ГОСТ Р ИСО/МЭК 27033-4-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 4. Обеспечение безопасности межсетевого взаимодействия с использованием шлюзов безопасности

9.5 Фильтрация контента

Шлюзы безопасности с прокси-сервером приложений часто реализуют фильтрацию контента. Фильтрация контента является основной защитой от вредоносного или неподходящего кода. Она может помочь защититься от угроз, доставляемых при загрузке приложений или выполняемых в браузере. Примеры разнообразны: от троянских коней до неуместных элементов управления ActiveX. Поскольку большая часть этого вредоносного кода распространяется через сеть Интернет по электронной почте или HTTP-соединениям (например, загрузка с веб- или FTP-сайта), защита должна начинаться в точке взаимодействия шлюза безопасности с сетью Интернет. Таким образом, в экранированную подсеть или ДМЗ добавляется сканер вирусов или, в более общем смысле, сканер контента. В большинстве конфигураций сканер контента напрямую связан с МЭ с помощью сетевого интерфейса, так что такие службы, как трафик электронной почты на основе SMTP и связь на основе HTTP, маршрутизируются на сканер фильтрации контента.

Преобладающими технологиями анализа контента являются следующие:

- анализ протоколов;

- сканирование на основе сигнатур (поиск известных шаблонов);

- исследовательский анализ (анализ кода на наличие функций и поведения, о которых известно, что они связаны с вредоносным кодом);

- технология "песочницы" (по сути, программа мониторинга контента, которая помещает подозрительный код в "песочницу").

Поскольку разница между сканированием контента и обнаружением вторжений невелика, особенно в том, что касается обнаружения сетевых вторжений, СОВ можно также объединить с МЭ, установив агент СОВ на устройстве МЭ (см. ISO/IEC TR 15947).

Примечание - Выбор, развертывание и эксплуатация систем обнаружения или предотвращения вторжений являются предметом ИСО/МЭК 27039.

 

Технология фильтрации контента также имеет некоторые ограничения. Если данные зашифрованы на транспортном или прикладном уровне (например, с помощью SSL/TLS или S/MIME), проверка контента далее невозможна, пока зашифрованные данные не будут расшифрованы и потом повторно зашифрованы на МЭ. Это может создавать угрозы безопасности, такие как атаки "человек посередине".

В отношении сканирования и фильтрации контента могут возникнуть юридические последствия, особенно в тех случаях, когда действует строгое законодательство о защите данных. Тогда может быть разрешено только автоматическое сканирование на наличие вредоносного кода, но не сканирование на конкретный контент электронной почты, поскольку это может нарушить приватность отправителя и получателя.