На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Функциональные подсистемы и модули центрально-распределенной системы защиты

Функциональная структура сетевой системы защиты
С учетом особенностей рассматриваемого в работе класса систем (сис­тем защиты, основные функции которых реализуются на системном уров­не), система должна быть хорошо структурирована. Функциональная структура системы защиты задает распределение реализуемых функций
по отдельным функциональным подсистемам. Функциональная подсисте­ма состоит из нескольких модулей, реализующих набор механизмов, не­обходимых для покрытия требований данной подсистемы.
Функциональный модуль определяется как структурный элемент, реали­зующий набор механизмов или используемый для вспомогательных це­лей (организации взаимодействия между другими модулями в рамках
решения всего комплекса задач).
Используя определенные выше компоненты системы защиты и сформули­рованные в предыдущем разделе рекомендации, получаем структуру сете­вой системы защиты, основанную на реализации централизованно-распре­деленной архитектуры, представленную 3. Там указаны информационные и управляющие связи между модулями в пределах одной
функциональной подсистемы, а также между отдельными функциональны­ми подсистемами.
Из 3. можно видеть, что в общем случае могут быть выделены сле­дующие типы функциональных подсистем:
1. Подсистема защиты рабочих станций и информационных серверов
(клиентская часть системы защиты). К этой же подсистеме отнесем
функции регистрации событий.
2. Подсистема удаленного контроля рабочих станций и информаци­онных серверов.
3. Подсистема удаленного управления механизмами защиты рабочих
станций и серверов.
Подсистема защиты рабочих станций и информационных серверов (клиентская часть системы защиты)
Подсистема защиты рабочих станций и информационных серверов (кли­ентская часть системы защиты) является структурообразующим элемен­том, призванным решать собственно задачи защиты информации и со­держащем в себе следующие основные функциональные модули:
Модули, реализующие механизмы защиты (каждый механизм за­щиты реализуется отдельным функциональным модулем):
• модуль аутентификации;
• модуль управления доступом;
• модуль контроля целостности;
• модуль противодействия ошибкам и закладкам в системном и функциональном программном обеспечении;
• модуль очистки памяти и изоляции программных модулей и (в зависимости от реализуемых в системе механизмов защиты).
2. Модуль регистрации (аудита).
3. Модуль управления режимами, который решает задачи инициали­зации механизмов при доступе к защищаемым ресурсам.
Подсистема удаленного контроля рабочих станций и информационных серверов
Подсистема удаленного контроля рабочих станций и информационных серверов реализует, в дополнение к перечисленным функциям защиты, контроль служебной деятельности сотрудников и информации, распола­гаемой на защищаемом объекте.
Данная подсистема состоит из следующего набора функциональных модулей:
1. Модуль сканирования клавиатуры и монитора. Модуль сканирования клавиатурного буфера удаленной консоли осуществляет копирование информации, набираемой на клавиатуре видеотерминала, с целью последующего архивирования и передачи на рабочее место админи­стратора безопасности. При этом передача может осуществляться либо в синхронном режиме — по расписанию, либо в асинхронном режиме — по внешним запросам администратора безопасности. Предварительное накопление информации по результатам контроля со­стояния осуществляется либо в специальной, защищенной от просмотра
области внешнего диска, либо в виде, не пригодном для непосредствен­ного просмотра и удаления пользователями. Режим функционирования модуля определяется согласно установке соответствующих параметров локальной базы данных системы защиты по сигналам от модуля управле­ния режимами. Команды управления режимами инкапсулируются в кад­рах протокола управления сетевыми соединениями системы защиты и непосредственно передаются модулю управления режимами.
Модуль сканирования видеобуфера удаленной консоли реализует
аналогичные контролирующие функции по отношению к видеотер­миналу удаленной консоли. В дополнение к перечисленному, дан­ным модулем осуществляется автоматическое архивирование полу­ченной информации непосредственно перед передачей на рабочее
место администратора безопасности. Период выполнения контро­лирующих функций данного вида определяется необходимостью выборочного контроля пользователей.
2. Модуль сканирования состояния системы реализует функции удален­ного контроля состояния системы:
• контроля файловой системы защищаемого объекта. Реализуется воз­можность удаленного просмотра объектов файловой системы, со­здания, записи, удаления файла (каталога) на защищаемом объекте, запрета доступа пользователей к удаленно создаваемому файлу;
• контроля среды исполнения. Реализуется возможность удаленно­го контроля запущенных на защищаемом объекте процессов, уда­ленного запуска процесса, в том числе в невидимой для пользо­вателя консоли;
• контроля настроек ОС. Реализуется возможность удаленного про­смотра объектов реестра ОС, создания, записи, удаления ключа реестра на защищаемом объекте, запрета доступа пользователей к ветви или ключу реестра ОС;
• контроля параметров сетевого доступа, в частности, занятых TCP портов и т.д. и др. (в зависимости от реализуемых в системе
механизмов контроля).
3. Модуль управления режимами решает задачи инициализации меха­низмов при запуске функций контроля.
Подсистема удаленного управления механизмами защиты рабочих станций и серверов (серверная часть системы защиты — сервер безопасности)
Подсистема удаленного управления механизмами защиты рабочих станций и серверов (серверная часть системы защиты — сервер безопасности) обес­печивает централизацию управления техническими средствами клиентской части системы защиты и контроля (по соответствующим журналам) со стороны серверной части в удаленном режиме. Функциональные возмож­ности подсистемы обеспечиваются следующим набором модулей:
1. Модуль обработки сетевых соединений предоставляет интерфейс служб представительского уровня МОС/ВОС для подсистемы системы за­щиты и интерфейс сеансового уровня для подсистемы контроля
рабочих станций и информационных серверов. Межсетевое взаимо­действие целесообразно реализовать на основе служб транспортно­го протокола TCP и сетевого протокола IP. В качестве транспорт­ного интерфейса для организации передачи команд и ответов реализуется закрытый протокол, позволяющий шифровать трафик. Для организации сетевых соединений и мониторинга подключения
рабочих станций используется интерфейс сокетов высокого уровня.
При установлении виртуального канала и передаче данных должна использоваться сеансовая аутентификация агентов и контроль це­лостности соединений по последовательным номерам команд-отве­тов и таймерам ожидания/блокировки соединения. Передача кад­ров протокола реализуется с использованием внешних подключаемых
алгоритмов маскирования и шифрования информации.
Модуль непосредственно взаимодействует с модулем доступа к базе
данных администратора безопасности при выполнении репликации (согласования) элементов учетных записей централизованной базы данных и локальных сегментов баз данных удаленных узлов. Мо­дуль инициализируется при запуске сервера безопасности и остает­ся активен до момента остановки серверной части.
2. Модуль базы данных администратора безопасности используется для
хранения, предварительной обработки (сортировки, фильтрации) и выборки информации следующих типов:
• регистрационные записи журнальных файлов;
• параметры конфигурации и настройки системы защиты;
• сообщения об ошибках работы ОС и системы защиты (журналы
ошибок).
3. Модуль графического интерфейса администратора безопасности ис­пользуется для доступа к базе данных выделенного сервера админи­стратора безопасности и осуществления прямого контроля удален­ных узлов в режиме реального времени, включая выдачу команд чтения буферов клавиатуры и видеотерминала, проверки подключе-
ния пользователя к сети, команд обновления конфигурации и оп­роса статуса удаленного узла. Интерфейс целесообразно строить в удобной для использования форме, базирующейся на стандартных для Windows-приложений графических примитивах. При этом дол­жны предусматриваться различные способы группирования объек­тов контроля в различные уровни иерархии, включая:
• группирование пользователей в функциональные группы по осо­бенностям служебной деятельности;
• группирование пользователей в функциональные группы в соот­ветствии с особенностями физического их расположения на тер­ритории предприятия;
• группирование узлов в сетевые сегменты в соответствии с осо­бенностями физического их расположения и способов подключе­ния к ресурсам сети;
• группирование узлов в информационные (автоматизированные) системы в соответствии с их принадлежностью к системам обра­ботки данных;
• комбинированное группирование с учетом перечисленных
возможностей.
По соображениям удобства мониторинг объектов контроля осуще­ствляется с применением одного из указанных представлений.
4. Модуль управления режимами решает задачи инициализации режи­мов мониторинга и управления.
Функционирование системы защиты должно осуществляться в двух ре­жимах в зависимости от наличия активного соединения клиентской час­ти с сервером безопасности.
• При работе в автономном режиме (серверная часть отсутствует) функционирование системы защиты начинается с загрузки опе­рационной системы на защищаемом сервере или рабочей стан­ции. При этом в качестве сервиса ОС автоматически загружается система защиты с заданными настройками параметров механиз­мов защиты.
• При работе в сетевом варианте (с сервером безопасности) после загрузки клиентской части осуществляется автоматический поиск сервера безопасности (по его заданному IP-адресу или имени), под­ключение к серверу по протоколу TCP/IP на заданный порт и
проведение сеансовой аутентификации компонент системы защиты.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика