###
  • Интернет
  • Программы
  • Игры
  • Проблемы
  • Windows
  • Социальные сети
  • Android
  • Ios

    • Система IPS — современное средство создания электронных архивов, систем документооборота, PDM и PLM. Как выбрать систему предотвращения атак

    05.08.2019 Проблемы

    Сегодня системы обнаружения и предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system, аналогичный русскоязычный термин — СОВ/СОА) - необходимый элемент защиты от сетевых атак. Основное предназначение подобных систем - выявление фактов неавторизованного доступа в корпоративную сеть и принятие соответствующих мер противодействия: информирование ИБ-специалистов о факте вторжения, обрыв соединения и перенастройка межсетевого экрана для блокирования дальнейших действий злоумышленника, т. е. защита от хакерских атак и вредоносных программ.

    Общее описание технологии

    Существует несколько технологий IDS, которые различаются по типам обнаруживаемых событий и по методологии, используемой для выявления инцидентов. В дополнение к функциям мониторинга и анализа событий по выявлению инцидентов все типы IDS выполняют следующие функции:

    • Запись информации по событиям. Обычно информация хранится локально, но может быть отправлена в любую централизованную систему сбора логов или SIEM-систему;
    • Уведомление администраторов безопасности об инцидентах ИБ. Такой вид уведомления называется alert, и может осуществляться по нескольким каналам: email, SNMP-трапы, сообщения системного журнала, консоль управления системы IDS. Возможна также программируемая реакция с использованием скриптов.
    • Генерация отчетов. Отчёты создаются с целью суммировать всю информацию по запрашиваемому событию (событиям).

    Технология IPS дополняет технологию IDS тем, что может самостоятельно не только определить угрозу, но и успешно заблокировать ее. В этом сценарии функциональность IPS гораздо шире, чем у IDS:

    • IPS блокирует атаку (обрыв сессии пользователя, нарушающего политику безопасности, блокирование доступа к ресурсам, хостам, приложениям);
    • IPS изменяет защищаемую среду (изменение конфигурации сетевых устройств для предотвращения атаки);
    • IPS меняет содержание атаки (удаляет например из письма инфицированный файл и отправляет его получателю уже очищенным, либо работает как прокси, анализируя входящие запросы и отбрасывая данные в заголовках пакетов).

    Но кроме очевидных плюсов эти системы имеют своим минусы. Например, IPS не всегда может точно определить инцидент ИБ, либо ошибочно принять за инцидент нормальное поведение трафика или пользователя. В первом варианте принято говорить о событии false negative, во втором варианте говорят о событии false positive. Следует иметь в виду, что невозможно полностью исключить их возникновение, поэтому организация в каждом случае может самостоятельно решить риски какой из двух групп следует либо минимизировать, либо принять.

    Существуют различные методики обнаружения инцидентов с помощью технологий IPS. Большинство реализаций IPS используют сумму данных технологий для того, чтобы обеспечить более высокую степень детектирования угроз.

    1. Обнаружение атаки, основанное на сигнатурах.

    Сигнатурой называют шаблон, который определяет соответствующую атаку. Обнаружение атаки по сигнатурам - это процесс сравнения сигнатуры с возможным инцидентом. Примерами сигнатур являются:

    • соединение telnet пользователя «root», что будет являться нарушением определённой политики безопасности компании;
    • входящее электронной письмо с темой «бесплатные картинки», с приложенным файлом «freepics.exe»;
    • лог операционной системы с кодом 645, который обозначает, что аудит хоста выключен.

    Данный метод очень эффективен при обнаружении известных угроз, но неэффективен при неизвестных (не имеющих сигнатур) атаках.

    2. Обнаружение атаки по аномальному поведению

    Данный метод основан на сравнении нормальной активности событий с активностью событий, отклоняющихся от нормального уровня. У IPS, использующих этот метод, есть так называемые «профили», которые отражают нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили создаются во время «обучающего периода» в течение некоторого времени. Например, в профиль может быть записано повышение веб-трафика на 13 % в рабочие дни. В дальнейшем IPS использует статистические методы при сравнении разных характеристик реальной активности с заданным пороговым значением, при превышении которого на консоль управления офицера безопасности приходит соответствующее сообщение. Профили могут быть созданы на основе многих атрибутов, взятых из поведенческого анализа пользователей. Например, по количеству отосланных электронных писем, количеству неудачных попыток входа в систему, уровню загрузки процессора сервера в определенный период времени и т. д. В результате данный метод позволяет достаточно эффективно блокировать атаки, которые обошли фильтрацию сигнатурного анализа, тем самым обеспечивается защита от хакерских атак.

    Технология IDS/IPS в ALTELL NEO

    В основе IDS/IPS, применяемых нашей компанией в межсетевых экранах нового поколения ALTELL NEO , лежит открытая технология Suricata , дорабатываемая в соответствии с нашими задачами. В отличие от IDS/IPS Snort, применяемой остальными разработчиками, используемая нами система обладает рядом преимуществ, например, позволяет использовать GPU в режиме IDS, обладает более продвинутой системой IPS, поддерживает многозадачность (что обеспечивает более высокую производительность), и многое другое, в том числе полная поддержка формата правил Snort.

    Стоит учитывать, что для корректной работы IDS/IPS ей необходимы актуальные базы сигнатур. В ALTELL NEO для этой цели используются открытые базы National Vulnerability Database и Bugtraq. Обновление баз происходит 2-3 раза в день, что позволяет обеспечить оптимальный уровень информационной безопасности.

    Система ALTELL NEO может функционировать в двух режимах: режиме обнаружения вторжений (IDS) и режиме предотвращения вторжений (IPS). Включение функций IDS и IPS происходит на выбранном администратором интерфейсе устройства - одном или нескольких. Также возможен вызов функций IPS при настройке правил межсетевого экрана для конкретного типа трафика, который требуется проверить. Функциональное отличие IDS от IPS заключается в том, что в режиме IPS сетевые атаки могут быть заблокированы в режиме реального времени.

    Функциональность системы обнаружения и предотвращения вторжений в ALTELL NEO

    Функция Поддержка
    1. Обнаружение уязвимостей (эксплойтов) компонент ActiveX
    2. Обнаружение трафика, передаваемого узлами внутренней локальной сети, характерного для ответов после успешного проведения атаки
    3. Обнаружение сетевого трафика командно-контрольных серверов бот-сетей (Bot C&C)
    4. Обнаружение сетевого трафика, относящегося к протоколам и программам для мгновенного обмена сообщениями
    5. Обнаружение сетевого трафика от взломанных сетевых узлов
    6. Обнаружение сетевого трафика, направленного на сервера DNS
    7. Обнаружение трафика, характерного для атак отказа в обслуживании (DoS, Denial of Service)
    8. Обнаружение сетевого трафика, от узлов из списка Spamhaus Drop list
    9. Обнаружение сетевого трафика от узлов, которые известны как источники атак, на основе списка Dshield
    10. Обнаружение сетевого трафика, характерного для программ использования уязвимостей (эксплойтов)
    11. Обнаружение трафика, характерного для компьютерных игр
    12. Обнаружение сетевого трафика ICMP, характерного для проведения сетевых атак, например, сканирования портов
    13. Обнаружение сетевого трафика, характерного для атак на сервисы IMAP
    14. Обнаружение недопустимого сетевого трафика, противоречащего политике безопасности организации
    15. Обнаружение сетевого трафика, характерного для вредоносных программ (malware)
    16. Обнаружение сетевого трафика, характерного для сетевых червей, использующих протокол NetBIOS
    17 . Обнаружение сетевого трафика, программ однорангового разделения файлов (P2P, peer-to-peer сети)
    18. Обнаружение сетевой активности, которая может противоречить политике безопасности организации (например, трафик VNC или использование анонимного доступа по протоколу FTP)
    19. Обнаружение трафика, характерного для атак на сервисы POP3
    20. Обнаружение сетевого трафика от узлов сети Russian Business Network
    21. Обнаружение атак на сервисы RPC (удаленный вызов процедур)
    22. Обнаружение сетевого трафика программ сканирования портов
    23. Обнаружение пакетов, содержащих ассемблерный код, низкоуровневые команды, называемые также командным кодом (напр. атаки на переполнение буфера)
    24. Обнаружение трафика, характерного для атак на сервисы SMTP
    25. Обнаружение сетевого трафика протокола SNMP
    26. Обнаружение правил для различных программ баз данных SQL
    27. Обнаружение сетевого трафика протокола Telnet в сети
    28. Обнаружение сетевого трафика, характерного для атак на TFTP (trivial FTP)
    29. Обнаружение трафика, исходящего от отправителя, использующего сеть Tor для сохранения анонимности
    30. Обнаружение трафика, характерного для троянских программ
    31. Обнаружение атак на пользовательские агенты
    32. Наличие сигнатур распространенных вирусов (как дополнение к антивирусному движку ALTELL NEO)
    33. Обнаружение сетевого трафика, характерного для атак на сервисы VoIP
    34. Обнаружение уязвимостей (эксплойтов) для web-клиентов
    35. Обнаружение атак на web-серверы
    36. Обнаружение атак на основе инъекций SQL (sql-injection attacks)
    37. Обнаружение сетевого трафика, характерного для сетевых червей
    38. Защита от хакерских атак

    Правила безопасности разрабатываются и совершенствуются сообществом Emerging Threats и основаны на многолетнем совместном опыте экспертов в области защиты от сетевых атак. Обновление правил происходит автоматически по защищенному каналу (для этого в ALTELL NEO должно быть настроено подключение к Интернету). Каждому правилу назначается приоритет в соответствии с классом атаки по частоте использования и важности. Стандартные уровни приоритетов - от 1 до 3, при этом приоритет «1» является высоким, приоритет «2» - средним, приоритет «3» - низким.

    В соответствии с данными приоритетами может быть назначено действие, которое будет выполнять система обнаружения и предотвращения вторжений ALTELL NEO в режиме реального времени при обнаружении сетевого трафика, соответствующего сигнатуре правила. Действие может быть следующим:

    • Alert (режим IDS) - трафик разрешается и пересылается получателю. В журнал регистрации событий записывается предупреждение. Это действие установлено по умолчанию для всех правил;
    • Drop (режим IPS) - анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет отбрасывается, в журнал записывается предупреждение;
    • Reject (режим IPS) - в этом режиме пакет отбрасывается, в журнал записывается предупреждение. При этом отправителю и получателю пакета отправляется соответствующее сообщение;
    • Pass (режим IDS и IPS) - в этом режиме анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет пересылается по назначению, предупреждение не генерируется.

    Отчёты по трафику, проходящему через систему обнаружения и предотвращения вторжений ALTELL NEO, могут быть сформированы в централизованной системе управления ALTELL NEO собственной разработки, которая собирает исходные данные (alert’ы) с одного или нескольких устройств ALTELL NEO.


    Бесплатное тестирование

    Вы можете бесплатно протестировать функциональность IDS/IPS-системы, встроенной в ALTELL NEO в версии UTM, заполнив небольшую заявку. Вы также можете подобрать конфигурацию устройства (дополнительная память, модули расширения, версия ПО и т. д.) и рассчитать его приблизительную цену с помощью

    Система предотвращения вторжений (англ. Intrusion Prevention System , IPS) - программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

    Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак.

    Энциклопедичный YouTube

      1 / 5

      Основы работы IPS

      Анализ защищенности сетевой инфраструктуры

      Система обнаружения атак «Форпост» и решения

      Контроль приложений с помощью сервисов FirePOWER

      Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поколения

      Субтитры

    Классификация

      Сетевые IPS (Network-based Intrusion Prevention, NIPS ): отслеживают трафик в компьютерной сети и блокируют подозрительные потоки данных.

    • IPS для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS ): проверяет активность в беспроводных сетях. В частности, обнаруживает неверно сконфигурированные точки беспроводного доступа к сети, атаки человек посередине , спуфинг mac-адресов.
    • Анализатор поведения сети (Network Behavior Analysis, NBA ): анализирует сетевой трафик, идентифицирует нетипичные потоки, например DoS и DDoS атаки.
    • IPS для отдельных компьютеров (Host-based Intrusion Prevention, HIPS ): резидентные программы, обнаруживающие подозрительную активность на компьютере.

      • История разработок

      История развития современных IPS включает в себя истории развития нескольких независимых решений, проактивных методов защиты, которые разрабатывались в разное время для разного рода угроз. Под проактивными методами защиты, предлагаемыми сегодня рынком, понимается следующее:

    1. Поведенческий анализатор процессов для анализа поведения запущенных в системе процессов и обнаружения подозрительных действий, то есть неизвестных вредоносных программ.
    2. Устранение возможностей попадания инфекции на компьютер, блокировка портов, которые используются уже известными вирусами, и тех, которые могут использоваться их новыми модификациями.
    3. Недопущение переполнения буфера у наиболее распространенных программ и сервисов, что наиболее часто используется злоумышленниками и для осуществления атаки.
    4. Минимизация ущерба, причиненного инфекцией, предотвращение дальнейшего её размножения, ограничение доступа к файлам и директориям; обнаружение и блокировка источника инфекции в сети.

    Анализ сетевых пакетов

    Обычно в качестве первой угрозы, побудившей к противодействию вторжениям, называют червь Морриса , поразивший подключенные к сети Unix -компьютеры ноября 1988 года.

    По другой теории, стимулом для создания нового фортификационного сооружения стали действия группы хакеров совместно со спецслужбами СССР и ГДР. В период с 1986-го по 1989 год группа, идейным руководителем которой был Маркус Хесс, передавала своим национальным спецслужбам информацию, добытую ими путём вторжения в компьютеры. Все началось с неизвестного счета всего на 75 центов в Национальной лаборатории им. Э. Лоуренса в Беркли. Анализ его происхождения в конечном итоге вывел на Хесса, работавшего программистом в небольшой западногерманской компании и одновременно принадлежавшего к экстремистской группе Chaos Computer Club, базировавшейся в Гамбурге. Организованное им вторжение начиналось со звонка из дома через простейший модем, обеспечивающий ему связь с европейской сетью Datex-P и далее проникновение в компьютер библиотеки Бременского университета, где хакер получал необходимые привилегии и уже с ними пробивался в Национальную лабораторию им. Э. Лоуренса в Беркли. Первый лог был зарегистрирован 27 июля 1987 года, и из 400 доступных компьютеров он смог влезть примерно в 30 и после этого спокойно флибустьерствовать в закрытой сети Milnet , используя, в частности, ловушку в виде файла под названием Strategic Defense Initiative Network Project (его интересовало все, что было связано с Стратегической оборонной инициативой президента Рейгана) . Незамедлительной реакцией на появление внешних сетевых угроз оказалось создание межсетевых экранов , как первых систем обнаружения и фильтрации угроз.

    Анализ программ и файлов

    Эвристические анализаторы

    Поведенческий блокиратор

    С появлением новых видов угроз вспомнили о поведенческих блокираторах.

    Первое поколение поведенческих блокираторов появилось ещё в середине 90-х годов. Принцип их работы - при обнаружении потенциально опасного действия пользователю задавался вопрос, разрешить или запретить действие. Теоретически блокиратор способен предотвратить распространение любого - как известного, так и неизвестного - вируса . Основным недостатком первых поведенческих блокираторов было чрезмерное количество запросов к пользователю. Причина этого - неспособность поведенческого блокиратора судить о вредоносности того или иного действия. Однако, в программах, написанных на VBA , можно с очень большой вероятностью отличить вредоносные действия от полезных.

    Второе поколение поведенческих блокираторов отличается тем, что они анализируют не отдельные действия, а последовательность действий и уже на основании этого делают заключение о вредоносности того или иного ПО.

    Тестирование от Current Analysis

    В 2003 году компания Current Analysis, под руководством Майка Фратто, пригласила для тестирования продуктов HIP следующих поставщиков - компании Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli (в составе IBM) и WatchGuard. В результате в лаборатории RealWorld Сиракузского университета были протестированы только следующие продукты: PitBull LX и PitBull Protector компании Argus, eTrust Access Control компании CA, Web Server Edition компании Entercept, STAT Neutralizer компании Harris, StormWatch и StormFront компании Okena, ServerLock и AppLock/Web компании WatchGuard.

    Для участников были сформулированы требования:

    1. Продукт должен позволять централизованно управлять политикой безопасности хостов, ограничивающей доступ приложений только теми системными ресурсами, которые требуются им (приложениям) для работы.
    2. Продукт должен иметь возможность самим формировать политику доступа для любого серверного приложения.
    3. Продукт должен контролировать доступ к файловой системе, сетевым портам, портам ввода/вывода и прочим средствам коммуникации ОС с внешними ресурсами. Помимо этого, дополнительный уровень защиты должен обеспечить возможность блокирования переполнения буфера стека и кучи .
    4. Продукт должен установить зависимость доступа к ресурсам от имени пользователя(приложения) или его принадлежности к той или иной группе.

    После полутора месяцев тестирования победил продукт StormWatch компании Okena (позже приобретена Cisco Systems , продукт получил название Cisco Security Agent).

    Дальнейшее развитие

    В 2003 г. был опубликован отчёт компании Gartner , в котором доказывалась неэффективность поколения IDS того времени и предсказывался их неизбежное оснащение IPS. После этого разработчики IDS стали часто совмещать свои продукты с IPS.

    Методы реагирования на атаки

    После начала атаки

    Методы реализуются уже после того, как была обнаружена информационная атака. Это значит, что даже в случае успешного выполнения защищаемой системе может быть нанесён ущерб.

