Система регистрации, анализа и мониторинга событий информационной безопасности (пример использования)

Система регистрации, анализа и мониторинга событий информационной безопасности (Система РАМС ИБ) представляет собой многоуровневую информационно-аналитическую систему, используемую для обеспечения постоянной защищенности автоматизированных информационных систем (АИС) как небольших организаций, так и распределенных систем федерального масштаба. Отличительной особенностью Системы РАМС ИБ является возможность контроля изолированных АРМ и локальных сетей, не включённых в корпоративные информационные системы.

Ниже приведена схема некоторой корпоративной информационной системы, имеющей:

  • головной офис;
  • крупные филиалы, объединенные с головным офисом в корпоративную сеть;
  • мелкие филиалы, не имеющие постоянной связи с другими подразделениями;
  • отдельные рабочие места, не имеющие связи с другими подразделениями.

Для обеспечения постоянной защищенности АИС на АРМы и сервера должны быть установлены хостовые агенты мониторинга. Основные функции хостовых агентов:

  • контроль / принуждение к исполнению установленной политики информационной безопасности, в том числе возможность мониторинга/блокирования сетевых интерфейсов, модемов, USB-портов и оптических накопителей на машине агента;
  • возможность немедленной реакции на заданные события информационной безопасности (СИБ).

Для надежного обеспечения постоянной защищенности объектов АИС хостовые агенты обладают следующими возможностями и особенностями:

  • надежное скрытие всех своих элементов (файлов, используемых ключей системного реестра, сетевых соединений, процесса);
  • удаленное получение и обновление политик информационной безопасности, контролируемых агентом;
  • запуск приложений по расписанию;
  • удаленная визуализация и управление состоянием модулей агента (загрузка, выгрузка, запуск, останов, смена текущей активной версии модуля);
  • передача/получение сообщений через альтернативные маршруты (альтернативные транспортные серверы);
  • возможность накапливать сообщения при отсутствии связи с сервером передачи сообщений;
  • шифрование трафика;
  • синхронизация времени агента с временем управляющего сервера;
  • возможность немедленной реакции на заданные СИБ;
  • функционирование под управлением ОС Windows 32 и 64 разряда: XP/2003 Server/ Vista/ 7/2008 Server / 8/ 8.1/2012 Server.

Сообщения о СИБ от агентов передаются на прикладные сервера Системы РАМС ИБ с использованием протокола надёжного транспорта сообщений, разработанного в ООО «Центр Специальной Системотехники». Подсистема надёжного транспорта сообщений характеризуется следующими отличительными свойствами:

  • архитектура «Клиент-Сервер»;
  • реализация механизмов квитирования и ретрансляции сообщений;
  • реализация механизмов транзакций в очередях и хранилищах сообщений;
  • реализация механизмов динамического изменения правил маршрутизации сообщений;
  • поддержка механизмов криптографической защиты сообщений при передаче по каналам связи;
  • поддержка механизмов аутентификации и авторизации компонентов подсистемы;
  • поддержка различных протоколов транспорта: TCP/UDP/ICMP для передачи сообщений по каналам связи;
  • поддержка передачи структурированных (IDMEF) и типизированных неструктурированных (BLOB) сообщений;
  • мультиплатформенная реализация: Unix/Linux/BSD/Windows;
  • возможность передачи сообщений через транспортные USB-носители.

Перечисленные особенности хостовых агентов и используемого транспортного протокола обеспечивают следующие уникальные свойства по обеспечению защищенности АИС:

  • установленная на агенте политика информационной безопасности выполняется/ контролируется всегда, независимо от наличия связи с остальными компонентами Системы РАМС ИБ;
  • в случае отсутствия связи с остальными компонентами Системы РАМС ИБ (изолированные АРМы или принудительное отключение злоумышленником сетевого интерфейса) вся информация о СИБ сохраняется в скрытых областях агента;
  • при появлении связи информация от агента передаётся на сервер передачи сообщений, а управляющая информация – на агент;
  • все сообщения, в том числе от агентов, установленных на изолированных рабочих местах и в изолированных локальных сетях, поступают на единый или один из региональных серверов анализа информации.

Управление Системой РАМС ИБ производится удаленно через web-браузер из консоли управления, позволяющей:

  • управлять всеми функциями и подсистемами, в том числе удаленными;
  • централизованно готовить и рассылать требования (политики) по информационной безопасности на рабочие места и сервера АИС;
  • формировать структуру и работать со следующими типами интерактивных (переходящих с целью детализации по выбираемым полям от одного типа к другому) отчетов:
    • Лента событий;
    • Статистическое распределение выбранных параметров событий;
    • Распределение интенсивности выбранных параметров событий по времени.

Использование системы РАМС ИБ эффективно:

  • при разработке и применении технических мер защиты информации в ИСПДн, предоставляющих информационные услуги удаленным пользователям, в частности в рамках построения порталов госуслуг;
  • при разработке и применении технических мер защиты информации в территориально распределенных системах, в том числе имеющих изолированные АРМы и сегменты.

Загрузить PDF >>>

© 2002- 2018 Центр Специальной Системотехники |