4.4. RealSecure

Система обнаружения атак RealSecure предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения атак. Система RealSecure - это интеллектуальный анализатор пакетов с расширенной базой сигнатур атак, который позволяет обнаруживать враждебную деятельность и распознавать атаки на узлы Вашей корпоративной сети. Система RealSecure построена по технологии анализа сетевых пакетов в реальном масштабе времени (real-time packet analysis) относится к системам обнаружения атак, ориентированных на защиту целого сегмента сети (network-based).

Система RealSecure использует распределённую архитектуру и содержит два основных компонента:

- RealSecure Detector,

- RealSecure Manager.

Компонент RealSecure Detector отвечает за обнаружение и реагирование на атаки, и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путём «прослушивания» трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле.

Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 возможно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module).

4.5. SafeSuite Decisions

Эта система позволяет собирать, анализировать и обобщать сведения, получаемые от различных установленных в организации средств защиты информации. К средствам, поддерживаемым первой версией, относятся все продукты компании ISS, МЭ CheckPoint Firewall, МЭ российского производства «Пандора» и «Застава-Джет».

Пакет SAFEsuite Decisions состоит из нескольких взаимосвязанных компонентов:

- подсистемы SAFElink, обеспечивающей сбор данных от различных средств защиты и их запись в централизованную базу данных SAFEsuite Enterprise Database;

- базы данных SAFEsuite Enterprise Database для хранения данных, полученных от SAFElink (построена на основе СУБД Microsoft SQL Server);

- подсистемы SAFEsuite Decisions Report, которая даёт возможность обрабатывать, анализировать и обобщать информацию, хранящуюся в базе данных.

Decisions Report позволяет ранжировать риски системы защиты организации, идентифицировать нарушителей политики безопасности, выявлять тенденции, прогнозировать изменение уровня защищённости ресурсов организации и т. д.

Лекция №14

Тема

«ОРГАНИЗАЦИЯ ФУНКЦИОНИРОВАНИЯ КОМПЛЕКСНЫХ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ»

1. Применение ксзи по назначению

1.1. Организация доступа к ресурсам ас

Функционирование КСЗИ зависит не только от характеристик созданной системы, но и от эффективности её использования на этапе эксплуатации АС. Основными задачами этапа эксплуатации являются максимальное использование возможностей КСЗИ, заложенных в систему при построении, и совершенствование её защитных функций в соответствии с изменяющимися условиями.

Процесс эксплуатации КСЗИ можно разделить на применение системы по прямому назначению, что предполагает выполнение всего комплекса мероприятий, непосредственно связанных с защитой информации в АС, и техническую эксплуатацию (рис. 1). Применение по назначению предусматривает организацию доступа к ресурсам АС и обеспечение их целостности.

Под организацией доступа к ресурсам понимается весь комплекс мер, который выполняется в процессе эксплуатации АС для предотвращения несанкционированного воздействия на технические и программные средства, а также на информацию.

Организация доступа к ресурсам предполагает:

1) разграничение прав пользователей и обслуживающего персонала по доступу к ресурсам АС в соответствии с функциональными обязанностями должностных лиц;

2) организацию работы с конфиденциальными информационными ресурсами на объекте;

3) защиту от технических средств разведки;

4) охрану объекта;

5) эксплуатацию системы разграничения доступа.

Рис.1. Содержание процесса эксплуатации КСЗИ

1) Права должностных лиц по доступу к ресурсам АС устанавливаются руководством организации, в интересах которой используется АС. Каждому должностному лицу определяются для использования технические ресурсы (рабочая станция, сервер, аппаратура передачи данных и т.д.), разрешённые режимы и время работы. Руководством устанавливается уровень компетенции должностных лиц по манипулированию информацией. Лицо, ответственное за ОБИ в АС, на основании решения руководителя о разграничении доступа должностных лиц обеспечивает ввод соответствующих полномочий доступа в систему разграничения доступа.

2) Руководство совместно со службой безопасности определяет порядок работы с конфиденциальными информационными ресурсами, не используемыми непосредственно в АС, хотя бы и временно. К таким ресурсам относятся конфиденциальная печатная продукция, в том числе и полученная с помощью АС, а также машинные носители информации, находящиеся вне устройств АС. Учётом, хранением и выдачей таких ресурсов занимаются должностные лица из службы безопасности, либо другие должностные лица по совместительству.

3) Службой безопасности выполняется весь комплекс мероприятий противодействия техническим средствам разведки. Контролируется применение пассивных средств защиты от ЭМИ и наводок. Активные средства защиты от угроз этого класса используются в соответствии с графиком работы объекта. Периодически осуществляются проверки помещений на отсутствие в них закладных устройств аудио- и видеоразведки, а также обеспечивается защищённость линий связи от прослушивания.

4) Охрана объекта АС обеспечивает разграничение непосредственного доступа людей на контролируемую территорию, в здания и помещения. Подразделение охраны (охранник) может находиться на объекте, а может охранять несколько объектов. В последнем случае на объекте находятся только технические средства охраны и сигнализации. В соответствии с принятой политикой безопасности руководство совместно со службой безопасности определяют структуру системы охраны. Количественный состав и режим работы подразделения охраны определяется важностью и конфиденциальностью информации АС, а также используемыми техническими средствами охраны и сигнализации.