    Блокирование соединения

    Если для атаки используется TCP -соединение, то реализуется его закрытие с помощью посылки каждому или одному из участников TCP-пакета с установленным флагом RST. В результате злоумышленник лишается возможности продолжать атаку, используя это сетевое соединение. Данный метод, чаще всего, реализуется с помощью имеющихся сетевых датчиков.

    Метод характеризуется двумя основными недостатки:

    1. Не поддерживает протоколы, отличные от TCP, для которых не требуется предварительного установления соединения (например, UDP и ICMP).
    2. Метод может быть использован только после того, как злоумышленник уже получил несанкционированное соединение.

    Блокирование записей пользователей

    Если несколько учётных записей пользователей были скомпрометированы в результате атаки или оказались их источниками, то осуществляется их блокирование хостовыми датчиками системы. Для блокировки датчики должны быть запущены от имени учётной записи, имеющей права администратора.

    Также блокирование может происходить на заданный срок, который определяется настройками Системы предотвращения вторжений.

    Блокирование хоста компьютерной сети

    Для МЭ, не поддерживающих протоколы OPSEC, для взаимодействия с Системой предотвращения вторжения может быть использован модуль-адаптер:

    • на который будут поступать команды об изменении конфигурации МЭ.
    • который будет редактировать конфигурации МЭ для модификации его параметров.
      • Активное подавление источника атаки

      Метод теоретически может быть использован, если другие методы окажутся бесполезны. IPS выявляет и блокирует пакеты нарушителя, и осуществляет атаку на его узел, при условии, что его адрес однозначно определён и в результате таких действий не будет нанесён вред другим легальным узлам.

      Такой метод реализован в нескольких некоммерческих ПО:

      • NetBuster предотвращает проникновение в компьютер «Троянского коня» . Он может также использоваться в качестве средства «fool-the-one-trying-to-NetBus-you» ("обмани того, кто пытается проникнуть к тебе на «Троянском коне»). В этом случае он разыскивает вредоносную программу и определяет запустивший её компьютер, а затем возвращает эту программу адресанту.
      • Tambu UDP Scrambler работает с портами UDP. Продукт действует не только как фиктивный UDP-порт, он может использоваться для «парализации» аппаратуры хакеров при помощи небольшой программки UDP flooder.

      Так как гарантировать выполнение всех условий невозможно, широкое применение метода на практике пока невозможно.

      В начале атаки

      Методы реализуют меры, которые предотвращают обнаруженные атаки до того как они достигают цели.

      С помощью сетевых датчиков

      Сетевые датчики устанавливаются в разрыв канала связи так, чтобы анализировать все проходящие пакеты. Для этого они оснащаются двумя сетевыми адаптерами, функционирующими в «смешанном режиме», на приём и на передачу, записывая все проходящие пакеты в буферную память, откуда они считываются модулем выявления атак IPS. В случае обнаружения атаки эти пакеты могут быть удалены.

      Анализ пакетов проводится на основе сигнатурного или поведенческого методов.

    В статье рассматриваются популярные IPS-решения в контексте мирового и российского рынков. Дается определение базовой терминологии, история возникновения и развития IPS-решений, а также рассматривается общая проблематка и сфера применения IPS-решений. Также приводится сводная информация о функциональных возможностях наиболее популярных IPS-решений от различных производителей.

    Что такое IPS?

    Прежде всего, дадим определение. Intrusion detection system (IDS) или Intrusion prevention system (IPS) – это программные и аппаратные средства, предназначенные для обнаружения и/или предотвращения вторжений. Они предназначены для обнаружения и предотвращения попыток несанкционированного доступа, использования или вывода из строя компьютерных систем, главным образом через Интернет или локальную сеть. Такие попытки могут иметь форму как атаки хакеров или инсайдеров, так и быть результатом действий вредоносных программ.

    IDS/IPS-системы используются для обнаружения аномальных действий в сети, которые могут нарушить безопасность и конфиденциальность данных, например: попытки использования уязвимостей программного обеспечения; попытки повешения привилегий; несанкционированный доступ к конфиденциальным данным; активность вредоносных программ и т.д.

    Использование IPS-систем преследует несколько целей:

    • Обнаружить вторжение или сетевую атаку и предотвратить их;
    • Спрогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития;
    • Выполнить документирование существующих угроз;
    • Обеспечить контроль качества администрирования с точки зрения безопасности, особенно в больших и сложных сетях;
    • Получить полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов;
    • Определить расположение источника атаки по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.

    В целом, IPS аналогичны IDS. Главное же отличие состоит в том, что они функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS.

    IDS, в свою очередь, обычно состоит из:

    • системы сбора событий;
    • системы анализа собранных событий;
    • хранилища, в котором накапливаются собранные события и результаты их анализа;
    • базы данных об уязвимостях (этот параметр является ключевым, так как чем больше база у производителя, тем больше угроз способна выявлять система);
    • консоли управления, которая позволяет настраивать все системы, осуществлять мониторинг состояния защищаемой сети, просматривать выявленные нарушения и подозрительные действия.

    По способам мониторинга IPS-системы можно разделить на две большие группы: NIPS (Network Intrusion Prevention System) и HIPS (Host Intrusion Prevention System). Первая группа ориентирована на сетевой уровень и корпоративный сектор, в то время как представители второй имеют дело с информацией, собранной внутри единственного компьютера, а следовательно могут использоваться на персональных компьютерах. Сегодня HIPS часто входят в состав антивирусных продуктов, поэтому, в контексте данной статьи, эти системы мы рассматривать не будем.

    Среди NIPS и HIPS также выделяют:

    • Protocol-based IPS, PIPS. Представляет собой систему (либо агент), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями.
    • Application Protocol-based IPS, APIPS. Представляет собой систему (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, отслеживание содержимого SQL-команд.

    Что касается форм-фактора, IPS-системы могут быть представлены как в виде отдельного «железного» решения, так и в виде виртуальной машины или софта.

    Развитие технологии. Проблемы IPS.

    Системы предотвращения вторжений появились на стыке двух технологий: межсетевых экранов (firewall) и систем обнаружения вторжений (IDS). Первые умели пропускать трафик через себя, но анализировали лишь заголовки IP-пакетов. Вторые же, напротив, «умели» всё то, чего были лишены межсетевые экраны, то есть анализировали трафик, но не могли как-либо влиять на ситуацию, так как устанавливались параллельно и трафик через себя не пропускали. Взяв лучшее от каждой технологии, появились IPS-системы.

    Становление современных IPS-систем, шло через четыре направления. Так сказать, от частного к общему.

    Первое направление – развитие IDS в inline-IDS. Другими словами, необходимо было встроить IDS-систему в сеть не параллельно, а последовательно. Решение оказалось простым и эффективным: IDS поместили между защищаемыми и незащищаемыми ресурсами. Из этого направления, вероятнее всего, развились программные варианты IPS

    Второе направление становления IPS не менее логичное: эволюция межсетевых экранов. Как вы понимаете, им не хватало глубины анализа пропускаемого через себя трафика. Добавление функционала глубокого проникновения в тело данных и понимания передаваемых протоколов позволило стать межсетевым экранам настоящими IPS-системами. Из этого направления, вероятнее всего, развились аппаратные IPS.

    Третьим «источником» стали антивирусы. От борьбы с «червями», «троянами» и прочими вредоносными программами до IPS-систем оказалось совсем недалеко. Из этого направления, вероятнее всего, развились HIPS.

    Наконец, четвёртым направлением стало создание IPS-систем «с нуля». Здесь, собственно, и добавить нечего.

    Что же касается проблем, у IPS, как и у любых других решений, они были. Основных проблем выделяли три:

    1. большое количество ложных срабатываний;
    2. автоматизация реагирования;
    3. большое число управленческих задач.

    С развитием систем, эти проблемы успешно решались. Так, к примеру, для снижения процента ложных срабатываний начали применять системы корреляции событий, которые «выставляли приоритеты» для событий и помогали IPS-системе эффективнее выполнять свои задачи.

    Всё это привело к появлению IPS-систем следующего поколения (Next Generation IPS – NGIPS). NGIPS должна обладать следующими минимальными функциями:

    • Работать в режиме реального времени без воздействия (или с минимальным воздействием) на сетевую активность компании;
    • Выступать в качестве единой платформы, объединяющей в себе как все преимущества предыдущего поколения IPS, так и новые возможности: контроль и мониторинг приложений; использование информации из сторонних источников (базы уязвимостей, геолокационные данные и т.д.); анализ содержимого файлов.

    Рисунок 1. Функциональная схема эволюционных этапов IPS-систем

    Мировой и российский рынок IPS. Основные игроки, различия.

