Глобальна та локальна політики безпеки

Глобальна та локальна політики безпеки

Глобальна політика безпеки корпоративної мережі є кінцеве безліч правил безпеки (security rules), які описують параметри взаємодії об'єктів корпоративної мережі в контексті інформаційної безпеки:

  • необхідний для з'єднання сервіс безпеки (правила обробки, захисту і фільтрації трафіку);
  • напрямок надання сервісу безпеки;
  • правила аутентифікації об'єктів;
  • правила обміну ключами;
  • правила запису результатів подій безпеки в системний журнал;
  • правила сигналізації про тривожні події і ін.

При цьому об'єктами ГПБ можуть бути як окремі робочі станції і підмережі, так і групи об'єктів, які можуть включати в себе цілі структурних підрозділів компанії (наприклад, відділ маркетингу або фінансовий департамент) або навіть окремі компанії (що входять, наприклад, в холдинг). Політика безпеки для кожного об'єкта в групі автоматично рпліціруется всіх об'єктах групи.

Політика за замовчуванням для доступу до будь-якого об'єкту, що захищається корпоративної системи є заборонне правило: все, що не дозволено явно - заборонено. Таке правило забезпечує повноту захисту інформації в мережі підприємства і апріорне відсутність «дірок» в безпеці.

Щоб забезпечити взаємодію пристроїв в мережі, для них створюється і доставляється (в загальному випадку не по каналах мережі) стартова конфігурація, яка містить необхідні правила настройки пристроїв тільки для їх централізованого управління - стартова політика безпеки пристрою.

Правила ГПБ можуть бути поширені як на мережеві взаємодії, так і на функції контролю і управління самої системи.

Функціонально правила ГПБ розбиті по групах:

  • правила VPN. Правила даного тиру реалізуються за допомогою протоколів IPSec; агентом виконання правила є драйвер VPN в стеці клієнтського пристрою або шлюзу безпеки (IPX, IP2, VPNRule);
  • правила пакетної фільтрації. Вони забезпечують пакетну фільтрацію типу stateful і stateless; виконання цих правил забезпечують ті ж агенти, що виконують VPN-правила (IP1, IP2, PacketRule);
  • proxy-правила, включаючи антивірусний захист «на льоту». Ці правила відповідають за фільтрацію трафіку, що передається під керуванням заданих прикладних протоколів; їх виконавчим агентом є proxy-агент, наприклад (User, Protocol, ProxyRule) або (Application, Protocol, ProxyRule);
  • правила ayтентіфіцірованного / авторизованого доступу, включаючи правила Single Sign-On. Управління доступом Single Sign-On забезпечує даному користувачеві роботу на єдиному паролі або інший аутентификационной інформації з багатьма інформаційними ресурсами; зрозуміло, що символічна запис правила мережевого доступу легко поширюється на Single Sign-On (User, Application, Authentication Scheme). Правила цієї групи можуть комбіновано виконуватися агентами різного рівня, від VPN-драйвера до proxy-агентів; крім того, агентами виконання таких правил можуть бути системи аутентифікації запит-відгук та продукти третіх розробити конструкціючиков;
  • правила, що відповідають за сигналізацію і подієвий протоколювання. Політика протоколювання може оперативно і централізовано управлятися агентом протоколювання; виконавцями правил є всі компоненти системи.

Набір правил ГПБ є логічно цілісним і семантично повним описом політики безпеки в масштабах мережі, на основі якої може будуватися локальна політика безпеки окремих пристроїв.

Локальна політика безпеки. Будь-якого засобу захисту, який реалізує будь-якої сервіс інформаційної безпеки, необхідна для виконання його роботи ЛПБ - точний опис налаштувань для коректної реалізації правил аутентифікації користувачів, управління доступом, захисту трафіку і ін. При традиційному підході адміністратору доводиться окремо налаштовувати кожен засіб захисту або реплицировать які -то найпростіші налаштування на велика кількість вузлів з подальшою їх коригуванням. Очевидно, що це неминуче призводить до великої кількості помилок адміністрування і, як наслідок, істотнному зниження рівня захищеності корпоративної мережі.

Після формування адміністратором ГПБ Центр управління на основі інтерпретації ГПБ автоматично обчислює і, якщо це необхідно, коригує окремі ЛПБ для кожного засобу захисту і автоматично завантажує потрібні налаштування в керуючі модулі відповідних засобів захисту.

В цілому, ЛПБ мережевого пристрою включає в себе повний набір правил дозволених з'єднань даного пристрою, виконуваних для забезпечення будь-якої інформаційної послуги з необхідними властивостями захисту інформації.

Різниця між правилами, що реалізовують ГПБ в мережі, і правилами, що реалізовують ЛПБ конкретного пристрою, полягає в тому, що в правилах групи ГПБ об'єкти і суб'єкти доступу можуть бути розподілені довільним чином в межах мережі, а правила групи ЛПБ, включаючи суб'єкти та об'єкти ЛПБ, призначені і доступні тільки в межах простору одного з мережевих пристроїв.

Компанія «Сучасні системи безпеки бізнесу» ативно впроваджує передові технології в сфери безпеки бізнесу і технічного захисту інформації. Основними напрямками нашої діяльності є: пошук закладних пристроїв ( захист від прослушки , прихованих камер і т.д.); проектування, монтаж і обслуговування систем безпеки бізнесу: відеоспостереження ; контроль доступу ; облік робочого часу ; охоронна і пожежна сигналізація ; вимірювання тепловтрат приміщень і рекомендації по теплоізоляції; вимірювання радіоактивного фону в приміщеннях і на територіях. Телефонуйте нам за вказаним номером телефону і ми відповімо на всі Ваші запитання:

(044) 227-90-21

(096) 875-77-51

(099) 448-83-83



Інтернет-магазин
Відеонагляд Відеонагляд
Цiкавi записи Останні новини