Вы находитесь на странице: 1из 18

Система мониторинга и группового управления

межсетевой экран программное обеспечение безопасность информационных


сетей информационные технологии высокие технологии

ЗАО «НПО РТК», Санкт-Петербург


Система управления и мониторинга позволит решать задачи администрирования группы межсетевых
экранов серии ССПТ проще, быстрее, эффективнее.

Назначение:

 Управление группировкой ССПТ в крупных и/или распределенных информационных


системах
 Создание защищенной среды информационного обмена в cloud системах
Функциональные возможности:

 Иерархическая структура каталога элементов системы межсетевого экранирования


 Контроль работоспособности межсетевых экранов серии ССПТ
 Информирование администратора безопасности о возникновении инцидента
 Управление межсетевыми экранами серии ССПТ
 Единая система авторизации администраторов системы межсетевого
экранирования
 Защищенный канал управления
 Локальная и серверная версии программного обеспечения
Иерархическая структура каталога элементов системы межсетевого экранирования.

Организация управления списком элементов подсистемы межсетевого экранирования «ССПТ


Монитора» позволяет делегировать зоны ответственности между территориально распределенными
филиалами организации оставляя функции контроля за верхним уровнем управления информационной
безопасности.

Контроль работоспособности межсетевых экранов серии ССПТ.

Периодический контроль работоспособности межсетевых экранов в совокупности с средой


визуализации полученной информации позволяет использовать «ССПТ Монитор» для организации
ситуационного центра и значительно снизить затраты, связанные с инцидентами в подсистеме
межсетевого экранирования.

Информирование администратора безопасности о возникновении инцидента.

Информирование администратора позволяет избежать затрат на персонал технической поддержки,


работающий в круглосуточном режиме. Возможность получения сообщения о изменении состояния
межсетевого экрана позволит снизить время простоя информационной системы организации.

Управление межсетевыми экранами серии ССПТ.

Единая консоль управления позволяет упростить процедуру настройки оборудования.

Единая система авторизации администраторов системы межсетевого экранирования.

Централизованная система авторизации администраторов системы межсетевого экранирования дает


простой и эффективный механизм разграничения доступа, простоту администрирования.

Защищенный канал управления.

Канал управления между элементами системы мониторинга защищается с помощью


сертифицированных средств, что позволяет использовать «ССПТ Монитор» в сетях
с соответствующими требованиями.
Локальная и серверная версия программного обеспечения.

«ССПТ монитор» поставляется в виде программного продукта или выделенного сервера, что позволяет
его использовать как в крупных распределенных, так и в локальных сетях.

Варианты использования
Мониторинг состояния межсетевых экранов небольшой организации

Небольшие организации характеризуются тем, что не могут себе позволить содержать полноценный
ситуационный центр. Все работы по внедрению, настройке, эксплуатации, реагированию на инциденты
ложатся на администратора локальной вычислительной сети или администратора безопасности. В этой
ситуации на первый план выходят задачи оперативного извещения соответствующих должностных лиц
на возникновение сбоев в работе для минимизации времени простоя информационной системы.
Использование «ССПТ Монитор» позволяет решить задачи информирования, а локальная версия этого
программного продукта, снизить затраты на внедрение.
Мониторинг состояния межсетевых экранов распределенной информационной системы

Распределенная информационная система характеризуется сложностью управления, связанной


с многоуровневой иерархической системой подчиненности аппарата управления. Делегирование
административных прав и наблюдаемость на верхнем уровне позволяет эффективнее решать вопросы
эксплуатации.
FNPs: Система мониторинга и группового
управления
 Система мониторинга и группового управления предназначена для централизованного управления
корпоративной группировкой межсетевых экранов

Назначение:
 Управление группировкой fnp в крупных и/или распределенных информационных системах
 Создание защищенной среды информационного обмена в cloud системах

Функциональные возможности:
 Ведение списка устройств, входящих в группировку
 Получения информации о наборах правил, конфигурации, состоянии
 Контроль результатов фильтрации
 Единая система аутентификации администраторов безопасности
 Управление процессом формирования и загрузки правил фильтраци
АНДРЕЙ БИРЮКОВ, системный архитектор

Централизованное управление
системами безопасности

Централизованная система управления средствами защиты


позволяет существенно повысить эффективность работы отдела
ИБ. Как лучше организовать такую систему?

Сегодня набор средств защиты, установленный в сети организации


средних и больших размеров, достаточно разнообразен: системы сетевой
защиты (межсетевые экраны, системы обнаружения и предотвращения
вторжений, криптографическая защита каналов связи), антивирусные
решения и системы защиты от спама, комплексы предотвращения утечек
(DLP) и другие средства защиты.

Все эти решения по обеспечению информационной безопасности


нуждаются в средствах централизованного управления. Управлять
настройками средств защиты даже на нескольких десятках рабочих
станций крайне проблематично.

В связи с этим сейчас большинство разработчиков включает в состав


своих решений приложения для централизованного управления. Как
правило, это веб-консоль или клиентское ПО, устанавливаемое на
рабочее место администратора безопасности. С помощью данного
приложения можно устанавливать клиенское ПО на машины
пользователей, изменять настройки, обновлять и удалять агентов.

Какова экономическая эффективность централизации управления? При


обслуживании большого парка машин – более сотни – постоянно
возникают различные проблемы на рабочих местах пользователей. И
если у компании есть филиальная сеть, то сопровождение удаленных
рабочих мест становится серьезной проблемой, требующей наличия в
штате нескольких специалистов, основной задачей которых будет ездить
на площадки и на месте решать возникающие проблемы. Конечно, сейчас
для этого часто используют средства удаленного администрирования,
например, Remote Admin, но при отсутствии средств централизованного
управления обслуживание рабочих мест также потребует значительных
затрат. Поэтому при проектировании внедрения какой-либо системы
защиты крайне важно уделить внимание наличию средств
централизованного управления. Это поможет сэкономить при
дальнейшем сопровождении.

У всех свое окно


Централизованная консоль – это удобно. Но есть одна проблема: у
каждого программного продукта такое средство управления свое. Так,
консоль для антивируса Касперского не подойдет для управления Доктор
Веб. А система управления для оборудования Cisco не сможет работать с
Huawei или Juniper.

Традиционный выход, который предлагают разработчи-ки, – это покупать


несколько средств защиты у одного производителя, тогда в одном
приложении можно будет работать сразу со всеми приобретенными
средствами. Однако есть ряд недостатков, о которых стоит поговорить.

Во-первых, решениями одного вендора практически невозможно покрыть


все направления защиты информации. Вряд ли можно найти
производителя, который выпускал бы и сетевое оборудование, и
антивирусы, и DLP, и средства однократной аутентификации.

Хотя большинство крупных игроков идет по пути укрупнения своего


бизнеса, скупая перспективные маленькие компании, тем не менее пока
покрыть весь спектр никому не удалось.

Во-вторых, решение от одного разработчика – это не очень хорошо с


точки зрения безопасности. Так, неустраненная уязвимость в продуктах
одного вендора может привести к захвату всей инфраструктуры
безопасности на предприятии.

И, в-третьих, зачастую набор средств защиты от одного именитого


производителя может обойтись существенно дороже (и не всегда они
лучше), чем «самостоятельная» закупка аналогичных средств у других
разработчиков.

В связи с вышеизложенным возникает необходимость в некотором


наборе приложений для управления средствами информационной
безопасности на предприятии.

Помимо средств защиты, о которых речь шла выше, не стоит также


забывать и об управлении средствами информационной безопасности,
встроенными в операционную систему и основные приложения, такие как
базы данных, веб-серверы, офисные пакеты и другие. Здесь нам также
потребуется единая консоль администрирования.

Итак, мы приходим к множеству окон управления на компьютере


администратора безопасности. Совершенно очевидно, что работа
одновременно за несколькими консолями не слишком эффективна, так
как нельзя постоянно следить за несколькими окнами. Поэтому
необходимо правильно сгруппировать средства защиты, чтобы работа с
ними была удобной.

Распределяем функционал

Для этого нам необходимо правильно определить и сгруппировать все те


функции, которые содержит система централизованного управления.
Прежде всего, как упоминалось выше, выполнение задач по
развертыванию и администрированию клиентского программного
обеспечения, настроек и политик.

Что это такое? Установка клиентов. Если, к примеру, мы разворачиваем


новый корпоративный антивирус, то нам необходимо установить его
клиентов на все компьютеры в сети. Затем необходимо распространить
политики (какие файлы сканировать, когда обновляться, когда
производить полную проверку), далее необходимо следить за состоянием
системы защиты (на скольких компьютерах не прошло обновление баз,
где клиенты неактивны и т.д.).

Каков типичный набор средств защиты информации для корпоративной


сети средних и больших размеров? Основу составляют следующие
подсистемы:

 подсистема антивирусной защиты;


 подсистема резервного копирования и архивирования;
 подсистема обнаружения атак;
 подсистема централизованного мониторинга и аудита событий ИБ;
 подсистема межсетевого экранирования;
 подсистема защиты каналов передачи данных;
 подсистема управления доступом (идентификации и
аутентификации пользователей);
 подсистема предотвращения утечек информации.

Сгруппируем их следующим образом.

Сетевые средства защиты:

 подсистема межсетевого экранирования;


 подсистема защиты каналов передачи данных;
 подсистема обнаружения атак;

Прикладные средства защиты:

 подсистема антивирусной защиты;


 подсистема предотвращения утечек информации;
 подсистема резервного копирования и архивирования;
 подсистема управления доступом (идентификации и
аутентификации пользователей);

Мониторинг:

 подсистема централизованного мониторинга и аудита событий ИБ.

Рисунок 1. Группы подсистем средств защиты информации для корпоративной сети

Сеть в одном окне

С первой группой все достаточно просто. Многие разработчики сетевого


оборудования и средств защиты предлагают свои решения под
управлением единой консоли управления. Например, решение от Cisco
для централизованного управления, мониторинга и аудита – Cisco
Security Manager (CSM), входящее в состав Cisco Security Management
Suite [1]. Это приложение позволяет осуществлять управление и
мониторинг сетевых средств защиты, таких как межсетевые экраны,
средства обнаружения атак и защиты каналов связи. Важно, что такие
системы могут применяться не только для сетевых устройств Cisco, но
также по всей вертикали информатизации предприятия на уровне
операционных систем и приложений.

Средства событийного протоколирования, мониторинга и аудита также


хорошо представлены в целом ряде продуктов Cisco. Они позволяют
вести мониторинг сети в реальном времени, распределять и
структурировать событийную информацию, производить событийный
аудит, в том числе с использованием развитых средств событийной
корреляции и составлять ясные, структурированные отчеты.

Кроме собственно решений Cisco Systems, CSM позволяет управлять


также криптосредствами S-Terra. Это российский разработчик средств
криптографической защиты, чьи решения соответствуют всем
требованиям российских регуляторов и поэтому активно используются в
России для защиты персональных данных.
Еще одним интересным инструментом централизованного управления
средствами сетевой безопасности является решение Stonegate
Management Console (SMC), предназначенное для управления продуктами
McAfee (Stonesoft) [2]. SMC дает возможность проводить
централизованный мониторинг и генерацию разнообразных отчетов о
событиях в сети. Решение StoneGate предлагает централизованное
средство управления, позволяющее управлять межсетевыми экранами,
криптомаршрутизаторами Stonegate FW/VPN и системами
предотвращения вторжений Stonegate IPS. 
SMC – это программное обеспечение, устанавливаемое на физический
или виртуальный сервер.

Завершая тему сетевых средств защиты, следует также упомянуть


решения «Кода Безопасности» – Континент Центр Управления Сетью [3].
Континент ЦУС – это устройство, предназначенное для управления
криптошлюзами (которые часто используют и как межсетевые экраны), а
также решениями Континент ДА, которые предназначены для
обнаружения атак. ЦУС позволяет осуществлять централизованное
распространение настроек для всех подключенных устройств.

Стоит отметить, что Cisco CSM не является обязательным компонентом


для управления устройствами Cisco, то есть администрировать их можно
напрямую, посредством командной строки или веб-интерфейса. А вот
SMC и ЦУС являются обязательными компонентами. Без них управлять
средствами защиты не получится.

Прикладная защита

Перейдем к прикладным средствам защиты. Здесь все уже не так


красиво, так как обойтись одним окном управления не получится. Так,
например, для управления антивирусными продуктами «Лаборатории
Касперского» требуется свое средство управления – Kaspersky
Administration Kit [4]. Оно предлагает расширенные возможности
управления продуктами «Лаборатории Касперского», установленными на
рабочих станциях и файловых серверах Windows: контроль рабочих мест,
гибкие настройки работы защитных решений (в том числе в виртуальных
средах) и так далее.

Аналогично и для работы со средствами резервного копирования или DLP


также требуется своя консоль.

Всевидящее око

Итак, мы разобрались с системами управления защиты различных


прикладных компонентов. У нас все равно получается несколько
консолей, с которыми необходимо работать, но все они нужны только в
ситуациях, когда необходимо выполнить какие-либо административные
задачи. Но самой рутинной задачей, требующей постоянного внимания,
является мониторинг. Этот процесс важен для любой системы, однако
для средств обеспечения информационной безопасности он наиболее
критичен, ведь, если мы пропустим атаку, это может привести к весьма
печальным последствиям.

Осуществлять мониторинг в каждой из консолей управления, мягко


говоря, неудобно. Поэтому здесь наилучшим
Система SIEM состоит из
решением будет использование единой следующих основных
системы централизованного управления компонентов:
событиями информационной безопасности  ядро системы – в нем
(SIEM). Данная система осуществляет сбор производится проверка на
соответствие событий правилам
наиболее важных событий со всех систем корелляции, а также построение
отчета;
управления средствами защиты. Например, с  база данных – в ней хранятся
межсетевых экранов собирается информация полученные события;

об обнаруженных сетевых атаках, таких как  коннекторы – эти компоненты


сканирование портов. С систем обнаружения отвечают за сбор событий
непосредственно с источников.
вторжений приходят события о
подозрительном трафике с определенных узлов. С антивирусной системы
собираются события о вирусных инцидентах. Также весьма полезно
знать, на каких рабочих станциях давно не обновлялись антивирусные
базы. С системы DLP приходят события об инцидентах утечки
информации с обязательным указанием имени пользователя.

Сбор событий с целевых источников осуществляется посредством


следующих протоколов:

 Syslog (протокол событийного протоколирования, общий для


семейства ОС Unix и большинства сетевых устройств). Syslog
позволяет передавать отдельные события (например, формировать
тревожное сообщение), защищать систему аудита безопасности,
разделяя полномочия доступа к операционному управлению и к
системам событийного протоколирования;
 SNMP (протокол сетевого управления), обеспечивающий контроль
состояния устройств защиты и мониторинг событий в реальном
времени;
 ODBC – позволяет собирать события из таблиц в базах данных;
 текстовые файлы – коннекторы SIEM собирают события,
непосредственно подключаясь к файловым ресурсам и собирая
текстовые записи из файлов;
 Windows Event Log – сбор событий Windows.
Поговорим также о том, какие основные SIEM-решения предлагаются на
рынке.

HP ArcSight

Начнем с HP ArcSight [5]. Платформа ArcSight ESM обеспечивает


взаимосвязанную инфраструктуру, способную определить каждое
событие, поместив его в рамки контекста того, кем или чем оно вызвано,
где, когда и почему произошло, а также каково его влияние на бизнес-
риски. Решение реализует логику, позволяющую соотнести такие общие
идентификаторы, как адреса электронной почты, логины и учетные
записи и составить отчеты обо всех действиях, произведенных
пользователем в рамках системы, с помощью приложений, учетных
записей и IP-адресов. Существуют как программно-аппаратные, так и
чисто программные варианты реализации решения.

QRadar

Еще одним популярным SIEM-решением является QRadar [6]. Этот


продукт позволяет эффективно обеспечить безопасность сети и
критически важных корпоративных ресурсов в корпоративной ИТ-
инфраструктуре. Решение представляет собой аппаратный модуль, на
котором размещаются все компоненты SIEM.

RSA

RSA Security Analytics [7] несколько отличается от классических SIEM-


решений, описанных ранее. Фактически этот продукт является
комбинацией технологии SIEM и технологии мониторинга угроз
безопасности в сетевом трафике при его анализе на 2-7 уровнях модели
OSI. При этом механизмы, реализующие эти технологии, заимствованы из
продуктов RSA enVision и RSA NetWitness. Эти механизмы были
объединены в интегрированную, функциональную и
высокопроизводительную систему, дополненную специализированным
хранилищем данных RSA Security Analytics Warehouse и информационным
сервисом RSA Live Intelligence. Это решение также представляет собой
программно-аппаратные модули. При этом компоненты архитектуры
можно разнести на отдельные устройства, что позволяет увеличить
масштабируемость системы в целом.

Для наибольшей эффективности работы с SIEM-системой рекомендуется


выводить ее рабочее окно, в котором отражаются все инциденты, на
большую плазменную панель, размещенную на стене комнаты, где
работают администраторы по безопасности. Это заметно увеличит
эффективность мониторинга, так как появление инцидентов с высокой
(красной) критичностью сразу заметят все сотрудники.

***

Система управления состоит из нескольких модулей, каждый из которых


используется по мере необходимости, но основной модуль – мониторинг,
на который стекаются все события об инцидентах ИБ, должен постоянно
просматриваться ответственными специалистами. Такой подход к
обеспечению централизованного управления позволит оптимизировать
работу отдела информационной безопасности и снизить операционные
расходы на поддержку средств безопасности.

1. Страница Cisco CSM


– http://www.cisco.com/c/en/us/products/security/security-
manager/index.html?referring_site=bodynav.
2. Страница Stonesoft – http://stonesoft.com/en.
3. Страница, посвященная Континент
– http://www.securitycode.ru/products/group_kontinent.
4. Решения «Лаборатории Касперского» для бизнеса
– http://www.kaspersky.ru/business-security.
5. Страница HP ArcSight – http://www8.hp.com/ru/ru/software-
solutions/arcsight-esm-enterprise-security-management.
6. IBM QRadar – http://www-03.ibm.com/software/products/ru/qradar-
siem.
7. RSA Security Analytics – http://www.emc.com/security/security-
analytics/security-analytics.htm.
Система централизованного управления средствами защиты

Cisco Security Manager (CSM) – система централизованного управления всеми средствами защиты компании
Cisco, пришедшая на смену CiscoWorks VMS.

Cisco Security Manager совместно с системой мониторинга и устранения угроз Cisco Security MARS является
компонентом системы управления безопасностью Cisco Security Management Suite, используемой в
самозащищающихся сетях Cisco.

Сфера использования:

 единое предоставление конфигурации устройств и политик безопасности для межсетевых экранов


Cisco, VPN и систем предотвращения вторжений (IPS)
 эффективное управление любыми сетями: от малых LAN c поддержкой до 10-ти устройств до
крупных сетей (до нескольких тысяч устройств)

Отличительными особенностями CSM являются поддержка большего числа и типов устройств защиты,
различные формы представления информации, механизмы обнаружения несоответствий в политике
безопасности, автоматизация рутинных задач.

Основные возможности

 графический интерфейс управления


 интеллектуальное управление сетью
 различные формы представления информации – в виде топологии сети, в виде географической
карты, в виде таблицы правил
 обнаружение конфликтов в правилах политики безопасности
 быстрое реагирование на угрозы
 обнаружение правил, не влияющих на защищенность сети
 группирование объектов
 «клонирование» настроек для ускорения внедрения средств защиты
 поддержка иерархии и наследования политик безопасности
 импорт настроек из различных источников
 инвентаризация политик для уже внедренных средств защиты
 автоматическая настройка VPN-туннелей для различных топологий Site-to-Site, Hub & Spoke, Partial
Mesh, Full Mesh
 высокая доступность
 контроль действий администратора
 управление SSL VPN
 полная поддержка функций Cisco MARS
 уведомление об истекших правилах
 поддержка расписания для внедрения систем защиты.
 управление механизмами отказоустойчивости, балансировки нагрузки и контроля качества
обслуживания для управляемых средств защиты
 ролевое управление административным доступом с помощью Cisco Secure ACS
 автообновление средств защиты
 управление ACL и VLAN на Catalyst 6500 и Cisco 7600
 корреляция сетевых событий и заданных правил на МСЭ, что помогает более быстро принимать
решения и повышает работоспособность сети
 управление и конфигурирование политик безопасности для устройств Cisco ASA 5500, устройств
защиты Cisco PIX, датчиков Cisco IPS 4200 и модулей защиты коммутаторов Cisco Catalyst 6500
 интеграция с Cisco ACS для контроля доступа, с системой мониторинга и реагирования Cisco MARS
для ведения корреляционного анализа событий
 анимированные подсказки
 ввод единого свода правил и политик межсетевого экрана для всех платформ Cisco.
 

Cisco Adaptive Security Device Manager (ASDM)


диспетчер устройств адаптивной защиты

Cisco Adaptive Security Device Manager (ASDM) или диспетчер устройств адаптивной защиты предоставляет
широко распространенные функции управления и мониторинга устройств Cisco через наглядный и простой в
использовании веб-интерфейс.

ASDM предоставляет сервисы по управлению безопасностью и мониторингу для устройств адаптивной


защиты Cisco ASA 5500, устройств защиты Cisco PIX 500 версии 7.0 и выше, устройств защиты Cisco PIX,
сервисных модулей коммутаторов Cisco Catalyst 6500 версии 3.1 и выше.

В сочетании с устройствами Cisco ASA 5500 программное обеспечение Cisco ASDM позволяет ускорить
процесс развертывания устройств защиты с помощью интеллектуальной подсистемы настройки
оборудования. Cisco ASDM имеет эффективные инструментальные средства администрирования и гибкие
функции мониторинга, которые дополняют интегрированные возможности самих устройств.

Диспетчер устройств адаптивной защиты ускоряет развертывание устройств защиты благодаря


использованию интеллектуальных мастеров, надежных средств администрирования и универсальных служб
мониторинга.

Основные возможности:

 визуальный мониторинг устройств в реальном масштабе времени


 защищенная архитектура на базе веб–интерфейса обеспечивает доступ в сеть в любое время в
любом месте
 полная поддержка возможностей программного обеспечения Cisco ASA, включая функции настройки
и управления IPSec и SSL VPN, IPS (модуль AIP-SSM) и антивирусом (модуль Anti-X)
 расширенные возможности конфигурирования сервисов проверки приложений и протоколов (HTTP,
FTP, ESMTP, DNS, ICMP, SQL*Net, NFS и др.)
 контроль PIM, OSPF, 802.1q и QoS
 ролевое управление (16 уровней авторизации пользователей)
 защищенное управление по SSL
 проведение аутентификации на основе локальной базы данных или RADIUS/TACACS-сервера
 поддержка в одном устройстве Cisco ASA 5500 множества виртуальных контекстов безопасности с
собственными настройками
 создание объектов защиты для их использования в различных политиках безопасности
 фильтрация Syslog на основе множества критериев
 запатентованная подсистема Packet Tracer для отслеживания проблем с устройством
 корреляция правил МСЭ с событиями безопасности Syslog
 мониторинг производительности.
Особенности системы централизованного управления и
мониторинга средствами защиты информации от
несанкционированного доступа
Сухарева С. В., Лыдин С. С., Макейчик Ю. С.,
Россия, ОКБ САПР
 
Особенности системы централизованного управления и мониторинга средствами защиты информации от
несанкционированного доступа
Общая характеристика систем мониторинга и управления информационной безопасностью
Мониторинг и управление информационной безопасностью (ИБ) предназначены для контроля
функционирования информационных систем (ИС), систем передачи данных, средств и механизмов защиты.
Оперативный контроль, анализ и обеспечение механизмов реагирования позволяют не только выявить факт
атаки или нарушения работоспособности, но и подготовить комплекс превентивных мер и мероприятий по
устранению последствий нарушения безопасности.
Предпосылки к созданию систем удаленного мониторинга и управления информационной безопасностью
появились в тот момент, когда возникла необходимость отслеживать состояние компьютерной системы,
локальный доступ к которой отсутствует или затруднен [1].
В процессе функционирования система мониторинга и управления осуществляет сбор первичных данных
мониторинга информационной безопасности с наблюдаемых подконтрольных объектов (ПКО) и их анализ.
Для этого разрабатываются специальные приложения - компоненты системы мониторинга и управления,
выполняющие удаленный сбор журналов аудита с подконтрольных объектов: рабочих станций (РС)
сотрудников и серверов контролируемой информационной системы.
Подобно другим многокомпонентным распределенным системам, данная система нуждается в управлении и
конфигурировании со стороны администратора системы.
Конфигурирование заключается в задании параметров, в соответствии с которыми система должна выполнять
свои функции.
Управление компонентами системы мониторинга может включать:

 определение текущего состояния компонентов,


 формирование управляющего воздействия,
 предоставление администратору системы результатов обработки управляющего воздействия,
переданных со стороны компонента.
В случае выходов значений параметров за пределы, определенные как «нормальные», администратор
предпринимает соответствующие шаги для устранения возникшей ситуации в целях нормализации
параметров. Например, администратор может ограничить доступ пользователя к ресурсам подконтрольного
объекта с помощью систем контроля поведения (в частности, приостановить или частично заблокировать
работу процесса) [2].
Одной из основных целей создания централизованной системы мониторинга и управления информационной
безопасностью является повышение эффективности соответствующих процессов. Мониторинг и управление
информационной безопасностью, осуществляемые по децентрализованной схеме, создают для
администратора безопасности сложности, к числу которых можно отнести следующие:

 значительная часть данных, пригодных для многофункционального применения, становится


труднодоступной, что препятствует реализации одного из основополагающих принципов мониторинга
информационной безопасности, согласно которому наблюдение за подконтрольными объектами должно
быть постоянным, а полученная в результате мониторинга информация должна приводиться к
определённой форме и доводиться до заинтересованных лиц в заданный интервал времени (принцип
непрерывности и оперативности мониторинга);
 функция поддержания и развития информационных технологий, которая является основой
инфраструктуры управления и мониторинга, в децентрализованной системе не имеет ответственного
координатора и развивается спонтанно.
Система централизованного управления и мониторинга средствами защиты информации от
несанкционированного доступа
Система управления и мониторинга средствами защиты информации от несанкционированного доступа (СЗИ
от НСД) предоставляет возможность централизованного управления и конфигурирования СЗИ от НСД,
функционирующих на подконтрольных объектах системы.
В качестве СЗИ от НСД в данном случае рассматривается программно-аппаратный комплекс средств защиты
информации от несанкционированного доступа (ПАК СЗИ от НСД): Аккорд-NT/2000, Аккорд-Win32 или Аккорд-
Win64. СЗИ от НСД «Аккорд» осуществляет контроль целостности своего программного обеспечения (ПО) и
настроек, а также программного обеспечения, указанного как «объекты контроля» системы, системных
областей диска, файлов ОС, а также прикладного ПО объектов защиты, имеет собственную систему
разграничения доступа. В комплексе реализована подсистема регистрации и учета, предназначенная для
регистрации в системном журнале СЗИ от НСД событий информационной безопасности.
Структурно система централизованного управления и мониторинга СЗИ от НСД состоит из:

 сервера управления;
 подконтрольных объектов (АРМ и серверов, на которых установлены и функционируют СЗИ от НСД).
 Функционально данная система включает:
 средства централизованного управления пользователями и СЗИ от НСД (включая доступ к
коммуникационным портам и съемным носителям) на объектах защиты;
 средства централизованного сбора журналов событий ИБ с подконтрольных АРМ и серверов;
 средства оперативного оповещения о событиях ИБ. 

Программное обеспечение, входящее в состав данной системы, включает в себя серверную и клиентскую
часть, устанавливаемые соответственно на сервер управления и подконтрольные объекты.
В системе управления и мониторинга СЗИ от НСД реализована собственная подсистема управления доступом
персонала данной системы к функциям мониторинга и управления. Управление правами доступа персонала
заключается в выделении ролей, уровней их иерархии и объектов доступа [3]. Персонал системы имеет
доступ к той и только к той части информации, которая ему необходима и достаточна для выполнения своих
обязанностей.
В данной системе возможно использование следующих ролей:

 администратор системы централизованного управления и мониторинга СЗИ от НСД обеспечивает


