Особенности системы централизованного управления и мониторинга средствами защиты информации от несанкционированного доступа.

Общая характеристика систем мониторинга и управления информационной безопасностью

Мониторинг и управление информационной безопасностью (ИБ) предназначены для контроля функционирования информационных систем (ИС), систем передачи данных, средств и механизмов защиты. Оперативный контроль, анализ и обеспечение механизмов реагирования позволяют не только выявить факт атаки или нарушения работоспособности, но и подготовить комплекс превентивных мер и мероприятий по устранению последствий нарушения безопасности.

Предпосылки к созданию систем удаленного мониторинга и управления информационной безопасностью появились в тот момент, когда возникла необходимость отслеживать состояние компьютерной системы, локальный доступ к которой отсутствует или затруднен [1].

В процессе функционирования система мониторинга и управления осуществляет сбор первичных данных мониторинга информационной безопасности с наблюдаемых подконтрольных объектов (ПКО) и их анализ. Для этого разрабатываются специальные приложения - компоненты системы мониторинга и управления, выполняющие удаленный сбор журналов аудита с подконтрольных объектов: рабочих станций (РС) сотрудников и серверов контролируемой информационной системы.

Подобно другим многокомпонентным распределенным системам, данная система нуждается в управлении и конфигурировании со стороны администратора системы.

Конфигурирование заключается в задании параметров, в соответствии с которыми система должна выполнять свои функции.

Управление компонентами системы мониторинга может включать:

• определение текущего состояния компонентов,
• формирование управляющего воздействия,
• предоставление администратору системы результатов обработки управляющего воздействия, переданных со стороны компонента.

В случае выходов значений параметров за пределы, определенные как «нормальные», администратор предпринимает соответствующие шаги для устранения возникшей ситуации в целях нормализации параметров. Например, администратор может ограничить доступ пользователя к ресурсам подконтрольного объекта с помощью систем контроля поведения (в частности, приостановить или частично заблокировать работу процесса) [2].

Одной из основных целей создания централизованной системы мониторинга и управления информационной безопасностью является повышение эффективности соответствующих процессов. Мониторинг и управление информационной безопасностью, осуществляемые по децентрализованной схеме, создают для администратора безопасности сложности, к числу которых можно отнести следующие:

• значительная часть данных, пригодных для многофункционального применения, становится труднодоступной, что препятствует реализации одного из основополагающих принципов мониторинга информационной безопасности, согласно которому наблюдение за подконтрольными объектами должно быть постоянным, а полученная в результате мониторинга информация должна приводиться к определённой форме и доводиться до заинтересованных лиц в заданный интервал времени (принцип непрерывности и оперативности мониторинга);
• функция поддержания и развития информационных технологий, которая является основой инфраструктуры управления и мониторинга, в децентрализованной системе не имеет ответственного координатора и развивается спонтанно.

Система централизованного управления и мониторинга средствами защиты информации от несанкционированного доступа

Система управления и мониторинга средствами защиты информации от несанкционированного доступа (СЗИ от НСД) предоставляет возможность централизованного управления и конфигурирования СЗИ от НСД, функционирующих на подконтрольных объектах системы.

В качестве СЗИ от НСД в данном случае рассматривается программно-аппаратный комплекс средств защиты информации от несанкционированного доступа (ПАК СЗИ от НСД): Аккорд-NT/2000, Аккорд-Win32 или Аккорд-Win64. СЗИ от НСД «Аккорд» осуществляет контроль целостности своего программного обеспечения (ПО) и настроек, а также программного обеспечения, указанного как «объекты контроля» системы, системных областей диска, файлов ОС, а также прикладного ПО объектов защиты, имеет собственную систему разграничения доступа. В комплексе реализована подсистема регистрации и учета, предназначенная для регистрации в системном журнале СЗИ от НСД событий информационной безопасности.

Структурно система централизованного управления и мониторинга СЗИ от НСД состоит из:

• сервера управления;
• подконтрольных объектов (АРМ и серверов, на которых установлены и функционируют СЗИ от НСД).
• Функционально данная система включает:
• средства централизованного управления пользователями и СЗИ от НСД (включая доступ к коммуникационным портам и съемным носителям) на объектах защиты;
• средства централизованного сбора журналов событий ИБ с подконтрольных АРМ и серверов;
• средства оперативного оповещения о событиях ИБ.

Программное обеспечение, входящее в состав данной системы, включает в себя серверную и клиентскую часть, устанавливаемые соответственно на сервер управления и подконтрольные объекты.

В системе управления и мониторинга СЗИ от НСД реализована собственная подсистема управления доступом персонала данной системы к функциям мониторинга и управления. Управление правами доступа персонала заключается в выделении ролей, уровней их иерархии и объектов доступа [3]. Персонал системы имеет доступ к той и только к той части информации, которая ему необходима и достаточна для выполнения своих обязанностей.

В данной системе возможно использование следующих ролей:

• администратор системы централизованного управления и мониторинга СЗИ от НСД обеспечивает общее функционирование программного обеспечения, входящего в состав системы;
• администратор ИБ обеспечивает информационную безопасность в части защиты от несанкционированного доступа к ресурсам, включая контроль доступа к коммуникационным портам, серверов, подконтрольных объектов;
• оператор системы централизованного управления и мониторинга СЗИ от НСД обеспечивает мониторинг за функционированием системно-технической части данной системы;
• оператор информационной безопасности системы централизованного управления и мониторинга СЗИ от НСД обеспечивает мониторинг состояния информационной безопасности в части защиты от несанкционированного доступа средствами данной системы и контроль событий информационной безопасности, зафиксированных на объектах защиты;
• администратор нештатного режима функционирования системы централизованного управления и мониторинга СЗИ от НСД обеспечивает восстановление функционирования системы и подконтрольных объектов.

В результате при внимательном и профессиональном подходе подразделения информационной безопасности к формированию политик безопасности и распределению задач между управляющим персоналом на базе описанного средства можно создать эффективную систему контроля, позволяющую собирать исчерпывающий материал для последующего анализа.

Однако средства анализа как таковые в эту подсистему не входят, так как анализ не является ее функцией. Но, как правило, события СЗИ НСД вполне поддаются анализу «вручную», и зачастую специальные средства только для этого на предприятиях не применяются.

Наряду с этим нужно иметь в виду и тот факт, что при комплексном подходе к управлению системой, скорее всего, предприятие внедряет не только систему мониторинга и управления СЗИ НСД, но и аналогичные средства для мониторинга и управления другими важными подсистемами (ОС, антивирусы, ЛВС и прочие). В силу своей специфики, эти средства часто разрабатываются разными компаниями, агрегируют данные в разных форматах.

То есть ситуация с децентрализованным управлением, описанным в начале настоящей работы, переходит на новый виток спирали. Теперь у предприятия есть разрозненные данные, собранные разными системами в разном формате, анализируемые сотрудниками разных отделов.

Очевидно, что следующий шаг централизации управления системой - корреляция, для которой требуется управляющая система над всеми системами мониторинга и управления.

В крупных организациях могут использоваться такие сложные гетерогенные системы управления информационными ресурсами, в которых помимо средств мониторинга и управления СЗИ от НСД, зачастую используются средства, связанные с СУБД, ОС, антивирусными программами и т. д. К числу таких систем относятся, в частности, комплексы, сформированные на базе продуктов IBM Tivoli, в состав которых входят средства, позволяющие выполнять операции с информационными ресурсами в области оперативного мониторинга, управления доступом, управления техническими средствами и пр.

При совместном применении Tivoli и системы централизованного управления и мониторинга СЗИ от НСД последняя используется в качестве единого консолидированного источника данных о событиях ИБ, зафиксированных СЗИ от НСД на подконтрольных объектах, и выступает в качестве объекта управления со стороны соответствующих компонентов Tivoli. В рассматриваемой системе управления и мониторинга СЗИ от НСД реализована возможность интеграции с компонентами Tivoli, при этом:

• необходимым компонентом, обеспечивающим возможность централизованного управления учетными записями персонала и пользователей ПКО прямо из ядра системы, является адаптер Tivoli Identity Manager (TIM) для СЗИ от НСД «Аккорд»;
• получение зарегистрированных событий ИБ Системы реализуется программным продуктом IBM Tivoli Compliance Insight Manager (TCIM), призванным автоматизировать сбор и обработку данных аудита информационной безопасности;
• получение оперативных уведомлений о критичных событиях ИБ Системы реализуется программным продуктом IBM Tivoli Security Operations Manager (TSOM), призванным выявлять угрозы информационной безопасности в режиме реального времени.

Рассматриваемая в настоящей работе система централизованного управления и мониторинга СЗИ от НСД позволяет обеспечить:

• централизованный сбор и хранение информации о зарегистрированных событиях доступа к подконтрольным объектам;
• возможность централизованного управления СЗИ от НСД на подконтрольных объектах;
• единую точку контроля доступа к периферийным устройствам и контроля использования отчуждаемых машинных носителей;
• возможность интеграции с системой управления информационными ресурсами, построенной на базе продуктов IBM Tivoli.

Список литературы:

1. Сильнов Д. С. Современные системы удаленного мониторинга вычислительных ресурсов: состояние, проблемы, перспективы // Безопасность информационных технологий. М., 2011. № 3. С. 57-60.

2. Васильев Н. П., Сильнов Д. С. Программные средства защиты систем удаленного мониторинга вычислительных ресурсов // Безопасность информационных технологий. М., 2011. № 3. С. 140-142.

3. Пестунова Т. М., Родионова З. В. Об одном подходе к управлению правами доступа // Материалы XVIII всероссийской научно-практической конференции «Проблемы информационной безопасности в системе высшей школы». М., 2011. С. 119-121.

Авторы: Сухарева С. В.; Лыдин С. С.; Макейчик Ю. С.

Дата публикации: 01.01.2012

Библиографическая ссылка: Сухарева С. В., Лыдин С. С., Макейчик Ю. С. Особенности системы централизованного управления и мониторинга средствами защиты информации от несанкционированного доступа // Комплексная защита информации. Безопасность информационных технологий. Материалы XVII Международной конференции 15–18 мая 2012 года, Суздаль (Россия). М., 2012. С. 226–228.

---