Similar presentations:
Задачи управления системой сетевой защиты. Архитектура управления средствами сетевой защиты
1.
Задачи управления системой сетевойзащиты. Архитектура управления
средствами сетевой защиты.
Функционирование системы управления
сетевой защиты
2.
Задачи управления системой информационнойбезопасности
Важнейшим компонентом системы управления корпоративной сетью является система
информационной безопасности предприятия. Система управления средствами защиты
информации в распределенной сети масштаба предприятия должна решать следующие
задачи:
3.
управление политикой безопасности в рамках сети предприятия, формированиелокальных политик безопасности (ЛПБ) отдельных устройств и доведения ЛПБ до
всех устройств защиты информации;
управление конфигурацией объектов и субъектов доступа; включает управление
составом, версиями, компонентами устройств и программного обеспечения
защиты;
предоставление сервисов защиты распределенным прикладным системам,
регистрация защищенных приложений и их ресурсов. Приложения этой группы
должны обеспечивать, прежде всего, интерфейс для управления сервисами защиты
со стороны прикладных систем;
4.
управление криптографическими средствами, в частности, ключевое управление(ключевая инфраструктура);
аудит безопасности информационной системы; обеспечивает получение и оценку
объективных данных о текущем состоянии защищенности информационной
системы;
мониторинг безопасности системы; обеспечивает получение информации в
реальном времени о состоянии, активности устройств и о событиях с кон текстом
безопасности, происходящих в устройствах, например, о потенциальных атаках;
5.
обеспечение работы специальных защищенных приложений, например,нотариального надзора за операциями, а также поддержка регламентных
мероприятий (смена ключей, паролей, устройств защиты, выпуск смарт-карт и др.);
обеспечение работы проектно-инвентаризационной группы приложений; эта группа
приложений должна осуществлять:
определение точек установки средств защиты в сети предприятия;
учет применяемых средств защиты;
контроль модульного состава средств защиты;
контроль состояния средств защиты и др.
6.
Существует проблема комплексирования и организации взаимодействия традиционныхсистем управления сетями и систем управления средствами защиты информации в сети.
Решение этой проблемы заключается в интеграции средств сетевого или системного
управления с механизмами управления средств защиты.
7.
Архитектура управления средствами сетевойбезопасности
Для обеспечения безопасности информационных ресурсов предприятия средства
защиты информации обычно размещаются непосредственно в корпоративной сети.
Межсетевые экраны контролируют доступ к корпоративным ресурсам, отражая атаки
злоумышленников извне, а шлюзы виртуальных частных сетей обеспечивают
конфиденциальную передачу информации через открытые глобальные сети, в
частности. Интернет.
Для создания надежной эшелонированной защиты в настоящее время применяются и
такие новые средства безопасности, как системы обнаружения вторжений, средства
контроля доступа по содержанию информации, антивирусные системы и др.
8.
К сожалению, практически невозможно найти компанию-производителя, которая моглабы предоставить потребителю за приемлемую цену полный набор средств (от
аппаратных до программных) для построения современной корпоративной
информационной системы.
Поэтому большинство КИС компаний обычно построены на основе программных и
аппаратных средств, поставляемых различными производителями. Каждое из этих
средств требует тщательного и специфического конфигурирования, отражающего
взаимосвязи между пользователями и доступными им ресурсами.
9.
Существуют разные подходы к построению архитектуры управления информационнойбезопасностью крупной сети. Опыт ведущих предприятий-производителей средств
сетевой безопасности показывает, что компания сможет успешно реализовать свою
политику безопасности в распределенной корпоративной информационной системе,
если управление безопасностью будет централизованным и не зависящим от
используемых операционной системы и прикладных систем.
10.
Глобальная политика безопасности корпоративной сети представляет собой конечноемножество правил безопасности, которые описывают параметры взаимодействия
объектов корпоративной сети в контексте информационной безопасности:
необходимый для соединения сервис безопасности: правила обработки, за щиты
и фильтрации трафика;
направление предоставления сервиса безопасности;
правила аутентификации объектов;
правила обмена ключами;
правила записи результатов событий безопасности в системный журнал;
правила сигнализации о тревожных событиях и др.
11.
Локальная политика безопасности, то есть точное описание настроек для корректнойреализации правил аутентификации пользователей, управления доступом, защиты
трафика и др., необходима любому средству защиты, реализующему какой-либо
сервис информационной безопасности.
При традиционном подходе администратору приходится отдельно настраивать каждое
средство защиты или реплицировать какие-то простейшие настройки на большое
число узлов с последующей их корректировкой.
Очевидно, что это неизбежно приводит к большому числу ошибок
администрирования и, как следствие, к существенному снижению уровня
защищенности корпоративной сети.
12.
Функционирование системыуправления средствами защиты
Структурно-продуктная линия Trust Works подразделяется на агентов безопасности
(Trusted Agent), центр управления (Trusted GSM Server) и консоль управления
(Trusted GSM Console). Общая структурная схема решения показана на рисунке.
13.
14.
Назначение основных средствзащиты
Агент безопасности (Trusted Agent), установленный на персональном компьютере
клиента, ориентирован на защиту индивидуального пользователя, выступающего,
как правило, клиентом в приложениях клиент-сервер.
Агент безопасности, установленный на сервере приложений, ориентирован на
обеспечение защиты серверных компонент распределенных приложений.
Агент безопасности, установленный на шлюзовом компьютере, обеспечивает
развязку сегментов сети внутри предприятия или между предприятиями.
15.
Центр управления (Trusted GSM Server) обеспечивает описание и хранениеглобальной политики безопасности в масштабах сети, трансляцию глобальной
политики в локальные политики безопасностью устройств защиты, загрузку устройств
защиты и контроль состояний всех агентов системы. Для организации распределенной
схемы управления безопасностью предприятия в системе GSM предусматривается
установка нескольких (до 65 535) серверов GSM.
Консоль управления (Trusted GSM Console) предназначена для организации рабочего
места администратора (администраторов) системы. Для каждого из серверов GSM
может быть установлено несколько консолей, которые настраиваются согласно
ролевым правам каждого из администраторов системы GSM.
16.
Локальный агент безопасности (Trusted Agent) представляет собой программу,размещаемую на оконечном устройстве (клиенте, сервере, шлюзе) и выполняющую
следующие функции защиты:
1. аутентификацию объектов политики безопасности, включая интеграцию различных
сервисов аутентификации;
2. определение пользователя в системе и событий, связанных с данным пользователем;
3. обеспечение централизованного управления средствами безопасности и контроля
доступа;
4. управление ресурсами в интересах приложений, поддержку управления доступом к
ресурсам прикладного уровня;
5. защиту и аутентификацию трафика;
6. фильтрацию трафика;
7. событийное протоколирование, мониторинг, тревожную сигнализацию.
17.
Дополнительные функции Trusted Agent (разрабатываются в составе решения GSM):1)поставка криптосервиса (multiple concurrent pluggable modules);
2)управление периметрами Single Sign-On (как подзадача аутентификации
пользователей);
3)сервис в интересах защищенных приложений (криптосервис, сервис доступа к PKI,
доступ к управлению безопасностью);
4)сжатие трафика (IPcomp, pluggable module);
5)управление резервированием сетевых ресурсов (QoS);
6)функции локального агента сетевой антивирусной защиты.
Центральным элементом локального агента является процессор локальной политики
безопасности (LSP processor), интерпретирующий локальную политику безопасности
и распределяющий вызовы между остальными компонентами.