Управление защитой информации: Подсистема Аккорд-РАУ

Администратор безопасности информации, бегающий по 22-этажному зданию от компьютера к компьютеру, вряд ли многим покажется оптимальным решением задачи управления защитой информации. Необходимость автоматизации его труда очевидна. Реагируя на высокую востребованность такого рода решений, разработчики предлагают сегодня большой спектр ориентированных на управление информационной безопасностью продуктов.

Сложности использования инструмента такого рода связаны с несколькими основными моментами. Во-первых, это попытки описать все события безопасности на одном языке. Если это язык низкого уровня, то объем сообщений будет слишком большим, а если выбрать язык высокого уровня - многие инциденты могут оказаться неразличимыми в высокоуровневом описании. Значит, в крупных системах целесообразно обеспечить иерархию уровней управления. Управлять безопасностью в локальной сети отдела и в Интранет-портале организации должны разные администраторы на основе данных, агрегированных для задач их уровня иерархии.

Во-вторых, постепенное добавление новых средств для решения новых задач часто приводит к тому, что парк средств защиты информации становится огромным и состоит часто из малосовместимых или даже несовместимых продуктов. Это на самом деле сразу две проблемы. С одной стороны, чем больше парк средств, тем больше затрат - и на его формирование, и на его администрирование. А с другой, - структура, включающая разрозненные, не увязанные между собой элементы, как правило, уязвима и нестабильно функционирует.

В связи с этим, при выборе инструмента для управления защитой информации мы предлагаем руководствоваться в первую очередь тремя важными принципами.

I. Управление системой - гораздо эффективнее при прочих равных, чем управление разрозненными элементами. Применительно к защите информации это обозначает, что управление будет эффективно только в том случае, если все входящие в систему средства защиты находятся во взаимодействии с управляющей подсистемой. То есть последняя должна быть также элементом системы, а не внешним инструментом управления.

Следуя этому принципу, для автоматизации управления защитой информации в АС мы предлагаем Подсистему Аккорд-РАУ (Распределенный Аудит и Управление). Она объединяет Автоматизированное рабочее место администратора безопасности информации (АРМ АБИ) и пользовательские станции, оснащенные СЗИ семейства АККОРД[1].

ПО АРМ АБИ позволяет администратору безопасности информации, не вставая со своего рабочего места, выполнять целый ряд функций, многие из которых уникальны в том смысле, что другие аналогичные продукты, позиционируемые сегодня на рынке, ничего подобного не предлагают.

ОПЕРАТИВНОЕ НАБЛЮДЕНИЕ И УПРАВЛЕНИЕ

В рамках оперативного наблюдения за работой пользователя можно:

- получать информацию о том, кто работает на данной станции, о версии ОС, под управлением которой идет работа, о списке задач, которые выполняются на этой станции в текущий момент времени;

- просматривать все события подсистемы разграничения доступа со всех станций в одном окне;

- при необходимости детального анализа работы одной станции получать все поступающие события в отдельное окно;

- выбирать для просмотра только те рабочие станции или только те события, которые в данный момент представляют особенный интерес;

- оперативно изменять уровень детальности журнала на рабочих станциях;

- просматривать экран выбранной рабочей станции;

- просматривать диски рабочих станций (до уровня файлов).

Оперативное управление работой пользователя - это возможность:

- посылать пользователю сообщения;

- обмениваться с пользователем файлами;

- включать пользователю Screensaver, который может быть разблокирован только TM-идентификатором АБИ;

- управлять <мышью> и клавиатурой рабочих станций;

- перегружать рабочие станции.

УДАЛЕННОЕ АДМИНИСТРИРОВАНИЕ

Централизованный сбор журналов регистрации СЗИ НСД Аккорд подразумевает:

- получение журналов подсистемы разграничения доступа с рабочих станций;

- получение журналов контроллеров АМДЗ с рабочих станций;

- осуществление очистки журналов регистрации.

Администратор безопасности информации может настроить параметры сбора журналов:

- с выбранных рабочих станций;

- систематизировано по соответствующим каталогам с делением по датам сбора.

Работа со списком зарегистрированных рабочих станциях:

- редактирование списка станций на АРМ;

- рассылка обновленного списка по рабочим станциям.

Работа с базами пользователей и файлами конфигурации на рабочих станциях включает:

- получение файлов конфигурации с выбранной станции;

- редактирование и замену файлов конфигурации выбранной станции;

- редактирование базы пользователей рабочих станций на АРМ:

- удаление пользователей станции или изменение настроек их полномочий,

- добавление новых пользователей станции и назначение им полномочий;

- синхронизация баз пользователей на рабочих станциях (в том числе, находящиеся в контроллерах)

- сразу после изменения базы или

- в момент начала работы рабочей станции.

II. Второй принцип заключается в том, что система управления защитой информации может быть надежной только в том случае, если она построена на базе защищенного обмена данными, в противном случае, она лишь увеличивает уязвимость АС. Защитой информации в компании должен управлять администратор безопасности информации этой же компании, а не кто-либо другой.

Поэтому подсистема Аккорд-РАУ построена на основе специально разработанного комплекса для защищенного обмена данными по сети Аккорд-AcXNet.

Аккорд-AcXNet V3.0 обеспечивает конфиденциальный и аутентифицированный обмен данными между приложениями через сеть. Это достигается за счет следующей архитектуры:

1. Ядро - предоставляет интерфейсы для обмена данными:

- интерфейсы для приложений

- основной (для обмена данными с рабочими станциями и приложениями пользователей),

- служебный (для регистрации рабочих станций в системе и приложений пользователей на каждой станции);

- интерфейсы для подсистем взаимодействия с модулями (для взаимодействия ядра с его подсистемами через специальный диспетчер).

2. Подсистемы взаимодействия с модулями (набор подключаемых модулей в каждой подсистеме может быть расширен):

1) Подсистема шифрования - обеспечивает взаимодействие с модулями шифрования данных (алгоритмы по ГОСТ 28147-89).

2) Подсистема аутентификации - обеспечивает взаимодействие с модулями аутентификации данных (алгоритмы ЭЦП по ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, алгоритмы ЗКА).

3) Подсистема транспорта - обеспечивает взаимосвязь с модулями передачи данных в сети (транспортные протоколы IPX, UDP, TCP/IP).

Защищенный обмен данными по сети является очень важной отличительной особенностью Подсистемы Аккорд-РАУ, не имеющей пока серьезных аналогов в продуктах наших коллег, представленных сегодня на рынке.

III. Подсистема Аккорд-РАУ предназначена для управления защитой информации в локальной сети, где возможностей администратора безопасности информации достаточно для того, чтобы осмыслить <события безопасности> и отреагировать на них.

Но человек обычно работает медленно, а компьютер - быстро, и в крупных системах количество сообщений может быть слишком велико для конечного числа администраторов. Поэтому управление защитой информации в системах, например, включающих несколько локальных сетей, предполагает необходимость системы обработки инцидентов, сформированных на основе <событий безопасности>, и реагирования на попытки несанкционированного доступа.

Такую функциональность Аккорд-РАУ получает за счет интеграции, например, с OpenView, при которой попытка НСД будет представлена как инцидент OpenView. Управление инцидентами, реализованное в OpenView, позволяет зафиксировать инцидент, назначить для него способ разрешения, проконтролировать ход выполнения разрешения и сохранить всю историю разрешения инцидента. Дополнительно, можно собирать статистику по инцидентам и получать различные отчеты в удобном для анализа виде. Аккорд-РАУ в OpenView представляется в виде SNMP-агента, который транслирует данные, получаемые от рабочих станций в формат, понятный OpenView. Кроме того, этот SNMP-агент может осуществлять и обратную связь, то есть принимать команды управления от OpenView и передавать их на АРМ АБИ. Для того чтобы обеспечить безопасное взаимодействие между АРМ АБИ и OpenView в цепочке управления <рабочая станция - АРМ АБИ - OpenView>, реализованы следующие варианты:

- прямое контролируемое соединение станции управления OpenView и АРМ АБИ;

- шифрование и аутентификация всех передаваемых данных между станцией управления OpenView и АРМ АБИ на сетевом уровне (например, на уровне IP или IPX);

- передача данных без выхода их в сеть. Если разместить АРМ АБИ и OpenView на одном компьютере, то они будут взаимодействовать друг с другом, но передаваемые данные не будут выходить в сеть.

Подобного рода интеграция, безусловно, возможна не только с OpenView - по нашему неизменному правилу мы работаем с реальными условиями заказчика.

Подводя итог, суммируем: использование Подсистемы Аккорд-РАУ позволяет избежать трудностей управления большим количеством несвязанных, а часто и несовместимых продуктов, а также бесконечного роста сложности работы администратора безопасности информации или количества администраторов, что в лучшем случае приводит просто к несогласованности действий, а в худшем - к тому, что устанавливаются настройки, при которых многие инциденты становятся неразличимы.

По совокупности своих свойств Аккорд-РАУ соответствует главным параметрам, определяющим эффективность средства управления защиты информации, потому что

- это система взаимоувязанных элементов,

- дающая возможность построения иерархии уровней управления

- с использованием уже имеющихся в организации средств.

Любое средство защиты может быть эффективным только в том случае, если оно, как минимум, включено. А его неизбежно будут отключать, подвергаясь риску осуществления угроз, если оно нарушает работу системы и мешает работе пользователей. Сейчас принято утверждать, что средства защиты информации неизбежно усложняют работу и администрирование системы. Наверное, это так. Однако там, где установлены средства семейства АККОРД^тм, они работают.

---

[1] Оснащенность АРМ АБИ и рабочих станций Аккорд-АМДЗ и ПО Аккорд-1.95 или Аккорд-NT/2000, для серверов - ПО Аккорд-NT/2000 - является техническим условием применения подсистемы Аккорд-РАУ, данные компоненты поставляются отдельно!

Авторы: Макейчик Ю. С.; Счастный Д. Ю.; Конявская С. В.

Дата публикации: 01.01.2007

Библиографическая ссылка: Макейчик Ю. С., Счастный Д. Ю., Конявская С. В. Управление защитой информации: Подсистема Аккорд-РАУ // Комплексная защита информации. Материалы XI Международной конференции. 20–23 марта 2007 года, Новополоцк. Мн., 2007. С. 164–167.

---