Функціонування системи управління засобами безпеки

147bc152169007f1320a3e957443e914b61d0cc6-300x225Структурними елементами системи управління засобами безпеки TrustWorks є агенти безпеки (Trusted Agent), Центр управління (Trusted GSM Server) і Консоль управління (Trusted GSM Console).

Призначення основних засобів безпеки

Агент безпеки (Trusted Agent), встановлений на персональному комп’ютері клієнта, орієнтований на захист індивідуального користувача, що виступає, як правило, клієнтом в додатках клієнт-сервер.

Агент безпеки, встановлений на сервері додатків, орієнтований на забезпечення захисту серверних компонентів розподілених додатків.

Агент безпеки, встановлений на шлюзовому комп’ютері, забезпечує розв’язку сегментів мережі всередині підприємства або між підприємствами.

Центр управління (Trusted GSM Server) забезпечує опис та зберігання глобальної політики безпеки в масштабах мережі, трансляцію глобальної політики в локальні політики безпеки пристроїв захисту, завантаження пристроїв захисту і контроль станів всіх агентів системи. Для організації розподіленої схеми управління безпеки підприємства в системі GSM передбачається установка декількох (до 65 535) серверів GSM.

Консоль управління (Trusted GSM Console) призначена для організації робочого місця адміністратора (адміністраторів) системи. Для кожного з серверів GSM може бути встановлено кілька консолей, кожна з яких налаштовується згідно рольовим прав кожного з адміністраторів системи GSM.

Локальний Агент безпеки (Trusted Agent) являє собою програму, яка розміщується на крайовому пристрої (клієнті, сервері, шлюзі) і виконує наступні функції захисту:
• аутентифікацію об’єктів політики безпеки, включаючи інтеграцію різних сервісів аутентифікації;
• визначення користувача в системі і подій, пов’язаних з даним користувачем;
• забезпечення централізованого управління засобами безпеки та контролю доступу;
• управління ресурсами в інтересах додатків, підтримку управління доступом до ресурсів прикладного рівня;
• захист і аутентифікацію трафіку;
• фільтрацію трафіку;
• подієвий протоколювання, моніторинг, тривожну сигналізацію.

Додаткові функції Trusted Agent:
• постачання кріптосервіса (multiple concurrent pluggable modules);
• управління периметрами Single Sign-On (як подзадача аутентифікації користувачів);
• сервіс в інтересах захищених додатків (кріптосервіс, сервіс доступу до PKI, доступ до управління безпекою);
• стиснення трафіку (IPcomp, pluggable module);
• управління резервуванням мережевих ресурсів (QoS);
• функції локального агента мережевої антивірусного захисту.

Центральним елементом локального агента є процесор локальної політики безпеки (LSP processor), інтерпретує локальну політику безпеки і розподіляє виклики між іншими компонентами.

Захист ресурсів

Аутентифікація і авторизація доступу. В рамках вирішення реалізуються різні по функціональності схеми аутентифікації, кожна з яких включає тип аутентифікації і спосіб (механізм) ідентифікації об’єктів.

Для вибору типу аутентифікації передбачені наступні можливості: аутентифікація користувача при доступі до середовища GSM або локальної ОС, аутентифікація користувача при доступі в мережу (сегмент мережі), взаємна мережева аутентифікація об’єктів (додаток-додаток). Для вибору способу ідентифікації передбачені наступні варіанти, які передбачають їх будь спільне використання: токен (смарт-карта), пароль, «зовнішня» аутентифікація.

Контроль доступу при мережевих взаємодіях. При ініціалізації захищеного мережевого з’єднання від локальної ОС або при отриманні запиту на встановлення зовнішнього з’єднання локальні агенти безпеки Trusted Agent на кінцях з’єднання (та / або на проміжному шлюзі) звертаються до ЛПБ пристрої і перевіряють, чи дозволено встановлення цього з’єднання. У випадку, якщо таке з’єднання дозволено – забезпечується необхідний сервіс захисту даного з’єднання, якщо заборонено – мережеве з’єднання не надається.

Контроль доступу на рівні прикладних об’єктів. Для незахищених розподілених додатків в GSM забезпечується сервіс розмежування прав доступу на рівні внутрішніх об’єктів цього додатка. Контроль доступу на рівні об’єктів прикладного рівня забезпечується за рахунок застосування механізму proxy. Proxy розробляється для кожного прикладного протоколу. Передвстановленим є протокол http.

Для побудови розподіленої схеми управління і зниження завантаження мережі в GSM використовується архітектура розподілених проксі-агентів (ProxyModule у складі Trusted Agent), кожен з яких:
• має абстрактний універсальний інтерфейс, що забезпечує модульне підключення різних proxy-фільтрів;
• має інтерфейс до системи управління, але використовує тимчасовий кеш для управління параметрами фільтрації, а фільтрація управляється узагальненими правилами типу:
– Аутентифицировать суб’єкт X в додатку-об’єкті Y;
– Дозволити доступ суб’єкту X до об’єкта Y з параметрами Р;
– Заборонити доступ суб’єкту X до об’єкта Z;
– Семантика правил управління proxy-фільтром і опису суб’єктів і об’єктів доступу залежать від конкретного прикладного протоколу, однак центр управління має можливість реєструвати proxy-фільтри і забезпечувати управління ними в контексті загальної глобальної політики безпеки.

