Мониторинг безопасности системы

Функции мониторинга безопасности информационной системы выполняют средства анализа защищенности и средства обнаружения атак (см. главу 13). Средства анализа защищенности исследуют настройки элементов защиты операционных систем на рабочих станциях и серверах, базах данных. Они исследуют топологию сети, ищут незащищенные или неправильные сетевые соединения, анализируют настройки межсетевых экранов.

Управление средствами безопасности является реагированием системы управления безопасностью на меняющиеся условия и может быть различным по форме, например:

О пассивным, то есть реализовывать лишь уведомление системы сетевого управления по протоколу SNMP или администратора по электронной почте либо пейджеру;

О активным, то есть самостоятельно автоматически завершать сессию с атакующим узлом или пользователем, реконфигурировать настройку межсетевого экрана или таких сетевых устройств, как маршрутизаторы.

В функции системы управления безопасностью входит выработка рекомендаций администратору по устранению обнаруженных уязвимостей в сетях, приложениях или иных компонентах информационной системы организации.

Важным вопросом является организация взаимодействия систем мониторинга (активного аудита) и общего управления [6, 7]. Активный аудит выполняет типичные управляющие функции - анализ данных об активности в информационной системе, отображение текущей ситуации, автоматическое реагирование на подозрительную активность. Сходным образом функционирует система сетевого управления. Активный аудит и общее управление целесообразно интегрировать, используя общие программно-технические и организационные решения. В эту интегрированную систему может быть включен и контроль целостности, а также агенты другой направленности, отслеживающие специфические аспекты поведения ИС (рис. 15.3).

С логической точки зрения можно считать, что существует центральная консоль управления, куда стекаются данные от систем мониторинга (активного аудита), контроля целостности, контроля систем и сетей по другим аспектам. На этой консоли отображается текущая ситуация, с нее, автоматически или вручную, выдаются управляющие команды. По техническим или организационным причинам эта консоль может быть физически реализована в виде нескольких рабочих мест (с выделением, например, места администратора безопасности).

Интеграция сервисов безопасности и системы управления

Рис. 15.3. Интеграция сервисов безопасности и системы управления

Один из известных специалистов в области информационной безопасности Маркус Ранум (Markus Ranum) считает, что действия по обнаружению ошибок, вторжений или отказов являются аспектами единой проблемы управления сетями [6, 7]. В частности, продукт для активного аудита NFR (Network Flight Recorder) М. Ранум рассматривает как компонент системы сетевого управления.

Использование модели адаптивного управления безопасностью сети дает возможность контролировать практически все угрозы и своевременно реагировать на них, позволяя не только устранить уязвимости, которые могут привести к реализации угрозы, но и проанализировать условия, приводящие к появлению уязвимостей. Примером системы, реализующей принципы адаптивного управления безопасностью сети, является система SAFEsuite Decisions, разработанная компанией Internet Security Systems, Inc. и предназначенная для сбора и анализа информации, полученной от различных средств защиты информации, а также для анализа нарушений безопасности, выявления на их основе тенденций и прогнозирования возможных в будущем атак.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >