 |
Функциональная схема системы удалённого мониторинга активности системы
|
|
|
|
Пример реализации схемы удалённого мониторинга активности системы защиты [26], использованной автором в КСЗИ «Панцирь», приведён на рис. 21.4. Пример реализации системы-менеджера защиты информации, устанавливаемой на выделенный сервер безопасности, приведён на рис. 21.5.
Рис. 21.4. Пример реализации схемы удалённого мониторинга активности системы защиты
Рис. 21.5. Пример реализации системы-менеджера защиты информации, устанавливаемой на выделенный сервер безопасности
На схемах, приведённых на рис. 21.4 и рис. 21.5, использованы следующие обозначения:
– система-менеджер защиты информации, устанавливаемая на выделенный сервер безопасности – 1;
– М систем-агентов (клиентских частей системы защиты) защиты информации, устанавливаемых на рабочие станции – 2;
– N систем-агентов (клиентских частей системы защиты) защиты информации, устанавливаемых на информационные серверы – 2 (системы-агенты рабочих станций и информационных серверов в общем случае идентичны, могут отличаться лишь настройкой параметров – содержимым баз данных безопасности, в зависимости от реализуемой политики информационной безопасности);
– блок открытого интерфейса сетевого взаимодействия низкого уровня – 3;
– блок открытого интерфейса сетевого взаимодействия высокого уровня – 17;
– связной ресурс – 4;
– блок администрирования системы защиты – 11;
– блок закрытого интерфейса сетевого взаимодействия высокого уровня – 12;
– блок разграничения и контроля прав доступа – 13;
– блок идентификации и аутентификации – 14;
– блок контроля целостности программ и данных – 15;
– блок криптографической защиты – 16.
В системе менеджер-защиты информации, устанавливаемой на выделенный сервер безопасности 1. использованы следующие обозначения:
|
|
|
– вход/выход администрирования 5 распределённой системы защиты;
– вход/выход анализа активности рабочих станций и информационных серверов – 18.
В N системах-агентах защиты информации, устанавливаемых на информационные серверы 2, использованы следующие обозначения:
– вход/выход подключения распределённой системы защиты 6 к связному ресурсу;
– вход/выход разграничения и контроля прав доступа 7;
– вход/выход идентификации и аутентификации пользователя 8;
– вход/выход контроля целостности программ и данных 9;
– вход/выход криптографической защиты 10.
Работает схема следующим образом. Со входа 5 администратор безопасности в соответствии с реализуемой политикой безопасности настраивает параметры блоков 13, 14, 15, 16, реализующих известные механизмы защиты информации, собственно системы-менеджера защиты информации, устанавливаемой на выделенный сервер безопасности 1, а через блоки 12, 3, посредством связного ресурса 4 настраивает параметры блоков 13, 14, 15, 16 всех М систем-агентов защиты информации, устанавливаемых на рабочие станции 2; и всех N систем-агентов защиты информации, устанавливаемых на информационные серверы 2.
Со входов 7, 8, 9, 10 системы защиты 1 и 2 реализуют принципы локальной защиты сервера безопасности, рабочих станций и информационных серверов. Адаптивно к обнаруженным попыткам несанкционированного доступа к информации на отдельных рабочих станциях и информационных серверах администратор безопасности со входа 5 системы защиты 1 имеет возможность осуществить перенастройку параметров отдельных блоков (13, 14, 15, 16) отдельных систем защиты 2, чем достигается противодействие угрозам (причём изменяющимся во времени) информационной безопасности вычислительной системе или сети.
В случае, если блоком 19 системы-менеджера 1 фиксируется невозможность взаимодействия менеджера с каким-либо агентом (рабочей станцией, либо информационным сервером) с использованием закрытого протокола распределённой системы защиты, данный блок запускает команду обращения менеджера системы защиты к рассматриваемому агенту с использованием открытого сетевого протокола высокого уровня – запускается взаимодействие через блок 19 (например, запускается команда Ping). Отметим, что блок 19 входит в состав ядра операционной системы.
|
|
|
Если блок 19 агента, к которому осуществляется обращение, отвечает, это означает, что на тестируемой рабочей станции отсутствует агент системы защиты, в противном случае – рабочая станция 19 отключена от питания либо от сети.
Без блока 19, реализующего открытый интерфейс сетевого взаимодействия высокого уровня, для данной рабочей станции невозможно взаимодействие с другими рабочими станциями и информационными серверами, т.е. заблокирован доступ к информационным серверам.
Таким образом, обеспечивается возможность разделения двух событий – событие «рабочая станция отключена» и событие «на рабочей станции удалён агент системы защиты». Дальнейшие действия администратора безопасности должны быть определены политикой информационной безопасности предприятия. В частности, в случае обнаружения факта удаления агента системы защиты на рабочей станции (фиксируется попытка несанкционированного доступа к информации), администратору безопасности через вход 5 системы 1 целесообразно изменить параметры блока 13 информационных серверов (систем 2), в части запрета доступа к ним с рабочей станции, на которой зафиксирована попытка несанкционированного доступа. Затем уже могут быть приняты соответствующие организационные мероприятия по восстановлению агента системы защиты и поиска злоумышленника.
Итак, в рамках изложенного выше можно сделать следующие выводы:
1. В качестве альтернативы использования аппаратной компоненты для реализации контроля (мониторинга) активности системы защиты может использоваться метод сетевого контроля. При этом не требуется установка аппаратной компоненты, а контроль осуществляется с сервера безопасности.
2. Условиями возможного использования сетевого метода контроля являются:
|
|
|
– централизованный характер обработки и хранения данных в ЛВС (файл-серверы, технологии, использующие СУБД и т.д.) – защищаемые данные не хранятся и не обрабатываются на рабочих станциях в составе ЛВС;
– возможность удалённого разграничения доступа к серверам (установленными на них механизмами управления доступом), обрабатывающим и хранящим защищаемые данные, для администратора безопасности. Эта возможность должна быть реализована для осуществления реакции на обнаружение удаления системы защиты на рабочей станции, которая при этом становится незащищённым инструментарием несанкционированного доступа по сети к защищаемым данным.
|
|
|
