохой интерфейс управления, но могут подключаться только в разрыв, то есть без пассивного обнаружения. Не позволяют расширить функционал и представляют собой просто IDS/IPS-систему.

На одной из конференций представитель TippingPoint в своем выступлении сказал, что их оборудование можно установить и забыть о нем - и такова их стратегия защиты.

Возможно, кто-то ее и разделяет, но мне с ней сложно согласиться. Любое средство безопасности должно быть контролируемо, иначе должной отдачи вы от него никогда не получите. Например, если кто-то упорно пытается взломать ваш партнерский портал и ему не удалось этого сделать в первые два раза благодаря IPS-системе, то в третий раз ему это удастся, а без контроля за IPS-системой вы этого не узнаете и предотвратить последующие попытки у вас не получится.

Что бы ни писали аналитики Gartner или других изданий, сказать что-то хорошее об их продуктах сложно. Система ужасно сложна в настройке. Консоль управления NSM очень сильно ограничена. Отображение результатов производится таким образом, что складывается впечатление, что разработчики постарались сделать так, чтобы на нее смотрели как можно реже и надеялись на то, что атаки действительно отражаются.

Sourcefire

Пожалуй, лучшая система. Удобно все. Функционал невероятно широк. К тому же система уже имеет встроенные возможности детального сбора данных, об атакующих и атакуемых узлах, а не только IP- и MAC-адреса, что сильно снижает время анализа и разбора событий. К такой информации относится и история соединений, открытые и затем
закрытые порты, типы передаваемого адреса, имена пользователей, если, например, шла передача по FTP или e-mail, и, конечно же, сам e-mail-адрес. В больших сетях может стать незаменимым средством защиты. Выпускают свои решения с 2001 г., но на российский рынок вышли недавно.

Заключение

Не стоит внедрять целый ряд новых продуктов, решающих только одну проблему. Статические средства безопасности не могут защитить динамическую среду. Необходимо беречь время ваших сотрудников и их усилия. Позвольте им работать более качественно, а не более напряженно. Сокращайте затраты на поддержку гетерогенной среды. Снижайте время, затрачиваемое на анализ данных с множества консолей и отчетов. Тратьте деньги с умом, пока системы безопасности не стали обходиться вам дороже рисков, от которых вы защищаетесь.

Цель данной статьи - не просто рассказать о возможностях IPS, но акцентировать внимание на уникальных функциональных возможностях системы, позволяющих решить ряд сложных проблем, с которыми сталкиваются предприятия в процессе конструкторско-технологической подготовки производства и которые отличают IPS от других PLM-систем, представленных на российском рынке.

Интеграция с системами автоматизированного проектирования

Еще с девяностых годов прошлого века компания ИНТЕРМЕХ начала ориентироваться на создание мультикад­решений, не зацикливаясь на интеграции с какой­то одной системой проектирования. Сегодня можно с уверенностью сказать, что из всех отечественных PLM­систем IPS обладает самым большим количеством интеграторов с механическими и электрическими системами автоматизированного проектирования: AutoCAD, BricsCAD, КОМПАС­График, КОМПАС 3D, Inventor, NX, Creo, SolidWorks, Solid Edge, CATIA, Altium Designer, Mentor Graphics, E3.series. Особо отметим, что это уже готовые работающие решения, а не обещания наладить интеграцию в процессе внедрения на предприятии.

В комплект поставки IPS входит универсальный модуль интеграции систем трехмерного проектирования с PLM­системами. Модуль встраивается в интерфейс CAD­системы и предоставляет конструктору доступ к функциям PLM непосредственно из системы проектирования. Модуль обеспечивает автоматическое считывание состава изделий из моделей сборочных единиц, генерацию по моделям конструкторских спецификаций, а также ассоциативную связь между свойствами моделей и атрибутами документов и изделий в PLM­системе. Также этот модуль позволяет организовать коллективную работу конструкторов над моделированием сложных сборок, предоставляя набор функций для синхронизации изменений, которые сделаны различными конструкторами в моделях, входящих в состав головной сборки (рис. 1).

Собственный редактор документов и бланков на основе формата XML

Разработчики IPS не стали надеяться на сторонние офисные пакеты или средства генерации отчетов, а создали собственный редактор структурированных текстовых документов, который использует для хранения данных формат XML. Такое решение позволило унифицировать создание, хранение и обработку любой текстовой конструкторско­технологической документации и реализовать в IPS целый ряд уникальных редакторов, аналогов которым нет ни в одной другой PLM­системе. Например, в комплект поставки IPS входит редактор состава изделий в виде конструкторской спецификации, включая групповые спецификации форм А, Б и В. При этом редактирование спецификации может производиться как в обычной табличной форме, так и в том же виде, в котором она будет выведена на печать. Конструктору также доступно множество функций по оформлению спецификации: автоматическая и ручная сортировка, пропуск строк и простановка позиций, оформление допустимых замен и подборных элементов, вставка примечаний, частей, спецсимволов и формул, связь с системами НСИ и многое другое (рис. 2).

Еще раз подчеркнем, что в IPS редактор спецификаций является именно редактором состава сборочных единиц, а не редактором документов, сформированных на основе состава изделий. Изменения в составе изделия, сделанные в других модулях системы, сразу отражаются в редакторе спецификаций IPS, и наоборот - любые изменения, сделанные в спецификации, сразу отражаются в рабочей копии состава изделий. Таким образом, состав изделия формируется параллельно из нескольких источников: трехмерной модели или двумерного сборочного чертежа, электрической схемы, редактора спецификаций и т.п. При этом каждая связь запоминает свой источник, поэтому обновление состава, например по модели, никогда не удалит позиции, добавленные в состав изделия вручную.

Редактор извещений об изменениях в IPS - тоже не просто редактор документов (рис. 3). Помимо собственно функций оформления извещений (вставка графики, формул, автоматическое заполнение различных граф, сортировка изменений и т.п.), редактор помогает управлять жизненным циклом изменяемых документов и объектов. Например, автоматически выпускает версии включаемых в извещение документов и перемещает их на нужный шаг жизненного цикла (ЖЦ) в момент актуализации извещения. Также извещения используются для автоматизации подбора версий объектов при поиске их состава и применяемости. Есть в системе и множество сервисных функций, помогающих организовать процесс проведения изменений: погасить ПИ, принять предложения по ПР, выпустить ДИ или ДПИ, создать комплект извещений и пр.

Следует также отметить, что проводить изменения документации в IPS можно и в упрощенной форме - через журнал изменений по ГОСТ 2.503­2013, редактор которого также есть в комплекте поставки системы.

Конфигуратор изделий

В ЕСКД существует такое понятие, как исполнение изделия. По одному групповому конструкторскому документу можно выпустить несколько различных исполнений изделия, не выпуская отдельный комплект документов на каждое исполнение. Это решение хорошо работает до тех пор, пока количество исполнений небольшое. Однако сейчас рынок диктует свои условия. Проектируемые изделия должны удовлетворять требованиям как можно большего количества заказчиков, а значит не обойтись без возможности настройки изделия под требования конкретного покупателя. В таких случаях на помощь конструкторам и маркетологам приходит «Конфигуратор изделий» в IPS. Данный модуль позволяет вести состав сложных изделий, обладающих множеством опций и функциональных зависимостей, не прибегая к созданию исполнений для каждого варианта изделия.

Конструктор, проектируя сборочный узел, может настроить набор опций, управляющих составом данного узла. При этом можно настроить правила совместимости значений различных опций, условия их применения, допустимость значений в данной сборке и т.п. Работники маркетинга могут создавать варианты комплектаций изделия, устанавливая значения для основных опций, которые чаще всего востребованы заказчиками в данном изделии. При оформлении заказа покупатель выбирает вариант комплектации изделия, доопределяет не заданные в комплектации значения опций и система формирует точный состав и комплект документации на конкретное изделие, отвечающее требованиям заказчика.

Распределенная работа крупных холдингов и филиалов предприятий

Наличием веб­интерфейса у информационных систем сейчас никого уже не удивишь. Большинство отечественных PLM обзавелись собственными средствами доступа в базу данных из веб­браузеров. Есть такой интерфейс и у IPS. Но что делать, если Интернет на рабочем месте по соображениям безопасности недоступен? Либо внешние каналы связи работают медленно и нестабильно? Как обеспечить быструю и стабильную работу сотен пользователей независимо от внешних факторов и каналов связи между предприятиями?

В составе IPS есть уникальное решение - служба IPS WebPortal. Суть данного решения в том, что каждое предприятие или филиал работает в собственной локальной сети со своей базой данных, а IPS WebPortal обеспечивает информационный обмен между этими локальными базами (узлами информационной сети) по внешним каналам связи через центральную базу данных портала, причем сама передача данных может производиться в offline­режиме (рис. 4). Такой способ работы значительно снижает требования к стабильности и пропускной способности внешних каналов связи, а также повышает безопасность данных, так как информационные узлы получают доступ только к опубликованной для них на портале информации, а не ко всем базам данных удаленных предприятий.

Функционал IPS WebPortal позволяет организовать распределенный документооборот, управление распределенными проектами, обмен информационными объектами в пакетном режиме, а также автоматическую репликацию изменений между различными базами данных. Программный интерфейс IPS WebPortal оформлен в виде стандартизованных веб­сервисов. Такой подход значительно упрощает подключение к порталу других информационных систем, позволяя использовать его в качестве средства обмена данными между различными информационными системами предприятий.

Передача документации заказчику

Еще одна проблема, решение которой хотелось бы рассмотреть подробнее, - это передача утвержденной документации на предприятия, на которых либо нет PLM­системы, либо PLM не поддерживает механизм электронных подписей. Выгрузить комплект электронных документов можно из любой PLM. Но как убедиться в том, что эти документы утверждены и подписаны всеми заинтересованными лицами? И как проверить, не изменялись ли переданные файлы с момента их подписания?

Для этой цели в IPS предусмотрена функция автоматического формирования информационно­удостоверяющих листов по ГОСТ 2.051­2013. При передаче твердых копий эти листы можно распечатать и, при необходимости, заверить «мокрой» подписью. При передаче электронной документации файлы удостоверяющих листов автоматически извлекаются на диск совместно с файлами документов. Листы содержат контрольные суммы подписанных файлов, что позволяет удостовериться в неизменности подписанных данных (рис. 5).

Если подписание документов в IPS производилось квалифицированными электронными подписями, то система имеет возможность выгрузки файлов подписей на диск в формате PKCS. Эти подписи могут быть проверены получателем документации с помощью любых средств проверки, понимающих стандарт PKCS. Можно также воспользоваться специальной программой проверки ЭП, которая поставляется вместе с IPS и может быть передана сторонним организациям вместе с комплектом подписанной документации.

Защита файлов документов на рабочих станциях

Все PLM­системы хранят файлы документов на защищенных серверах и предоставляют к ним доступ только в соответствии со своими правилами безопасности. Однако для редактирования документа во внешнем редакторе файл документа извлекается на диск рабочей станции либо на сетевой ресурс, открытый для доступа рабочим станциям. Таким образом, информация выводится из­под контроля PLM­системы, создавая угрозу безопасности данных. Для решения данной проблемы в состав IPS входит служба защиты файлов на рабочих станциях. Эта служба защищает рабочий каталог пользователя на уровне файловой системы NTFS, предоставляя доступ к нему только определенному пользователю и только после его авторизации в IPS. Как только пользователь выгружает клиент IPS любым доступным ему способом, доступ к каталогу пользователя автоматически блокируется.

Расширенные средства поиска информации

Помимо выборок, классификаторов и рабочего стола, которые в том или ином виде встречаются во всех отечественных PLM, разработчики IPS предложили целый ряд технических решений, значительно ускоряющих поиск информации в системе. Например, в окне Недавние объекты автоматически ведется список объектов, с которыми пользователь работал последнее время - своего рода рабочий стол, который не нужно пополнять и чистить вручную. А с помощью контекстных выборок можно искать информацию, используя свойства выбранного в системе объекта. Условия таких выборок могут содержать не константы, а ссылки на атрибуты объекта, относительно которого идет поиск информации. Например, можно быстро найти все детали, сделанные из такого же материала, не указывая в условиях поиска сам материал.

Следующий интересный механизм - общий индекс для быстрого поиска информационных объектов с учетом словоформ и коррекцией ошибок ввода. В индекс попадает информация из всех атрибутов, указанных администратором для индексации, включая содержимое файлов документов. При этом поиск информации для конечного пользователя значительно упрощается - ему не нужно создавать или находить выборки, достаточно просто ввести искомую строку в поле над списком объектов. Рядом располагается список часто используемых фильтров, с помощью которых можно еще более сузить область поиска объектов, добавив дополнительные условия фильтрации. Общий список фильтров настраивается администраторами системы, а пользователь может создавать свои персональные фильтры по аналогии с персональными выборками (рис. 6).

В IPS также есть специальный инструмент для поиска объектов по связям - схемы поиска объектов. Схема поиска - это именованный набор настроек и условий, согласно которым система ищет состав или применяемость объекта на один или множество уровней вложенности. С системой поставляется множество готовых схем поиска: для сбора полного комплекта документов на изделие или заказ, для поиска применяемости в головных изделиях, для поиска различной технологической информации и т.д. Администраторы могут расширять список схем, причем для каждой роли можно настроить собственный набор схем поиска в зависимости от обязанностей, которые выполняют пользователи, заходя в систему в данной роли.

Еще одна интересная тема - поиск электронного документа по его твердой копии. Такой вопрос может возникнуть даже в том случае, если на предприятии хорошо поставлена работа службы ОТД и все устаревшие копии документов отзываются своевременно. Зачастую вообще невозможно точно узнать, с какой именно версии документа создавалась данная твердая копия, если она еще не была поставлена на учет в ОТД и не получила соответствующий инвентарный номер. В таком случае может помочь технология штрихкодирования документов, реализованная в IPS. Суть технологии в том, что при распечатке документа в определенной области штампа выводится штрих­код, в котором закодирован идентификатор данной версии документа в PLM­системе. При наличии сканера штрих­кодов процесс поиска такого документа в базе данных занимает пару секунд.

Управление требованиями

Функционал управления требованиями давно стал обязательным в зарубежных PLM­системах, однако отечественные производители не спешат с его реализацией, ссылаясь на отсутствие спроса со стороны пользователей. Тем не менее руководство предприятий понимает, что максимально точное выполнение технического задания минимизирует количество проблем, возникающих в процессе приемки изделия заказчиком. И управление требованиями в данном контексте - это часть общей системы контроля качества продукции на предприятии. Ведь ошибки, допущенные на самой ранней стадии проектирования, являются самыми дорогостоящими. Какой вообще смысл делать продукт, который не отвечает требованиям заказчика и нормативным документам?

Учитывая всё вышесказанное, компания ИНТЕРМЕХ включила в комплект поставки IPS модуль управления требованиями. Данный модуль позволяет создать дерево требований, которым должно соответствовать проектируемое изделие, на основе технического задания, разработанного в MS Word (рис. 7). Администратор системы задает критерии, которым должны соответствовать объекты технических требований для перевода на шаг ЖЦ Выполнено (например, наличие подписей ответственных лиц). Система отслеживает выполнение всех пунктов технического задания и не дает перевести его на шаг Выполнено до тех пор, пока все требования не будут удовлетворены. Также имеется возможность на основе дерева требований сформировать проект IMProject для организации и планирования работ по исполнению технического задания.

Вместо эпилога

К сожалению, объем одной статьи не позволяет провести подробный анализ всех особенностей системы. Поэтому кратко перечислим, какой еще функционал отличает IPS от других отечественных PLM­систем:

• подсистема поиска 3D­моделей по геометрическому подобию;
• встроенный механизм форумов для организации обсуждения любого проекта, извещения или информационного объекта непосредственно в системе;
• встроенная экспертная система для расчета значений атрибутов, проверки условий и генерации документов, ведомостей и отчетов произвольной сложности;
• визуализатор связей для наглядного представления взаимосвязей между информационными объектами в виде ориентированного графа;
• расширенные средства аннотирования документов, включая подсистему создания графических замечаний для документов произвольных форматов;
• архивы для упорядоченного хранения документов и контроля прав доступа к ним;
• механизм итераций, позволяющий в любой момент сохранить состояние (атрибуты, файлы и связи) выбранных объектов с возможностью возврата объектов в данное состояние;
• встроенный органайзер для удобного доступа к задачам, письмам и различным оповещениям непосредственно на календаре;
• системный планировщик для автоматического выполнения различных процедур, скриптов и задач по расписанию;
• встроенные средства масштабирования защищенного хранилища файлов документов, а также средства миграции редко используемых данных на медленные носители информации;
• поддержка СУБД ЛИНТЕР, включая ЛИНТЕР БАСТИОН, сертифицированный ФСТЭК России и Министерством обороны РФ;
• автоматическое переподключение клиентов к серверу при потере и восстановлении связи;
• средства автоматического развертывания и обновления клиентов на рабочих станциях.

Таким образом, IPS обладает рядом преимуществ, которые делают систему максимально удобной для использования на отечественных предприятиях и позволяют значительно сэкономить время и снизить затраты в процессе конструкторско­технологической подготовки производства.

В настоящее время защита, обеспечиваемая файерволом и антивирусом, уже не эффективна против сетевых атак и малварей. На первый план выходят решения класса IDS/IPS, которые могут обнаруживать и блокировать как известные, так и еще не известные угрозы.

INFO

• О Mod_Security и GreenSQL-FW читай в статье «Последний рубеж», ][_12_2010.
• Как научить iptables «заглядывать» внутрь пакета, читай в статье «Огненный щит», ][_12_2010.

Технологии IDS/IPS

Чтобы сделать выбор между IDS или IPS, следует понимать их принципы работы и назначение. Так, задача IDS (Intrusion Detection System) состоит в обнаружении и регистрации атак, а также оповещении при срабатывании определенного правила. В зависимости от типа, IDS умеют выявлять различные виды сетевых атак, обнаруживать попытки неавторизованного доступа или повышения привилегий, появление вредоносного ПО, отслеживать открытие нового порта и т. д. В отличие от межсетевого экрана, контролирующего только параметры сессии (IP, номер порта и состояние связей), IDS «заглядывает» внутрь пакета (до седьмого уровня OSI), анализируя передаваемые данные. Существует несколько видов систем обнаружения вторжений. Весьма популярны APIDS (Application protocol-based IDS), которые мониторят ограниченный список прикладных протоколов на предмет специфических атак. Типичными представителями этого класса являются PHPIDS , анализирующий запросы к PHP-приложениям, Mod_Security, защищающий веб-сервер (Apache), и GreenSQL-FW, блокирующий опасные SQL-команды (см. статью «Последний рубеж» в ][_12_2010).

