Доклады, выступления, видео и электронные публикации

Расширение функций управления комплексами средств защиты информации при помощи OpenView

Д. Ю. Счастный, Россия, Москва, ОКБ САПР

Автоматизированное рабочее место администратора безопасности информации программно - аппаратного комплекса средств защиты информации от несанкционированного доступа "Аккорд" (АРМ АБИ ПАК СЗИ НСД "Аккорд") является мощным инструментом управления всеми составными частями комплекса "Аккорд". Со своего рабочего места администратор безопасности информации может осуществлять управление комплексом в полном объеме: не только программной частью, но и аппаратной. Позволив администратору не посещать рабочие места для внесения изменений в настройки комплекса, АРМ АБИ предоставил дополнительный сервис: возможность в режиме реального времени наблюдать за работой пользователей в сети. Теперь в случае попыток несанкционированного доступа к ресурсам администратор незамедлительно получает сообщение об этом, и может мгновенно принять соответствующие меры. АРМ АБИ позволяет получить дополнительную информацию о пользователе, о программном обеспечении, которое применяет пользователь, можно даже посмотреть на экран пользователя. Детально разобравшись в происходящем, администратор может послать пользователю предупреждающее сообщение или включить у него хранитель экрана и заблокировать мышь и клавиатуру, а может удалить пользователя и удаленно перегрузить рабочую станцию, тем самым в корне пресечь все попытки НСД. И все это - не вставая со своего рабочего места. Но может и ничего не сделать - в силу личных обстоятельств (лень, соучастие, авось) или просто не обратив внимания на происходящее. Потом, на основании анализа журналов безопасности комплекса "Аккорд", можно будет восстановить картину происшедшего. Однако может случиться так, что применять методы воздействия будет уже поздно. Поэтому необходимо добавить в систему безопасности автоматизированную систему реагирования на попытки несанкционированного доступа.

Собственная разработка такой системы представляется задачей интересной, но непрофильной для разработчиков систем безопасности информации. Возникает желание найти инструменты с требуемыми функциями в смежных областях. И такой инструмент есть: "OpenView - одна из ведущих платформ управления корпоративными информационными ресурсами, которая представляет собой совокупность управляющих модулей построенных на основе общей методологии и архитектуры". Управление инцидентами, реализованное в OpenView, позволяет зафиксировать инцидент, назначить для него способ разрешения, проконтролировать ход выполнения разрешения и сохранить всю историю разрешения инцидента. Дополнительно, можно собирать статистику по инцидентам и получать различные отчеты в удобном для анализа виде.

Итак, если представить попытку несанкционированного доступа как инцидент OpenView, то можно получить требуемый элемент системы безопасности. Для того, чтобы интегрировать собственный модуль в систему OpenView, необходимо АРМ АБИ представить в виде SNMP - агента, который будет транслировать данные, получаемые от рабочих станций в формат, понятный OpenView. Кроме того, этот SNMP - агент может осуществлять и обратную связь, то есть принимать команды управления от OpenView и передавать их АРМ АБИ. Можно выделить следующую функциональность SNMP - агента:

  • извещение о работе АРМ АБИ. В момент начала работы и при завершении соответствующее извещение передается OpenView;
  • извещение о работе контролируемых станций. Каждое подключение/отключение управляемой станции к АРМ АБИ сопровождается соответствующим извещением для OpenView;
  • извещение о попытках НСД. Все попытки НСД, отображаемые на АРМ АБИ, дублируются соответствующим извещением для OpenView;
  • предоставление дополнительной информации о рабочих станция. Для любой управляемой с АРМ АБИ станции можно получить информацию о том, какой пользователь работает, под какой операционной системой, какие процессы у него запущены.

Исторически OpenView использует в качестве транспорта протокол SNMP, который славится своей уязвимостью к разного рода сетевым атакам. Получается, что в цепочке управления "рабочая станция - АРМ АБИ - OpenView" появляется небезопасное взаимодействие между АРМ АБИ и OpenView. Для решения этой проблемы можно предложить следующие варианты:

  • прямое соединение станции управления OpenView и АРМ АБИ;
  • шифрование и аутентификация всех передаваемых данных между станцией управления OpenView и АРМ АБИ на сетевом уровне (например, на уровне IP или IPX);
  • передача данных без выхода их в сеть. Если разместить АРМ АБИ и OpenView на одном компьютере, то они будут взаимодействовать друг с другом, но передаваемые данные не будут выходить в сеть.

Таким образом, интеграция АРМ АБИ и OpenView (при правильной настройке), позволяет получить надежное и безопасное решение, которое расширяет возможности АРМ АБИ ПАК СЗИ НСД "Аккорд" в области обеспечения безопасности информации.

Автор: Счастный Д. Ю.

Дата публикации: 01.01.2005

Библиографическая ссылка: Счастный Д. Ю. Расширение функций управления комплексами средств защиты информации при помощи OpenView // Комплексная защита информации. Сборник материалов IX Международной конференции 1–3 марта 2005 года, Раубичи. Минск, 2005. С. 160–161.


Scientia potestas est
Кнопка связи