5) Система разграничения доступа (СРД) является одной из главных составляющих комплексной системы защиты информации. В этой системе можно выделить следующие компоненты:

5.1) средства аутентификации субъекта доступа;

5.2) средства разграничения доступа к техническим устройствам компьютерной системы;

5.3) средства разграничения доступа к программам и данным;

5.4) средства блокировки неправомочных действий;

5.5) средства регистрации событий;

5.6) дежурный оператор системы разграничения доступа.

5.1) Эффективность функционирования системы разграничения доступа во многом определяется надёжностью механизмов аутентификации. Особое значение имеет аутентификация при взаимодействии удалённых процессов, которая всегда осуществляется с применением методов криптографии. При эксплуатации механизмов аутентификации основными задачами являются: генерация или изготовление идентификаторов, их учёт и хранение, передача идентификаторов пользователю и контроль над правильностью выполнения процедур аутентификации в КС. При компрометации атрибутов доступа (пароля, персонального кода и т.п.) необходимо срочное их исключение из списка разрешённых. Эти действия должны выполняться дежурным оператором системы разграничения доступа.

5.2) В больших распределённых АС проблема генерации и доставки атрибутов идентификации и ключей шифрования не является тривиальной задачей. Так, например, распределение секретных ключей шифрования должно осуществляться вне защищаемой компьютерной системы. Значения идентификаторов пользователя не должны храниться и передаваться в системе в открытом виде. На время ввода и сравнения идентификаторов необходимо применять особые меры защиты от подсматривания набора пароля и воздействия вредительских программ типа клавиатурных шпионов и программ-имитаторов СРД.

5.3) Средства разграничения доступа к техническим средствам препятствуют несанкционированным действиям злоумышленника, таким как включение технического средства, загрузка операционной системы, ввод-вывод информации, использование нештатных устройств и т. д. Разграничение доступа осуществляется оператором СРД путём использования технических и программных средств. Так оператор СРД может контролировать использование ключей от замков подачи питания непосредственно на техническое средство или на все устройства, находящиеся в отдельном помещении, дистанционно управлять блокировкой подачи питания на устройство или блокировкой загрузки ОС. На аппаратном или программном уровне оператор может изменять техническую структуру средств, которые может использовать конкретный пользователь.

Средства разграничения доступа к программам и данным используются наиболее интенсивно и во многом определяют характеристики СРД. Эти средства являются аппаратно-программными. Они настраиваются должностными лицами подразделения, обеспечивающего безопасность информации, и изменяются при изменении полномочий пользователя или при изменении программной и информационной структуры. Доступ к файлам регулируется диспетчером доступа. Доступ к записям и отдельным полям записей в файлах баз данных регулируется также с помощью систем управления базами данных.

Эффективность СРД можно повысить за счёт шифрования файлов, хранящихся на внешних запоминающих устройствах, а также за счёт полного стирания файлов при их уничтожении и стирания временных файлов. Даже если злоумышленник получит доступ к машинному носителю путём, например, несанкционированного копирования, то получить доступ к информации он не сможет без ключа шифрования.

В распределённых АС доступ между подсистемами, например удалёнными ЛВС, регулируется с помощью межсетевых экранов. Межсетевой экран необходимо использовать для управления обменом между защищённой и незащищённой компьютерными системами. При этом регулируется доступ как из незащищённой КС в защищённую, так и доступ из защищённой системы в незащищённую. Компьютер, реализующий функции межсетевого экрана, целесообразно размещать на рабочем месте оператора КСЗИ.

5.4) Средства блокировки неправомочных действий субъектов доступа являются неотъемлемой компонентой СРД. Если атрибуты субъекта доступа или алгоритм его действий не являются разрешёнными для данного субъекта, то дальнейшая работа в АС такого нарушителя прекращается до вмешательства оператора КСЗИ. Средства блокировки исключают или в значительной степени затрудняют автоматический подбор атрибутов доступа.

5.5) Средства регистрации событий также являются обязательной компонентой СРД. Журналы регистрации событий располагаются на ВЗУ. В таких журналах записываются данные о входе пользователей в систему и о выходе из неё, о всех попытках выполнения несанкционированных действий, о доступе к определённым ресурсам и т. п. Настройка журнала на фиксацию определённых событий и периодический анализ его содержимого осуществляется дежурным оператором и вышестоящими должностными лицами из подразделения ОБИ. Процесс настройки и анализа журнала целесообразно автоматизировать программным путём.

5.6) Непосредственное управление СРД осуществляет дежурный оператор КСЗИ, который, как правило, выполняет и функции дежурного администратора АС. Он загружает ОС, обеспечивает требуемую конфигурацию и режимы работы АС, вводит в СРД полномочия и атрибуты пользователей, осуществляет контроль и управляет доступом пользователей к ресурсам АС.