Комплекс средств защиты информационных ресурсов от компьютерных атак «Аргус-МП»

Комплекс средств защиты информационных ресурсов от компьютерных атак «Аргус-МП» (КСЗИР) разработан ГК ЦСС и  состоит из следующих компонент:

1. Веб-сервер nginx, функционирующий в режиме прокси-сервера на базе сертифицированной на соответствие требованиям безопасности информации ФСБ России операционной системы специального назначения Astra Linux Special Edition. Программное обеспечение веб-сервера nginx прошло тематические исследования в соответствии с методическими документами по безопасности информации ФСБ России в испытательной лаборатории ООО «ЦСС».

2. Комплекс программных средств системы регистрации, анализа и мониторинга событий информационной безопасности (КПС РАМС ИБ) (серверный компонент средства аудита информационной безопасности (САИБ)), разработанный ООО «ЦСС» и сертифицированный на соответствие требованиям безопасности ФСБ России.

3. Хостовой агент контроля параметров объектов операционных систем (ХА - узловой датчик САИБ) – программное средство, разработанное ООО «ЦСС» и сертифицированное в составе КПС РАМС ИБ на соответствие требованиям безопасности ФСБ России.

4. Комплекс программных средств системы обнаружения компьютерных атак (КПС СОА) «Аргус» версии 1.6, разработанный ООО «ЦСС» и сертифицированный на соответствие требованиям безопасности информации ФСБ России.

5. Комплекс программных средств «Агент мониторинга доступности» (КПС АМД), разработанный ООО «ЦСС-Сервис».

6. Комплекс программных средств ретроспективного анализа сетевого трафика  «Стетоскоп» версии 3.0 (КПС «Стетоскоп»), разработанный ООО «ЦСС-Безопасность» и ООО «ЦСС-Сервис».

7. Информационное обеспечение КСЗИР (базы данных сигнатур компьютерных атак для КПС СОА и ХА, базы решающих правил автоматического анализа потоков событий информационной безопасности (СИБ) и выявления инцидентов информационной безопасности (ИИБ); базы данных алгоритмов автоматического управления компонентами КСЗИ и др.), разработанное ООО «ЦСС-Сервис».

При обмене информацией по каналам связи между программными компонентами КСЗИР обеспечивается гарантированная доставка сообщений от отправителя к получателям и криптографическая защита передаваемой информации (обеспечение конфиденциальности и целостности сообщений).

Описанная выше защита передаваемой по каналам связи информации реализована с использованием системы надежного транспорта сообщений (СНТС), разработанной ООО «ЦСС» и имеющей положительное заключение ФСБ России о соответствии требованиям к средствам криптографической защиты информации класса КС1, КС2, КС3.

 

Рис. 1 – Типовая схема защиты веб-серверов и почтовых серверов с применением КСЗИР

Задачи защиты информационных ресурсов от компьютерных атак, решаемые компонентами  КСЗИР:

1. Веб-сервер nginx и операционная система специального назначения Astra Linux Special Edition используется для решения следующих задач по защите веб-серверов и почтовых серверов:

  • обеспечение функционирования протокола SSL/TLS;
  • защита от атак на отказ в обслуживании как на уровне исчерпания пропускной способности каналов связи (фильтрация контента – сокращение/исключение ответов сервера на аномальные запросы), так и на уровне исчерпания вычислительных ресурсов аппаратуры и программного обеспечения (фильтрация сессий - полуоткрытые и медленные соединения, применение кластера веб-серверов nginx, позволяющих линейно увеличивать производительность);
  • нормализация параметров HTTP-запроса;
  • кеширование веб-контента;
  • управление аутентификацией и методами аутентификации почтовых протоколов (IMAP, POP3, SMTP)
  • контроль и запрет всех исходящих соединений ОС сервера nginx;
  • ограничение доступа к серверу nginx из сети Интернет только по портам веб-сервисов (80,443) и почтовых сервисов (465,587,993,995) на уровне ОС (в том числе необходимо межсетевое экранирование на уровне ТКО);
  • ограничение доступа к серверу nginx только из локальной сети с выделенных АРМ администраторов или выделенной сети управления на уровне ОС (в том числе необходимо межсетевое экранирование на уровне ТКО).

2. КПС РАМС ИБ используется для решения следующих задач:

  • анализ событий информационной безопасности (СИБ) от хостовых агентов, КПС СОА «Аргус», межсетевых экранов, телекоммуникационного оборудования, получаемых от источников СИБ по протоколам СНТС, syslog, SNMP и автоматическое выявление инцидентов информационной безопасности (ИИБ);
  • оперативное реагирование на выявленные ИИБ (активация блокирующих правил на межсетевых экранах, хостовых агентах, управление телекоммуникационным оборудованием в части маршрутизации сетевых потоков и т.п.);
  • непрерывная инвентаризация программных и аппаратных ресурсов информационной системы;
  • мониторинг функционирования компонентов КСЗИР в реальном масштабе времени;
  • автоматическое управление компонентов КСЗИР в соответствии с заданными алгоритмами управления;
  • автоматический обмен информацией с НКЦКИ ГосСОПКА.

3. Хостовой агент контроля параметров объектов операционных систем используется для решения следующих задач:

  • контроль состава и целостности оборудования  и программного обеспечения;
  • контроль целостности объектов файловых систем (ФС), процессов, модулей ядра, объектов файловой системы операционной системы и СПО, в том числе, статических элементов веб-страниц;
  • контроль доступа к объектам;
  • контроль процессов ОС;
  • анализ системных журналов и конфигурационных файлов;
  • контроль печати;
  • контроль функционирования средств криптографической защиты информации (СКЗИ), средств антивирусной защиты (САВЗ), межсетевых экранов (МЭ) и др. типов средств защиты информации, установленных на хосте;
  • контроль передачи информации на сменные носители и по сети, включая выявление передачи защищаемой информации в незашифрованном виде.
  • контроль системного реестра ОС семейства Microsoft Windows (для ХА, предназначенного для функционирования в ОС семейства Microsoft Windows);
  • самозащита и самодиагностика.

4. КПС СОА «Аргус» используется для решения задач обнаружения признаков компьютерных атак в сетевом трафике с использованием сигнатурного, поведенческого и статистического методов.

5. КПС АМД используется для решения задач мониторинга доступности веб-ресурсов, а также для защиты веб-ресурса от компьютерных атак типа «deface» (несанкционированной подмены контента веб-страниц).

6. КПС «Стетоскоп» обеспечивает запись и индексирование всего сетевого трафика для обеспечения дополнительными данными процесс расследования инцидентов информационной безопасности, ретроспективного анализа и получения подтверждающих материалов при расследовании инцидентов информационной безопасности.

© 2002 - 2023 Центр Специальной Системотехники |