Proxy Agent може бути встановлений на шлюзі безпеки, безпосередньо на сервері, виконуючому контрольовані програми, і на клієнтському місці системи.

Управління засобами захисту

Найважливішим елементом рішення TrustWorks є централізована, заснована на політиці (policy based) система управління коштами мережевої та інформаційної безпеки масштабу підприємства. Ця система забезпечує наступні якісні споживчі характеристики:
• високий рівень захищеності системи управління (шляхом виділення захищеного периметра управління всередині мережі підприємства);
• розширюваність системи управління інформаційною безпекою;
• високий рівень надійності системи управління і ключових її компонентів;
• інтеграцію з корпоративними системами загального мережевого та інформаційного управління;
• просту, інтуїтивно сприйняту, ергономічну і інфраструктурну середу опису, формування, моніторингу та діагностики політики безпеки масштабу підприємства (enterprise level policy based management).

Управління здійснюється спеціальним ПО адміністратора – Консоллю управління (Trusted GSM Console). Кількість і функції кожного з примірників встановленого в системі ПО Trusted GSM Console задаються головним адміністратором системи залежно від організаційної структури підприємства. Для призначення функцій кожного з робочих місць Trusted GSM Console використовується рольової механізм розмежування прав з доступу до функцій управління (менеджменту) системи.

Функції управління GSM. Залежно від виду керованих об’єктів набір керуючих функцій в GSM можна умовно розбити на три категорії.

1. Управління інформаційним каталогом. Функції управління інформаційним каталогом визначають інформаційну складову GSM:
• формування розділів каталогу;
• опис послуг каталогу;
• призначення та контроль мережевих ресурсів, необхідних для виконання послуги;
• реєстрацію опису послуги;
• контроль стану послуг або розділів каталогу послуг;
• моніторинг виконання послуг;
• підготовку та пересилання звітів (протоколів) станом каталогу.
2. Управління користувачами і правами доступу. Для управління правами доступу користувачів системи до послуг (інформаційним або мережевих ресурсів) GSM забезпечує наступні функції:
• формування груп користувачів за ролями та / або привілеям доступу до послуг системи;
• формування ієрархічних агрегацій користувачів по адміністративним, територіальним чи іншим критеріям (домени та / або департаменти);
• формування ролей доступу користувачів до послуг (інформаційним або мережевих ресурсів);
• призначення рівнів секретності для послуг і користувачів системи (підтримка мандатного механізму розмежування прав);
• призначення фіксованих прав доступу групам, ролям, агрегації користувачів або окремим користувачам системи до інформаційних або мережевих ресурсів системи;
• підготовку та пересилання звітів (протоколів) з доступу користувачів до послуг системи;
• підготовку та пересилання звітів (протоколів) по роботі адміністраторів системи
3. Управління правилами ГПБ. Правила ГПБ ставлять у відповідність конкретні властивості захисту (як для мережних з’єднань, так і для доступу користувачів до інформаційних послуг) встановленим рівням безпеки системи. Контроль за дотриманням правил ГПБ виконує спеціальний модуль у складі сервера системи – Security Policy Processor, що забезпечує:
• визначення кожного з рівнів безпеки набором параметрів захисту з’єднань, схеми аутентифікації і розмежування прав;
• призначення рівнів безпеки конкретних послуг або розділам каталогу послуг;
• призначення рівнів безпеки користувачам або будь-яким агрегації користувачів системи (групам, ролям, доменів, департаментам);
• контроль за цілісністю ГПБ (повнотою правил);
• обчислення політик безпеки ЛПБ локальних пристроїв захисту – агентів безпеки – і контроль їх виконання;
• контроль за виконанням ГПБ за різними критеріями;
• підготовку та пересилання звітів (протоколів) станом системи і всіх спроб порушення ГПБ.
Кожен з адміністраторів системи аутентифікує і працює з системою через Trusted GSM Console згідно встановленим для нього прав (на каталог ресурсів або його частина, на певний ролями набір функцій управління, на групи або інші набори користувачів). Всі дії будь-якого з адміністраторів протоколюються і можуть попарно контролюватися.

Компанія «Сучасні системи безпеки бізнесу» активно впроваджує передові технології в сфери безпеки бізнесу та технічного захисту інформації. Основними напрямками нашої діяльності є: пошук закладних пристроїв (захист від прослуховування, прихованих камер і т.д.); проектування, монтаж і обслуговування систем безпеки бізнесу: відеоспостереження; контроль доступу; облік робочого часу; охоронна і пожежна сигналізаціявимірювання тепловтрат приміщень та рекомендації щодо теплоізоляції; вимірювання радіоактивного фону в приміщеннях і на територіях. Дзвоніть нам за вказаним номером телефону і ми відповімо на всі Ваші запитання:

(044) 227-90-21

(096) 875-77-51

(099) 448-83-83

Добавить комментарий

%d такие блоггеры, как: