Доклады, выступления, видео и электронные публикации

Безопасное управление защитой информации: Подсистема Аккорд-РАУ


Администратор безопасности информации, бегающий по 22-этажному зданию от компьютера к компьютеру, вряд ли многим покажется оптимальным решением задачи управления защитой информации. Необходимость автоматизации его труда очевидна. Реагируя на высокую востребованность такого рода решений, разработчики предлагают сегодня большой спектр ориентированных на управление информационной безопасностью продуктов.
При выборе инструмента такого рода мы предлагаем руководствоваться в первую очередь двумя важными принципами.
1. Управление системой – гораздо эффективнее при прочих равных, чем управление разрозненными элементами. Применительно к защите информации это обозначает, что управление будет эффективно только в том случае, если все входящие в систему средства защиты находятся во взаимодействии с управляющей подсистемой. То есть последняя должна быть также элементом системы, а не внешним инструментом управления.
Следуя этому принципу, для автоматизации управления защитой информации в АС мы предлагаем Подсистему Аккорд-РАУ (Распределенный Аудит и Управление). Она объединяет Автоматизированное рабочее место администратора безопасности информации (АРМ АБИ) и пользовательские станции, оснащенные СЗИ семейства АККОРД*
ПО АРМ АБИ позволяет администратору безопасности информации, не вставая со своего рабочего места, выполнять целый ряд функций, многие из которых уникальны в том смысле, что другие аналогичные продукты, позиционируемые сегодня на рынке, ничего подобного не предлагают.
оперативное наблюдение и управление
В рамках оперативного наблюдения за работой пользователя можно -
- получать информацию о том, кто работает на данной станции, о версии ОС, под управлением которой идет работа, о списке задач, которые выполняются на этой станции в текущий момент времени;
- просматривать все события подсистемы разграничения доступа со всех станций в одном окне;
- при необходимости детального анализа работы одной станции, получать все поступающие события в отдельное окно;
- выбирать для просмотра только те рабочие станции или только те события, которые в данный момент представляют особенный интерес;
- оперативно изменять уровень детальности журнала на рабочих станциях;
- просматривать экран выбранной рабочей станции;
- просматривать диски рабочих станций (до уровня файлов).
Оперативное управление работой пользователя – это возможность –
- посылать пользователю сообщения;
- обмениваться с пользователем файлами;
- включать пользователю Screensaver, который может быть разблокирован только TM-идентификатором АБИ;
- управлять «мышью» и клавиатурой рабочих станций;
- перегружать рабочие станции.

УДАЛЕННОЕ АДМИНИСТРИРОВАНИЕ
Централизованный сбор журналов регистрации СЗИ НСД Аккорд подразумевает -
- получение журналов подсистемы разграничения доступа с рабочих станций;
- получение журналов контроллеров АМДЗ с рабочих станций;
- осуществление очистки журналов регистрации.
Администратор безопасности информации может настроить параметры сбора журналов -
- с выбранных рабочих станций;
- систематизировано по соответствующим каталогам с делением по датам сбора.
Работа со списком зарегистрированных рабочих станциях –
- редактирование списка станций на АРМ;
- рассылка обновленного списка по рабочим станциям.
Работа с базами пользователей и файлами конфигурации на рабочих станциях включает –
- получение файлов конфигурации с выбранной станции;
- редактирование и замену файлов конфигурации выбранной станции;
- редактирование базы пользователей рабочих станций на АРМ:
. удаление пользователей станции или изменение настроек их полномочий,
. добавление новых пользователей станции и назначение им полномочий;
- синхронизация баз пользователей на рабочих станциях (в том числе, находящиеся в контроллерах)
. сразу после изменения базы или
. в момент начала работы рабочей станции.

