Архітектура управління коштами мережевої безпеки

1_5255061d24fff5255061d2503c-300x225Для забезпечення безпеки інформаційних ресурсів підприємства засоби захисту інформації зазвичай розміщуються безпосередньо в корпоративній мережі. МЕ контролюють доступ до корпоративних ресурсів, відбиваючи атаки зловмисників ззовні, а шлюзи віртуальних приватних мереж (VPN) забезпечують конфіденційну передачу інформації через відкриті глобальні мережі, зокрема Інтернет. Для створення надійної ешелонованої захисту в даний час застосовуються також такі засоби безпеки, як системи виявлення вторгнень IDS (IntrusionDetection Systems), засоби контролю доступу за змістом інформації, антивірусні системи та ін.

Більшість КІС побудовані на основі програмних і апаратних засобів, що поставляються різними виробниками.

Кожне з цих коштів вимагає ретельного і специфічного конфігурування, що відображає взаємозв’язки між користувачами і доступними їм ресурсами. Щоб забезпечити в гетерогенної КІС надійний захист інформації, потрібна раціонально організована система управління безпекою КІС, яка забезпечила б безпеку і правильну настройку кожного компонента КІС, постійно відслідковувала відбуваються зміни, встановлювала «заплатки» на знайдені в системі проломи, контролювала роботу користувачів. Очевидно, що чим різноманітніше ІС, тим складніше забезпечити управління її безпекою.

Основні поняття

Досвід провідних підприємств-виробників засобів мережевої безпеки показує, що компанія зможе успішно реалізувати свою політику безпеки в розподіленої КІС, якщо управління безпекою буде централізованим і не буде залежати від використовуваних ОС і прикладних систем. Крім того, система реєстрації подій, що відбуваються в КІС (події НСД, зміна привілеїв користувачів і т. Д.), Повинна бути єдиною, щоб адміністратор зміг скласти повну картину відбуваються в КІС змін.

Для вирішення ряду завдань управління безпекою потрібно застосування єдиних вертикальних інфраструктур типу каталогу Х.500. Наприклад, політика мережевого доступу вимагає знання ідентифікаторів користувачів. Ця інформація потрібна і іншим додаткам, наприклад в системі кадрового обліку, в системі одноразового доступу до додатків (Single Sign-On) і т. Д. Дублювання одних і тих же даних призводить до необхідності синхронізації, збільшення трудомісткості і можливої плутанини. Тому, щоб уникнути такого дублювання, часто використовують єдині вертикальні інфраструктури.

До таких вертикальним структурам, використовуваним різними користувацькими підсистемами, що працюють на різних рівнях OSI / ISO, відносяться:

• інфраструктури управління відкритими ключами PKI. Слід відзначити цікавий аспект, поки не отримав широкого розповсюдження, але важливий для управління. Зараз в основному використовуються цифрові сертифікати у вигляді так званих «посвідчень особи» (identity certificates), але вже розвиваються і подекуди застосовуються цифрові сертифікати у вигляді так званих «вірчих грамот» (credential certificates); видаючи і відкликаючи такі «вірчі грамоти», можна більш гнучко управляти доступом;
• каталоги (наприклад, ідентифікаторів користувачів та інших відомостей про користувачів, необхідних в системах управління доступом); примітно, що каталоги часто використовуються не тільки як сховища даних – в них також часто розташовуються політики доступу, сертифікати, списки доступу та ін .;
• системи аутентифікації (зазвичай RADIUS, сервери TACACS, TACACS +);
• системи подієвого протоколювання, моніторингу та аудиту. Слід зазначити, що ці системи не завжди вертикальні, часто спеціалізуються і працюють автономно в інтересах конкретних підсистем.
Концепція глобального управління безпекою, що дозволяє побудувати ефективну систему ієрархічного управління безпекою гетерогенної мережі компанії, розроблена компанією TrustWorks Systems. Організація централізованого управління безпекою КІС заснована на наступних принципах:
• управління безпекою корпоративної мережі має здійснюватися на рівні ГПБ – набору правил безпеки для безлічі взаємодій між об’єктами корпоративної мережі, а також між об’єктами корпоративної мережі і зовнішніми об’єктами;
• ГПБ повинна відповідати бізнес-процесам компанії. Для цієї властивості безпеки об’єктів і необхідні сервіси безпеки повинні бути описані з урахуванням їх бізнес-ролей в структурі компанії.
• для окремих засобів захисту формуються ЛПБ. Трансляція ЛПБ повинна здійснюватися автоматично на основі аналізу правил ГПБ і топології мережі, що захищається.

Враховуючи, що методологія централізованого управління мережевою безпекою досить повно відображає сучасні тенденції розвитку технологій безпеки, розглянемо докладніше цю методологію і деякі аспекти її реалізації.

Компанія «Сучасні системи безпеки бізнесу» активно впроваджує передові технології в сфери безпеки бізнесу та технічного захисту інформації. Основними напрямками нашої діяльності є: пошук закладних пристроїв (захист від прослуховування, прихованих камер і т.д.); проектування, монтаж і обслуговування систем безпеки бізнесу: відеоспостереження; контроль доступу; облік робочого часу; охоронна і пожежна сигналізаціявимірювання тепловтрат приміщень та рекомендації щодо теплоізоляції; вимірювання радіоактивного фону в приміщеннях і на територіях. Дзвоніть нам за вказаним номером телефону і ми відповімо на всі Ваші запитання:

(044) 227-90-21

(096) 875-77-51

(099) 448-83-83

Добавить комментарий

%d такие блоггеры, как: