Архитектура управления средствами сетевой безопасности
16.2.2. Концепция глобального управления безопасностью
В основе централизованного управления безопасностью КИС лежит концепция глобального управления безопасностью GSM (Global Security Management). Концепция GSM позволяет построить комплексную систему управления и защиты информационных ресурсов предприятия со следующими свойствами:
• управление всеми существующими средствами защиты на базе политики безопасности предприятия, обеспечивающее целостность, непротиворечивость и полноту набора правил защиты для всех ресурсов предприятия (объектов политики безопасности) и согласованное исполнение политики безопасности средствами защиты, поставляемыми разными производителями;
• определение всех информационных ресурсов предприятия через единый (распределенный) каталог среды предприятия, который может актуализироваться как за счет собственных средств описания ресурсов, так и посредством связи с другими каталогами предприятия (в том числе по протоколу LDAP);
• централизованное, основанное на политике безопасности (policy-based) управление локальными средствами защиты информации;
• строгая аутентификация объектов политики в среде предприятия с использованием PKCS#11 токенов и инфраструктуры открытых ключей РК1, включая возможность применения дополнительных локальных средств аутентификации LAS (по выбору потребителя);
• расширенные возможности администрирования доступа к определенным в каталоге ресурсам предприятия или частям всего каталога (с поддержкой понятий групп пользователей, доменов, департаментов предприятия), управление ролями как набором прав доступа к ресурсам предприятия, введение в политику безопасности элементов косвенного определения прав через атрибуты прав доступа (credentials);
• обеспечение подотчетности (регистрации всех операций взаимодействий распределенных объектов системы в масштабах корпоративной сети) и аудита, мониторинга безопасности, тревожной сигнализации;
• интеграция с системами общего управления, инфраструктурными системами безопасности (PKI, LAS, IDS).
В рамках данной концепции управление, основанное на политике безопасности — РВМ (Policy based management) — определяется как реализация набора правил управления, сформулированных для бизнес-объектов предприятия, которая гарантирует полноту охвата бизнес-области объектами и непротиворечивость используемых правил управления.
Система управления GSM, ориентированная на управление безопасностью предприятия на принципах РВМ, удовлетворяет следующим требованиям:
• политика безопасности предприятия представляет собой логически и семантически связанную, формируемую, редактируемую и анализируемую как единое целое структуру данных;
• политика безопасности предприятия определяется в едином контексте для всех уровней защиты как единое целое сетевой политики безопасности и политики безопасности информационных ресурсов предприятия;
• для облегчения администрирования ресурсов и политики безопасности предприятия число параметров политики минимизируется.
Для того чтобы минимизировать число параметров политики, используются следующие приемы:
1) групповые определения объектов безопасности;
2) косвенные определения, например определения на основе верительных (credential) атрибутов;
3) мандатное управление доступом (в дополнение к фиксированному доступу), когда решение о доступе определяется на основе сопоставления уровня доступа, которым обладает субъект, и уровня конфиденциальности (критичности) ресурса, к которому осуществляется доступ.
Система управления GSM обеспечивает разнообразные механизмы анализа политики безопасности за счет средств многокритериальной проверки соответствия политики безопасности формальным моделям концепции безопасности предприятия.
Ниже приводится концепция определения ГПБ (GSP — Global Security Policy) сети предприятия и описание построенной на базе ГПБ системы управления безопасностью (policy based security management).
Эта статья была опубликована Среда, 8 декабря, 2010 at 13:39 в рубрике Защита от вирусов. Вы можете следить за ответами через RSS 2.0 feed.