Сетевые NIDS (Network Intrusion Detection System) более универсальны, что достигается благодаря технологии DPI (Deep Packet Inspection, глубокое инспектирование пакета). Они контролируют не одно конкретное приложение, а весь проходящий трафик, начиная с канального уровня.

Для некоторых пакетных фильтров также реализована возможность «заглянуть внутрь» и блокировать опасность. В качестве примера можно привести проекты OpenDPI и Fwsnort . Последний представляет собой программу для преобразования базы сигнатур Snort в эквивалентные правила блокировки для iptables. Но изначально файервол заточен под другие задачи, да и технология DPI «накладна» для движка, поэтому функции по обработке дополнительных данных ограничены блокировкой или маркированием строго определенных протоколов. IDS всего лишь помечает (alert) все подозрительные действия. Чтобы заблокировать атакующий хост, администратор самостоятельно перенастраивает брандмауэр во время просмотра статистики. Естественно, ни о каком реагировании в реальном времени здесь речи не идет. Именно поэтому сегодня более интересны IPS (Intrusion Prevention System, система предотвращения атак). Они основаны на IDS и могут самостоятельно перестраивать пакетный фильтр или прерывать сеанс, отсылая TCP RST. В зависимости от принципа работы, IPS может устанавливаться «в разрыв» или использовать зеркалирование трафика (SPAN), получаемого с нескольких сенсоров. Например, в разрыв устанавливается Hogwash Light BR , которая работает на втором уровне OSI. Такая система может не иметь IP-адреса, а значит, остается невидимой для взломщика.

В обычной жизни дверь не только запирают на замок, но и дополнительно защищают, оставляя возле нее охранника, ведь только в этом случае можно быть уверенным в безопасности. В IT в качестве такого секьюрити выступают хостовые IPS (см. «Новый оборонительный рубеж» в ][_08_2009), защищающие локальную систему от вирусов, руткитов и взлома. Их часто путают с антивирусами, имеющими модуль проактивной защиты. Но HIPS, как правило, не используют сигнатуры, а значит, не требуют постоянного обновления баз. Они контролируют гораздо больше системных параметров: процессы, целостность системных файлов и реестра, записи в журналах и многое другое.

Чтобы полностью владеть ситуацией, необходимо контролировать и сопоставлять события как на сетевом уровне, так и на уровне хоста. Для этой цели были созданы гибридные IDS, которые коллектят данные из разных источников (подобные системы часто относят к SIM - Security Information Management). Среди OpenSource-проектов интересен Prelude Hybrid IDS, собирающий данные практически со всех OpenSource IDS/IPS и понимающий формат журналов разных приложений (поддержка этой системы приостановлена несколько лет назад, но собранные пакеты еще можно найти в репозиториях Linux и *BSD).

В разнообразии предлагаемых решений может запутаться даже профи. Сегодня мы познакомимся с наиболее яркими представителями IDS/IPS-систем.

Объединенный контроль угроз

Современный интернет несет огромное количество угроз, поэтому узкоспециализированные системы уже не актуальны. Необходимо использовать комплексное многофункциональное решение, включающее все компоненты защиты: файервол, IDS/IPS, антивирус, прокси-сервер, контентный фильтр и антиспам-фильтр. Такие устройства получили название UTM (Unified Threat Management, объединенный контроль угроз). В качестве примеров UTM можно привести Trend Micro Deep Security , Kerio Control , Sonicwall Network Security , FortiGate Network Security Platforms and Appliances или специализированные дистрибутивы Linux, такие как Untangle Gateway, IPCop Firewall, pfSense (читай их обзор в статье «Сетевые регулировщики», ][_01_2010).

Suricata

Бета-версия этой IDS/IPS была представлена на суд общественности в январе 2010-го после трех лет разработок. Одна из главных целей проекта - создание и обкатка совершенно новых технологий обнаружения атак. За Suricata стоит объединение OISF, которое пользуется поддержкой серьезных партнеров, включая ребят из US Department of Homeland Security. Актуальным на сегодня является релиз под номером 1.1, вышедший в ноябре 2011 года. Код проекта распространяется под лицензией GPLv2, но финансовые партнеры имеют доступ к не GPL-версии движка, которую они могут использовать в своих продуктах. Для достижения максимального результата к работе привлекается сообщество, что позволяет достигнуть очень высокого темпа разработки. Например, по сравнению с предыдущей версией 1.0, объем кода в 1.1 вырос на 70%. Некоторые современные IDS с длинной историей, в том числе и Snort, не совсем эффективно используют многопроцессорные/многоядерные системы, что приводит к проблемам при обработке большого объема данных. Suricata изначально работает в многопоточном режиме. Тесты показывают, что она шестикратно превосходит Snort в скорости (на системе с 24 CPU и 128 ГБ ОЗУ). При сборке с параметром ‘—enable-cuda’ появляется возможность аппаратного ускорения на стороне GPU. Изначально поддерживается IPv6 (в Snort активируется ключом ‘—enable-ipv6’), для перехвата трафика используются стандартные интерфейсы: LibPcap, NFQueue, IPFRing, IPFW. Вообще, модульная компоновка позволяет быстро подключить нужный элемент для захвата, декодирования, анализа или обработки пакетов. Блокировка производится средствами штатного пакетного фильтра ОС (в Linux для активации режима IPS необходимо установить библиотеки netlink-queue и libnfnetlink). Движок автоматически определяет и парсит протоколы (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP и SCTP), поэтому в правилах необязательно привязываться к номеру порта (как это делает Snort), достаточно лишь задать действие для нужного протокола. Ivan Ristic, автор Mod_security, создал специальную библиотеку HTP, применяемую в Suricata для анализа HTTP-трафика. Разработчики прежде всего стремятся добиться точности обнаружения и повышения скорости проверки правил.

