ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ РФ
ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
(ДВПИ им. В. В. КУЙБЫШЕВА)
Институт радиоэлектроники, информатики и электротехники
Факультет информационных и компьютерных технологий
Кафедра информационных систем управления
ОТЧЕТ
По УИРС
Выполнили студенты гр. Р-2222
Терешонок Г. Г.
Фисенко Д. А.
Проверил преподаватель
Чернышов В.И.
ВЛАДИВОСТОК
2006
Содержание
1. Тема дипломной работы.. 3
2. Обоснование актуальности темы.. 3
3. Организационная структура предприятия. 5
4. Описание и характеристика АСОИУ в организации. 6
4.1 Сведения об условиях эксплуатации объекта автоматизации. 6
4.2 Характеристики используемого программного обеспечения на предприятии 6
5. Использование ЛВС: от преимуществ к проблемам. 7
5.1. Преимущества использования ЛВС.. 7
5.1.1. Распределенное хранение файлов. 7
5.1.2. Удаленные вычисления. 7
5.1.3. Обмен сообщениями. 8
5.2. Проблемы безопасности ЛВС.. 8
5.2.1. Распределенное хранение файлов - проблемы.. 8
5.2.2. Удаленные вычисления - проблемы.. 8
5.2.3. Топологии и протоколы - проблемы.. 9
5.2.4. Службы Обмена сообщениями - проблемы.. 9
5.2.5. Прочие проблемы безопасности ЛВС.. 9
5.3. Цели и задачи проектирования безопасности ЛВС.. 10
6. Угрозы, уязвимые места, службы и механизмы защиты. 10
6.1. Угрозы и уязвимые места. 11
6.2. Службы и механизмы защиты.. 14
7. Обзор и анализ существующих программно-аппаратных средств пригодных для решения поставленной задачи. 16
7.1. Межсетевой экран. 16
7.1.1. Cisco PIX.. 16
7.1.2. Juniper Networks Firewall/IPSec VPN.. 18
7.2. Системы IDS / IPS. 20
7.2.1. Cisco IDS/IPS. 20
7.2.2. StoneGate IPS. 22
7.2.3. DefensePro IDS IPS. 23
7.2.4. SecureNet Sensor 23
7.2.5. Juniper Networks IDP. 24
7.3. Системы мониторинга и управления безопасностью.. 26
7.3.1. Cisco MARS. 26
7.3.2. Secure Net Provider 27
1. Тема дипломной работы
Комплексное управление безопасностью информационной системы в ЛВС ОАО “ХК Дальзавод”.
2. Обоснование актуальности темы
Развитие и широкое применение электронной вычислительной техники в промышленности, управлении, связи, научных исследованиях, образовании, сфере услуг, коммерческой, финансовой и других сферах человеческой деятельности являются в настоящее время приоритетным направлением научно-технического прогресса. Эффект, достигаемый за счет применения вычислительной техники, возрастает при увеличении масштабов обработки информации, то есть концентрации по возможности больших объемов данных и процессов их обработки в рамках одной технической системы, включая территориально рассредоточенные вычислительные сети и автоматизированные системы управления.
Масштабы и сферы применения этой техники стали таковы, что наряду с проблемами надежности и устойчивости ее функционирования возникает проблема обеспечения безопасности циркулирующей в ней информации. Безопасность информации - это способность системы ее обработки обеспечить в заданный промежуток времени возможность выполнения заданных требований по величине вероятности наступления событий, выражающихся в утечке, модификации или утрате данных, представляющих ту или иную ценность для их владельца. При этом считается, что причиной этих событий могут быть случайные воздействия либо воздействия в результате преднамеренного несанкционированного доступа человека-нарушителя.
Утечка информации заключается в раскрытии какой-либо тайны: государственной, военной, служебной, коммерческой или личной. Защите должна подлежать не только секретная информация. Модификация несекретных данных может привести к утечке секретных либо к не обнаруженному получателем приему ложных данных. Разрушение или исчезновение накопленных с большим трудом данных может привести к невосполнимой их утрате. Специалистами рассматриваются и другие ситуации нарушения безопасности информации, но все они по своей сути могут быть сведены к перечисленным выше событиям. В зависимости от сферы и масштабов применения той или иной системы обработки данных потеря или утечка информации может привести к различной тяжести последствиям: от невинных шуток до исключительно больших потерь экономического и политического характера. В прессе и технической литературе приводится масса подобных примеров. Особенно широкий размах получили преступления в автоматизированных системах, обслуживающих банковские и торговые структуры.
В связи с высокой информатизацией общества за рубежом проблема безопасности информации весьма актуальна. Этой проблеме посвящены многие тысячи работ, в том числе сотни работ монографическрго характера. Различные аспекты проблемы являются предметом активного обсуждения на форумах зарубежных специалистов, семинарах и конференциях. В современной практике в нашей стране при разработке данных вопросов в основном используются зарубежный опыт и работы отечественных специалистов по отдельным методам и средствам защиты информации в автоматизированных системах ее хранения, обработки и передачи. Эти обстоятельства, однако, не означают, что проблема безопасности информации в нашей стране не столь актуальна, хотя и следует, признать, что уровень автоматизации и информатизации нашего общества пока еще отстает от международного уровня. Выход на этот уровень неизбежен, и движение в этом направлении уже происходит. Вместе с ним следует также ожидать и появления аналогичных попыток несанкционированного доступа к обрабатываемой информации, которые могут носить лавинообразный характер и которым необходимо противопоставить соответствующие преграды.
Решение этой проблемы, несмотря на большой объем проведенных исследований, усложняется еще и тем, что до настоящего времени в России и за рубежом отсутствуют единые и общепринятые теория и концепция обеспечения безопасности информации в автоматизированных системах ее обработки.
В теории это выражается в различии основных терминов и определений, классификации объектов обработки и защиты информации, методов определения возможных каналов несанкционированного доступа к информации, методов расчета прочности средств ее защиты, принципов построения системы защиты, отсутствии гарантированных количественных показателей уровня прочности защиты как единого механизма в создаваемых автоматизированных системах. На практике - в достаточно успешных действиях нарушителей и весьма ощутимых потерях владельцев систем.
Ключевыми моментами в разработке концепции являются четкость и ясность постановки задачи. В первую очередь это касается определений объекта и предмета защиты, а также потенциальных угроз.
В сложившемся в настоящее время подходе предметом защиты принято считать "информационные ресурсы". Нетрудно заметить, что это понятие имеет множественный характер и представляет собой множество предметов защиты. Границы этого множества никем и ничем не определены и устанавливаются разработчиком компьютерной системы по своему усмотрению с учетом рекомендаций специалистов. Далее определяются множество потенциальных угроз этим ресурсам и адекватное им подобранное на основе экспертных оценок множество средств защиты, которые в совокупности должны образовать в автоматизированной системе и вокруг нее некую защищенную среду обработки информации.
3. Организационная структура предприятия
4. Описание и характеристика АСОИУ в организации
4.1 Сведения об условиях эксплуатации объекта автоматизации
В настоящий момент в Компании установлено 130 рабочих мест, объединенных в несколько локальных сетей с выделенными файл-серверами. В компании существуют 3 локальные сети ПК. Характеристики ЛВС:
Характеристика
|
|
Сетевая ОС |
Windows 2003 Server |
Сетевой протокол |
ТСР/IР |
Количество компьютеров |
130 |
ОС рабочих станций |
Windows 98,2000 Professional |
Средний объем ОЗУ рабочих станций |
64 |
4.2 Характеристики используемого программного обеспечения на предприятии
Комплексная автоматизация бизнес-процессов в Компании на сегодняшний день реализована в Автоматизированной информационной системе ОАО «Холдинговая компания Дальзавод».
Условное обозначение "АИС Дальзавод ".
Проект "АИС Дальзавод " - адаптация русской версии стандартного приложения корпоративной системы управления предприятием Microsoft Business Solutions-Navision версии 3.70 в соответствии с потребностями ОАО «Холдинговая компания Дальзавод».
Автоматизированная система предназначена для решения задач управленческого, бухгалтерского и налогового учета в Компании. Система призвана автоматизировать деятельность по решению задач управления финансовыми и материальными ресурсами предприятия, персоналом, учета расчетов с различными дебиторами и кредиторами, детального учета затрат, автоматизированного расчета себестоимости заказов, поддержки принятия управленческих решений. Система используется в ОАО «Холдинговая компания Дальзавод». Перечень автоматизируемых подразделений:
• Руководство предприятия
• Экономический отдел
• Финансовый отдел
• Бухгалтерия
• Отдел материально-технического снабжения
• Складское хозяйство
• Отдел кадров
• Служба аналитического учета
5. Использование ЛВС: от преимуществ к проблемам
Определение ЛВС Институт Инженеров Электриков и Электронщиков (IEEE) определяет ЛВС как "систему передачи данных, обеспечивающую некоторому числу независимых устройств возможность прямого взаимодействия в ограниченном географическом пространстве посредством физического канала взаимодействия ограниченной производительности". Типичная ЛВС принадлежит только одной организации, которая ее использует и управляет ею. ЛВС с помощью сетевой ОС объединяет серверы, рабочие станции, принтеры и стримеры, позволяя пользователям совместно использовать ресурсы и функциональные возможности ЛВС.
5.1. Преимущества использования ЛВС
5.1.1. Распределенное хранение файлов
Распределенное хранение файлов обеспечивает пользователей прозрачным доступом к части дисковой памяти удаленного сервера. Распределенное хранение файлов предоставляет такие возможности, как удаленную работу с файлами и удаленную печать. Удаленная работа с файлами позволяет пользователям получать доступ, читать и сохранять файлы. В общем случае, удаленная работа с файлами обеспечивается путем предоставления пользователям возможности подключения к части удаленного устройства дисковой памяти (файлового сервера) так, как будто это устройство подключено напрямую. Этот виртуальный диск используется так, как будто он является локальным диском рабочей станции. Удаленная печать позволяет пользователю печатать на любом принтере, подключенном к любому компоненту ЛВС. Удаленная печать решает две проблемы пользователей:
организацию фоновой печати в ходе обработки данных и совместное использование дорогих принтеров. Серверы печати ЛВС могут сразу после запроса на печать принимать весь файл, позволяя пользователям продолжать работу на их рабочих станциях, вместо того, чтобы ожидать окончания выполнения задания печати. Многие пользователи, используя один и тот же принтер, смогут оправдать покупку быстрого принтера высокого качества.
5.1.2. Удаленные вычисления
Удаленными вычислениями называют запуск приложения или приложений на удаленных компонентах. Удаленные вычисления позволяют пользователям
- удаленно подключаться к другим компонентам ЛВС,
- удаленно выполнять приложение, находящееся на другой компоненте или
- удаленно запускать приложение на одной или более компонент,
в то же время создавая для пользователя представление, что они выполняются локально. Удаленное подключение позволяет пользователям устанавливать сеанс с удаленной ЭВМ (такой, как многопользовательская ЭВМ) так, как будто пользователь непосредственно подключен к удаленной ЭВМ. Возможность запуска приложений на одной или более компонент позволяет пользователю использовать всю вычислительную мощь ЛВС.
5.1.3. Обмен сообщениями
Приложения обмена сообщениями связаны с электронной почтой и возможностями телеконференций. Электронная почта является одной из наиболее важных возможностей, доступных посредством компьютерных систем и сетей. Почтовые серверы действуют, как локальные почтовые отделения, обеспечивая пользователям возможность посылать и получать сообщения через ЛВС. Возможности телеконференций позволяют пользователям активно взаимодействовать друг с другом по аналогии с телефоном.
5.2. Проблемы безопасности ЛВС
Преимущества использования ЛВС были кратко обсуждены в предыдущем разделе. Эти преимущества, однако, сопряжены с дополнительным риском, который приводит к проблемам безопасности ЛВС.
5.2.1. Распределенное хранение файлов - проблемы
Файловые серверы могут контролировать доступ пользователей к различным частям файловой системы. Это обычно осуществляется разрешением пользователю присоединить некоторую файловую систему (или каталог) к рабочей станции пользователя для дальнейшего использования как локальный диск. Это представляет две потенциальные проблемы. Во-первых, сервер может обеспечить защиту доступа только на уровне каталога, поэтому если пользователю разрешен доступ к каталогу, то он получает доступ ко всем файлам, содержащимся в этом каталоге. Чтобы минимизировать риск в этой ситуации, важно соответствующим образом структурировать и управлять файловой системой ЛВС. Следующая проблема заключается в неадекватных механизмах защиты локальной рабочей станции. Например, персональный компьютер (ПК) может обеспечивать минимальную защиту или не обеспечивать никакой защиты информации, хранимой на нем. Копирование пользователем файлов с сервера на локальный диск ПК приводит к тому, что файл перестает быть защищенным теми средствами защиты, которые защищали его, когда он хранился на сервере. Для некоторых типов информации это может быть приемлемо. Однако, другие типы информации могут требовать более сильной защиты. Эти требования фокусируются на необходимости контроля среды ПК.