    Говоря о мировом рынке IPS-систем, эксперты часто ссылаются на отчёты Gartner, и в первую очередь на «волшебный квадрат» (Gartner Magic Quadrant for Intrusion Prevention Systems, July 2012). На 2012 год ситуация была такова:

    Рисунок 2. Распределение основных игроков рынка IPS-систем в мире. Информация Gartner, июль 2012

    Прослеживались явные лидеры в лице McAfee, Sourcefire и HP, к которым очень стремилась всем известная Cisco. Однако лето 2013 внесло свои коррективы. Вначале мая по различным тематическим блогам и форумам пронеслась волна обсуждений, поднятая анонсом сделки между McAfee и Stonesoft. Американцы собирались купить финского «визионера», громко заявившего о себе несколько лет назад, открыв новый вид атак AET (Advanced Evasion Techniques).

    Тем не менее, на этом сюрпризы не закончились и, буквально спустя пару месяцев, корпорация Cisco объявила о заключении соглашения с Sourcefire и покупке этой компании за рекордные $2.7 млрд. Причины были более чем весомые. Sourcefire известна своей поддержкой двух разработок с открытым кодом: механизма обнаружения и предотвращения вторжений Snort и антивируса ClamAV. При этом технология Snort стала стандартом де-факто для систем предупреждения и обнаружения вторжений. Суть же в том, что на российском рынке Cisco Systems является основным поставщиком решений по сетевой безопасности. Она одной из первых пришла на российский рынок, ее сетевое оборудование стоит практически в каждой организации, соответственно, нет ничего необычного в том, что решения по сетевой безопасности также заказывают у этой компании.

    Кроме того, Cisco Systems ведет очень грамотную деятельность по продвижению своей линейки безопасности на российском рынке. И в настоящий момент ни одна компания не может сравниться с Cisco Systems по уровню работы с рынком, как в маркетинговом плане, так и в плане работы с партнерами, госорганизациями, регуляторами и пр. Отдельно стоит отметить, что данная компания уделяет очень большое внимание вопросам сертификации по российским требованиям, тратя на них намного больше, чем другие западные производители, что также способствует сохранению лидирующего положения на российском рынке. Выводы, как говорится, делайте сами.

    И, если с мировым рынком IPS-систем всё более-мене понятно, – в скором времени произойдёт «перетасовка» лидеров – то с российским рынком не всё так просто и прозрачно. Как уже было отмечено выше, отечественный рынок имеет свою специфику. Во-первых, большую роль играет сертификация. Во-вторых, если процитировать Михаила Романова , являющегося одним из авторов глобального исследования «Рынок информационной безопасности Российской Федерации», то «конкурентоспособные IPS-решения российского производства фактически отсутствуют. Автору известны только три российских решения данного типа: «Аргус», «Форпост» и «РУЧЕЙ-М» (не позиционируется как IPS). Найти «Аргус» или «РУЧЕЙ-М» в Интернете и купить не представляется возможным. Решение «Форпост» производства компании РНТ, позиционируется как сертифицированное решение, полностью основанное на коде SNORT (и этого разработчики не скрывают). Разработчик не предоставляет свое решение на тестирование, продукт никак не продвигается на рынке, то есть создается впечатление, что РНТ продвигает его только в собственные проекты. Соответственно, увидеть эффективность этого решения не представляется возможным».

    К упомянутым трём системам можно также отнести комплекс «РУБИКОН», который позиционируется компанией «Эшелон» не только как сертифицированный межсетевой экран, но и как система обнаружения вторжений. К сожалению, информации по нему не так много .

    Последнее решение от российского производителя, которое удалось найти – IPS-система (входит в UTM-устройство ALTELL NEO), представляющая собой, по их словам, «доработанную» открытую технологию Surricata, которая использует актуальные базы сигнатур из открытых источников (National Vulnerability Database и Bugtrax). Всё это вызывает больше вопросов, чем понимания.

    Тем не менее, исходя из предложений интеграторов, можно продолжить список предлагаемых на российском рынке IPS-систем и дать краткое описание для каждого из решений:

    Cisco IPS (сертифицирован ФСТЭК)

    Являясь частью Cisco Secure Borderless Network, Cisco IPSпредоставляет следующие возможности:

    • Предотвращение вторжения более 30000 известных эксплоитов;
    • Автоматическое обновление сигнатур с глобального сайта Cisco Global Correlation для динамического распознавания и предотвращения вторжений атак со стороны Internet;
    • Передовые исследования и опыт Cisco Security Intelligence Operations;
    • Взаимодействие с другими сетевыми компонентами для предотвращения вторжений;
    • Поддержка широкого спектра вариантов развертывания в режиме, близком к реальному времени.

    Всё это позволяет защитить сеть от таких атак, как:

    • Прямые атаки (directed attacks);
    • Черви, вирусы (worms);
    • Ботнет сети (botnets);
    • Вредоносные программы (malware);
    • Заражённые приложения (application abuse).

    Sourcefire IPS, Adaptive IPS и Enterprise Threat Management

    Среди главных преимуществ выделяют:

    • Разработка систем на основе SNORT;
    • Гибкие правила;
    • Интеграция с MSSP;
    • Технология пассивной прослушки (нулевое влияние на сеть);
    • Работа в реальном масштабе времени;
    • Поведенческое обнаружение аномалий в сети (NBA);
    • Персонализация событий.

    McAfee Network Security Platform (ранее, IntruShield Network Intrusion Prevention System) (сертифицирован ФСТЭК)

    Преимущества решения:

    • Интеллектуальное управление безопасностью

    Решение позволяет сократить число специалистов и затраты времени, необходимые для мониторинга и расследования событий безопасности, и одновременно упрощает управление сложными масштабными развертываниями. Благодаря направляемому детальному анализу метод последовательного раскрытия обеспечивает нужную информацию именно тогда и там, где она нужна, а иерархическое управление обеспечивает масштабирование.

    • Высокий уровень защиты от угроз

    Защита от угроз обеспечивается благодаря ядру сигнатур на основе анализа уязвимостей, которое преобразовано в платформу нового поколения путем интеграции самой современной технологии анализа поведения и сопоставления множества событий. «Малоконтактные» средства защиты на основе сигнатур позволяют удерживать операционные затраты на низком уровне и эффективно защищают от известных угроз, а передовая технология анализа поведения и сопоставления событий обеспечивают защиту от угроз следующего поколения и «нулевого дня».

    • Использование глобальной системы защиты от вредоносных программ
    • Инфраструктура Security Connected

    Решение улучшает уровень сетевой безопасности, способствует оптимизации системы сетевой безопасности, наращивая ее экономическую эффективность. Кроме того, решение позволяет согласовывать сетевую безопасность с бизнес-программами для достижения стратегических целей.

    • Быстродействие и масштабируемость
    • Сбор информации и контроль. Получение информации о действиях пользователей и устройствах, которая прямо интегрируется в процесс контроля и анализа

    Stonesoft StoneGate IPS (сертифицирован ФСТЭК)

    В основе работы StoneGate IPS заложена функциональность обнаружения и предотвращения вторжений, которая использует различные методы обнаружения вторжений: сигнатурный анализ, технология декодирования протоколов для обнаружения вторжений, не имеющих сигнатур, анализ аномалий протоколов, анализ поведения конкретных хостов, обнаружения любых видов сканирования сетей, адаптивное применение сигнатур (виртуальное профилирование).

    Особенностью Stonesoft IPS является наличие встроенной системы анализа событий безопасности, которая значительно уменьшает трафик, передаваемый от IPS до системы управления, и количество ложных срабатываний. Первоначальный анализ событий производится сенсором Stonesoft IPS, затем информация от нескольких сенсоров передается на анализатор, который осуществляет корреляцию событий. Таким образом, несколько событий могут указывать на распределенную во времени атаку или на сетевого червя - когда решение о вредоносной активности принимается на основании нескольких событий из «общей картины», а не по каждому отдельному случаю.

    Ключевые возможности StoneGate IPS:

    • обнаружение и предотвращение попыток НСД в режиме реального времени в прозрачном для пользователей сети режиме;
    • применение фирменной технологии АЕТ (Advanced Evasion Techniques) - технологии защиты от динамических техник обхода;
    • обширный список сигнатур атак (по содержанию, контексту сетевых пакетов и другим параметрам);
    • возможность обработки фрагментированного сетевого трафика;
    • возможность контроля нескольких сетей с разными скоростями;
    • декодирование протоколов для точного определения специфических атак, в том числе и внутри SSL соединений;
    • возможность обновления базы данных сигнатур атак из различных источников (возможен импорт сигнатур из Open Source баз);
    • блокировка или завершение нежелательных сетевых соединений;
    • анализ «историй» событий безопасности;
    • анализ протоколов на соответствие RFC;
    • встроенный анализатор событий, позволяющий эффективно снижать поток ложных срабатываний;
    • создание собственных сигнатур атак, шаблонов анализа атак, аномалий и др.;
    • дополнительная функциональность прозрачного межсетевого экрана Transparent Access Control, что позволяет в отдельных случаях отказаться от использования МЭ без какого-либо снижения эффективности защиты;
    • анализ GRE туннелей, любых комбинаций инкапсуляции IP v6, IPv4;
    • централизованное управление и мониторинг, простая в использовании и одновременно гибкая в настройке система генерации отчетов.