Вывод результатов унифицирован, поэтому можно использовать стандартные утилиты для их анализа. Собственно, все бэк-энды, интерфейсы и анализаторы, написанные для Snort (Barnyard, Snortsnarf, Sguil и т. д.), без доработок работают и с Suricata. Это тоже большой плюс. Обмен по HTTP подробно журналируется в файле стандартного формата Apache.

Основу механизма детектирования в Suricata составляют правила (rules). Здесь разработчики не стали пока ничего изобретать, а позволили подключать рулсеты, созданные для других проектов: Sourcefire VRT (можно обновлять через Oinkmaster), и Emerging Threats Pro . В первых релизах поддержка была лишь частичной, и движок не распознавал и не загружал некоторые правила, но сейчас эта проблема решена. Реализован и собственный формат rules, внешне напоминающий снортовский. Правило состоит из трех компонентов: действие (pass, drop, reject или alert), заголовок (IP/порт источника и назначения) и описание (что искать). В настройках используются переменные (механизм flowint), позволяющие, например, создавать счетчики. При этом информацию из потока можно сохранять для последующего использования. Такой подход, применяемый для отслеживания попыток подбора пароля, более эффективен, чем используемый в Snort метод, который оперирует пороговым значением срабатывания. Планируется создание механизма IP Reputation (вроде SensorBase Cisco, см. статью «Потрогай Cisco» в ][_07_2011).

Резюмируя, отмечу, что Suricata - это более быстрый движок, чем Snort, полностью совместимый с ним по правилам и бэк-эндам и способный проверять большие сетевые потоки. Единственный недостаток проекта - скудная документация, хотя опытному админу ничего не стоит разобраться с настройками. В репозиториях дистрибутивов уже появились пакеты для установки, а на сайте проекта доступны внятные инструкции по самостоятельной сборке из исходников. Есть и готовый дистрибутив Smooth-sec , построенный на базе Suricata.

Samhain

Выпускаемый под OpenSource-лицензией Samhain относится к хостовым IDS, защищающим отдельный компьютер. Он использует несколько методов анализа, позволяющих полностью охватить все события, происходящие в системе:

• создание при первом запуске базы данных сигнатур важных файлов и ее сравнение в дальнейшем с «живой» системой;
• мониторинг и анализ записей в журналах;
• контроль входа/выхода в систему;
• мониторинг подключений к открытым сетевым портам;
• контроль файлов с установленным SUID и скрытых процессов.

Программа может быть запущена в невидимом режиме (задействуется модуль ядра), когда процессы ядра невозможно обнаружить в памяти. Samhain также поддерживает мониторинг нескольких узлов, работающих под управлением разных ОС, с регистрацией всех событий в одной точке. При этом установленные на удаленных узлах агенты отсылают всю собранную информацию (TCP, AES, подпись) по зашифрованному каналу на сервер (yule), который сохраняет ее в БД (MySQL, PostgreSQL, Oracle). Кроме того, сервер отвечает за проверку статуса клиентских систем, распространение обновлений и конфигурационных файлов. Реализовано несколько вариантов для оповещений и отсылки собранной информации: e-mail (почта подписывается во избежание подделки), syslog, лог-файл (подписывается), Nagios, консоль и др. Управление можно осуществлять с помощью нескольких администраторов с четко установленными ролями.

Пакет доступен в репозиториях практически всех дистрибутивов Linux, на сайте проекта есть описание, как установить Samhain под Windows.

