Анализ и классификация современного рынка информационных систем, реализующих дискреционную, мандатную и ролевую политики безопасности

       Данный  список средств защиты далеко не полон. Постоянно появляются инструменты, которые собирают информацию о новом  типе приложений или реализующие  более интеллектуальный анализ данных. К тому же средства мониторинга могут  организовываться в иерархические  структуры, когда данные, например, с ловушек передаются в систему  управления событиями и далее  попадают в системы управления для  предотвращения дальнейшей атаки.Полным арсеналом средств защиты не располагает ни один производитель. Такие компании, как Cisco Systems и Symantec активно скупают специализированные фирмы, поставляющие отдельные достаточно популярные продукты, однако ряда компонентов до сих пор нет и у этих «интеграторов» защитных комплексов. Тем не менее, процесс консолидации рынка информационной безопасности идет стремительно, поэтому, возможно, скоро на этом рынке останутся лишь несколько крупных компаний (к двум названным, возможно, стоит добавить такие имена, как Computer Associates, CheckPoint вместе с партнерами по альянсу OPSEC или Internet Security Systems), которые будут предлагать исчерпывающий спектр решений.

       Cisco

       Компания  Cisco Systems занимается выпуском оборудования для организации сетей передачи данных, а с недавнего времени начала интегрировать в свои устройства технологии информационной защиты, начав с сетевых экранов Cisco PIX, а потом купив еще ряд технологических компаний. Компания, в основном, занимается продажей сетевого оборудования, а не программного обеспечения, поэтому ее продукты ориентированы, главным образом, на сферу применения политики безопасности. Например, имеется уникальный механизм защиты от распределенных DoS-атак — связка Traffic Anomaly Detectors и Guard.

       По  части управления у Cisco наиболее сильной стороной являются средства контроля доступа — серия продуктов Cisco Secure Access Control, работающая на различных платформах. В то же время средства управления собственно устройствами сконцентрированы на отдельных продуктах или их классах, но не в целом по всем задачам обеспечения информационной безопасности предприятия. Тем не менее, компания предлагает по своей дистрибьюторской сети решение своего партнера — Security Information Management Solution. Есть в арсенале компании также и средство предупреждения об угрозах — Threat Response.

       Наибольшую  компетенцию Cisco имеет в области исполнительных устройств, причем предпочтение отдается предустановленным решениям: сетевые экраны PIX и решения для организации VPN, интегрированные в некоторые серии сетевых устройств. Есть у Cisco и специализированное программное обеспечение, которое устанавливается на удаленных мобильных клиентах и позволяет реализовывать на них корпоративную политику безопасности — это Security Agent и Trust Agent. Из средств мониторинга можно назвать только различные варианты детектора вторжений и специализированный модуль для Catalyst 6500, представляющие собой высокоскоростную систему обнаружения вторжений в маршрутизаторе — IDSM.

       Internet Security Systems

       Компания ISS начинала свою «карьеру» с детекторов дефектов Internet Scanner и других продуктов, к которым затем добавились средства обнаружения вторжений RealSecure. Постепенно ассортимент компании расширялся, в основном, в направлении средств мониторинга и управления. Постепенно появились и предустановленные решения, например, на платформе Nokia. Определенное развитие получили работы по ускорению функционирования механизмов IDS. Постепенно в портфеле продуктов компании появилось и средство централизованного управления SiteProtector, которое позволяет управлять решениями ISS и обеспечивать взаимодействие с продуктами других производителей. Постепенно в SiteProtector начали появляться дополнительные модули, которые позволяли коррелировать работу детектора дефектов и детектора нападений SecurityFusion Module. При этом компания стимулирует также разработку дополнительных модулей сторонних разработчиков.

       Максимальную  компетенцию компания накопила в  области выявления дефектов в  системе защиты и обнаружения  нападений. В частности, кроме сканера IP-протокола у компании есть анализатор дефектов в операционных системах, в базах данных и даже в беспроводной сети. Детекторы нападений также  работают на разных уровнях (компьютерная сеть, серверы, рабочие станции). Таким  образом, продукты ISS могут работать на разных уровнях и тем самым  прикрывать друг друга.

       Впрочем, в компании начали появляться и исполнительные решения, такие, как системы предотвращения вторжений Proventia, а также технологии фильтрации Web и электронной почты.

       Наконец, ISS предлагает комплексное решение  Integrated Security Appliance, которое объединяет все приложения. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     Заключение

       Итак, подводя итог, мы приходим к выводу, что вопросы безопасности информационных систем на сегодняшний день очень  актуальны. Кроме того, в работе мы рассмотрели информационные систем, реализующие дискреционную, мандатную и ролевую политики безопасности. Так, Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений согласно требованиям к системе защиты информации. Основой дискреционной (дискретной) политики безопасности является дискреционное управление доступом, которое определяется двумя свойствами: все субъекты и объекты должны быть идентифицированы; права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила. К достоинствам дискреционной политики безопасности можно отнести относительно простую реализацию соответствующих механизмов защиты. Этим обусловлен тот факт, что большинство распространенных в настоящее время автоматизированные системы, обеспечивают выполнение положений именно данной политики безопасности. К недостаткам относится статичность модели (данная политика безопасности не учитывает динамику изменений состояния AC, не накладывает ограничений на состояния системы. Мандатная система строится на разграничении различных уровней. Основной идеей управления доступом на основе ролей является идея о связывании разрешений доступа с ролями, назначаемым каждому пользователю. Эта идея возникла одновременно с появлением многопользовательских систем. Однако до недавнего времени исследователи мало обращали внимание на этот принцип.

       Ролевое разграничение доступа представляет собой развитие политики дискреционного разграничения доступа, при этом права доступа субъектов системы  на объекты группируются с учетом их специфики их применения, образуя  роли. Такое разграничение доступа  является составляющей многих современных  компьютерных систем. у каждой из перечисленных нами систем есть свои преимущества, однако ключевым является то, что ни одна из описанных моделей не стоит на месте, а динамично развивается. Приверженцы есть у каждой из них, однако, объективно посмотрев на вещи, трудно отдать предпочтение какой-то одной системе. Они просто разные и служат для разных целей. 
 
 
 
 
 
 
 
 

     Литература

1. Белов Е.Б, Лось В.П. и др Основы информационной безопасности // М.: Горячая линя - Телеком, 2006. — 544
2. Соболь Б.В. и др Информатика. Учебник 3-е изд., доп. и перераб.- Ростов н/Д: Феникс, 2007. — 446 с. 
3. П.Н. Девянин, О.О. Михальский, Д.И. Правиков, А.Ю. Щербаков. Теоретические основы компьютерной безопасности: учебное пособие для вузов. - М.: Радио и связь, 2000.
4. Д.П. Зегжда, A.M. Ивашко. Основы безопасности информационных систем. - М.: Горячая линия -Телеком, 2000