5.2.2. Удаленные вычисления - проблемы
Удаленные вычисления должны контролироваться таким образом, чтобы только авторизованные пользователи могли получать доступ к удаленным компонентам и приложениям. Серверы должны обладать способностью аутентифицировать удаленных пользователей, запрашивающих услуги или приложения. Эти запросы могут также выдаваться локальными и удаленными серверами для взаимной аутентификации. Невозможность аутентификации может привести к тому, что и неавторизованные пользователи будут иметь доступ к удаленным серверам и приложениям. Должны существовать некоторые гарантии в отношении целостности приложений, используемых многими пользователями через ЛВС.
5.2.3. Топологии и протоколы - проблемы
Топологии и протоколы, используемые сегодня, требуют, чтобы сообщения были доступны большому числу узлов при передаче к желаемому назначению. Это гораздо дешевле и легче, чем иметь прямой физический путь между каждой парой машин. (В больших ЛВС прямые связи неосуществимы). Вытекающие из этого возможные угрозы включают как активный, так и пассивный перехват сообщений, передаваемых в линии. Пассивный перехват включает не только чтение информации, но и анализ трафика (использование адресов, других данных заголовка, длины сообщений, и частоту сообщений). Активный перехват включает изменение потока сообщений (включая модификацию, задержку, дублирование, удаление или неправомочное использование реквизитов).
5.2.4. Службы Обмена сообщениями - проблемы
Службы Обмена сообщениями увеличивают риск для информации, хранимой на сервере или передаваемой между источником и отправителем. Неадекватно защищенная электронная почта может быть легко перехвачена, изменена или повторно передана, что влияет как на конфиденциальность, так и на целостность сообщения.
5.2.5. Прочие проблемы безопасности ЛВС
Прочие проблемы безопасности ЛВС включают:
- неадекватную политику управления и безопасности ЛВС,
- отсутствие обучения особенностям использования ЛВС и защиты,
- неадекватные механизмы защиты для рабочих станций и
- неадекватную защиту в ходе передачи информации.
Слабая политика безопасности также увеличивает риск, связанный с ЛВС. Должна иметься формальная политика безопасности, которая бы определяла правила использования ЛВС, для демонстрации позиции управления организацией по отношению к важности защиты имеющихся в ней ценностей. Политика безопасности является сжатой формулировкой позиции высшего руководства по вопросам информационных ценностей, ответственности по их защите и организационным обязательствам. Должна иметься сильная политика безопасности ЛВС для обеспечения руководства и поддержки со стороны верхнего звена управления организацией. Политика должна определять роль, которую имеет каждый служащий при обеспечении того, что ЛВС и передаваемая в ней информация адекватно защищены.
Политика безопасности ЛВС должна делать упор на важности управления ЛВС и обеспечения его поддержки. Управление ЛВС должно иметь необходимые финансовые средства, время и ресурсы. Слабое управление сетью может привести к ошибкам защиты. В результате этого могут появиться следующие проблемы: ослабленная конфигурация защиты, небрежное выполнение мер защиты или даже не использование необходимых механизмов защиты.
Отсутствие осведомленности пользователей в отношении безопасности ЛВС также увеличивает риск. Пользователи, не знакомые с механизмами защиты, мерами защиты и т.п. могут использовать их неправильно и, возможно, менее безопасно. Ответственность за внедрение механизмов и мер защиты, а также за следование правилам использования ПК в среде ЛВС обычно ложится на пользователей ПК. Пользователям должны быть даны соответствующие инструкции и рекомендации, необходимые, чтобы поддерживать приемлемый уровень защиты в среде ЛВС.
5.3. Цели и задачи проектирования безопасности ЛВС
Должны быть поставлены следующие цели при разработке эффективной защиты ЛВС:
- обеспечить конфиденциальность данных в ходе их хранения, обработки или при передаче по ЛВС;
- обеспечить целостность данных в ходе их хранения, обработки или при передаче по ЛВС;
- обеспечить доступность данных, хранимых в ЛВС, а также возможность их своевременной обработки и передачи
- гарантировать идентификацию отправителя и получателя сообщений.
Адекватная защита ЛВС требует соответствующей комбинации политики безопасности, организационных мер защиты, технических средств защиты, обучения и инструктажей пользователей и плана обеспечения непрерывной работы. Хотя все эти области являются критическими для обеспечения адекватной защиты, основной акцент в этой дипломной работе акцент сделан на возможных технических мерах защиты.
6. Угрозы, уязвимые места, службы и механизмы защиты.
Угрозой может быть любое лицо, объект или событие, которое, в случае реализации, может потенциально стать причиной нанесения вреда ЛВС. Угрозы могут быть злонамеренными, такими, как умышленная модификация критической информации, или могут быть случайными, такими, как ошибки в вычислениях или случайное удаление файла. Угроза может быть также природным явлением, таким, как наводнение, ураган, молния и т.п.
Непосредственный вред, вызванный угрозой, называется воздействием угрозы.
Уязвимыми местами
являются слабые места ЛВС, которые могут использоваться угрозой для своей реализации. Например, неавторизованный доступ (угроза) к ЛВС может быть осуществлен посторонним человеком, угадавшим очевидный пароль. Использовавшимся при этом уязвимым местом является плохой выбор пароля, сделанный пользователем. Уменьшение или ограничение уязвимых мест ЛВС может снизить или вообще устранить риск от угроз ЛВС. Например, средство, которое может помочь пользователям выбрать надежный пароль, сможет снизить вероятность того, что пользователи будут использовать слабые пароли и этим уменьшить угрозу несанкционированного доступа к ЛВС.
Служба защиты является совокупностью механизмов защиты, поддерживающих их файлов данных и организационных мер, которые помогают защитить ЛВС от конкретных угроз.
Например, служба аутентификации и идентификации помогает защитить ЛВС от неавторизованного доступа к ЛВС , требуя чтобы пользователь идентифицировал себя , а также подтвердил истинность своего идентификатора. Средство защиты надежно настолько, насколько надежны механизмы, процедуры и т.д., которые составляют его.
Механизмы защиты
являются средствами защиты, реализованными для обеспечения служб защиты, необходимых для защиты ЛВС. Например, система аутентификации, основанная на использовании смарт-карт (которая предполагает, что пользователь владеет требуемой смарт-картой), может быть механизмом, реализованным для обеспечения службы идентификации и аутентификации. Другие механизмы, которые помогают поддерживать конфиденциальность аутентификационной информации, могут также считаться частью службы идентификации и аутентификации.
6.1. Угрозы и уязвимые места
Идентификация угроз предполагает рассмотрение воздействий и последствий реализации угроз. Воздействие угрозы, которое обычно включает в себя проблемы, возникшие непосредственно после реализации угрозы, приводит к раскрытию, модификации, разрушению или отказу в обслуживании. Более значительные долговременные последствия реализации угрозы приводят к потере бизнеса, нарушению тайны, гражданских прав, потере адекватности данных, потере человеческой жизни или иным долговременным эффектам. Подход, описываемый здесь, состоит в классификации типов воздействий, которые могут иметь место в ЛВС, так чтобы специфические технические угрозы могли быть сгруппированы по своим воздействиям и изучены некоторым образом.
Воздействия, которые будут использоваться для классификации и обсуждения угроз среде ЛВС:
1.Неавторизованный доступ к ЛВ
С - происходит в результате получения неавторизованным человеком доступа к ЛВС.
Уязвимые места:
- отсутствие или недостаточность схемы идентификации и аутентификации,
- совместно используемые пароли,
- плохое управление паролями или легкие для угадывания пароли,
- использование известных системных брешей и уязвимых мест, которые не были исправлены,
- однопользовательские ПК, не имеющие парольной защиты во время загрузки,
- неполное использование механизмов блокировки ПК,
- хранимые в пакетных файлах на дисках ПК пароли доступа к ЛВС,
- слабый физический контроль за сетевыми устройствами,
- незащищенные модемы,
- отсутствие тайм-аута при установлении сеанса и регистрации неверных попыток,
- отсутствие отключения терминала при многочисленных неудачных попытках установления сеанса и регистрации таких попыток,
- отсутствие сообщений "дата/время последнего удачного сеанса" и "неуспешная попытка установления сеанса" в начале сеанса,
- отсутствие верификации пользователя в реальном времени (для выявления маскарада).
2.Несоответствующий доступ к ресурсам ЛВС
- происходит в результате получения доступа к ресурсам ЛВС авторизованным или неавторизованным человеком неавторизованным способом.
Уязвимые места:
- использование при назначении прав пользователям по умолчанию таких системных установок, которые являются слишком разрешающими для пользователей,
- неправильное использование привилегий администратора или менеджера ЛВС,
- данные, хранящиеся с неадекватным уровнем защиты или вообще без защиты,
- недостаточное или неправильное использование механизма назначения привилегий для пользователей, ПК, на которых не используют никакого контроля доступа на уровне файлов.
3.Раскрытие данных
- происходит в результате получения доступа к информации или ее чтения человеком и возможного раскрытия им информации случайным или неавторизованным намеренным образом.
Уязвимые места
:
- неправильные установки управления доступом,
- данные, которые считаются достаточно критичными, чтобы нужно было использовать шифрование, но хранятся в незашифрованной форме,
- исходные тексты приложений, хранимые в незашифрованной форме,
- мониторы, находящиеся в помещениях, где много посторонних людей
- станции печати, находящиеся в помещениях, где много посторонних людей
- резервные копии данных и программного обеспечения, хранимые в открытых помещениях.
4.Неавторизованная модификация данных и программ
- происходит в результате модификации, удаления или разрушения человеком данных и программного обеспечения ЛВС неавторизованным или случайным образом.
Уязвимые места
:
- разрешение на запись, предоставленное пользователям, которым требуется только разрешение на доступ по чтению,
- необнаруженные изменения в программном обеспечении, включая добавление кода для создания программы троянского коня,
- отсутствие криптографической контрольной суммы критических данных,
- механизм привилегий, который позволяет избыточное разрешение записи,
- отсутствие средств выявления и защиты от вирусов,
5.Раскрытие трафика ЛВС
- происходит в результате получения доступа к информации или ее чтения человеком и возможного ее разглашения случайным или неавторизованным намеренным образом тогда, когда информация передается через ЛВС.
Уязвимые места
:
- неадекватная физическая защита устройств ЛВС и среды передачи,
- передача открытых данных с использованием широковещательных протоколов передачи,
- передача открытых данных (незашифрованных) по среде ЛВС.
6.Подмена трафика ЛВС
- происходит в результате появлений сообщений, которые имеют такой вид, как будто они посланы законным заявленным отправителем, а на самом деле сообщения посланы не им.
Уязвимые места
:
- передача трафика ЛВС в открытом виде,
- отсутствие отметки даты / времени (показывающей время посылки и время получения),
- отсутствие механизма кода аутентификации сообщения или цифровой подписи,
- отсутствие механизма аутентификации в реальном масштабе времени (для защиты от воспроизведения).
7.Неработоспособность ЛВС
- происходит в результате реализации угроз, которые не позволяют ресурсам ЛВС быть своевременно доступными.
Уязвимые места
:
- неспособность обнаружить необычный характер трафика (то есть намеренное переполнение трафика),
- неспособность перенаправить трафик, выявить отказы аппаратных средств ЭВМ, и т.д.,
- конфигурация ЛВС, допускающая возможность выхода из строя из-за отказа в одном месте,
- неавторизованные изменения компонентов аппаратных средств ЭВМ (переконфигурирование адресов на автоматизированных рабочих местах, изменение конфигурации маршрутизаторов или хабов, и т.д.),
- неправильное обслуживание аппаратных средств ЛВС,
- недостаточная физическая защита аппаратных средств ЛВС.
6.2. Службы и механизмы защиты
Служба защиты - совокупность механизмов, процедур и других управляющих воздействий, реализованных для сокращения риска, связанного с угрозой. Например, службы идентификации и аутентификации (опознания) помогают сократить риск угрозы неавторизованного пользователя. Некоторые службы обеспечивают защиту от угроз, в то время как другие службы обеспечивают обнаружение реализации угрозы. Примером последних могут служить службы регистрации или наблюдения. Следующие службы будут обсуждены в этом разделе:
1. идентификация и установление подлинности
- является службой безопасности, которая помогает гарантировать, что в ЛВС работают только авторизованные лица.
Механизмы защиты
:
- механизм, основанный на паролях,
- механизм, основанный на интеллектуальных картах
- механизм, основанный на биометрии,
- генератор паролей,
- блокировка с помощью пароля,
- блокировка клавиатуры,
- блокировка ПК или автоматизированного рабочего места,
- завершение соединения после нескольких ошибок при регистрации,
- уведомление пользователя о "последней успешной регистрации" и "числе ошибок при регистрации",
- механизм аутентификации пользователя в реальном масштабе времени,
- криптография с уникальными ключами для каждого пользователя.
2. управление доступом
- является службой безопасности, которая помогает гарантировать, что ресурсы ЛВС используются разрешенным способом.
