 |
Разработка архитектуры СЗИ
|
|
|
|
К разрабатываемой СЗИ предъявляются следующие основные требования:
1. Непрерывность процесса защиты в пространстве и времени;
2. Целенаправленность;
. Комплексность;
. Совместимость существующей аппаратно-программной базы и внедряемых защитных средств;
. Гибкость администрирования системы;
. Удобство и простота применения защитных мер и средств.[16]
Одним из аспектов комплексности является использование различных средств защиты, функционирование которых должно быть согласованным.
Выбор состава подсистем был проведен после детального анализа возможных внешних и внутренних угроз в разных точках сети информационным активам, обрабатываемым в ЛВС управления ОАО «Газпром нефтехим Салават». Проектирование велось с учетом существующей базы средств защиты.
Т.к. рынок ИБ представлен обширным и разнообразным спектром средств от различных вендоров, невозможность детального рассмотрения всех продуктов очевидна.
Конечный вариант комплексных средств защиты информации определен с помощью научно-обоснованного метода линейной свертки. Таким образом, выбранный по данному методу конечный вариант системы будет обеспечивать требуемый уровень ИБ при минимизации инвестиционных вложений на покупку и внедрение системы. Средства сертифицированы ФСТЭК РФ по классу защищенности 1Г - 1Б [23].
Таблица 1.3 - Модель защиты
| Функциональная подсистема | Элементарные альтернативы - средства защиты | ||||||||
| Обнаружение виру сов по перимеиру | Symantec Web Security 3.0 | Trend Micro Interscan Web (Messaging) Security Suite | |||||||
| Предотвращение атак | IBM Proventia Network IPS | StoneGate IPS | Форпост 1.1 | Cisco IPS 4270-20 | |||||
| Межсетевое экранирование | Cisco PIX 515E | ||||||||
| Контроль сетевого доступа (NAC) | StillSecure Safe Access 5.0 | Symantec Network Access Control 10.0
| Juniper Unified Access Control | Cisco NAC Appliance | McAfee NAC 2.5 | ||||
| Анализ защищенности | Internet Scanner 7.0 | XSpider 7 | Portable Penetrator 3.0 | ||||||
| Разграничение доступа | Аккорд NT/2000 3.0 | Dallas Lock 7.5 | Secret Net 5.0 (сетевой) | Блокхост- сеть 2.0 (сетевой) | Страж NT 2.5 | ||||
| Обнаружение вирусов | Dr.Web 4.5 | ESET NOD32 Business Edition v.3.0 | Symantec Antivirus Enterprise Edition | STOKONA AntiVirus 3.1 | Dr.Web v.4.5 | ||||
| Резервирование | Handy Backup Server 6.0 | Paragon Drive Backup 10 Server | Acronis Backup&Recovery 10 Advanced Server | ||||||
| Защита от утечек информации | InfoWatch Traffic Monitor 3.3 | Websense Data Security Suite 7.1 | |||||||
| Шифрование информации при хранении | Secret Disk 4.0 | ||||||||
Вышеобозначенные варианты защиты подвергаются анализу и оценке с помощью комплекса обоснованных критериев в целях осуществления выбора наиболее эффективного набора средств защиты.
1.3.2 Выбор критериев оценки
Для каждой функциональной подсистемы должны быть определены критерии, по которым будет произведено сравнение элементарных альтернатив (средств защиты), входящих в состав отдельных защитных подсистем.
В качестве критериев оценки межсетевых экранов были выбраны следующие свойства данных продуктов (таблица 1.4):
· Необходимый объем оперативной памяти;
· Число отслеживаемых систем обмена сообщениями
· Число отслеживаемых типов съемных устройств
· Режимы работы;
· Стоимость.
Таблица 1.4 - Критерии оценки подсистем защита от утечки информации
| Альтернатива | Необходимый объем оператив-ной памяти, Гб | Число отслеживаемых систем обмена сообщениями | Число отслеживаемых типов съемных устройств | Режимы работы | Стоимость, руб. |
| InfoWatch Traffic Monitor 3.3 | 2 | 47 | 26 | 3 | 356 780 |
| Websense Data Security Suite 7.1 | 4 | 26 | 8 | 5 | 448 000 |
В качестве критериев оценки подсистем контроля сетевого доступа (NAC) были выбраны следующие свойства данных продуктов (таблица 1.5):
· Производительность;
· Количество вариантов поддержки EAP
· Количество поддерживаемых операционных систем
|
|
|
· Количество поддерживаемых типов доступа;
· Стоимость.
Таблица 1.5 Критерии оценки подсистем контроля сетевого доступа (NAC)
| Альтернатива | Производительность, Мб/с | Количество вариантов поддержки EAP | Количество поддержи-ваемых операционных систем | Количество поддерживаемых типов доступа | Стоимость, руб. |
| StillSecure Safe Ac-cess 5.0 | 250 | 5 | 3 | 8 | 380000 |
| Symantec Network Access Control 10.0 | 350 | 2 | 3 | 8 | 480000 |
| Juniper Unified Access Control | 450 | 2 | 3 | 5 | 500 000 |
| Cisco NAC Appliance | 850 | 5 | 4 | 7 | 329 850 |
| McAfee NAC 2.5 | 600 | 1 | 2 | 6 | 430 000 |
В качестве критериев оценки подсистем для анализа защищенности были выбраны следующие свойства данных продуктов (таблица 1.6):
· Скорость анализа;
· Необходимый объем оперативной памяти;
· Частота обновления баз
· Количество поддерживаемых ОС;
· Стоимость.
Таблица 1.6 - Критерии оценки подсистем для анализа защищенности
| Альтернатива | Скорость анализа, Мб/с | Необходи-мый объем оператив-ной памяти, Мб | Частота обновления баз, дней | Количество поддерживаемых ОС | Стоимость, руб. |
| Internet Scanner 7.0 | 300 | 512 | 14 | 2 | 1914 |
| XSpider 7 | 350 | 512 | 7 | 3 | 7850 |
| Portable Penetrator 3.0 | 150 | 256 | 30 | 1 | 4530 |
В качестве критериев оценки подсистемы предотвращение атак были выбраны следующие свойства данных продуктов (таблица 1.7):
· Производительность;
· Количество методов выявления атак;
· Защищаемые сегменты
· Уровни обнаружения атак;
· Стоимость.
Таблица 1.7 - Критерии оценки подсистемы предотвращение атак
| Альтернативы | Производительность, Мб/с | Коли-чество методов выявления атак | Защищаемые сегменты | Уровни обнаружения атак | Стоимость, руб. |
| IBM Proventia Network IPS GX 5008 | 400 | 4 | 4 | 4 | 784000 |
| StoneGate IPS-1060 | 600 | 5 | 6 | 5 | 717000 |
| Форпост 1.1 | 500 | 4 | 4 | 4 | 534400 |
| Cisco IPS 4255 | 300 | 8 | 8 | 5 | 478800 |
В качестве критериев оценки подсистемы антивирусной защиты на периметре были выбраны следующие свойства данных продуктов (таблица 1.8):
· Необходимый объем оперативной памяти;
· Категории обнаруживаемых вредоносных программ;
· Режимы сканирования
· Возможности анализа событий безопаности;
· Стоимость.
Таблица 1.8 - Критерии оценки подсистем антивирусной защиты на периметре
| Альтернативы | Необходимый объем оперативной памяти, Мб | Категории обнаруживаемых вредоносных программ | Режимы сканирования | Возможности анализа событий безопасности | Стоимость, руб. |
| InterScan Web Security Suite | 2048 | 11 | 3 | 3 | 24258 |
| Symantec Web Security | 512 | 6 | 1 | 1 | 19359 |
|
|
|
В качестве критериев оценки подсистемы резервного копировани были выбраны следующие свойства данных продуктов (таблица 1.9):
· Степень сжатия информации при резервировании;
· Количество приложений, взаимодействующих со стратегией хранения;
· Время создания резервной копии данных объемом 20Гб;
· Стоимость.
Таблица 1.9 - Критерии оценки подсистем резервного копирования
| Альтернативы | Степень сжатия информации при резервиро-вании, % | Количество приложений, взаимодействующих со стратегией хранения | Время создания резервной копии данных объемом 20Гб, мин | Стоимость, руб. |
| Handy Backup Server 6.0 | 63,5 | 4 | 20,43 | 2081 |
| Acronis Back-up&Recovery11.0 | 58,9 | 5 | 11,23 | 3450 |
| Paragon Drive Backup 10 Server | 43,6 | 7 | 13,25 | 14100 |
В качестве критериев оценки cредств защиты информации от несанкционированного доступа были выбраны следующие свойства данных продуктов (таблица 1.10):
· Число поддерживаемых систем идентификации;
· Число поддерживаемых файловых систем;
· Количество сертификатов;
· Стоимость.
Таблица 1.10 - Критерии оценки cредств защиты информации от несанкционированного доступа
| Альтернативы | Число поддерживаемых систем идентификации | Число поддерживаемых файловых систем | Количество сертификатов | Стоимость, руб. |
| Аккорд NT/2000 3.0 | 2 | 4 | 3 | 9177 |
| Страж NT 2.5 | 2 | 3 | 1 | 6900 |
| Secret Net 5.0 (сетевой) | 4 | 2 | 3 | 6000 |
| Dallas Lock 7.5 | 2 | 3 | 1 | 6000 |
| Блокхост- сеть 2.0 (сетевой) | 2 | 4 | 1 | 5650 |
|
|
|