2. Второй принцип заключается в том, что система управления защитой информации может быть надежной только в том случае, если она построена на базе защищенного обмена данными , в противном случае, она лишь увеличивает уязвимость АС. Защитой информации в компании должен управлять администратор безопасности информации этой же компании, а не кто-либо другой.
Поэтому подсистема Аккорд-РАУ построена на основе специально разработанного комплекса для защищенного обмена данными по сети Аккорд-AcXNet.
Аккорд-AcXNet V3.0 обеспечивает конфиденциальный и аутентифицированный обмен данными между приложениями через сеть. Это достигается за счет следующей архитектуры:

  • Ядро – предоставляет интерфейсы для обмена данными:
      • интерфейсы для приложений
      • основной (для обмена данными с рабочими станциями и приложениями пользователей),
      • служебный (для регистрации рабочих станций в системе и приложений пользователей на каждой станции);
      • интерфейсы для подсистем взаимодействия с модулями (для взаимодействия ядра с его подсистемами через специальный диспетчер).
  • Подсистемы взаимодействия с модулями (набор подключаемых модулей в каждой подсистеме может быть расширен):
    • Подсистема шифрования – обеспечивает взаимодействие с модулями шифрования данных (алгоритмы по ГОСТ 28147-89).
    • Подсистема аутентификации – обеспечивает взаимодействие с модулями аутентификации данных (алгоритмы ЭЦП по ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, алгоритмы ЗКА).
    • Подсистема транспорта – обеспечивает взаимосвязь с модулями передачи данных в сети (транспортные протоколы IPX, UDP, TCP/IP).

Защищенный обмен данными по сети является очень важной отличительной особенностью Подсистемы Аккорд-РАУ, не имеющей пока серьезных аналогов в продуктах наших коллег, представленных сегодня на рынке.

Подсистема Аккорд-РАУ предназначена для управления защитой информации в локальной сети. Управление защитой информации в системах следующего уровня, например, включающих несколько локальных сетей, предполагает необходимость системы реагирования на попытки несанкционированного доступа. Эту функциональность Аккорд-РАУ получает за счет интеграции с OpenView, при которой попытка НСД будет представлена как инцидент OpenView. Управление инцидентами, реализованное в OpenView, позволяет зафиксировать инцидент, назначить для него способ разрешения, проконтролировать ход выполнения разрешения и сохранить всю историю разрешения инцидента. Дополнительно, можно собирать статистику по инцидентам и получать различные отчеты в удобном для анализа виде. Аккорд-РАУ в OpenView представляется в виде SNMP-агента, который транслирует данные, получаемые от рабочих станций в формат, понятный OpenView. Кроме того, этот SNMP-агент может осуществлять и обратную связь, то есть принимать команды управления от OpenView и передавать их на АРМ АБИ. Для того чтобы обеспечить безопасное взаимодействие между АРМ АБИ и OpenView в цепочке управления «рабочая станция – АРМ АБИ – OpenView», реализованы следующие варианты:

  • прямое контролируемое соединение станции управления OpenView и АРМ АБИ;
  • шифрование и аутентификация всех передаваемых данных между станцией управления OpenView и АРМ АБИ на сетевом уровне (например, на уровне IP или IPX);
  • передача данных без выхода их в сеть. Если разместить АРМ АБИ и OpenView на одном компьютере, то они будут взаимодействовать друг с другом, но передаваемые данные не будут выходить в сеть.

Подобного рода интеграция, безусловно, возможна не только с OpenView – по нашему неизменному правилу мы работаем с реальными условиями заказчика.
В заключение хочется заметить, что целесообразность построения систем защиты информации именно на базе СЗИ НСД семейства АККОРДТМ в тех случаях, когда защищенность информации действительно является необходимым условием успешной работы компании, в нашей стране уже вполне осознана. Подтверждением тому – около 200 000 Аккордов, работающих на сегодняшний день по всей стране. Мы ценим доверие наших коллег и всегда его оправдываем. Поэтому если перед Вами стоит какая-то специфическая задача защиты информации, решения которой еще нет среди предлагаемых нами, – мы готовы разработать для Вас это решение.


*Оснащенность АРМ АБИ и рабочих станций Аккорд-АМДЗ и ПО Аккорд-1.95 или Аккорд-NT/2000 , для серверов – ПО Аккорд-NT/2000 – является техническим условием применения подсистемы Аккорд-РАУ, данные компоненты поставляются отдельно!

Автор: Конявская-Счастная (Конявская) С. В.

Дата публикации: 01.01.2006

Библиографическая ссылка: Конявская С. В. Безопасное управление защитой информации: Подсистема Аккорд-РАУ // Connect! Мир связи. М., 2006. № 8 (август). С. 196–197.


Scientia potestas est
Кнопка связи