Механизмы защиты
:
- механизм управления доступом, использующий права доступа (определяющий права владельца, группы и всех остальных пользователей),
- механизм управления доступом, использующий списки управления доступом, профили пользователей и списки возможностей,
- управление доступом, использующее механизмы мандатного управления доступом,
- детальный механизм привилегий.
3. конфиденциальность данных и сообщений
- является службой безопасности, которая помогает гарантировать, что данные ЛВС, программное обеспечение и сообщения не раскрыты неавторизованным лицам.
Механизмы защиты:
- технология шифрования файлов и сообщений,
- защита резервных копий на лентах, дискетах, и т.д.,
- физическая защита физической среды ЛВС и устройств,
- использование маршрутизаторов, которые обеспечивают фильтрацию для ограничения широковещательной передачи (или блокировкой, или маскированием содержания сообщения).
4. целостность данных и сообщений
- является службой безопасности, которая помогает гарантировать, что данные ЛВС, програм
Механизмы защиты
:
- коды аутентификации сообщения, используемые для программного обеспечения или файлов,
- использование электронной подписи, основанной на секретных ключах,
- использование электронной подписи, основанной на открытых ключах,
- детальный механизм привилегий,
- соответствующее назначение прав при управлении доступом (то есть отсутствие ненужных разрешений на запись),
- программное обеспечение для обнаружения вирусов,
- бездисковые автоматизированные рабочие места (для предотвращения локального хранения программного обеспечения и файлов),
- автоматизированные рабочие места без накопителей для дискет или лент для предотвращения появления подозрительного программного обеспечения,
5. контроль участников взаимодействия
- является службой безопасности, посредством которой гарантируется, что объекты, участвующие во взаимодействии, не смогут отказаться от участия в нем. В частности, отправитель не сможет отрицать посылку сообщения (контроль участников взаимодействия с подтверждением отправителя) или получатель не сможет отрицать получение сообщения (контроль участников взаимодействия с подтверждением получателя).
Механизмы защиты
:
- использование электронных подписей с открытыми ключами.
6. регистрация и наблюдение - является службой безопасности, с помощью которой может быть прослежено использование всех ресурсов ЛВС.
7. Обзор и анализ существующих программно-аппаратных средств пригодных для решения поставленной задачи.
Реализация системы защиты информации осуществляется, исходя из предпосылки, что невозможно обеспечить требуемый уровень защищенности информационной системы только с помощью одного отдельного средства
(мероприятия) или с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение). В этом случае реализация любой угрозы сможет воздействовать на защищаемый объект только в случае преодоления всех установленных уровней защиты.
Структура КСЗИ
Проектирование проводится с учетом всех аспектов информационной безопасности, требований нормативных документов по защите информации РФ и конкретных условий применения, что позволяет получить целостную систему защиты информации, интегрированную в объект информатизации и подобрать оптимальный режим работы системы защиты.
7.1. Межсетевой экран
7.1.1.
Cisco PIX
Широкий спектр моделей Cisco Pix Firewall, ориентированных на защиту сетей предприятия разного масштаба, от предприятий малого бизнеса и заканчивая крупными корпорациями и операторами связи, обеспечивающих безопасность, производительность и надежность сетей любого масштаба.
В отличие от обычных proxy-серверов, выполняющих обработку каждого сетевого пакета в отдельности с существенной загрузкой центрального процессора, PIX Firewall использует специальную не UNIX-подобную операционную систему реального времени, обеспечивающую более высокую производительность.
Основой высокой производительности межсетевого экрана PIX Firewall является схема защиты, базирующаяся на применении алгоритма адаптивной безопасности (adaptive security algorithm – ASA), который эффективно скрывает адреса пользователей от хакеров.
Благодаря применению технологии «сквозного посредника» (Cut-Through Proxy) межсетевой экран Cisco PIX Firewall также обеспечивает существенное преимущество в производительности по сравнению с экранами-«посредниками» на базе ОС UNIX. Такая технология позволяет межсетевому экрану PIX работать значительно быстрее, чем обычные proxy-экраны.
Межсетевой экран Cisco Secure PIX Firewall также позволяет избежать проблемы нехватки адресов при расширении и изменении IP сетей. Технология трансляции сетевых адресов Network Address Translation (NAT) делает возможным использование в частной сети как существующих адресов, так и резервных адресных пространств. Например, это позволяет использовать всего лишь один реальный внешний IP адрес для 64 тысяч узлов внутренней частной сети. PIX также может быть настроен для совместного использования транслируемых и нетранслируемых адресов, позволяя использовать как адресное пространство частной IP сети, так и зарегистрированные IP адреса.
Для повышения надежности межсетевой экран PIX Firewall предусматривает возможность установки в сдвоенной конфигурации в режиме «горячего» резервирования, за счет чего в сети исключается наличие единой точки возможного сбоя. Если два PIX-экрана будут работать в параллельном режиме и один из них выйдет из строя, то второй в прозрачном режиме подхватит исполнение всех функций обеспечения безопасности.
Основные возможности:
- Производительность до 1,67 Гбит/сек, поддержка интерфейсов Ethernet, Fast Ethernet и Gigabit Ethernet
- Строгая система защиты от НСД на уровне соединения
- Технология Cut Through Proxy – контроль входящих и исходящих соединений
- До 10 сетевых интерфейсов (до 100 виртуальных интерфейсов для Firewall Services Module для Catalyst 6500 и Cisco 7600) для применения расширенных правил защиты
- Поддержка протокола сетевого управления SNMP
- Учетная информация с использованием ведения журнала системных событий (syslog)
- Прозрачная поддержка всех основных сетевых услуг (WWW, FTP, Telnet, Archie, Gopher)
- Поддержка сигнализаций для передачи голоса по IP (VoIP)
- Поддержка мультимедиа-приложений, (Progressive Networks RealAudio & RealVideo, Xing StreamWorks, White Pines CU-SeeMe и др.)