StoneGate Intrusion Prevention System

Это решение разработано финской компанией, которая занимается созданием продуктов корпоративного класса в сфере сетевой безопасности. В нем реализованы все востребованные функции: IPS, защита от DDoS- и 0day-атак, веб-фильтрация, поддержка зашифрованного трафика и т. д. С помощью StoneGate IPS можно заблокировать вирус, spyware, определенные приложения (P2P, IM и прочее). Для веб-фильтрации используется постоянно обновляемая база сайтов, разделенных на несколько категорий. Особое внимание уделяется защите от обхода систем безопасности AET (Advanced Evasion Techniques). Технология Transparent Access Control позволяет разбить корпоративную сеть на несколько виртуальных сегментов без изменения реальной топологии и установить для каждого из них индивидуальные политики безопасности. Политики проверки трафика настраиваются при помощи шаблонов, содержащих типовые правила. Эти политики создаются в офлайн-режиме. Администратор проверяет созданные политики и загружает их на удаленные узлы IPS. Похожие события в StoneGate IPS обрабатываются по принципу, используемому в SIM/SIEM-системах, что существенно облегчает анализ. Несколько устройств легко можно объединить в кластер и интегрировать с другими решениями StoneSoft - StoneGate Firewall/VPN и StoneGate SSL VPN. Управление при этом обеспечивается из единой консоли управления (StoneGate Management Center), состоящей из трех компонентов: Management Server, Log Server и Management Client. Консоль позволяет не только настраивать работу IPS и создавать новые правила и политики, но и производить мониторинг и просматривать журналы. Она написана на Java, поэтому доступны версии для Windows и Linux.

StoneGate IPS поставляется как в виде аппаратного комплекса, так и в виде образа VMware. Последний предназначен для установки на собственном оборудовании или в виртуальной инфраструктуре. И кстати, в отличие от создателей многих подобных решений, компания-разработчик дает скачать тестовую версию образа.

IBM Security Network Intrusion Prevention System

Система предотвращения атак, разработанная IBM, использует запатентованную технологию анализа протоколов, которая обеспечивает превентивную защиту в том числе и от 0day-угроз. Как и у всех продуктов серии IBM Security, его основой является модуль анализа протоколов - PAM (Protocol Analysis Module), сочетающий в себе традиционный сигнатурный метод обнаружения атак (Proventia OpenSignature) и поведенческий анализатор. При этом PAM различает 218 протоколов уровня приложений (атаки через VoIP, RPC, HTTP и т. д.) и такие форматы данных, как DOC, XLS, PDF, ANI, JPG, чтобы предугадывать, куда может быть внедрен вредоносный код. Для анализа трафика используется более 3000 алгоритмов, 200 из них «отлавливают» DoS. Функции межсетевого экрана позволяют разрешить доступ только по определенным портам и IP, исключая необходимость привлечения дополнительного устройства. Технология Virtual Patch блокирует вирусы на этапе распространения и защищает компьютеры до установки обновления, устраняющего критическую уязвимость. При необходимости администратор сам может создать и использовать сигнатуру. Модуль контроля приложений позволяет управлять P2P, IM, ActiveX-элементами, средствами VPN и т. д. и при необходимости блокировать их. Реализован модуль DLP, отслеживающий попытки передачи конфиденциальной информации и перемещения данных в защищаемой сети, что позволяет оценивать риски и блокировать утечку. По умолчанию распознается восемь типов данных (номера кредиток, телефоны…), остальную специфическую для организации информацию админ задает самостоятельно при помощи регулярных выражений. В настоящее время большая часть уязвимостей приходится на веб-приложения, поэтому в продукт IBM входит специальный модуль Web Application Security, который защищает системы от распространенных видов атак: SQL injection, LDAP injection, XSS, JSON hijacking, PHP file-includers, CSRF и т. д.

Предусмотрено несколько вариантов действий при обнаружении атаки - блокировка хоста, отправка предупреждения, запись трафика атаки (в файл, совместимый с tcpdump), помещение узла в карантин, выполнение настраиваемого пользователем действия и некоторые другие. Политики прописываются вплоть до каждого порта, IP-адреса или зоны VLAN. Режим High Availability гарантирует, что в случае выхода из строя одного из нескольких устройств IPS, имеющихся в сети, трафик пойдет через другое, а установленные соединения не прервутся. Все подсистемы внутри железки - RAID, блок питания, вентилятор охлаждения - дублированы. Настройка, производящаяся при помощи веб-консоли, максимально проста (курсы обучения длятся всего один день). При наличии нескольких устройств обычно приобретается IBM Security SiteProtector, который обеспечивает централизованное управление, выполняет анализ логов и создает отчеты.

McAfee Network Security Platform 7

IntruShield IPS, выпускавшийся компанией McAfee, в свое время был одним из популярных IPS-решений. Теперь на его основе разработан McAfee Network Security Platform 7 (NSP). В дополнение ко всем функциями классического NIPS новый продукт получил инструменты для анализа пакетов, передаваемых по внутренней корпоративной сети, что помогает обнаруживать зловредный трафик, инициируемый зараженными компами. В McAfee используется технология Global Threat Intelligence, которая собирает информацию с сотен тысяч датчиков, установленных по всему миру, и оценивает репутацию всех проходящих уникальных файлов, IP- и URL-адресов и протоколов. Благодаря этому NSP может обнаруживать трафик ботнета, выявлять 0day-угрозы и DDoS-атаки, а такой широкий охват позволяет свести к нулю вероятность ложного срабатывания.

