Глобальна та локальна політики безпеки

Глобальна політика безпеки корпоративної мережі являє собою кінцеве безліч правил безпеки (security rules), які описують параметри взаємодії об’єктів корпоративної мережі в контексті інформаційної безпеки:
prozrachnyiy-300x203• необхідний для з’єднання сервіс безпеки (правила обробки, захисту та фільтрації трафіку);
• напрямок надання сервісу безпеки;
• правила аутентифікації об’єктів;
• правила обміну ключами;
• правила запису результатів подій безпеки в системний журнал;
• правила сигналізації про тривожні події та ін.

При цьому об’єктами ГПБ можуть бути як окремі робочі станції і підмережі, так і групи об’єктів, які можуть включати в себе цілі структурні підрозділи компанії (наприклад, відділ маркетингу або фінансовий департамент) або навіть окремі компанії (вхідні, наприклад, в холдинг). Політика безпеки для кожного об’єкта в групі автоматично реплицируется всіх об’єктах групи.

Політика за замовчуванням для доступу до будь-якого захищається корпоративної системи являє собою заборонне правило: все, що не дозволено явно – заборонено. Таке правило забезпечує повноту захисту інформації в мережі підприємства і апріорне відсутність «дірок» у безпеці.

Щоб забезпечити взаємодію пристроїв у мережі, для них створюється і доставляється (у загальному випадку не по каналах мережі) стартова конфігурація, яка містить необхідні правила настроювання пристроїв тільки для їх централізованого управління – стартова політика безпеки пристрою.

Правила ГПБ можуть бути поширені як на мережеві взаємодії, так і на функції контролю і управління самої системи.

Функціонально правила ГПБ розбиті по групах:
• правила VPN. Правила даного тиру реалізуються за допомогою протоколів IPSec; агентом виконання правила є драйвер VPN в стеку клієнтського пристрою або шлюзу безпеки (IPX, IP2, VPNRule);
• правила пакетної фільтрації. Вони забезпечують пакетну фільтрацію типу stateful і stateless; виконання цих правил забезпечують ті ж агенти, що виконують VPN-правила (IP1, IP2, PacketRule);
• proxy-правила, включаючи антивірусний захист «на льоту». Ці правила відповідають за фільтрацію трафіку, що передається під управлінням заданих прикладних протоколів; їх виконавчим агентом є proxy-агент, наприклад (User, Protocol, ProxyRule) або (Application, Protocol, Proxy-Rule);
• правила ayтентіфіцірованного / авторизованого доступу, включаючи правила Single Sign-On. Управління доступом Single Sign-On забезпечує даному користувачеві роботу на єдиному паролі або інший аутентификационной інформації з багатьма інформаційними ресурсами; зрозуміло, що символічна запис правила мережевого доступу легко поширюється на Single Sign-On (User, Application, Authentication Scheme). Правила цієї групи можуть комбіновано виконуватися агентами різного рівня, від VPN-драйвера до proxy-агентів; крім того, агентами виконання таких правил можуть бути системи аутентифікації запит-відгук і продукти третіх розробників;
• правила, що відповідають за сигналізацію і подієвого протоколювання. Політика протоколювання може оперативно і централізовано управлятися агентом протоколювання; виконавцями правил є всі компоненти системи.

Набір правил ГПБ є логічно цілісним і семантично повним описом політики безпеки в масштабах мережі, на основі якої може будуватися локальна політика безпеки окремих пристроїв.

Локальна політика безпеки. Будь-якого засобу захисту, який реалізує будь-якої сервіс інформаційної безпеки, необхідна для виконання його роботи ЛПБ – точний опис налаштувань для коректної реалізації правил аутентифікації користувачів, управління доступом, захисту трафіку та ін. При традиційному підході адміністратору доводиться окремо налаштовувати кожен засіб захисту або реплицировать які -то найпростіші налаштування на велика кількість вузлів з подальшою їх коригуванням. Очевидно, що це неминуче призводить до великої кількості помилок адміністрування і, як наслідок, істотного зниження рівня захищеності корпоративної мережі.

Після формування адміністратором ГПБ Центр управління на основі інтерпретації ГПБ автоматично обчислює і, якщо це необхідно, коректує окремі ЛПБ для кожного засобу захисту і автоматично завантажує потрібні налаштування в керуючі модулі відповідних засобів захисту.

В цілому, ЛПБ мережевого пристрою включає в себе повний набір правил дозволених з’єднань даного пристрою, виконуваних для забезпечення будь-якої інформаційної послуги з необхідними властивостями захисту інформації.

Відмінність між правилами, що реалізовують ГПБ в мережі, і правилами, що реалізовують ЛПБ конкретного пристрою, полягає в тому, що в правилах групи ГПБ об’єкти і суб’єкти доступу можуть бути розподілені довільним чином в межах мережі, а правила групи ЛПБ, включаючи суб’єкти та об’єкти ЛПБ, призначені і доступні тільки в межах простору одного з мережевих пристроїв.

Компанія «Сучасні системи безпеки бізнесу» активно впроваджує передові технології в сфери безпеки бізнесу та технічного захисту інформації. Основними напрямками нашої діяльності є: пошук закладних пристроїв (захист від прослуховування, прихованих камер і т.д.); проектування, монтаж і обслуговування систем безпеки бізнесу: відеоспостереження; контроль доступу; облік робочого часу; охоронна і пожежна сигналізаціявимірювання тепловтрат приміщень та рекомендації щодо теплоізоляції; вимірювання радіоактивного фону в приміщеннях і на територіях. Дзвоніть нам за вказаним номером телефону і ми відповімо на всі Ваші запитання:

(044) 227-90-21

(096) 875-77-51

(099) 448-83-83

Добавить комментарий

%d такие блоггеры, как: