Управление средствами защиты

При выборе СЗИ НСД следует обращать внимание на наличие развитых средств сетевого управления и контроля. Существует три основные схемы управления:

· децентрализованное локальное управление {«быстрые ноги») с консоли самого защищаемого компьютера;

· децентрализованное удаленное управление {«длинные руки») в режиме текстового или графического виртуального терминала защищаемой станции на рабочем месте администратора;

· централизованное управление {«умная голова») всеми защитными механизмами компьютеров с рабочего места администратора, как в реальном времени, так и в отложенном режиме (при выключенных в момент выдачи управляющих воздействий защищаемых компьютерах).

Вопрос о необходимости средств централизованного управления следует решать исходя из соображений целесообразности, принимая во внимание количество защищаемых компьютеров, их расположение и доступность, а также перспективы расширения защищаемой АС. При этом с ростом АС неизбежно возникает ситуация, когда использование средств удаленного сетевого управления или централизованного управления становится жизненно необходимым.

Не все из включенных в государственный реестр сертифицированных СЗИ НСД поддерживают возможность сетевого управления. Те из них, которые поддерживают возможность сетевого управления, реализуют смешанную схему, включающую возможность децентрализованного локального и децентрализованного удаленного управления, либо смешанную схему, включающую в себя все три схемы управления.

Система, реализующая смешанную схему управления включающую удаленное децентрализованное управление, должна иметь распределенную архитектуру: клиентское ПО на защищаемых компьютерах и ПО оператора системы, обеспечивающее отображение оповещений о событиях НСД и связь с клиентским ПО для чтения/записи настроек дополнительных защитных механизмов. Возможен вариант, когда схема с использованием сетевого управления не является основной, в этом случае агентское ПО, устанавливаемое на защищаемые компьютеры, поддерживает в штатном режиме возможность автономной работы, а ПО удаленного администрирования приобретается дополнительно. Поскольку удаленное децентрализованное управление по определению предполагает назначение настроек защитных механизмов отдельно для каждого компьютера и каждого пользователя, часто такие системы включают в себя возможность настройки по шаблону в той или иной форме, что облегчает управление.

По такой схеме построено сетевое управление в СЗИ Dallas Lock версий 6 и 7, «Блокхост-сеть» (в обоих случаях модуль сетевого управления включен в комплект поставки) и Аккорд (ПО «Аккорд-РАУ», реализующее сетевое управление ПАК «Аккорд», поставляется дополнительно).

Система, реализующая смешанную схему управления средствами защиты, включающую централизованное управление, должна иметь распределенную «клиент (агент)-серверную» архитектуру, в которой центральным элементом является специальный сервер безопасности (сервер управления доступом), а функции контроля и управления на защищаемых компьютерах реализуют его специальные клиенты(агенты).

Возможен вариант интеграции управления дополнительными СЗИ НСД со штатными средствами централизованного управления сетевыми ОС. По этому пути пошли разработчики системы Secret Net 5.0-С (сетевой вариант): в качестве централизованного хранилища настроек здесь используется Active Directory, а распространение настроек на клиентские компьютеры производится с использованием групповых политик. Легко поддается проверке утверждение, что Secret Net 5.0-С (сетевой вариант) - единственное существующее на рынке на данный момент решение такого рода, поэтому дальнейшее изложение назначения компонент системы относится именно к этой СЗИ НСД.

Клиенты (агенты) на защищаемых компьютерах призваны обеспечивать:

· нормальную работу дополнительных защитных механизмов компьютеров в автономном режиме (при отсутствии возможности взаимодействия с сервером безопасности по сети), что предполагает наличие на защищаемых компьютерах локальных баз данных защиты, содержащих выдержки «в части касающейся» из центральной БД, размещаемой в Active Directory размещаемой на сервере безопасности (т.е. наличие распределенной базы данных защиты);

· поддержку централизованного как оперативного, так и «отложенного» (осуществляемого в периоды неактивности данных компьютеров) администрирования с рабочих мест администраторов безопасности штатных и дополнительных защитных механизмов;

· контроль за действиями пользователей и локальных администраторов, оперативное (централизованное) оповещение сервера безопасности о текущем состоянии данных компьютеров и о попытках НСД;

· передачу на сервер безопасности журналов регистрации событий для их централизованного анализа, хранения, архивирования и т.п.

Сервер безопасности, кроме работы с клиентами (агентами), должен обеспечивать взаимодействие со средствами централизованного управления и оперативного контроля, размещаемыми на компьютерах администраторов безопасности - сотрудников подразделений технической защиты информации.

Изменение различных составляющих управляющей информации производится по-разному. Одна часть информации корректируется централизованно (в групповых политиках) с рабочего места администратора, другая - децентрализовано (в локальной политике безопасности) с соответствующих рабочих станций. В локальной политике безопасности доступны для корректировки только те параметры, которые не заданы через групповые политики. Для параметров СЗИ действуют все те же правила наследования, что и для стандартных настроек, назначаемых через групповые политики.