- Поддержка видеоконференций по протоколу H. 323, включая Microsoft NetMeeting, Intel Aнтернет Video Phone и White Pine Meeting Point
- Поддержка взаимодействий клиент–сервер: Microsoft Networking, Oracle SQL*Net
- Безопасная встроенная операционная система реального времени
- Нет необходимости обновления ПО на рабочих станциях и маршрутизаторах
- Полный доступ к ресурсам сети Интернет для легальных пользователей внутренней сети
- Совместимость с маршрутизаторами, работающими под управлением ПО Cisco IOSTM
- Средства централизованного администрирования – CiscoWorks VMS
- Встроенное ПО PIX Device Manager (начиная с версии 6.0 PIX OS) для управления отдельным устройством из графического пользовательского интерфейса
- Оповещение о важных событиях на пейджер или по электронной почте
- Интеграция с другими решениями компании Cisco
Продукция компании «
Cisco
»
PIX 515E-R-DMZ Bundle |
Сертифицированный межсетевой экран |
126000 р. |
PIX 515E-UR-FE Bundle |
Сертифицированный межсетевой экран |
240000 р. |
7.1.2. Juniper Networks Firewall/IPSec VPN
Juniper Networks Firewall/IPSec VPN
— это семейство универсальных продуктов, объединяющих функции межсетевого экрана (firewall), концентратора виртуальных частных сетей (VPN), маршрутизатора и средства управления трафиком (bandwidth manager). Совмещение функций не влечет за собой ограничений по производительности и функциональности. Такое решение становится возможным благодаря тому, что основные функции по применению правил (т.е. собственно функции межсетевого экрана), шифрации, дешифрации и компрессии (т.е. наиболее ресурсоемкие процедуры при реализации технологии IPSec) во всех продуктах NetScreen реализуются аппаратно на базе высокоскоростных заказных микросхем (ASIC). Модельный ряд включает 12 устройств, в том числе 4 модульных (systems) и 8 с фиксированной конфигурацией (appliances), имеющих различные показатели производительности, тип и количество физических интерфейсов, но использующих единую операционную систему ScreenOS, функционирующую на собственной аппаратной платформе, где в составе элементной базы применяется набор заказных микросхем GigaScreen ASIC собственной разработки.
На всех устройствах используется единая операционная система реального времени ScreenOS разработки компании Juniper Networks. На основе ScreenOS реализуются основные функции межсетевого экрана/VPN концентратора NetScreen, в том числе:
- поддержка технологии stateful inspection firewall;
- поддержка виртуальных частных сетей по технологии IPSec, L2TP, L2TP-over-IPSec;
- реализация алгоритмов управления трафиком для эффективного использования полосы пропускания;
- обеспечение высокой готовности (high availability) для построения отказоустойчивых решений;
- поддержка средств управления;
- поддержка протоколов динамической маршрутизации для удобства интеграции с существующими сетями;
- поддержка протоколов аутентификации пользователей;
- защита от известных атак, включая атаки типа SYN, UDP Floods, ICMP Floods, Ping-of-Death, TearDrop, Land и др., а также распознавание попыток сканирования портов, некорректного использования свойств стандартных протоколов, проверку загружаемых компонентов Java/ActiveX/ZIP/EXE, пресечение сессий с незаслуживающими доверия URL;
- защита от атак на уровне приложений: обнаружение аномалий протоколов (HTTP, FTP, SMTP, POP, IM, NetBios/SMB, P2P, IMAP, DNS, MS-RPC) и 650 сигнатур;
- URL-фильтрация (внутренняя и внешняя): SurfControl и WebSense;
- трансляция сетевых адресов (в том числе NAT-T);
- поддержка динамических протоколов маршрутизации RIPv2, OSPF, BGP-4;
- поддержка функциональности классического bandwidth-менеджера: классификация трафика и обслуживание каждого класса в соответствии с заданными параметрами QoS.
Программное обеспечение ScreenOS сертифицировано ICSA. В настоящее время проводится тестирование на предмет удовлетворения требований CommonCriteria.
Настройка и конфигурирование устройств NetScreen осуществляются с помощью встроенного web-интерфейса, командной строки или централизованной системы управления NetScreen Security Manager (NSM).
Сравнительный анализ продуктов:
Потребности заказчика
|
Рекомендованные продукты
|
Ключевые функциональные возможности
|
Маленький офис/ Удаленный офис/Удаленные пользователи |
NetScreen-HSG NetScreen-5GT NetScreen-5GT ADSL NetScreen-5GT Wireless NetScreen-5XT |
Интегрированные устройства безопасности, включающие в себя следующие основные возможности: межсетевой экран с функциями анализа трафика Stateful и Deep Inspection; IPSec VPN; антивирусная фильтрация; web-фильтрация. Быстрая установка и настройка новых устройств в существующем сетевом окружении. Отказоустойчивые устройства, позволяющие реализовать надежное решение с высоким уровнем доступности. |
Региональное представительство/ Дополнительный офис/Среднее предприятие |
NetScreen-25 NetScreen-50 NetScreen-204 NetScreen-208 |
Защита от DoS/DDoS-атак. Безопасность на уровне приложений с помощью технологий Deep Inspection и Web Filtering. Поддержка динамической маршрутизации, чтобы исключить возможность ручного вмешательства. |
Средние и крупные предприятия/ Транспортные сети/ Дата-центры |
NetScreen-500 NetScreen-5200 NetScreen-5400 |
Специализированные устройства, спроектированные для обеспечения высокой производительности, гибкости и масштабируемости. |
7.2. Системы
IDS / IPS
7.2.1. Cisco IDS/IPS
Cisco IDS/IPS является центральным компонентом решений Cisco System по отражению атак. На базе данного ПО построены системы обнаружения атак Cisco IDSM-2 и Cisco IDS Network Module. Наряду с традиционными механизмами в Cisco IDS/IPS используются и уникальные алгоритмы, отслеживающие аномалии в сетевом трафике и отклонения от нормального поведения сетевых приложений. Это позволяет обнаруживать как известные, так и многие неизвестные атаки.
Встроенные технологии корреляции событий безопасности Cisco Threat Response, Threat Risk Rating и Meta Event Generator не только помогают существенно снизить число ложных срабатываний, но и позволяют администраторам реагировать лишь на действительно критичные атаки, которые могут нанести серьезный ущерб ресурсам корпоративной сети.
Основные возможности:
- Широкий спектр алгоритмов обнаружения атак (сигнатуры, аномалии, эвристика, отклонения от RFC и т.п.)
