Основы информационных и телекоммуникационных технологий. Программно-аппаратное обеспечение

4. Модификатор  схемы Active Directory.  

1. Клиент 

Клиент Secret Net 5.0 следит за соблюдением настроенной  политики безопасности на рабочих станциях и серверах, обеспечивает регистрацию  событий безопасности и передачу журналов на Сервер Безопасности, а также приём от него оперативных команд и их выполнение.  

2. Сервер  Безопасности 

Сервер  Безопасности производит сбор журналов от зарегистрированных на нем агентов, накапливает полученную информацию в базе данных и обеспечивает выдачу команд оперативного управления клиентам (например, блокировку рабочей станции при выявлении попытки НСД).  

3. Программа  оперативного управления, мониторинга  и аудита ("Монитор")

"Монитор"  является программой, которая отображает  администратору оперативную информацию от Сервера Безопасности о состоянии рабочих станций и дает возможность отслеживать:  

какие компьютеры сети в данный момент включены;

какие пользователи на них работают (как  локально, так и в терминальном режиме).  

"Монитор"  в режиме реального времени отображает оперативную информацию о происходящих событиях НСД, позволяет осуществлять просмотр журналов всех рабочих станций, а также выдавать на защищаемые рабочие станции команды оперативного управления.  

4. Модификатор  схемы Active Directory

Модификатор схемы AD используется для подготовки схемы Active Directory ОС Windows к разврётыванию Secret Net 5.0. Т.к. в качестве в качестве хранилища информации о настройках безопасности Secret Net 5.0 использует AD, данный модуль создаёт новые объекты и изменяет параметры существующих. Программы управления объектами и параметрами групповых политик, входящие в состав этого модуля, обеспечивают управление параметрами работы доменных пользователей и применение централизованных настроек безопасности Secret Net 5.0.  

Управление  системой Secret Net 5.0

В любой  системе защиты возможности гибкого  управления настройками не менее  важны, чем сами функциональные возможности  системы. Secret Net 5.0 предоставляет администратору безопасности мощный инструментарий для организации централизованного управления настройками безопасности, оперативного реагирования на нарушения политики безопасности и осуществления мониторинга и аудита защищаемой сети в режиме реального времени.  

Система централизованного управления

В качестве хранилища информации в системе  централизованного управления используется Active Directory (AD). Для нужд централизованного  управления Secret Net 5.0 схема Active Directory расширяется  — создаются новые объекты  и изменяются параметры существующих.

Для выполнения этих действий используется специальный  модуль изменения схемы AD, который  устанавливается и запускается  на контроллере домена при установке  системы централизованного управления. Для приведения параметров работы защитных средств компьютера в соответствие настройкам безопасности Secret Net 5.0, задаваемым с помощью групповых политик, используется агент Secret Net 5.0, установленный на каждом сервере или рабочей станции защищаемой сети.

Столь тесная интеграция Системы Управления с Active Directory позволяет легко использовать Secret Net 5.0 для организации защиты сети, использующей многодоменную структуру. Построение защитной системы сети, использующей многодоменную структуру, на основе выделенного сервера безопасности, как это было в системах защиты предыдущего поколения, имело ряд существенных недостатков. Постоянно возникающие проблемы синхронизации данных между контроллером домена и сервером безопасности, завышенные требования к аппаратной части сервера безопасности – всё это значительно затрудняло централизованное управление безопасностью информационной системы. В Secret Net 5.0 эти проблемы принципиально отсутствуют.  

Оперативный мониторинг и аудит

В Secret Net 5.0 предусмотрена функция оперативного мониторинга и аудита безопасности информационной системы предприятия, которая позволяет решать такие задачи, как:  

Оперативный контроль состояния автоматизированной системы предприятия (получение  информации о состоянии рабочих  станций и о работающих на них  пользователях).

Централизованный сбор журналов с возможностью оперативного просмотра в любой момент времени, а также хранение и архивирование журналов.

Оповещение  администратора о событиях НСД в  режиме реального времени.

Оперативное реагирование на события НСД —  выключение, перезагрузка или блокировка контролируемых компьютеров.

Ведение журнала НСД.  

Система оперативного управления имеет свою базу данных, в которой хранится вся информация, связанная с работой  сервера по обеспечению взаимодействия компонентов, а также журналы, поступающие от агентов.

В качестве базы данных используется СУБД Oracle 9i.  

Мониторинг

Программа мониторинга устанавливается на рабочем месте администратора оперативного управления — сотрудника, уполномоченного  контролировать и оперативно корректировать состояние защищаемых компьютеров в режиме реального времени.

С помощью  программы мониторинга администратор  может управлять сбором журналов с рабочих станций. Предусмотрено  два варианта. Первый — сервер оперативного управления собирает журналы по команде  администратора. Второй — администратор составляет расписание и передаёт его серверу, далее сервер собирает журналы в соответствии с этим расписанием.

Также предусмотрена возможность создать  удобный для администратора вид  представления сети – т.н. "срез" (например, по отделам, по территориальному размещению и т.п.), в случае крупной распределённой сети, делегировать другим администраторам выделенные им для управления сегменты сети.  

Аудит

Программа работы с журналами устанавливается  на рабочем месте сотрудника, уполномоченного проводить аудит системы защиты. Если функции мониторинга и аудита совмещает один сотрудник, программа устанавливается на том же компьютере, который является рабочим местом администратора оперативного управления.

В системе Secret Net 5.0 для проведения аудита используются 4 журнала:  

Журнал  приложений.

Журнал  безопасности.

Журнал  системы.

Журнал Secret Net.  

Первые  три из перечисленных журналов —  штатные, входящие в состав средств  операционной системы. В журнале Secret Net хранятся сведения о событиях, происходящих в системе Secret Net 5.0.

Журналы ведутся на каждом защищаемом компьютере сети и хранятся в его локальной  базе данных. Сбор журналов осуществляется по команде аудитора или по расписанию.

Программа работы с журналами позволяет аудитору просматривать записи журналов и тем самым отслеживать действия пользователей, связанные с безопасностью автоматизированной информационной системы предприятия.

В программе  управления журналами предусмотрена  настраиваемая выборка записей, используя которую аудитор может просматривать не весь журнал целиком, а только часть записей, удовлетворяющих определённым критериям. Это значительно ускоряет и упрощает работу, связанную с поиском и анализом событий.

С помощью  программы работы с журналами  аудитор может выдавать команды серверу на архивацию журналов, а также на восстановление журналов из архива. Предусмотрена возможность просмотра архивов, а также сохранения журнала в файл для последующей передачи и анализа записей вне системы Secret Net 5.0.  

Защитные  механизмы 

Secret Net 5.0 имеет в своём арсенале большой  набор функциональных возможностей  по защите информационных ресурсов, который с достаточной степенью  надёжности позволит обеспечить  сохранность и целостность защищаемой  информации.  

Усиленная идентификация и аутентификация пользователей

Система Secret Net 5.0 совместно с ОС Windows обеспечивает усиленную идентификацию и аутентификацию пользователя с помощью средств  аппаратной поддержки при его  входе в систему, а также позволяет  существенно снизить риски того, что пользователь загрузит компьютер с отчуждаемых внешних носителей и получит доступ к важной информации в обход системы защиты.

В качестве аппаратной поддержки система Secret Net 5.0 использует: программно-аппаратный комплекс "Соболь" и Secret Net Touch Memory Card. Плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определённого времени после включения питания на плату не было передано управление, она блокирует работу всей системы.  

Полномочное управление доступом

Функция управления доступом пользователей  к конфиденциальной информации. Каждому  информационному ресурсу назначается  один их трёх уровней конфиденциальности: “Не конфиденциально”, “Конфиденциально”, “Строго конфиденциально”, а каждому  пользователю – уровень допуска. Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации.  

Разграничение доступа к устройствам

Функция обеспечивает разграничение доступа  к устройствам с целью предотвращения несанкционированного копирования информации с защищаемого компьютера. Существует возможность запретить либо разрешить пользователям работу с любыми портами устройствами.

Разграничивается  доступ к следующим портам/устройствам:  

последовательные  и параллельные порты;

сменные, логические и оптические диски;

USB –  порты.  
 

Также поддерживается контроль подключения  устройств на шинах USB, PCMCIA, IEEE1394 по типу и серийному номеру, права доступа  на эти устройства задаются не только для отдельных пользователей, но и для групп пользователей.

Также существует возможность запретить  использование сетевых интерфейсов - Ethernet, 1394 FireWire, Bluetooth, IrDA, Wi-Fi.  

Замкнутая программная среда

Для каждого  пользователя компьютера формируется  определённый перечень программ, разрешённых для запуска. Он может быть задан как индивидуально для каждого пользователя, так и определён на уровне групп пользователей. Применение этого режима позволяет исключить распространение вирусов, "червей" и шпионского ПО, а также использования ПК в качестве игровой приставки.  

Контроль  целостности

Используется  для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым  заданным расписанием.

Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнаружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:  

регистрация события в журнале Secret Net;

блокировка  компьютера;

восстановление повреждённой/модифицированной информации;

отклонение  или принятие изменений.  

Гарантированное уничтожение данных

Уничтожение достигается путем записи случайной  последовательности на место удалённой  информации в освобождаемую область  диска. Для большей наджёности может быть выполнено до 10 циклов (проходов) затирания.

Контроль  аппаратной конфигурации компьютера

Осуществляет  своевременное обнаружение изменений  в аппаратной конфигурации компьютера и реагирования на эти изменения.