Secret Net 6.5-C (сетевой вариант)

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 01:18, 2 февраля 2015.

Система защиты информации Secret Net 6.5-С (сетевой вариант) интегрируется с доменом Microsoft Active Directory и дополняет своими защитными механизмами стандартные средства обеспечения информационной безопасности операционных систем семейства Microsoft Windows.

Описание компонентов системы

Основные компоненты

1. Компонент Secret Net 6.5 - Модификатор схемы (используется только в сетевом режиме функционирования).
Эта программа используется на этапе установки системы для подготовки схемы Active Directory к развертыванию Secret Net 6.5. Модификатор AD представляет собой программное средство автоматизированного добавления в схему AD классов и атрибутов, необходимых для развертывания системы Secret Net 6.5.
2. Компонент «Secret Net 6.5 - Сервер безопасности» (используется только в сетевом режиме функционирования).
Сервер безопасности представляет собой программное средство, обеспечивающее взаимодействие компонентов Secret Net 6.5, а также сбор, обработку и передачу данных и команд оперативного управления. Сервер безопасности управляет компонентами «Клиент», установленными на рабочих станциях, серверах и контроллерах защищаемого домена, принимает от них уведомления о событиях безопасности, а также производит сбор журналов. Для работы сервера безопасности необходима СУБД Oracle. В домене может быть установлено несколько СБ, которые могут функционировать независимо или образовывать иерархию подчиненности.
3. Компонент «Secret Net 6.5 - Средства управления» (используется только в сетевом режиме функционирования).
Компонент «Средства управления» представляет собой программное средство, обеспечивающее работу администратора с данными, циркулирующими в контуре оперативного управления, мониторинга и аудита. Компонент включает в себя.
  • Программу мониторинга. Эта программа устанавливается на рабочем месте администратора оперативного управления — сотрудника, уполномоченного контролировать и оперативно корректировать состояние защищаемых компьютеров в режиме реального времени.
  • Программу просмотра журналов. Эта программа устанавливается на рабочем месте сотрудника, уполномоченного проводить аудит системы защиты. С помощью программы можно просматривать сведения, хранящиеся в регистрационных журналах.
  • Программу конфигурирования (также можно встретить название – «Консоль управления»). Эта программа предназначена для конфигурирования структуры подчиненности серверов безопасности и управления передачей и хранением журналов.
4. Компонент «Secret Net 6.5» (далее – Клиент).
Клиент представляет собой программное средство, обеспечивающее реализацию защитных механизмов Secret Net 6.5, применение заданных параметров групповых политик и взаимодействие с сервером безопасности. Компонент устанавливается на все защищаемые компьютеры.

Дополнительные компоненты

Программа пакетной установки СУБД Oracle. Программа предназначена для автоматизации установки и конфигурирования программного обеспечения Oracle, необходимого для функционирования сервера безопасности.

Файл:Risk2.png
Рис. 1. Структура Secret Net 6.5 с точки зрения установки компонент

Общая архитектура системы

Система Secret Net 6.5 состоит из трех функциональных частей:

  • Защитные механизмы, которые устанавливаются на все защищаемые компьютеры автоматизированной системы (АС) и представляют собой набор дополнительных защитных средств, расширяющих средства безопасности ОС Windows.
  • Средства управления защитными механизмами, которые обеспечивают централизованное и локальное управление системой.
  • Средства оперативного управления, которые выполняют оперативный контроль (мониторинг управление) рабочими станциями, а также централизованный сбор, хранение и архивирование системных журналов
Файл:Risk3.png
Рис.2 Контуры управления Secret Net 6.5

Защитные механизмы

Защитные механизмы — это программные и аппаратные средства, предназначенные для защиты локальных ресурсов компьютера. Защитные механизмы устанавливаются в составе компонента СЗИ Secret Net 6.5 - Клиент на каждый защищаемый компьютер сети (в том числе — контроллеры домена и сервера).

Каждый из применяемых защитных механизмов ориентирован на решение определенных задач. Настройку защитных механизмов выполняет главный администратор безопасности средствами централизованного управления или администратор компьютера средствами локального управления. Средства управления позволяют настраивать защитные механизмы в соответствии с текущими требованиями политики безопасности.

Действие защитных механизмов определяется настройками, хранящимися в локальной базе данных Secret Net 6.5. В этой же базе данных хранятся параметры, определяющие права и полномочия каждого пользователя компьютера.

Централизованная настройка имеет приоритет перед локальной. Если какие-то параметры для данного компьютера заданы централизованно, локальный администратор изменить их не может. Сочетанием централизованного и локального управления достигается высокая гибкость в управлении безопасностью АС. На крупных предприятиях при большой загруженности главного администратора безопасности часть функций по управлению системой Secret Net 6.5 может быть передана помощникам главного администратора или администраторам компьютеров. Кроме того, администратор безопасности компьютера может управлять параметрами локальных пользователей.

Управление защитными механизмами

Централизованное управление

Централизованное управление — управление работой системы защиты, осуществляемое главным администратором безопасности (или группой главных администраторов) со своего рабочего места. В функции централизованного управления входит настройка защитных механизмов, корректировка и изменение прав и полномочий пользователей. Средства централизованного управления — основной инструмент главного администратора безопасности, с помощью которого он осуществляет настройку и управление работой защитных механизмов.

Централизованное управление осуществляется посредством следующих компонент:

  1. Модификатора схемы AD;
  2. Программы централизованной настройки;
  3. Модуль применения групповых политик.

Модификатор схемы AD

Для нужд централизованного управления схема Active Directory модифицируется — создаются новые объекты, добавляются атрибуты для хранения параметров Secret Net 6.5.

Схема Active Directory содержит правила создания объектов в домене (лесе доменов). Эти правила определяют информацию, которая может быть сохранена с каждым объектом, и тип данных, соответствующий этой информации. Таким образом, в домене нельзя создать объект, если он не описан в схеме AD.

При развертывании домена в нем создается схема AD по умолчанию, которая содержит большинство постоянно используемых классов и атрибутов. Они имеют универсальный характер и являются основными объектами схемы. Такая схема AD именуется «базовой схемой AD».

Для некоторых задач набор объектов классов и атрибутов, имеющийся в базовой схеме AD, может оказаться недостаточным. Процесс расширения схемы называется модификацией схемы AD. Модификация схемы AD для установки системы Secret Net 6.5 — это процедура описания в схеме AD объектов Secret Net 6, выполняемая Модификатором AD. Без выполнения этой процедуры невозможна установка и эксплуатация системы Secret Net 6.5 в сетевом режиме функционирования.

Программы централизованной настройки

Централизованная настройка защитных механизмов и изменение параметров пользователей осуществляются следующими средствами:

  • Редактор свойств пользователей и Редактор объектов групповой политики' — представляют собой расширения стандартных средств централизованного управления ОС Windows и доступны в соответствующих стандартных оснастках. Данные средства могут использоваться после установки клиентского ПО в сетевом режиме функционирования на контроллерах домена или на компьютерах с установленными средствами централизованного управления Microsoft Administration Tools Pack (AdminPack).
  • Программа «Контроль программ и данных» в централизованном режиме работы — устанавливается на защищаемых компьютерах при установке клиентского ПО в сетевом режиме функционирования. В этой программе можно централизованно выполнять настройку механизмов контроля целостности и замкнутой программной среды.

В качестве хранилища централизованно заданных параметров используется Active Directory.

Модуль применения групповых политик

Модуль применения групповых политик включается в состав клиентского ПО при установке в сетевом режиме функционирования. Он обеспечивает запрос централизованно заданных параметров для применения их на защищаемом компьютере.

Локальное управление

Локальное управление — это управление работой средств защиты на отдельном компьютере. Локальное управление осуществляется штатными возможности ОС и дополненными средствами Secret Net 6.5, входящими в состав Клиента. Локальное управление осуществляется администратором компьютера.

Средствами локального управления решаются следующие задачи:

  1. Настройка параметров работы защищаемого компьютера
  2. Управление работой пользователей
  3. Настройка защитных механизмов и устройств аппаратной поддержки
  4. Контроль работы пользователей компьютера.

Средства локального управления позволяют администратору управлять только той рабочей станцией, на которой они запущены. Настройки выполняются администратором с помощью двух стандартных оснасток операционной системы, расширенных для работы в системе Secret Net 6.5 и некоторых других программ.

Значения параметров хранятся в локальной базе данных Secret Net 6.5. Для ускорения настройки параметров политик безопасности могут быть использованы средства экспорта и импорта. Средства локального управления доступны администратору компьютера в рамках полномочий, отведенных ему администратором безопасности.

Журнал регистрации также хранится в локальной базе данных Secret Net 6.5. Просмотр журнала осуществляется с помощью специальной программы. В программе предусмотрены такие сервисные функции, как сортировка, поиск и фильтрация записей, выборка записей, сохранение записей в файл. Администратор безопасности компьютера может определять перечень регистрируемых событий и устанавливать права доступа к журналам.

Получение и применение настроек

Параметры из Active Directory запрашиваются с рабочей станции по мере необходимости (например, при загрузке компьютера или входе пользователя).

При входе пользователя в систему (интерактивно или по сети) подсистема репликации собирает настройки пользователя и сохраняет их в памяти компьютера. Поэтому после изменения параметров работы пользователя они в большинстве случаев вступают в силу только при следующем входе пользователя в систему. При выходе пользователя из системы информация удаляется из памяти.

Защитные подсистемы получают из локальной базы свои настройки в произвольные моменты времени, обычно при загрузке или при оповещении об изменении действующей политики безопасности. Оповещение используется для того, чтобы защитные подсистемы могли обновить значения своих настроек из базы данных.

Действующая политика безопасности формируется из параметров локальной и групповых политик в процессе применения групповых политик на рабочей станции. Инициатором процесса применения политик выступает операционная система. Сначала создается список всех объектов-политик, имеющих отношение к данной рабочей станции, в порядке увеличения их приоритета— от локальной политики (она имеет самый низкий приоритет) до политики организационного подразделения, в которое входит рабочая станция. Настройки всех политик с учетом их приоритетов последовательно объединяются в локальной политике. После этого сформированные настройки сохраняются в локальной базе данных — в параметрах защитных подсистем.

Файл:Risk4.png
Рис. 2.1 Средства централизованного и локального управления

Оперативное управление

Основными задачами оперативного управления являются:

  • Оперативный контроль состояния автоматизированной системы (получение информации о состоянии рабочих станций и о действиях пользователей).
  • Оповещение о событиях НСД.
  • Выдача оперативных команд управления — выключение, перезагрузка, блокировка компьютеров, запуск процесса применения групповых политик.
  • Централизованный сбор, хранение и архивирование журналов.
  • Ведение журнала НСД.
  • Анализ записей журналов и их архивов.

В состав контура входят следующие программные компоненты (см. рис. 3):

  1. Сервер безопасности (СБ);
  2. Агент оперативного управления (Агент ОУ);
  3. База данных оперативного управления (БД ОУ);
  4. Программа мониторинга;
  5. Программа просмотра централизованных журналов;
  6. Программа конфигурирования;
  7. Программа «Сертификаты».

Сервер безопасности (СБ) — центральная часть обеспечивающая взаимодействие всех компонентов, сбор, обработку и передачу данных, передачу команд оперативного управления. Серверы безопасности могут объединяться в иерархические структуры. Каждый сервер безопасности управляет агентами или подчиненными серверами безопасности, принимает от них уведомления о событиях, проводит сбор журналов и накапливает полученную информацию в своей базе данных (БД ОУ).

Агент оперативного управления — программный модуль, устанавливаемый вместе со средствами защиты на рабочие станции и серверы при установке клиента Secret Net 6.5. Модуль предназначен для передачи серверу безопасности информации о состоянии компьютера, журналов, оповещения о событиях НСД и приема оперативных команд от сервера и их выполнения

База данных оперативного управления (БД ОУ) — предназначена для хранения информации используемой в управлении работой компонентов контура, и журналов, поступающих с рабочих станций. В качестве базы данных используется СУБД Oracle. БД рекомендуется устанавливать на выделенном компьютере, при установке на одном компьютере с сервером безопасности быстродействие системы снижается.

Программа мониторинга — позволяет просматривать иерархическую структуру ОУ, получать информацию о состоянии агентов и управлять ими путем выдачи оперативных команд на выключение, блокировку или перезагрузку компьютеров.

Программа просмотра централизованных журналов — программа, предназначенная для просмотра журналов, хранящихся в БД ОУ. просмотра архивов журналов и выполнения операций по архивированию и удалению журналов.

Программа конфигурирования — позволяет редактировать схему взаимодействия серверов безопасности, изменять настройки серверов безопасности и агентов. Информация о конфигурации системы сохраняется в Active Directory.

Программа «Сертификаты»

Программа предназначена для выполнения действий с доверенными сертификатами сервера безопасности.

Программа «Сертификаты» устанавливается в составе программного обеспечения сервера безопасности.

Файл:Risk5.png
Рис. 3. Основные компоненты контура оперативного управления

Контур оперативного управления имеет архитектуру клиент - сервер. Клиентами по отношению к серверу безопасности являются агенты, установленные на защищаемых компьютерах, и программы мониторинга и просмотра централизованных журналов, установленные соответственно на рабочих местах администратора, ответственного за оперативное управление и аудитора. Обмен данными между клиентами и сервером осуществляется в режиме сессий. При передаче данных используется протокол HTTPS.

В зависимости от особенностей построения сети и ее топологии, в пределах домена можно установить не один, а несколько серверов безопасности с использованием принципа транзитивного подчинения. На Рис. 4 представлен пример использования нескольких серверов (СБ1 - СБ4) в рамках одного домена.

Файл:Risk6.png
Рис. 4. Пример использования нескольких СБ в пределах одного домена

Каждый сервер контролирует работу своей группы защищаемых компьютеров и работает со своей базой данных. Как видно из рисунка, серверы безопасности СБ2 и СБЗ являются подчиненными по отношению к СБ1; а СБ4 - подчиненным по отношению к СБ2. Рекомендуется устанавливать каждый сервер на отдельном выделенном компьютере.

Средства аппаратной поддержки

В Secret Net 6.5 поддерживается работа со следующими аппаратными средствами:

  • средства идентификации и аутентификации на базе USB-ключей eToken,
  • iKey (USB) и Rutoken (USB);
  • устройства Secret Net Card и Secret Net Touch Memory Card PCI;
  • программно-аппаратные комплексы (ПАК) «Соболь» версий 3.0 и 2.1.

В таблице (см. ниже) приведены сведения о каждой из названных групп аппаратных средств.

Аппаратные средства Основные функции
Средства идентификации и аутентификации на базе USB-ключей
  • Хранение данных для идентификации и аутентификации.
  • Хранение ключевой информации для усиленной аутентификации.
Устройства Secret Net Card и Secret Net Touch Memory Card PCI
  • Чтение данных для идентификации и аутентификации.
  • Чтение ключевой информации для усиленной аутентификации.
  • Блокировка несанкционированной загрузки ОС со съемных носителей.
ПАК «Соболь»
  1. Регистрация пользователей и назначение им персональных идентификаторов и паролей для входа в систему.
  2. Идентификация и аутентификация пользователей до загрузки ОС Windows.
  3. Чтение ключевой информации для усиленной аутентификации.
  4. Управление параметрами процедуры идентификации и аутентификации пользователя (защита от подбора пароля).
  5. Контроль целостности файлов на жестком диске и секторов жесткого диска до загрузки ОС.
  6. Блокировка несанкционированной загрузки ОС со съемных носителей.
  7. Регистрация событий безопасности.
  8. Возможность интеграции с системой Secret Net 6.5.

Для более тесного взаимодействия Secret Net 6.5 с ПАК «Соболь» предусмотрен режим интеграции. В этом режиме средствами администрирования Secret Net 6.5 можно управлять следующими функциями ПАК «Соболь»:

Функция Описание
Управление входом пользователя Secret Net 6.5 в комплекс «Соболь» с помощью идентификатора, инициализированного и присвоенного пользователю в системе Secret Net 6.5

Пользователю предоставляются права на автоматический вход в комплекс и далее в систему при однократном предъявлении идентификатора. Также для входа может использоваться пароль, записанный в память персонального идентификатора

Управление работой подсистемы контроля целостности ПАК «Соболь» Для ПАК «Соболь» задания на контроль целостности файлов жесткого диска формируются средствами администрирования Secret Net 6.5
Автоматическая передача записей журнала регистрации событий ПАК «Соболь» в журнал Secret Net Передача записей и их преобразование осуществляются автоматически при загрузке подсистемы аппаратной поддержки Secret Net 6.5