общее функционирование программного обеспечения, входящего в состав системы;
 администратор ИБ обеспечивает информационную безопасность в части защиты от
несанкционированного доступа к ресурсам, включая контроль доступа к коммуникационным портам,
серверов, подконтрольных объектов;
 оператор системы централизованного управления и мониторинга СЗИ от НСД обеспечивает
мониторинг за функционированием системно-технической части данной системы;
 оператор информационной безопасности системы централизованного управления и мониторинга
СЗИ от НСД обеспечивает мониторинг состояния информационной безопасности в части защиты от
несанкционированного доступа средствами данной системы и контроль событий информационной
безопасности, зафиксированных на объектах защиты;
 администратор нештатного режима функционирования системы централизованного управления и
мониторинга СЗИ от НСД обеспечивает восстановление функционирования системы и подконтрольных
объектов.
В результате при внимательном и профессиональном подходе подразделения информационной безопасности
к формированию политик безопасности и распределению задач между управляющим персоналом на базе
описанного средства можно создать эффективную систему контроля, позволяющую собирать исчерпывающий
материал для последующего анализа.
Однако средства анализа как таковые в эту подсистему не входят, так как анализ не является ее функцией.
Но, как правило, события СЗИ НСД вполне поддаются анализу «вручную», и зачастую специальные средства
только для этого на предприятиях не применяются.
Наряду с этим нужно иметь в виду и тот факт, что при комплексном подходе к управлению системой, скорее
всего, предприятие внедряет не только систему мониторинга и управления СЗИ НСД, но и аналогичные
средства для мониторинга и управления другими важными подсистемами (ОС, антивирусы, ЛВС и прочие). В
силу своей специфики, эти средства часто разрабатываются разными компаниями, агрегируют данные в
разных форматах.
То есть ситуация с децентрализованным управлением, описанным в начале настоящей работы, переходит на
новый виток спирали. Теперь у предприятия есть разрозненные данные, собранные разными системами в
разном формате, анализируемые сотрудниками разных отделов.
Очевидно, что следующий шаг централизации управления системой - корреляция, для которой требуется
управляющая система над всеми системами мониторинга и управления.
В крупных организациях могут использоваться такие сложные гетерогенные системы управления
информационными ресурсами, в которых помимо средств мониторинга и управления СЗИ от НСД, зачастую
используются средства, связанные с СУБД, ОС, антивирусными программами и т. д. К числу таких систем
относятся, в частности, комплексы, сформированные на базе продуктов IBM Tivoli, в состав которых входят
средства, позволяющие выполнять операции с информационными ресурсами в области оперативного
мониторинга, управления доступом, управления техническими средствами и пр.
При совместном применении Tivoli и системы централизованного управления и мониторинга СЗИ от НСД
последняя используется в качестве единого консолидированного источника данных о событиях ИБ,
зафиксированных СЗИ от НСД на подконтрольных объектах, и выступает в качестве объекта управления со
стороны соответствующих компонентов Tivoli. В рассматриваемой системе управления и мониторинга СЗИ от
НСД реализована возможность интеграции с компонентами Tivoli, при этом:

 необходимым компонентом, обеспечивающим возможность централизованного управления


учетными записями персонала и пользователей ПКО прямо из ядра системы, является адаптер Tivoli
Identity Manager (TIM) для СЗИ от НСД «Аккорд»;
 получение зарегистрированных событий ИБ Системы реализуется программным продуктом IBM Tivoli
Compliance Insight Manager (TCIM), призванным автоматизировать сбор и обработку данных аудита
информационной безопасности;
 получение оперативных уведомлений о критичных событиях ИБ Системы реализуется программным
продуктом IBM Tivoli Security Operations Manager (TSOM), призванным выявлять угрозы
информационной безопасности в режиме реального времени.
Рассматриваемая в настоящей работе система централизованного управления и мониторинга СЗИ от НСД
позволяет обеспечить:

 централизованный сбор и хранение информации о зарегистрированных событиях доступа к


подконтрольным объектам;
 возможность централизованного управления СЗИ от НСД на подконтрольных объектах;
 единую точку контроля доступа к периферийным устройствам и контроля использования
отчуждаемых машинных носителей;
 возможность интеграции с системой управления информационными ресурсами, построенной на базе
продуктов IBM Tivoli.
Список литературы:
1. Сильнов Д. С.  Современные системы удаленного мониторинга вычислительных ресурсов: состояние,
проблемы, перспективы // Безопасность информационных технологий. М., 2011. № 3. С. 57-60.
2. Васильев Н. П., Сильнов Д. С. Программные средства защиты систем удаленного мониторинга
вычислительных ресурсов // Безопасность информационных технологий. М., 2011. № 3. С. 140-142.
3. Пестунова Т. М., Родионова З. В.  Об одном подходе к управлению правами доступа // Материалы XVIII
всероссийской научно-практической конференции «Проблемы информационной безопасности в системе
высшей школы». М., 2011. С. 119-121.

Оценить