Доклады, выступления, видео и электронные публикации
Особенности системы централизованного управления и мониторинга средствами защиты информации от несанкционированного доступа.
Общая характеристика систем мониторинга и управления информационной безопасностью
Мониторинг и управление информационной безопасностью (ИБ) предназначены для контроля функционирования информационных систем (ИС), систем передачи данных, средств и механизмов защиты. Оперативный контроль, анализ и обеспечение механизмов реагирования позволяют не только выявить факт атаки или нарушения работоспособности, но и подготовить комплекс превентивных мер и мероприятий по устранению последствий нарушения безопасности.
Предпосылки к созданию систем удаленного мониторинга и управления информационной безопасностью появились в тот момент, когда возникла необходимость отслеживать состояние компьютерной системы, локальный доступ к которой отсутствует или затруднен [1].
В процессе функционирования система мониторинга и управления осуществляет сбор первичных данных мониторинга информационной безопасности с наблюдаемых подконтрольных объектов (ПКО) и их анализ. Для этого разрабатываются специальные приложения - компоненты системы мониторинга и управления, выполняющие удаленный сбор журналов аудита с подконтрольных объектов: рабочих станций (РС) сотрудников и серверов контролируемой информационной системы.
Подобно другим многокомпонентным распределенным системам, данная система нуждается в управлении и конфигурировании со стороны администратора системы.
Конфигурирование заключается в задании параметров, в соответствии с которыми система должна выполнять свои функции.
Управление компонентами системы мониторинга может включать:
- определение текущего состояния компонентов,
- формирование управляющего воздействия,
- предоставление администратору системы результатов обработки управляющего воздействия, переданных со стороны компонента.
В случае выходов значений параметров за пределы, определенные как «нормальные», администратор предпринимает соответствующие шаги для устранения возникшей ситуации в целях нормализации параметров. Например, администратор может ограничить доступ пользователя к ресурсам подконтрольного объекта с помощью систем контроля поведения (в частности, приостановить или частично заблокировать работу процесса) [2].
Одной из основных целей создания централизованной системы мониторинга и управления информационной безопасностью является повышение эффективности соответствующих процессов. Мониторинг и управление информационной безопасностью, осуществляемые по децентрализованной схеме, создают для администратора безопасности сложности, к числу которых можно отнести следующие:
- значительная часть данных, пригодных для многофункционального применения, становится труднодоступной, что препятствует реализации одного из основополагающих принципов мониторинга информационной безопасности, согласно которому наблюдение за подконтрольными объектами должно быть постоянным, а полученная в результате мониторинга информация должна приводиться к определённой форме и доводиться до заинтересованных лиц в заданный интервал времени (принцип непрерывности и оперативности мониторинга);
- функция поддержания и развития информационных технологий, которая является основой инфраструктуры управления и мониторинга, в децентрализованной системе не имеет ответственного координатора и развивается спонтанно.
Система централизованного управления и мониторинга средствами защиты информации от несанкционированного доступа
Система управления и мониторинга средствами защиты информации от несанкционированного доступа (СЗИ от НСД) предоставляет возможность централизованного управления и конфигурирования СЗИ от НСД, функционирующих на подконтрольных объектах системы.
В качестве СЗИ от НСД в данном случае рассматривается программно-аппаратный комплекс средств защиты информации от несанкционированного доступа (ПАК СЗИ от НСД): Аккорд-NT/2000, Аккорд-Win32 или Аккорд-Win64. СЗИ от НСД «Аккорд» осуществляет контроль целостности своего программного обеспечения (ПО) и настроек, а также программного обеспечения, указанного как «объекты контроля» системы, системных областей диска, файлов ОС, а также прикладного ПО объектов защиты, имеет собственную систему разграничения доступа. В комплексе реализована подсистема регистрации и учета, предназначенная для регистрации в системном журнале СЗИ от НСД событий информационной безопасности.
Структурно система централизованного управления и мониторинга СЗИ от НСД состоит из:
- сервера управления;
- подконтрольных объектов (АРМ и серверов, на которых установлены и функционируют СЗИ от НСД).
- Функционально данная система включает:
- средства централизованного управления пользователями и СЗИ от НСД (включая доступ к коммуникационным портам и съемным носителям) на объектах защиты;
- средства централизованного сбора журналов событий ИБ с подконтрольных АРМ и серверов;
- средства оперативного оповещения о событиях ИБ.
Программное обеспечение, входящее в состав данной системы, включает в себя серверную и клиентскую часть, устанавливаемые соответственно на сервер управления и подконтрольные объекты.
В системе управления и мониторинга СЗИ от НСД реализована собственная подсистема управления доступом персонала данной системы к функциям мониторинга и управления. Управление правами доступа персонала заключается в выделении ролей, уровней их иерархии и объектов доступа [3]. Персонал системы имеет доступ к той и только к той части информации, которая ему необходима и достаточна для выполнения своих обязанностей.
В данной системе возможно использование следующих ролей:
- администратор системы централизованного управления и мониторинга СЗИ от НСД обеспечивает общее функционирование программного обеспечения, входящего в состав системы;
- администратор ИБ обеспечивает информационную безопасность в части защиты от несанкционированного доступа к ресурсам, включая контроль доступа к коммуникационным портам, серверов, подконтрольных объектов;
- оператор системы централизованного управления и мониторинга СЗИ от НСД обеспечивает мониторинг за функционированием системно-технической части данной системы;
- оператор информационной безопасности системы централизованного управления и мониторинга СЗИ от НСД обеспечивает мониторинг состояния информационной безопасности в части защиты от несанкционированного доступа средствами данной системы и контроль событий информационной безопасности, зафиксированных на объектах защиты;
- администратор нештатного режима функционирования системы централизованного управления и мониторинга СЗИ от НСД обеспечивает восстановление функционирования системы и подконтрольных объектов.
В результате при внимательном и профессиональном подходе подразделения информационной безопасности к формированию политик безопасности и распределению задач между управляющим персоналом на базе описанного средства можно создать эффективную систему контроля, позволяющую собирать исчерпывающий материал для последующего анализа.
Однако средства анализа как таковые в эту подсистему не входят, так как анализ не является ее функцией. Но, как правило, события СЗИ НСД вполне поддаются анализу «вручную», и зачастую специальные средства только для этого на предприятиях не применяются.
Наряду с этим нужно иметь в виду и тот факт, что при комплексном подходе к управлению системой, скорее всего, предприятие внедряет не только систему мониторинга и управления СЗИ НСД, но и аналогичные средства для мониторинга и управления другими важными подсистемами (ОС, антивирусы, ЛВС и прочие). В силу своей специфики, эти средства часто разрабатываются разными компаниями, агрегируют данные в разных форматах.
То есть ситуация с децентрализованным управлением, описанным в начале настоящей работы, переходит на новый виток спирали. Теперь у предприятия есть разрозненные данные, собранные разными системами в разном формате, анализируемые сотрудниками разных отделов.
Очевидно, что следующий шаг централизации управления системой - корреляция, для которой требуется управляющая система над всеми системами мониторинга и управления.
В крупных организациях могут использоваться такие сложные гетерогенные системы управления информационными ресурсами, в которых помимо средств мониторинга и управления СЗИ от НСД, зачастую используются средства, связанные с СУБД, ОС, антивирусными программами и т. д. К числу таких систем относятся, в частности, комплексы, сформированные на базе продуктов IBM Tivoli, в состав которых входят средства, позволяющие выполнять операции с информационными ресурсами в области оперативного мониторинга, управления доступом, управления техническими средствами и пр.
При совместном применении Tivoli и системы централизованного управления и мониторинга СЗИ от НСД последняя используется в качестве единого консолидированного источника данных о событиях ИБ, зафиксированных СЗИ от НСД на подконтрольных объектах, и выступает в качестве объекта управления со стороны соответствующих компонентов Tivoli. В рассматриваемой системе управления и мониторинга СЗИ от НСД реализована возможность интеграции с компонентами Tivoli, при этом:
- необходимым компонентом, обеспечивающим возможность централизованного управления учетными записями персонала и пользователей ПКО прямо из ядра системы, является адаптер Tivoli Identity Manager (TIM) для СЗИ от НСД «Аккорд»;
- получение зарегистрированных событий ИБ Системы реализуется программным продуктом IBM Tivoli Compliance Insight Manager (TCIM), призванным автоматизировать сбор и обработку данных аудита информационной безопасности;
- получение оперативных уведомлений о критичных событиях ИБ Системы реализуется программным продуктом IBM Tivoli Security Operations Manager (TSOM), призванным выявлять угрозы информационной безопасности в режиме реального времени.
Рассматриваемая в настоящей работе система централизованного управления и мониторинга СЗИ от НСД позволяет обеспечить:
- централизованный сбор и хранение информации о зарегистрированных событиях доступа к подконтрольным объектам;
- возможность централизованного управления СЗИ от НСД на подконтрольных объектах;
- единую точку контроля доступа к периферийным устройствам и контроля использования отчуждаемых машинных носителей;
- возможность интеграции с системой управления информационными ресурсами, построенной на базе продуктов IBM Tivoli.
Список литературы:
1. Сильнов Д. С. Современные системы удаленного мониторинга вычислительных ресурсов: состояние, проблемы, перспективы // Безопасность информационных технологий. М., 2011. № 3. С. 57-60.
2. Васильев Н. П., Сильнов Д. С. Программные средства защиты систем удаленного мониторинга вычислительных ресурсов // Безопасность информационных технологий. М., 2011. № 3. С. 140-142.
3. Пестунова Т. М., Родионова З. В. Об одном подходе к управлению правами доступа // Материалы XVIII всероссийской научно-практической конференции «Проблемы информационной безопасности в системе высшей школы». М., 2011. С. 119-121.
Авторы: Сухарева С. В.; Лыдин С. С.; Макейчик Ю. С.
Дата публикации: 01.01.2012
Библиографическая ссылка: Сухарева С. В., Лыдин С. С., Макейчик Ю. С. Особенности системы централизованного управления и мониторинга средствами защиты информации от несанкционированного доступа // Комплексная защита информации. Безопасность информационных технологий. Материалы XVII Международной конференции 15–18 мая 2012 года, Суздаль (Россия). М., 2012. С. 226–228.
Метки документа:
другое
журналы событий и мониторинг
сзи нсд
управление/администрирование
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.