На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 6 ноябрь-декабрь 2005 г.
Тема номера: ЦЕНТРАЛИЗОВАННОЕ УПРАВЛЕНИЕ ИБ


ВСЕ ПОД КОНТРОЛЕМ.
Управление системами безопасности

А. Ю. Задонский, технический эксперт Computer Associates


Предыдущая статьяСледующая статья

В наше время – время информационного бума – термин «информационная безопасность» стал не просто общеупотребительным, но и модным. Все понимают растущую зависимость бизнеса от информационных технологий и значимость безопасности как одной из ее важнейших составляющих.

Если рассматривать безопасность в историческом аспекте, то становится видно: понимание ее роли в информационных системах проходило этапы, аналогичные тем, которые можно отметить на пути осознания того, что такое сети и информационные системы. Уходят в прошлое кустарные методы, идет повсеместное ориентирование на мировые стандарты (например, рекомендации ITIL для информационных систем, ISO 17799 для систем безопасности), общей тенденцией стало стремление построения систем, ориентированных на задачи бизнеса и учитывающих различные аспекты жизнедеятельности организаций.

Те же тенденции наблюдаются и в информационной безопасности. Если проследить эволюцию систем безопасности (рис.1), можно увидеть переход от уровня физического ограничения доступа (1-е поколение) до современного состояния (4-е поколение). Все еще частой является ситуация, когда под информационной безопасностью понимается уровень компьютерной защиты. Это – второе поколение, которое чаще всего реализуется как защита периметра (межсетевые экраны, proxy-серверы) и защита рабочих станций (антивирусы).

Вместе с тем, опыт показывает, что большинство злоупотреблений совершаются внутри периметра безопасности сотрудниками, имеющими непосредственный доступ к информационным ресурсам. Исходя из этого, грамотное построение системы безопасности начинается с вопросов о том:

  • Что именно необходимо защитить?
  • Кто, к чему и какими средствами имеет доступ?
  • Что происходит в информационной системе?

Если теория информационной безопасности рассматривает такие понятия, как конфиденциальность, целостность и доступность, то опыт реального построения систем корпоративного уровня имеет дело со следующими основными подсистемами и взаимодействиями между ними.

  • Системы идентификации и управления доступом:
    • централизованное администрирование пользователей и ресурсов (User Provisioning);
    • системы централизованной аутентификации (Single SignOn);
    • системы управления доступом (Access Control).
  • Системы активной защиты:
    • межсетевые экраны;
    • антивирусы;
    • системы обнаружения вторжений (Intrusion Detection);
    • криптографическая защита информации.
  • Системы управления информацией безопасности:
    • активный мониторинг и управление событиями безопасности;
    • пассивный анализ и аудит.

В данной статье упор делается на системах управления информацией безопасности по двум причинам: во-первых, часто этот аспект безопасности обходят стороной, а, во-вторых, именно централизованное управление событиями позволяет говорить о построении целостной системы информационной безопасности.

Системы управления информацией безопасности можно разделить на две основные группы.

  • Активный мониторинг и управление событиями безопасности:
    • сбор информации в масштабе организации;
    • конвертация информации к единообразному виду;
    • фильтрация, корреляция, анализ;
    • мониторинг в реальном времени;
    • управление разными системами из центрального интерфейса.
  • Пассивный анализ и аудит:
    • сбор информации (с восстановлением сессий) для работы с инцидентами;
    • возможность работы с неизвестным трафиком (и неизвестными протоколами);
    • хорошая визуализация и анализ;
    • возможность идти в глубь содержимого (анализ контента).

В чем же основная проблема построения единой системы управления безопасностью? Для ответа на этот вопрос рассмотрим основные составляющие активной компьютерной защиты корпоративного уровня.

Для построения защиты и функционирования информационной сети необходимы:

  • телекоммуникации (например, маршрутизаторы Cisco Systems);
  • межсетевые экраны (например, Checkpoint Firewall);
  • системы обнаружения вторжений (например, ISS RealSecure);
  • антивирусная защита;
  • серверы (например, Windows или UNIX);
  • базы данных (например, Oracle).

Даже беглого взгляда на эти средства достаточно, чтобы увидеть: во-первых, эти модули имеют разные функциональные возможности (разные интерфейсы управления, разную выходную информацию), во-вторых, все эти средства чаще всего поставляются разными вендорами, что приводит к еще большим проблемам в совместной работе. Однако для построения комплексной системы управления безопасностью необходимо обеспечить их совместную работу.

Представим себе, что нам удалось привести все события безопасности в единую точку (репозитарий с сервером обработки) и обеспечить возможность управления из единой административной консоли. Что это даст?

Даже самый поверхностный взгляд позволяет увидеть: появляются уникальные возможности для понимания того, что происходит во всех системах, и для управления этой ситуацией. Например, при детектировании аномального или подозрительного поведения какого-либо пользователя (IDS) можно заблокировать все соединения с его адреса с помощью межсетевого экрана или при вирусной атаке – отключить порт зараженного компьютера от сети.

 

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100