УДК 004.056
БЕЗОПАСНОСТЬ ПОДСИСТЕМЫ УПРАВЛЕНИЯ АНТИВИРУСНОЙ ЗАЩИТОЙ В РАСПРЕДЕЛЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
SECURITY OF THE ANTI-VIRUS PROTECTION MANAGEMENT SUBSYSTEM
IN DISTRIBUTED INFORMATION SYSTEMS
Каге Н.В.
студент группы БИб16-И1 «Сибирского государственного автомобильно-дорожного университета (СибАДИ)», г. Омск
СибАДИТолкачева Е.В.
научный руководитель, канд. техн. наук, доцент кафедры «Информационная безопасность» «С б рского государственного автомобильно-дорожного университета (СибАДИ)», г. Омск
Аннотац я. В данной работе исследована проблема безопасности централизованного удаленного управлен я ант в русной защитой в распределенной информационной системе. Выявлены актуальные угрозы и выполнен анализ соответствия средств защиты
информац требован ям нформационной безопасности на примере подсистемы
управления ант в русной защ той в государственном учреждении на базе продуктов компании «Лаборатор я Касперского».
Ключевые слова: Распределенная информационная система, антивирусная защита,
централизованное удаленное управление антивирусной защитой.
По данным ведущих аналитиков защита информационных ресурсов от вредоносных программ остается одной из важных про лем информационной безопасности в организациях [1]. Поэтому наличие в информационной системе надежных средств антивирусной защиты является обязательным. Однако первичная установка и настройка антивирусного программного обеспечения не решает про лему полностью, поскольку для дальнейшего эффективного функционирования подсистемы антивирусной защиты необходимы своевременные обновления, а также адаптация к изменениям как в информационной системе, так и в политике информационной безопасности организации, как то появление новых рабочих мест, нового оборудования и программного обеспечения, новых требований к
правам различных категорий пользователей и т.п.
Актуальность темы данной статьи заключается в том, что организациях, имеющих
распределенную ИТ-инфраструктуру с большим количеством серверов и
автоматизированных рабочих мест, для эффективного оперативного управления
подсистемой антивирусной защиты требуется централизация обеспечение удаленного
доступа к компьютерам в корпоративной сети.
На рис. 1 [2] представлена обобщенная схема централизованного управления антивирусной защитой распределенной информационной системы.
54
СибАДИ |
|
Р сунок 1 – Схема лог ческой сети подсистемы антивирусной защиты |
|
Для реал зац |
безопасного администрирования подсистемы управления антивирусной |
защитой необход мо спец ал зированное программное обеспечение и дополнительные |
|
средства защ ты |
нформац от актуальных угроз безопасности подсистемы. |
На исследуемом в данной ра оте о ъекте информатизации - государственном учреждении |
|
с подчиненными терр тор ально распределенными ведомствами – информационная |
|
подсистема ант в |
русной защ ты представляет собой сервер, размещённый в виртуальной |
среде VMware, к которому осуществляется подключение через удалённые устройства. В данной нформац онной с стеме о ра атываются следующие данные:
• IP-адреса устройств сети;
• учётные записи, используемые сотрудниками;
• ФИО владельцев учётных записей;
• ключи активации продуктов антивирусной защиты.
Удалённые хосты производят подключение по зашифрованным каналам связи. Шифрование происходит при помощи координаторов VIPNet Сoordinator HW версии 4. Kaspersky Endpoint Security версии 11, который установлен на нескольких хостах, имеет возможность выступать в роли межсетевого экрана при соответствующих настройках, также на некоторых устройствах межсетевой экран установлен отдельно. Однако основную задачу по межсетевому экранированию совершает центральный VIPNet координатор.
Доступ к серверу, на котором расположена подсистема управления, возможен только из ограниченного пула IP-адресов, относящихся к рабочим местам администраторов учреждения и его ведомств. Kaspersky Security Center 10 поддерживает систему управления доступом на основе ролей. Основная настройка, включая настройку самих ролей, выполняется с автоматизированного рабочего места, расположенного в самом учреждении. Остальные же хосты, расположенные в различных ведомствах, в зависимости от выданных ими прав, могут только просматривать настройки и отчеты системы или менять некоторые политики и ставить определённые задачи.
Также все изменения логируются все данные поступают в Kaspersky Security Center, где осуществляется их хранение, обработка и на основной компьютер – автоматизированное рабочее место главного администратора подсистемы. На самом хосте установлена операционная система Windows 10. Подключение к Kaspersky Security Center 10 возможно только при помощи учётной записи администратора, пароль от которой имеется только у отдела безопасности, а также у отдела технической поддержки.
Автоматизированное рабочее место, с которого производится администрирование подсистемы антивирусной защиты, располагается в здании учреждения на шестом этаже в кабинете с деревянной дверью. Дверь закрывается на ключ, который находится у сотрудников отдела безопасности. По окончании рабочего дня кабинет опечатывается,
55
ставятся на сигнализацию и сдаётся на пост охраны, что позволяет зафиксировать факт несанкционированного доступа в помещение, где расположена подсистема управления.
На входе в здание расположен турникет-трипод, наблюдение за которым осуществляет сотрудник охраны. Вход осуществляется по карточкам, однако в самом здании также расположены и другие организации, которые также проходят через этот турникет, хотя и расположены на других этажах здания. На самом шестом этаже никакой проверки не осуществляется, и в результате любой сотрудник из сторонних организаций может беспрепятственно попасть на этаж и дойти до двери.
огласно [3] для выявления актуальных угроз подсистемы управления антивирусной защитой требуется определить уровень проектной защищенности. В таблице 1 приведены показатели проектной защ щенности, полученные на основе анализа проектных структурнофункциональных характер ст к подсистемы.
Таблица 1– Показатели, характеризующие проектную защищенность информационной системы
|
|
труктурно-функц |
ональные характеристики системы, |
Уровень проектной |
|
||||
|
|
|
услов я её эксплуатации |
|
защищённости |
|
|||
|
|
|
|
|
|
Высокий |
Средний |
Низкий |
|
|
По |
структуре |
нформационной |
системы: |
|
|
+ |
|
|
|
распределённая |
нформац онная система |
|
|
|
|
|||
|
|
|
|
|
|
||||
|
По |
используемым |
нформационным |
технологиям: |
|
|
+ |
|
|
|
системы с технолог |
ями еспроводного доступа |
|
|
|
||||
|
|
|
|
|
|||||
|
По архитектуре |
нформац онной системы: системы на |
+ |
|
|
|
|||
|
основе «тонкого клиента» |
|
|
|
|
||||
|
|
|
|
|
|
||||
|
По наличию (отсутствию) взаимосвязей с иными |
|
|
|
|
||||
|
информационными системами: невзаимодействующая с |
|
+ |
|
|
||||
|
системами |
|
|
|
|
|
|
|
|
|
По наличию (отсутствию) взаимосвязей (подключений) |
+ |
|
|
|
||||
|
к сетям связи общего пользования: неподключенной |
|
|
|
|||||
|
|
|
|
|
|||||
|
По размещению технических средств: расположенные в |
|
+ |
|
|
||||
|
пределах нескольких контролируемых зон |
|
|
|
|
||||
|
|
|
|
|
|
||||
|
По режимам обработки информации в информационной |
|
|
+ |
|
||||
|
системе: многопользовательский |
|
|
|
|
||||
|
|
|
|
|
|
||||
|
По |
режимам |
разграничения прав |
доступа: с |
|
+ |
|
|
|
|
разграничением |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
||
|
По режимам разделения функций по управлению |
|
|
|
|
||||
|
информационной системой: выделение рабочих мест для |
|
+ |
|
|
||||
|
администрирования в отдельный домен |
|
|
|
|
|
|||
|
По |
подходам |
к сегментированию информационной |
|
+ |
|
|
||
|
системы: с сегментированием |
|
|
|
|
||||
|
|
|
|
|
|
||||
|
На основании данных таблицы 1 в соответствии с |
[3] для подсистемы управления |
|||||||
СибАДИ |
|||||||||
антивирусной защитой учреждения были выявлены следующие актуальные угрозы:
•угроза неправомерного ознакомления с защищаемой информацией;
•угроза несанкционированного доступа к аутентификационной информации;
•угроза несанкционированного копирования защищаемой информации;
•угроза несанкционированного удаления защищаемой информации;
•угроза определения топологии вычислительной сети.