- Защита от методов обхода
- Возможность одновременно работать в двух режимах – обнаружения и предотвращения атак
- Обнаружение атак в IP–телефонии
- Обнаружение IM в Web–трафике
- Встроенный сканер безопасности
- Технология микромодулей Т.А.М.Е. для каждого типа обнаруживаемых атак
- Автоматический выбор реагирования в зависимости от степени угрозы
- Интеграция с IDS/IPS других производителей с помощью протокола SDEE
- Производительность – 8 Гбит/сек в кластере
Основные технические характеристики:
Модель
|
IDS
|
IPS
|
Производительность, Мбит/сек |
80 |
250 |
Интерфейс для мониторинга |
10/100 BASE-TX |
Четыре 10/100/1000 BASE-TX |
Опциональный интерфейс для мониторинга |
Четыре 10/100 BASE-TX (всего 5 интерфейсов) |
Четыре 10/100 BASE-TX (всего 8 интерфейсов) или четыре оптических 1000 BASE SX |
Размер шасси |
1RU |
1RU |
Дополнительный блок питания |
Нет |
Нет |
Мониторинг отказов: - Линии связи - Соединения - Сервиса |
Да Да Да |
Да Да Да |
Цена |
$6183 |
$7652 |
7.2.2. StoneGate IPS
Модель
StoneGate I
D
S
200
В основе работы семейства StoneGate IPS
заложена функциональность обнаружения и предотвращения вторжений, которая использует различные методы обнаружения вторжений: сигнатурный анализ, технология декодирования протоколов для обнаружения вторжений, не имеющих сигнатур, анализ аномалий протоколов, анализ поведения конкретных хостов.
StoneGate IPS
предоставляет огромное количество возможностей по настройке и управлению. Обладая самыми современными возможностями по управлению политиками обнаружения вторжений, система позволяет составлять карты сети и проводить анализ сетевой активности в наглядном виде.
Основные возможности StoneGate IPS:
- обнаружение и предотвращение попыток НСД в режиме реального времени в прозрачном для пользователей сети режиме;
- обширный список сигнатур атак (по содержанию, контексту сетевых пакетов и другим параметрам);
- возможность обработки фрагментированного сетевого трафика;
- возможность контроля нескольких сетей с разными скоростями;
- декодирование протоколов для точного определения специфических атак;
- возможность обновления базы данных сигнатур атак из различных источников (возможен импорт сигнатур Open Source);
- блокировка или завершение нежелательных сетевых соединений;
- анализ «историй» событий безопасности;
- анализ протоколов на соответствие RFC;
- встроенный анализатор событий, позволяющий эффективно снижать поток ложных срабатываний;
- создание собственных сигнатур атак, шаблонов анализа атак, аномалий и др.;
- распределенная многоуровневая система управления и мониторинга;
- централизованное дистанционное обновление программного обеспечения вместе с операционной системой;
- интуитивно понятный интерфейс, интегрированный с межсетевым экраном StoneGate;
- простая в использовании и одновременно гибкая в настройке система генерации отчетов.
Цена StoneGate I
D
S 200 = 4673$
7.2.3. DefensePro
IDS IPS
Особенность оборудования — полная «прозрачность» для сети и двунаправленный анализ трафика. DefensePro не имеет ни МАС, ни IP-адреса, как следствие, злоумышленник не имеет возможности понять где установлена система защиты. Один DefensePro может одновременно обслуживать несколько сегментов сети, путём разделения на несколько виртуальных устройств. Анализ трафика в двух направлениях позволяет избежать распространения вирусов и червей в пределах сети, а так же позволяет блокировать исходящие атаки. DefensePro гарантирует максимальную пропускную способность одновременно с возможностью изолировать, блокировать и останавливать атаки в режиме реального времени.
Основные возможности DefensePro
-200:
- Полный мониторинг и изоляция атак
- Полная защита приложений
- Обнаружение аномалий в работе протоколов
- Обнаружение аномалий трафика
- Защита DoS/DDos и SYN flood
- Обновление программного обеспечения и базы данных атак
Цена
DefensePro-200: $3890
7.2.4.
SecureNet Sensor
Система Intrusion SecureNet является не просто системой обнаружения, а системой предотвращения вторжений в режиме реального времени в соответствии с заданными администратором критериями. Как и большинство других систем, представленных на рынке, она способна анализировать потоки трафика на предмет соответствия заданному набору сигнатур. Однако, в отличие от конкурентных продуктов, Intrusion SecureNet умеет также выявлять аномалии и отклонения в работе протоколов посредством разбора сетевых пакетов «на лету», осуществлять корреляцию событий, ограничивая нагрузку на подсистему регистрации и облегчая тем самым работу администратора.
Основные возможности
SecureNet
Sensor
:
Обнаружение вторжений:
- обнаружение попыток НСД в режиме реального времени в прозрачном для пользователей сети режиме;
- обширный список сигнатур атак (по содержанию, контексту сетевых пакетов и другим параметрам);
- возможность обновления базы данных сигнатур атак из различных источников;
- возможность обработки фрагментированного сетевого трафика;
- возможность контроля нескольких сетей, работающих с разными скоростями;
- скрипт-язык SNPL для создания собственных сигнатур;
- использование в нескольких сетевых сегментах с разной скоростью и типами интерфейсов, включая Fast Ethernet и Gigabit Ethernet;
- декодирование протоколов для точного определения специфических атак.
Предотвращение вторжений:
- предотвращение попыток НСД в режиме реального времени;
- блокировка или завершение нежелательных сетевых соединений;
- анализ информации в заданных VLAN;
- функции HoneyPot для отвода атак;
- блокировка любого вида трафика в режиме IPS.
Цена
SecureNet Sensor =
$3200
7.2.5. Juniper Networks IDP
Семейство продуктов Juniper Networks IDP включает четыре одинаковые по функциональности модели (IDP-10, IDP-100, IDP-500, IDP-1000), различающиеся величиной пропускной способности и ассортиментом интерфейсов. Juniper Networks IDP включается непосредственно в линию связи и может работать в режиме моста (без IP адресов на интерфейсах) и маршрутизатора. Устройство может быть использовано и в качестве пассивного детектора атак. Для организации отказоустойчивых структур и распределения нагрузки, а также с целью увеличения пропускной способности узла защиты, несколько (до16) устройств могут быть объединены в кластер, имеющий для каждой VLAN один виртуальный интерфейс с собственными виртуальными МАС и IP адресом.Совместно с IDP-10 и IDP-100 может также быть использован т.н. Bypass Unit, который включается в линию вместо IDP и осуществляет продвижение трафика в случае, если IDP выйдет из строя. Особенностью решения NetScreen является использование комплексного метода обнаружения вторжений на 2-7 уровнях модели OSI (включающего анализ поведения протоколов, характера трафика, обнаружение предопределенных последовательностей, распознавание атак типа backdoor, IP spoof, Syn-flood и др.), точность реализации которого позволяет осуществлять немедленную блокировку атак в режиме реального времени.