    Детектор атак АПКШ «Континент» (Код Безопасности) (сертифицирован ФСТЭК и ФСБ)

    Детектор атак «Континент» предназначен для автоматического обнаружения сетевых атак методом динамического анализа трафика стека протоколов TCP/IP. Детектор атак «Континент» реализует функции системы обнаружения вторжений (СОВ) и обеспечивает разбор и анализ трафика с целью выявления компьютерных атак, направленных на информационные ресурсы и сервисы.

    Основные возможности детектора атак «Континент»:

    • Централизованное управление и контроль функционирования при помощи центра управления системой «Континент».
    • Сочетание сигнатурных и эвристических методов обнаружения атак.
    • Оперативное реагирование на выявленные вторжения.
    • Оповещение ЦУС о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени.
    • Выявление и регистрация информации об атаках.
    • Анализ собранной информации.

    IBM Proventia Network Intrusion Prevention System (сертифицирован ФСТЭК)

    Система предотвращения атак Proventia Network IPS предназначена для блокирования сетевых атак и аудита работы сети. Благодаря запатентованной технологии анализа протоколов решение IBM Internet Security Systems обеспечивает превентивную защиту – своевременную защиту корпоративной сети от широкого спектра угроз. Превентивность защиты основана на круглосуточном отслеживании угроз в центре обеспечения безопасности GTOC (gtoc.iss.net) и собственных исследованиях и поисках уязвимостей аналитиками и разработчиками группы X-Force.

    Основные возможности Proventia Network IPS:

    • Разбирает 218 различных протоколов включая протоколы уровня приложений и форматы данных;
    • Более 3000 алгоритмов используется при анализе трафика для защиты от уязвимостей;
    • Технология Virtual Patch – защита компьютеров пока не установлены обновления;
    • Режим пассивного мониторинга и два режима установки на канал;
    • Поддержка нескольких зон безопасности одним устройством, включая зоны VLAN;
    • Наличие встроенных и внешних bypass модулей для непрерывной передачи данных через устройство в случае системной ошибки или отключения энергоснабжения;
    • Множество способов реагирования на события, включая логирование пакетов атаки;
    • Контроль утечек информации в данных и в офисных документах передаваемых по пиринговым сетям, службам мгновенных сообщений, веб почте и другим протоколам;
    • Детализированная настройка политик;
    • Запись трафика атаки;
    • Поддержка пользовательских сигнатур;
    • Возможность блокирования новых угроз на основании рекомендаций экспертов X-Force.

    Check Point IPS (сертифицирован для межсетевых экранов и для UTM)

    Программный блейд Check Point IPS предоставляет исключительные возможности предотвращения вторжений на многогигабитных скоростях. Для достижения высокого уровня сетевой защиты многоуровневый механизм IPS Threat Detection Engine использует множество различных методов обнаружения и анализа, в том числе: использование сигнатур уязвимостей и попыток их использования, выявление аномалий, анализ протоколов. Механизм IPS способен быстро фильтровать входящий трафик без необходимости проведения глубокого анализа трафика, благодаря чему на наличие атак анализируются лишь соответствующие сегменты трафика, что ведет к понижению расходов и повышению точности.

    В решении IPS применяются высокоуровневые средства динамического управления компании Check Point, что позволяет графически отображать только значимую информацию, легко и удобно изолировать данные, требующие дальнейших действий со стороны администратора, а также соответствовать нормативным требованиям и стандартам отчетности. Кроме того, решения Check Point IPS - как программный блейд IPS, так и аппаратное устройство Check Point IPS-1 - управляются с помощью единой консоли управления SmartDashboard IPS, что обеспечивает унифицированное управление средствами IPS.

    Ключевые преимущества:

    • Полноценные средства защиты IPS – Весь функционал IPS, встроенный в используемый межсетевой экран;
    • Лидерство в отрасли по показателям производительности – Многогигабитная производительность системы IPS и межсетевого экрана;
    • Динамическое управление – Весь набор средств управления, включая представления событий безопасности в режиме реального времени и автоматизированный процесс защиты;
    • Защита между релизами патчей – Повышение уровня защиты в случаях задержки выпуска патчей.

    Trend Micro Threat Management System (основано на Smart Protection Network)

    Trend Micro Threat Management System - решение для анализа и контроля сети, предоставляющее уникальные возможности в области обнаружения малозаметных вторжений, а также автоматизирующее устранение угроз. Это надежное решение, которое основано на Trend Micro Smart Protection Network (наборе модулей для обнаружения и анализа угроз), а также актуальной информации, полученной исследователями угроз из Trend Micro, обеспечивает наиболее эффективные и современные возможности предотвращения угроз.

    Основные преимущества:

    • Более быстрая реакция на возможную потерю данных благодаря раннему обнаружению новых и известных вредоносных программ;
    • Снижение расходов на сдерживание угроз и устранение ущерба, а также сокращение времени простоя благодаря индивидуальному подходу к автоматизированному устранению новых угроз безопасности;
    • Проактивное планирование инфраструктуры безопасности и управление ею благодаря накопленным знаниям о слабых местах сетей и основных причинах угроз;
    • Экономия пропускной способности и ресурсов сети благодаря выявлению приложений и служб, нарушающих функционирование сети;
    • Упрощенное управление угрозами и информацией о нарушениях системы безопасности благодаря удобному централизованному порталу управления;
    • Невмешательствов работу существующих служб благодаря гибкой системе развертывания вне полосы пропускания.

    Palo Alto Networks IPS

    Компания Palo Alto Networks™ является лидером на рынке сетевой безопасности и создателем межсетевых экранов нового поколения. Полная визуализация и контроль всех приложений и контента в сети по пользователю, а не по IP адресу или порту на скоростях до 20Gbps без потери производительности, является основным преимуществом среди конкурентных решений.

    Межсетевые экраны Palo Alto Networks, основанные на запатентованной технологии App-ID™, точно идентифицируют и контролируют приложения – вне зависимости от порта, протокола, поведения или шифрования – и сканируют содержимое для предотвращения угроз и утечки данных.

    Основная идея межсетевых экранов нового поколения, по сравнению с традиционными подходами, в том числе и UTM решениями, заключается в упрощении инфраструктуры сетевой безопасности, устраняет необходимость в различных автономных устройствах безопасности, а также обеспечивает ускорение трафика за счет однопроходного сканирования. Платформа Palo Alto Networks решает широкий спектр требований сетевой безопасности, необходимых различному типу заказчиков: от центра обработки данных до корпоративного периметра с условными логическими границами, включающие в себя филиалы и мобильные устройства.

    Межсетевые экраны нового поколения Palo Alto Networks дают возможность идентифицировать и контролировать приложения, пользователей и контент – а не просто порты, IP адреса и пакеты – используя три уникальных технологии идентификации: App-ID, User-ID и Content-ID. Эти технологии идентификации позволяют создавать политики безопасности, разрешающие конкретные приложения, необходимые бизнесу, вместо того, чтобы следовать распространенной концепции – «все или ничего», которую предлагают традиционные межсетевые экраны, основанные на блокировке портов.

    HP TippingPoint Intrusion Prevention System

    TippingPoint - лучшая в отрасли система предотвращения вторжений (Intrusion Prevention System, IPS), не имеющая себе равных по таким показателям, как обеспечиваемый уровень безопасности, производительность, степень готовности и простота использования. TippingPoint - единственная IPS-система, получившая награду Gold Award организации NSS Group и сертификат Common Criteria - фактически является эталоном в области сетевых средств для предотвращения вторжений.

    Основополагающая технология в продуктах TippingPoint - механизм подавления угроз Threat Suppression Engine (TSE), реализованный на базе специализированных интегральных микросхем (ASIC). Благодаря сочетанию заказных ASIC, объединительной панели с пропускной способностью 20 Гбит/c и высокопроизводительных сетевых процессоров механизм TSE обеспечивает полный анализ потока пакетов на уровнях 2-7; при этом задержка прохождения потока через IPS-систему составляет менее 150 мкс вне зависимости от количества примененных фильтров. Таким образом осуществляется непрерывная очистка внутрисетевого и интернет-трафика и безошибочное выявление таких угроз, как черви, вирусы, троянские программы, смешанные угрозы, фишинг, угрозы через VoIP, атаки DoS и DDoS, обход систем защиты, “заходящие черви” (Walk-in-Worms), нелегальное использование пропускной способности канала, прежде чем будет нанесен реальный вред. Кроме того, архитектура TSE классифицирует трафик, что позволяет предоставить наивысший приоритет ответственным приложениям.

    TippingPoint обеспечивает также текущую защиту от угроз, обусловленными вновь выявленными уязвимостями. Анализируя такие уязвимости для института SANS, специалисты компании TippingPoint, которые являются основными авторами информационного бюллетеня , публикующего наиболее актуальные сведения о новых и существующих уязвимых местах в системе безопасности сети, одновременно разрабатывают фильтры защиты от атак, ориентированных на данные уязвимости, и включают их в состав очередного выпуска Digital Vaccine («цифровая вакцина»). Вакцины создаются для нейтрализации не только конкретных атак, но и их возможных вариаций, что обеспечивает защиту от угроз типа Zero-Day.

    «Цифровая вакцина» доставляется заказчикам еженедельно, а в случае выявления критических уязвимостей - немедленно. Устанавливаться она может автоматически без участия пользователя, что упрощает для пользователей процедуру обновления системы безопасности.

    На сегодняшний день флагманским продуктом компании является HP TippingPoin Next-Generation Intrusion Prevention System, позволяющая наиболее эффективно контролировать все уровни сетевой активности компании за счёт:

    • Собственных баз данных Application DV и Reputation DV
    • Принятия решения на основании множества факторов, объединённых системой HP TippingPoin Security Management System;
    • Лёгкой интеграции с другими сервисами HP DVLabs

    Выводы

    Рынок IPS-систем нельзя назвать спокойным. 2013 год принёс две важные сделки, способные внести серьёзные коррективы, как в российском, так и в мировом масштабе. Речь идёт о противостоянии двух «тандемов»: Cisco+Sourcefire против McAfee+Stonesoft. С одной стороны, Cisco удерживает стабильное первое место на рынке по количеству сертифицированных решений, а поглощение такой известной компании, как Sourcefire должно лишь укрепить заслуженное первое место. В то же время, поглощение Stonesoft, по сути, открывает для McAfee отличные возможности экспансии российского рынка, т.к. именно Stonesoft была первой зарубежной компанией, сумевшей получить на свои решения сертификат ФСБ (этот сертификат даёт гораздо больше возможностей, чем сертификат ФСТЭК).

    К сожалению, отечественные производители пока не радуют бизнес, предпочитая развивать активность в сфере госзаказа. Такое положение вещей вряд ли положительно скажется на развитии этих решений, так как давно известно, что без конкуренции продукт развивается гораздо менее эффективно и, в конечном счёте, деградирует.

    на сайте компании Бюро ESG и в журнале «САПР и графика». И.Фертман – председатель совета директоров Бюро ESG,
    А.Тучков – технический директор Бюро ESG, к.т.н.,
    А.Рындин – заместитель коммерческого директора Бюро ESG.

    В своих статьях сотрудники Бюро ESG неоднократно освещали тему информационного обеспечения различных стадий жизненного цикла изделий. Время вносит свои коррективы, вызванные постоянным развитием информационных технологий и необходимостью модернизации внедренных решений. С другой стороны, сейчас явно прослеживается тенденция к использованию программного инструментария, отвечающего требованиям отечественной нормативной базы и принятым у нас в стране производственным процессам. Именно эти реалии, а также накопленный опыт автоматизации деятельности проектных предприятий побудили нас написать эту статью.

    Современное состояние автоматизации конструкторской деятельности, производства и информационной поддержки последующих стадий ЖЦ изделий

    Компания Бюро ESG имеет большой опыт проведения работ по внедрению систем электронного архива, PDM, PLM, систем управления инженерными данными в самых разных отраслях: судостроении (ОАО «Балтийский завод» - Рособоронэкспорт, ОАО «Севмаш», ЗАО «ЦНИИ Судового машиностроения»), машиностроении (ОАО СПб «Красный Октябрь»), промышленном и гражданском строительстве (ПФ «Союзпроектверфь», ОАО «Гипроспецгаз»), атомной отрасли (ОАО «Атомпроект», ОАО «Росжелдорпроект») и на многих других предприятиях и организациях, перечисление которых не входит в цели и задачи статьи.

    Подчеркнем, что внедрения проводились на базе использования различных программных систем: TDMS, Search, SmartPlant Fondation, Autodesk Vault и других, в том числе собственной разработки. Использование той или иной программной среды обусловлено отраслью, стоящими задачами и прочими факторами. Именно обширный опыт, накопленный Бюро ESG по перечисленным направлениям, позволяет нам обрисовать общую картину внедрения систем электронных архивов, систем документооборота PDM и PLM на российских предприятиях.

    Современную конструкторскую, производственную деятельность, поддержку эксплуатации, модернизации и утилизации изделий невозможно представить без использования различного рода автоматизированных систем: CAD (САПР), CAM, PDM, систем технологической подготовки производства, PLM-систем. Общую картину иллюстрирует рис. 1.

    Рис. 1. Общая картина автоматизации

    Как правило, все перечисленные и не перечисленные средства автоматизации присутствуют лишь в некоторой степени, чаще на начальных стадиях ЖЦ изделий - конструкторской деятельности и производстве. На последующих же стадиях ЖЦ степень информационной поддержки процессов иногда крайне низка. Приведем лишь некоторые характерные для наиболее автоматизированных стадий ЖЦ примеры, иллюстрирующие реальную картину.

    Заявления о «внедрении PDM или PLM-технологий» на практике часто оказываются лишь внедрением системы электронного архива и документооборота КД и ТД, TDM, и не более. Причины:

    • «игра слов» - это когда для создания функционала электронногоархива и документооборота КД и ТД использована дорогостоящая PDM-система (что часто трактуется как «внедрение PDM-технологии», хотя такого нет, налицо лишь внедрение электронного архива и/или TDMс использованием ПО - PDM-системы);
    • подмена понятий - когда в названии программного средства присутствует аббревиатура «PDM» или «PLM», но система по роду решаемых задач не является таковой и, опять же, в лучшем случае решает две задачи, но чаще одну из двух:
    • управление работой конструкторов на уровне документов, а иногда и 3D-моделей,
    • управление электронным архивом КД и ТД.
    Приведем пример: опыт компании Бюро ESG, включающий работы по созданию макета информационной модели военного корабля, показал, что на стадии ЖЦ эксплуатации наиболее важна, увы, не информация проектанта и строителя, а эксплуатационная документация, интерактивные электронные технические руководства (ИЭТР). Крайне необходима на стадии ЖЦ эксплуатации логистическая поддержка, позволяющая в кратчайшие сроки пополнить ЗИП. Очень часто ни одна система, позиционируемая производителем как PLM, не решает «по умолчанию» задач эксплуатации, хотя, не будем отрицать, такая система вполне может быть использована при соответствующих доработках, например, и для решения вопросов логистики. Заметим, что по эффективности и затраченной на доработку трудоемкости такой подход эквивалентен использованию бухгалтерской или ERP-системы для управления конструкторской деятельностью или текстового редактора для разработки конструкторских чертежей.

    Стараясь быть объективными в оценках, не будем дальше сгущать краски, а всего лишь заметим:

    • современная автоматизация конструкторской деятельности, производства, поддержки последующих стадий ЖЦ изделий часто включает лишь элементы PDM и PLM;
    • часто внедрения PDM и PLM- не более чем создание электронного архива и документооборота КД и ТД;
    • говорить о полном внедрении технологии PLM для всех стадий жизненного цикла изделия преждевременно.

    Причины перехода на новую платформу

    Несмотря на выводы предыдущего раздела статьи, отметим, что очень часто на предприятии, где внедрен электронный архив, конструкторский документооборот, автоматизированная система технологической подготовки производства, элементы PDM/PLM, работа без внедренных средств уже не представляется возможной. Это -основной показатель внедрения. В работе нашей компании был случай, когда при сбоях, произошедших в ЛВС Заказчика не по нашей вине, стал недоступен сервер электронного архива одного машиностроительного предприятия. Время от первого сбоя до первого звонка с предприятия в наш офис специалистам по техподдержке составило менее минуты. При этом все эмоциональные заявления объединяло одно -«без доступа к БД предприятие не может работать». На наш взгляд, это наиболее весомый практический показатель, превзошедший все теоретические выкладки.

    Причины перехода к новым технологиям и платформам, а также расширению внедренного функционала можно отнести к нескольким группам.

    Развитие технологий и средств проектирования
    Один из важных факторов перехода к новым технологиям, программным решениям и расширению внедренного функционала системы конструкторского документооборота, автоматизированной системы технологической подготовки производства, элементам PDM/PLM на стадиях работы конструкторов и производства - появление средств трехмерного проектирования и законодательной базы, определяющей работу с электронными моделями.

    Как уже говорилось, в большинстве случаев «внедрения PDM и PLM» речь идет о TDM, электронном архиве и документообороте КД и ТД. Такие решения (независимо от среды, в которой они строились) на практике, как правило, работают с двумерными КД и ТД. Исторически на большинстве предприятий, где реализованы подобные внедрения, в новые системы часто «перекочевали» принципы и подходы работы с двумерной конструкторской и технологической документацией с некоторыми «модернизациями» для электронных двумерных документов. Например, согласно ГОСТ 2.501-2006 изменения в электронные документы вносятся в новую версию. ГОСТ 2.503-90, описывающий внесение изменений «на бумаге», допускает вносить изменения непосредственно в чертеж (зачеркиванием, подчисткой (смывкой), закрашиванием белым цветом, введением новых данных)или создавать новые документы, их листы с заменой исходных, по сути -создавать версии. Пример иллюстрирует, что «модернизации» не так уж существенны, а порядок работы с двумерным электронным документом практически повторяет работу «с бумагой».

    Да и сами средства электронного архива и документооборота КД и ТД, успешно внедренные в свое время, очень часто просто не поддерживают подходы к работе с 3D-моделью, а внедренная ранее информационная система, как правило, устарела и не содержит современных механизмов интеграции, позволяющих провести эффективную доработку.

    Интеграция и оптимизация производственных процессов
    Следующий фактор - интеграция и оптимизация производственных процессов. Очень часто наши заказчики испытывают законное желание максимально автоматизировать всю производственную цепочку. Например, вполне логично, что для написания техпроцессов технологу полезно иметь доступ к результатам работы конструктора. Несомненно, хотелось бы иметь некую единую интегрированную среду, причем, совсем не важно, как построена такая среда - в рамках одной или нескольких систем. Главное - сквозная передача данных между участниками производственных процессов, использование и поддержка актуальной информации.
    Создание интегрированных территориально разнесенных сред
    Очень часто внедренные ранее системы не содержат необходимого функционала, а встроенные средства его расширения не позволяют добиться желаемого -расширить функционал или организовать необходимое интеграционное взаимодействие с другими системами. Часто КБ и производства территориально разнесены. Иногда же существующие средства не отвечают современным представлениям об эффективной автоматизации. Например, для обмена информацией между системами в судостроении применяются файлы обмена (транспортные массивы). Нередко средством организации интеграционного взаимодействия являются только COM– технология. При этом современные системы позволяют эффективно организовать территориально распределенные БД, работу с инженерными данными, обмен ими между удаленными КБ, КБ и производством.
    Экономические причины
    Несомненно, в любых условиях экономическая составляющая перехода к использованию новых платформ не нова, но сегодня имеет две основные составляющие:
    • вложения в новую платформу должны принести экономический эффект;
    • заказчики выражают желание снизить вложения и не зависеть в ряде отраслей от зарубежных производителей.

    Система IPS

    По ряду причин мы не будем останавливаться на известных западных средствах автоматизации. В этом разделе мы постараемся перечислить решения: системы электронного конструкторского архива, документооборота, PDM, PLM, реально адаптированные к отечественным процессам, действующей нормативной базе РФ для КБ и производства, с одной стороны, и учитывающие современное состояние и наличие систем автоматизации проектирования, СУБД, сетевого оборудования и взаимодействия, с другой стороны. С приведенной оговоркой, выбор, увы, не так велик -возможно, кто-либо аргументированно возразит (за что мы заранее благодарны), но на отечественном рынке просматриваются всего лишь три решения:
    • система IPS производства компании «Интермех»;
    • система ЛОЦМАН:PLM производства компании «Аскон»;
    • система T¬Flex производства компании «Топ Системы».
    Целью статьи является отнюдь не формализованное сравнение этих трех систем по принципу «наличия или отсутствия» той или иной функции. Наш опыт показывает, что в большинстве случаев подобный подход весьма субъективен и некорректен. В связи с этим мы сегодня ограничимся описанием лишь одной системы IPS.
    Общий функционал
    Система представляет собой модульное решение, автоматизирующее конструкторские и производственные задачи -групповую работу конструкторов, конструкторский документооборот, реализацию системы электронного архива, ведение технологической подготовки производства, организацию интеграционного взаимодействия с прочими системами Предприятия.

    Общая структура системы IPS приведена на рис. 2.

    Рис. 2. Общая структура IPS

    Гетерогенность среды IPS
    Не секрет, что подавляющее большинство подобных средств является разработками производителей CAD-систем. При этом каждый производитель изначально решал маркетинговую задачу привлечения заказчиков в работе с набором «своих» программных продуктов. К слову, такая концепция присуща программным решениям не только в области автоматизации конструкторской деятельности и производства и не только в нашей стране, а выражает общемировую тенденцию. Некоторое время назад подобный подход претерпел изменения, и сегодня, как правило, любой производитель PDM/PLM-системы утвердительно ответит на вопрос о наличии программного взаимодействия с «неродными» для него CAD-системами.

    Систему IPS стоит отметить не как изначально созданную от «какой-нибудь родной» для нее CAD-системы. Концепцию IPS можно охарактеризовать жаргонизмом «всеядность», наиболее точно характеризующим ее отношения к средствам проектирования, используемым в КБ. При этом в реализации IPS отражена сложившаяся тенденция наличия на предприятиях множества CAD-систем. При этом отметим, что иногда такое «изобилие средств проектирования» в ряде случаев -лишь «эхо эпохи спонтанной автоматизации», а в ряде случаев - результат экономически обоснованной политики, обусловленной, в свою очередь, сложностью и спектром проектируемых изделий. IPS одинаково успешно работает со следующими CAD-системами:

    • AutoCAD;
    • Autodesk Inventor;
    • BricsCAD;
    • Catia;
    • Pro/ENGINEER/PTC Creo Parametric;
    • Solid Edge;
    • SolidWorks;
    • КОМПАС-3D;
    • КОМПАС-График.
    А кроме того - с системами проектирования печатных плат электронных изделий (ECAD): Mentor Graphics и Altium Designer.
    Возможности настройки функционала
    Платформа IPS позволяет гибко настраивать функционал. При настройках могут быть использованы встроенные средства (без программирования). Для реализации же уникального функционала могут применяться внешние среды программирования для написания программ-плагинов.

    Важным аспектом автоматизации проектирования, производственной деятельности, внедрения электронного архива, PDM/PLM-технологий на современном предприятии является то, что начинать приходится отнюдь не «с чистого листа». Кроме того, как правило, уже в той или иной степени организовано хранение информации в электронном виде (электронный архив), нередки успешные внедрения конструкторского документооборота, элементов PDM и PLM. В более «продвинутых» случаях существует единое информационное пространство, организовано межсистемное взаимодействие. При этом, с одной стороны, внедренные и успешно эксплуатируемые средства требуют модернизации, связанной с переходом на новые технологии (например, при внедрении трехмерных CAD-систем). С другой стороны, ранее накопленные БД, технические и организационные подходы должны и могут быть применены при внедрении новых технологий. Например, БД «двумерной» документации на ранее произведенные изделия вовсе не теряет своей актуальности при переходе к использованию 3D-CAD-систем (изделия эксплуатируются, модернизируются, производятся вновь независимо от того, как они спроектированы -«на плоскости» или «на бумаге»).

    Организация территориально распределенной работы
    Добавим, что система IPS позволяет реализовывать территориально разнесенные решения как в рамках одной стадии ЖЦ изделия, например при проектировании одним или несколькими КБ, так и в рамках различных стадий. При этом возможны, например, проектирование изделия одним или несколькими КБ и удаленный доступ технологов одного или нескольких разнесенных производств к результатам работы конструкторов, автоматизация технологической подготовки производства с использованием соответствующих модулей IPS. Механизм публикаций документов и моделей позволяет удаленному от КБ предприятию вносить аннотации, инициализировать проведение изменений, работая в единой территориально распределенной среде.

    Общая структура организации распределенной работы IPS приведена на рис. 3.

    Рис. 3. Организация территориально распределенной работы IPS

    Пример перехода КБ к использованию IPS
    Приведем реальный пример перевода с ранее внедренной системы электронного архива, документооборота с элементами PDM и PLM в одном из крупных КБ. Основные причины проведения работ:
    • переход конструкторских подразделений к трехмерному проектированию;
    • отсутствие технической возможности поддержки работы с 3D-CAD-системами у существующей системы электронного архива и документооборота КД с элементами PDM и PLM;
    • устаревшая архитектура существующей системы и невозможность ее дальнейшего масштабирования;
    • требования к территориально разнесенному взаимодействию КБ с другими КБ и производством.
    Результаты работ:
    • проработка вопросов миграции данных из существующей системы в IPS;
    • проработка вопросов миграции процессов из существующей системы в IPS;
    • программное решение - подсистема интерфейсного взаимодействия между существующей системой и IPSдля обеспечения интеграционного взаимодействия систем, позволяющая осуществить «плавный переход»;
    • сформулирована организационная составляющая перехода к использованию новой системы с учетом оптимизации временных и ресурсных затрат.
    Первый этап - разработка технологии и программно-технических решений - проводился на ранее спроектированном, «пилотном» изделии.

    В настоящее время, согласно графику работ, специалисты нашей компании выполняют следующий этап работ, основанный на полученных ранее результатах: сопровождение проектирования двух реальных изделий 3D-CAD-систем и системы IPS.

    Заключение

    • Часто этапы автоматизации КБ и предприятий, позиционируемые как реальные внедрения PDM/PLM-технологий, представляют собой создание электронных архивов, систем документооборота КД и ТД, TDM (чаще для двумерных документов). В большинстве случаев можно говорить лишь о реальном внедрении элементов PDM и PLM;
    • с переходом к трехмерному проектированию ранее внедренные системы электронного архива и документооборота КД и ТД, внедренные элементы PDM и PLMдалеко не всегда отвечают новым требованиям;
    • перевод на новые платформы систем электронного архива и документооборота КД и ТД, элементов PDM и PLM-непростая, но вполне решаемая задача, требующая разработанного компанией Бюро ESG системного подхода, лишь частично освещенного в статье.

    Список литературы

    1. Турецкий О., Тучков А., Чиковская И., Рындин А. Новая разработка компании InterCAD -система хранения документов и 3D-моделей// REM. 2014. № 1.
    2. Тучков А., Рындин А. О путях создания систем управления инженерными данными// REM. 2014. № 1.
    3. Казанцева И., Рындин А., Резник Б. Информационно-нормативное обеспечение полного жизненного цикла корабля. Опыт Бюро ESG// Korabel.ru. 2013. № 3 (21).
    4. Тучков А., Рындин А. Системы управления проектными данными в области промышленного и гражданского строительства: наш опыт и понимание// САПР и графика. 2013. № 2.
    5. Галкина О., Кораго Н., Тучков А., Рындин А. Система электронного архива Д’АР - первый шаг к построению системы управления проектными данными// САПР и графика. 2013. № 9.
    6. Рындин А., Турецкий О., Тучков А., Чиковская И. Создание хранилища 3D-моделей и документов при работе с трехмерными САПР// САПР и графика. 2013. № 10.
    7. Рындин А., Галкина О., Благодырь А., Кораго Н. Автоматизация потоков документации -важный шаг к созданию единого информационного пространства предприятия // REM. 2012. № 4.
    8. Петров В. Опыт создания единого информационного пространства на СПб ОАО «Красный Октябрь» // САПР и графика. 2012. № 11.
    9. Малашкин Ю., Шатских Т., Юхов А., Галкина О., Караго Н., Рындин А., Фертман И. Опыт разработки системы электронного документооборота в ОАО «Гипроспецгаз»// САПР и графика. 2011. № 12.
    10. Санёв В., Суслов Д., Смирнов С. Использование информационных технологий в ЗАО «ЦНИИ судового машиностроения// CADmaster. 2010. № 3.
    11. Воробьев А., Данилова Л., Игнатов Б., Рындин А., Тучков А., Уткин А., Фертман И., Щеглов Д. Сценарий и механизмы создания единого информационного пространства// CADmaster. 2010. № 5.
    12. Данилова Л., Щеглов Д. Методология создания единого информационного пространства ракетно-космической отрасли// REM. 2010. № 6.
    13. Галкина О.М., Рындин А.А., Рябенький Л.М., Тучков А.А., Фертман И.Б. Электронная информационная модель изделий судостроения на различных стадиях жизненного цикла// CADmaster. 2007. № 37a.
    14. Рындин А.А., Рябенький Л.М., Тучков А.А., Фертман И.Б. Технологии обеспечения жизненного цикла изделий // Компьютер-ИНФОРМ. 2005. № 11.
    15. Рындин А.А., Рябенький Л.М., Тучков А.А., Фертман И.Б. Ступени внедрения ИПИ-технологий// Судостроение. 2005. № 4.

    Современные электронные устройства являются практически универсальными. Так, например, смартфон превосходно справляется не только со звонками (их приемом и совершением), но и возможностью бороздить просторы интернета, слушать музыку, просматривать видеоролики или читать книги. Для этих же задач подойдет планшет. Экран является одной из важнейших частей электроники, особенно если он - сенсорный и служит не только для отображения файлов, но и для управления. Ознакомимся с характеристиками дисплеев и технологиями, по которым они создаются. Уделим особое внимание тому, что такое IPS-экран, что это за технология, в чем ее преимущества.

    Как устроен ЖК-экран

    Прежде всего разберемся, как устроен которым оснащается современная техника. Во-первых, это активная матрица. Она состоит из микропленочных транзисторов. Благодаря им и формируется изображение. Во-вторых, это слой жидких кристаллов. Они оснащены светофильтрами и создают R-, G-, B-субпиксели. В-третьих, это система подсветки экрана, которая позволяет сделать изображение видимым. Она может быть люминесцентной или светодиодной.

    Особенности IPS-технологии

    Строго говоря, матрица IPS - разновидность технологии TFT, по которой создаются ЖК-экраны. Под TFT часто понимают мониторы, произведенные способом TN-TFT. Исходя из этого, можно произвести их сравнение. Чтобы ознакомиться с тонкостями выбора электроники, разберемся, что такое технология экрана IPS, что это понятие обозначает. Главное, что отличает эти дисплеи от TN-TFT, - расположение жидкокристаллических пикселей. Во втором случае они располагаются по спирали, находятся под углом в девяносто градусов горизонтально между двумя пластинами. В первом (который нас интересует больше всего) матрица состоит из тонкопленочных транзисторов. Причем кристаллы располагаются вдоль плоскости экрана параллельно друг другу. Без поступления на них напряжения они не поворачиваются. У TFT каждый транзистор управляет одной точкой экрана.

    Отличие IPS от TN-TFT

    Рассмотрим подробнее IPS, что это такое. У мониторов, созданных по данной технологии, есть масса преимуществ. Прежде всего, это великолепная цветопередача. Весь спектр оттенков ярок, реалистичен. Благодаря широкому углу обзора изображение не блекнет, с какой точки на него ни взгляни. У мониторов более высокая, четкая контрастность благодаря тому, что черный цвет передается просто идеально. Можно отметить следующие минусы, которыми обладает тип экрана IPS. Что это, прежде всего, большое потребление энергии, значительный недостаток. К тому же устройства, оснащенные такими экранами, стоят дорого, так как их производство очень затратное. Соответственно, TN-TFT обладают диаметрально противоположными характеристиками. У них меньше угол обзора, при изменении точки взгляда изображение искажается. На солнце ими пользоваться не очень удобно. Картинка темнеет, мешают блики. Однако такие дисплеи имеют быстрый отклик, меньше потребляют энергии и доступны по цене. Поэтому подобные мониторы устанавливают в бюджетных моделях электроники. Таким образом, можно заключить, в каких случаях подойдет IPS-экран, что это великолепная вещь для любителей кино, фото и видео. Однако из-за меньшей отзывчивости их не рекомендуют поклонникам динамичных компьютерных игр.

    Разработки ведущих компаний

    Сама технология IPS была создана японской компанией Hitachi совместно с NEC. Новым в ней было расположение жидкокристаллических кристаллов: не по спирали (как в TN-TFT), а параллельно друг другу и вдоль экрана. В результате такой монитор передает цвета более яркие и насыщенные. Изображение видно даже на открытом солнце. Угол обзора IPS-матрицы составляет сто семьдесят восемь градусов. Смотреть можно на экран с любой точки: снизу, сверху, справа, слева. Картинка остается четкой. Популярные планшеты с экраном IPS выпускает компания Apple, они создаются на матрице IPS Retina. На один дюйм используется увеличенная плотность пикселей. В результате изображение на дисплее выходит без зернистости, цвета передаются плавно. По словам разработчиков, человеческий глаз не замечает микрочастиц, если пикселей более 300 ppi. Сейчас устройства с IPS-дисплеями становятся более доступными по цене, ими начинают снабжать бюджетные модели электроники. Создаются новые разновидности матриц. Например, MVA/PVA. Они обладают быстрым откликом, широким углом обзора и замечательной цветопередачей.

    Устройства с экраном мультитач

    В последнее время большую популярность завоевали электронные приборы с сенсорным управлением. Причем это не только смартфоны. Выпускают ноутбуки, планшеты, у которых сенсорный экран IPS, служащий для управления файлами, изображениями. Такие устройства незаменимы для работы с видео, фотографиями. В зависимости от встречаются компактные и полноформатные устройства. мультитач способен распознавать одновременно десять касаний, то есть на таком мониторе можно работать сразу двумя руками. Небольшие мобильные устройства, например смартфоны или планшеты с диагональю в семь дюймов, распознают пять касаний. Этого вполне достаточно, если у вашего смартфона небольшой IPS-экран. Что это очень удобно, оценили многие покупатели компактных устройств.