ий доступ до важливих файлів, а також дії шкідливого програмного забезпечення (комп'ютерних вірусів, троянів і черв'яків). У мережевий СОВ, сенсори розташовані на важливих для спостереження точках мережі, часто в демілітаризованій зоні, або на межі мережі. Сенсор перехоплює весь мережевий трафік і аналізує вміст кожного пакета на наявність шкідливих компонентів. Протокольні СОВ використовуються для відстеження трафіку, що порушує правила певних протоколів або синтаксис мови (наприклад, SQL). У хостових СОВ сенсор зазвичай є програмним агентом, який веде спостереження за активністю хоста, на який встановлено. Також існують гібридні версії перерахованих видів СОВ. p align="justify"> У пасивної СОВ при виявленні порушення безпеки, інформація про порушення записується в лог програми, а також сигнали небезпеки відправляються на консоль і/або Адміністратора системи по певному каналу зв'язку. В активній системі, також відомої як Система попередження вторгнень (IPS - Intrusion Prevention system (англ.)), СОВ веде відповідні дії на порушення, скидаючи з'єднання або перенастроюючи міжмережевий екран для блокування трафіку від зловмисника. Відповідні дії можуть проводитися автоматично або по команді оператора. Вільно поширювані СОВ: Snort NIDS
Bro NIDS, Prelude Hybrid IDS, OSSEC HIDS, Samhain HIDS, Suricata, Open Source Tripwire
Комерційні СОВ, (fr) CATNET, Check Point IPS Blade, Check Point IPS, McAfee IPS, IBM ISS Proventia IPS
2.Система запобігання витоків конфіденційної інформації (DLP-системи).
Запобігання витоків (англ. Data Leak Prevention, DLP) - технології запобігання витоків конфіденційної інформації з інформаційної системи зовні, а також технічні пристрої (програмні або програмно-апаратні) для такого запобігання утечек.сістеми будуються на аналізі потоків даних, що перетинають периметр захищається інформаційної системи. При детектировании в цьому потоці конфіденційної інформації спрацьовує активна компонента системи, і передача повідомлення (пакета, потоку, сесії) блокується. p align="justify"> Впровадження
Необхідність захисту від внутрішніх загроз була очевидна на всіх етапах розвитку засобів інформаційної безпеки. Однак спочатку зовнішні загрози вважалися більш небезпечними. В останні роки на внутрішні загрози стали звертати більше уваги, і популярність DLP-систем зросла. Необхідність їх використання стала згадуватися в стандартах і нормативних документах (наприклад, розділ "12.5.4 Витік інформації" в стандарті ГОСТ ISO/IEC 17799-2005). p align="justify"> Методи
Розпізнавання конфіденційної інформації в DLP-системах проводиться двома способами: аналізом формальних ознак (наприклад, грифа документа, спеціально введених міток, порівнянням хеш-функції) і аналізом контенту. Перший спосіб дозволяє уникнути помилкових спрацьовувань (помилок другого роду), але зате вимагає ...