Характеристики устройств
IDP 50
|
IDP 200
|
IDP 600C/F
|
IDP 1100C/F
|
|
Максимальная производительность |
До 50 МБит/сек |
До 250 МБит/сек |
До 500 МБит/сек |
До 1 ГБит/сек |
Максимальное число сессий |
10000 |
70000 |
220000 |
500000 |
Режимы работы |
Passive sniffer, inline bridge, inline Proxy-ARP, inline router |
|||
Механизмы обнаружения |
8, включая Stateful Signatures и Backdoor Detection |
|||
Обновление сигнатур |
Сигнатуры обновляются ежедневно |
|||
Сетевые интерфесы
|
||||
Мониторинг трафика |
2 10/100/1000 |
8 10/100/1000 |
10 10/100/1000 или 8 оптических гигабитных + 2 10/100/1000 |
10 10/100/1000 или 8 оптических гигабитных + 2 10/100/1000 |
Управление |
1 10/100/1000 |
1 10/100/1000 |
1 10/100/1000 |
1 10/100/1000 |
Физическое резервирование
|
||||
Резервное питание |
— |
Optional |
есть |
есть |
RAID |
— |
— |
есть |
есть |
Поддержка отказоустойчивости |
Fail-Open |
Fail-Over, Load Sharing, HA Clustering, 3rd party fail-over |
Цена
модели
Juniper Networks IDP-200 = $4821
7.3. Системы мониторинга и управления безопасностью
7.3.1. Cisco MARS
Cisco Security Monitoring Analysis and Response System (CS-MARS) - программно-аппаратный комплекс, предназначенный для мониторинга, анализа и принятия ответных мер при управлении угрозами безопасности, в рамках стратегии самозащищающейся сети (Cisco Self-Defending Network). Технология CS-MARS представляет семейство высокопроизводительных масштабируемых устройств для управления, мониторинга и отражения угроз, позволяя потребителям более эффективно использовать сеть и устройства защиты.
Cisco CS-MARS сочетает в себе интеллектуальные возможности сети, механизмы корреляции событий на основе контекста, векторного анализа, обнаружения аномалий, идентификации активных узлов и автоматического отражения атак. В результате получается система, позволяющая быстро и точно выполнять обнаружение, контроль и отражение сетевых атак и поддерживать соответствие устройств сети установленным требованиям защиты.
В качестве источников информации о событиях для Cisco MARS может выступать сетевое оборудование (маршрутизаторы и коммутаторы), средства защиты (межсетевые экраны, антивирусы, системы обнаружения атак и сканеры безопасности), журналы регистрации ОС(Solaris, Windows NT, 2000,2003, Linux) и приложений (СУБД,Web и т. д.), сетевой трафик (например, Cisco Netflow). Cisco MARS поддерживает решения различных производителей - Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft и т. д. Таким образом внедрение Cisco MARS способствует предотвращению роста количества инцидентов компьютерной безопасности, повышает эффективность процесса контроля и профилактики, способствовать расследованию нарушений и дает возможность автоматизировать реакцию системы на инциденты. Кроме того, Cisco MARS позволяет дифференцировать посылку различных сигналов и сообщений специалистам обслуживающим систему - офицерам безопасности, системным администраторам, руководителям.
Основные возможности Cisco MARS:
Обработка до 10 000 событий в секунду или свыше 300 000 событий Netflow в секунду
Сигнатурные и "поведенческие" методы обнаружения аномалий и других атак
Возможность создания собственных правил корреляции
Эскалация инцидентов (идентификация, реагирование, расследование, контроль, генерация отчетов)
Уведомление об обнаруженных проблемах по e-mail, SNMP, через syslog и на пейджер
Ролевое управление через Web-интерфейс
Визуализация атаки на канальном и сетевом уровнях
Поддержка Syslog, SNMP, RDEP, SDEE, NetFlow, системных и пользовательских журналов регистрации в качестве источников информации
Возможность подключения собственных средств защиты для анализа
Эффективное отсечение ложных срабатываний и шума, а также обнаружение атак, пропущенных отдельными средствами защиты
Обнаружение аномалий с помощью протокола NetFlow
Создание и автоматическое обновление карты сети, включая импорт из CiscoWorks и других систем сетевого управления
Поддержка IOS 802.1x, NAC (фаза 2)
Распределенное отражение атак с помощью технологии Distributed Threat Mitigation
Мониторинг механизмов защиты коммутаторов (Dynamic ARP Inspection, IP Source Guard и т. д.)
Интеграция с Cisco Security Manager (CSM Policy Lookup)
Интеграция с системами управления инцидентами с помощью XML Incident Notification
Слежение за состоянием контролируемых устройств
Интеграция с Cisco Incident Control System (ICS)
Цена
Cisco MARS
=
$
2500
7.3.2. Secure Net Provider
I
ntrusion SecureNet Provider является одной из лучших систем анализа данных о вторжениях и управления системами безопасности. SecureNet Provider высокомасштабируемая система мониторинга и управления которая позволяет производить все действия как из единой точки так и из распределенной системы центров управления. С каждым шагом управления информационной безопасностью от мониторинга до анализа и подготовки отчетов — администратор безопасности обеспечивается интуитивно понятными и продуктивными интерфейсами.
Основные возможности:
- Платформа SecureNet Provider осуществлять расширение и настройку на таком большом количестве уровней, что может использоваться в сетях любой сложности и размера.
- Платформа предоставляет огромное количество возможностей по настройке и управлению при интуитивно понятном интерфейсе.
- Intrusion SecureNet Provider работает в соответствии с бизнес-процессами компании. Начиная работу с мониторинга событий в реальном времени, затем производит анализ событий в соответствии с задаваемыми правилами для обнаружения несанкционированных действий, оценки потенциального ущерба, анализа аномалий, подготовки доказательств для проведения расследований. Заканчивает архивированием информации и презентацией информации для проведения корректирующих мероприятий и изменения политики безопасности.
- Модуль мониторинга позволяет как производить мониторинг всех событий происходящих в сети в режиме реального времени так и перейти к анализу конкретного события всего одним щелчком мыши.
- Вы выбираете какое поле вы хотите увидеть и какие из них ввести в легко конфигурируемые модули Мониторинга (Real-time Monitoring) и Анализа (forensics).
- Основа интерфейса — интуитивно понятная настраиваемая древовидная структура которая обеспечивает быстрый доступ к определенным пользователем формам представления данных, будь это физическое местоположение, атака, адрес откуда производится соединение, вы решаете как это должно выглядеть и как это представить.
- Модуль анализа позволит вам быстро и просто найти те необходимые ключевые события среди возможных миллионов других которые сохраняются в системе. Полная многозадачность позволяет запускать многочисленные при этом система продолжает работу по сбору информации и обработке.
Цена
Secure Net Provider
=
$
2700
.