Не каждая IDS/IPS может работать в среде виртуальных машин, ведь весь обмен происходит по внутренним интерфейсам. Но NSP не испытывает проблем с этим, он умеет анализировать трафик между VM, а также между VM и физическим хостом. Для наблюдения за узлами используется агентский модуль от компании Reflex Systems, который собирает информацию о трафике в VM и передает ее в физическую среду для анализа.

Движок различает более 1100 приложений, работающих на седьмом уровне OSI. Он просматривает трафик при помощи механизма контент-анализа и предоставляет простые инструменты управления.

Кроме NIPS, McAfee выпускает и хостовую IPS - Host Intrusion Prevention for Desktop, которая обеспечивает комплексную защиту ПК, используя такие методы детектирования угроз, как анализ поведения и сигнатур, контроль состояния соединений с помощью межсетевого экрана, оценка репутации для блокирования атак.

Где развернуть IDS/IPS?

Чтобы максимально эффективно использовать IDS/IPS, нужно придерживаться следующих рекомендаций:

• Систему необходимо разворачивать на входе защищаемой сети или подсети и обычно за межсетевым экраном (нет смысла контролировать трафик, который будет блокирован) - так мы снизим нагрузку. В некоторых случаях датчики устанавливают и внутри сегмента.
• Перед активацией функции IPS следует некоторое время погонять систему в режиме, не блокирующем IDS. В дальнейшем потребуется периодически корректировать правила.
• Большинство настроек IPS установлены с расчетом на типичные сети. В определных случаях они могут оказаться неэффективными, поэтому необходимо обязательно указать IP внутренних подсетей и используемые приложения (порты). Это поможет железке лучше понять, с чем она имеет дело.
• Если IPS-система устанавливается «в разрыв», необходимо контролировать ее работоспособность, иначе выход устройства из строя может запросто парализовать всю сеть.

Заключение

Победителей определять не будем. Выбор в каждом конкретном случае зависит от бюджета, топологии сети, требуемых функций защиты, желания админа возиться с настройками и, конечно же, рисков. Коммерческие решения получают поддержку и снабжаются сертификатами, что позволяет использовать эти решения в организациях, занимающихся в том числе обработкой персональных данных Распространяемый по OpenSource-лицензии Snort прекрасно документирован, имеет достаточно большую базу и хороший послужной список, чтобы быть востребованным у сисадминов. Совместимый с ним Suricata вполне может защитить сеть с большим трафиком и, главное, абсолютно бесплатен.

Системы предотвращения вторжений (IPS-системы).
Защита компьютера от несанкционированного доступа.

Наибольшее распространение на сегодняшний день получил такой тип систем предотвращения вторжений, как HIPS (от англ. Host-based Intrusion Prevention System – система предотвращения вторжений на уровне хоста). Технология HIPS является основой продуктов и систем по обеспечению безопасности, кроме того элементы HIPS-защиты стали использовать традиционные средства борьбы с вредоносным ПО – например, антивирусные программы.

Если говорить о преимуществах систем предотвращения вторжений типа HIPS, то главным, несомненно, является исключительно высокий уровень защиты. Эксперты по информационной безопасности сходятся во мнении, что системы HIPS способны дать практически 100% защиту от любого, даже новейшего, вредоносного ПО, а также любых попыток несанкционированного доступа к конфиденциальной информации. Это защита, которая превосходно выполняет свою главную функцию – защищать. Ни одно традиционное средство информационной безопасности не способно похвастать таким уровнем защиты.

Инструменты и методики HIPS лежат в основе средств информационной безопасности компании SafenSoft. В наших продуктах сочетаются все преимущества систем предотвращения вторжений и традиционных средств защиты. Проактивная защита SoftControl предотвращает любые попытки несанкционированного доступа к данным и программной среде домашних ПК (продукты SysWatch Personal и SysWatch Deluxe), рабочих станций корпоративных сетей (комплекс Enterprise Suite), банкоматов и платёжных терминалов (TPSecure и TPSecure Teller). Наша запатентованная технология контроля приложений V.I.P.O.® объединяет в себе 3 уровня защиты: контролирует все исполняемые приложения, использует динамическую песочницу для запуска подозрительных процессов и управляет доступом приложений к файловой системе, ключам реестра, внешним устройствам и сетевым ресурсам. Решения SoftControl способны работать параллельно с антивирусными пакетами, обеспечивая полную защиту программной среды компьютера. При работе в локальной сети, продукты SoftControl имеют удобное централизованное управление и систему оповещения администратора об угрозах. В отличие от традиционных средств защиты, решения SoftControl не требуют постоянных обновлений баз данных сигнатур.