56
Рассматриваемая подсистема одновременно обрабатывает и хранит информацию разных уровней конфиденциальности (служебная тайна, персональные данные). Не все пользователи имеют право доступа ко всей информации. Таким образом, данную подсистему следует отнести к классу 1Г и определить следующие требования к обеспечению информационной
безопасности [4]: |
|
|
|
||
1. |
Обеспечение целостности программных средств и обрабатываемой информации. |
||||
2. |
Физическая охрана средств вычислительной техники и носителей информации. |
||||
3. |
Периодическое тестирование СЗИ НСД. |
||||
4. |
Наличие средств восстановления СЗИ НСД. |
||||
5. |
Идентификация, проверка подлинности и контроль доступа субъектов в систему. |
||||
6. |
Идент ф кац я, проверка подлинности и контроль доступа субъектов к программам. |
||||
7. |
Идент ф кац я, проверка подлинности и контроль доступа субъектов к терминалам, |
||||
ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ. |
|||||
8. |
Рег |
страц |
я |
учёт входа (выхода) субъектов доступа в (из) систему (узел сети). |
|
9. |
Рег |
страц |
я |
учёт запуска (завершения) программ и процессов (заданий, задач). |
|
10. |
Рег страц я |
учёт доступа программ субъектов доступа к терминалам, ЭВМ, узлам |
|||
сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, |
|||||
файлам, зап сям, полям зап сей. |
|||||
11. |
Рег страц я |
|
учёт доступа программ субъектов доступа к защищаемым файлам, |
||
включая их создан |
е |
удален е, передачу по линиям и каналам связи. |
|||
Для выполнен я тре ован й информационной безопасности приняты следующие меры |
|||||
защиты информац |
с |
спользованием средств защиты: |
|||
1. |
Обеспечен е |
целостности программных средств и обрабатываемой информации |
|||
СибАДИсоздания, удаления запуска инсталляционных пакетов логируются и регистрируются при помощи встроенных средств Kaspersky Security Center 10 [5].
происходит за счёт внутренних механизмов Kaspersky Security Center 10. Сама утилита с заданной периодичностью запускает проверку контрольной суммы [5].
2. Физическая охрана средств вычислительной техники и носителей информации обеспечивается за счёт пропускной системы и поста охраны на входе в здание, наличия замков, опечатывания дверей и наличия сигнализации.
3. Средства восстановления обеспечены при помощи встроенных механизмов Kaspersky
Security Center 10. Утилита klbackup обеспечивает резервное копирование данных с периодичностью раз в два дня и также она отвечает за восстановление данных, в случае необходимости на других устройствах [5].
4. Идентификация происходит на входе в само здание, при входе в учётную запись в ОС и при запуске самого Kaspersky Security Center 10.
5. Все события связанные с входом, запуском различных задач, изменения политик,
6. Ведётся отслеживания использования различных учётных записей при входе в ОС.
7. Передача файлов происходит по каналам связи, шифрованных при помощи устройств
VipNET.
Таким образом, можно сделать вывод, что система защиты подсистемы централизованного удаленного управления антивирусной защиты в информационной системе государственного учреждения с подконтрольными ему территориально распределенными ведомствами соответствует требованиям нормативно-правовых документов в области информационной безопасности. Использование продуктов компании «Лаборатория Касперского» совместно с технологиями виртуализации и средствами защиты информации при передаче по каналам связи позволяет осуществлять безопасное управление подсистемой антивирусной защиты организации.
57
Библиографический список
1. Актуальные киберугрозы: II квартал 2019 года. [Электронный ресурс] – Режим доступа: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2019-q2/
2. Централизованное управление антивирусной защитой. [Электронный ресурс] – Режим доступа: https://www.intuit.ru/studies/courses/2259/155/lecture/4310?page=3/
3. Методика определения угроз безопасности информации в информационных системах
[Электронный ресурс] – Режим доступа: https://fstec.ru/component/attachments/download/812/ 4. Руководящий документ Автоматизированные системы [Электронный ресурс] – Режим
СибАДИдоступа:
https://fstec.ru/component/attachments/download/296&ved=2ahUKEwixp4Tn5aTkAhWkk4sKHX CRCuAQFjAAegQICBAC&usg=AOvVaw3hUIWI-uohnhGaO1aA4Ao4/
5. Kaspersky Security Center 10 Руководство по эксплуатации. [Электронный ресурс] – Режим доступа: https://media.kaspersky.com/ru/about/certificates/gos/KSC10/%5BKSC10%20SP3%5D%5B6905%5D%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82 %D0%B2%D0%BE%20%D0%BF%D0%BE%20%D1%8D%D0%BA%D1%81%D0%BF%D0%B B%D1%83%D0%B0%D1%82%D0%B0%D1%86%D0%B8%D0%B8.pdf.
58