Архитектура управления средствами сетевой безопасности

Для обеспечения безопасности информационных ресурсов предприятия средства защиты информации обычно размещаются непосредственно в корпоративной сети. МЭ контролируют доступ к корпоративным ресурсам, отражая атаки злоумышленников извне, а шлюзы виртуальных частных сетей (VPN) обеспечивают конфиденциальную передачу информации через открытые глобальные сети, в частности Интернет. Для создания надежной эшелонированной защиты в настоящее время применяются также такие средства безопасности, как системы обнаружения вторжений IDS (IntrusionDetection Systems), средства контроля доступа по содержанию информации, антивирусные системы и др.

Большинство КИС построены на основе программных и аппаратных средств, поставляемых различными производителями.

Каждое из этих средств требует тщательного и специфического конфигурирования, отражающего взаимосвязи между пользователями и доступными им ресурсами. Чтобы обеспечить в гетерогенной КИС надежную защиту информации, нужна рационально организованная система управления безопасностью КИС, которая обеспечила бы безопасность и правильную настройку каждого компонента КИС, постоянно отслеживала происходящие изменения, устанавливала «заплатки» на найденные в системе бреши, контролировала работу пользователей. Очевидно, что чем разнороднее ИС, тем сложнее обеспечить управление ее безопасностью.

16.2.1. Основные понятия

Опыт ведущих предприятий-производителей средств сетевой безопасности показывает, что компания сможет успешно реализовать свою политику безопасности в распределенной КИС, если управление безопасностью будет централизованным и не будет зависеть от используемых ОС и прикладных систем. Кроме того, система регистрации событий, происходящих в КИС (события НСД, изменение привилегий пользователей и т. д.), должна быть единой, чтобы администратор смог составить полную картину происходящих в КИС изменений.

Для решения ряда задач управления безопасностью требуется применение единых вертикальных инфраструктур типа каталога Х.500. Например, политика сетевого доступа требует знания идентификаторов пользователей. Эта информация нужна и другим приложениям, например в системе кадрового учета, в системе однократного доступа к приложениям (Single Sign-On) и т. д. Дублирование одних и тех же данных приводит к необходимости синхронизации, увеличению трудоемкости и возможной путанице. Поэтому, чтобы избежать такого дублирования, часто используют единые вертикальные инфраструктуры.

К таким вертикальным структурам, используемым различными пользовательскими подсистемами, работающими на разных уровнях OSI/ISO, относятся:

• инфраструктуры управления открытыми ключами PKI. Следует отметить интересный аспект, пока не получивший широкого распространения, но важный для управления. Сейчас в основном используются цифровые сертификаты в виде так называемых «удостоверений личности» (identity certificates), но уже развиваются и кое-где применяются цифровые сертификаты в виде так называемых «верительных грамот» (credential certificates); выдавая и отзывая такие «верительные грамоты», можно более гибко управлять доступом;
• каталоги (например, идентификаторов пользователей и других сведений о пользователях, необходимых в системах управления доступом); примечательно, что каталоги часто используются не только как хранилища данных — в них также часто располагаются политики доступа, сертификаты, списки доступа и др.;
• системы аутентификации (обычно RADIUS, серверы TACACS, TACACS+);
• системы событийного протоколирования, мониторинга и аудита. Следует отметить, что эти системы не всегда вертикальны, часто специализируются и работают автономно в интересах конкретных подсистем.

Концепция глобального управления безопасностью, позволяющая построить эффективную систему иерархического управления безопасностью гетерогенной сети компании, разработана компанией TrustWorks Systems. Организация централизованного управления безопасностью КИС основана на следующих принципах:
• управление безопасностью корпоративной сети должно осуществляться на уровне ГПБ — набора правил безопасности для множества взаимодействий между объектами корпоративной сети, а также между объектами корпоративной сети и внешними объектами;
• ГПБ должна соответствовать бизнес-процессам компании. Для этого свойства безопасности объектов и требуемые сервисы безопасности должны быть описаны с учетом их бизнес-ролей в структуре компании.
• для отдельных средств защиты формируются ЛПБ. Трансляция ЛПБ должна осуществляться автоматически на основе анализа правил ГПБ и топологии защищаемой сети.

Учитывая, что методология централизованного управления сетевой безопасностью достаточно полно отражает современные тенденции развития технологий безопасности, рассмотрим подробнее эту методологию и некоторые аспекты ее реализации.

Эта статья была опубликована Среда, 8 декабря, 2010 at 13:39 в рубрике Защита от вирусов. Вы можете следить за ответами через RSS 2.0 feed.