ОКБ САПР Агрегация и визуализация событий средств защиты информации
Задачи ПАК СЗИ НСД При разработке АС необходимо задуматься о защите обрабатываемой в ней информации. Для защиты АС используются ПАК СЗИ НСД, которые решают следующие задачи: Обеспечение доверенной среды функционирования Разграничение доступа пользователей к РС, ТК, ТС.
ПАК СЗИ НСД «Аккорд» «Аккорд-NT/2000» (до ОС Vista) «Аккорд-Win32» (все 32-х битные ОС Windows) «Аккорд-Win64» (все 64-х битные ОС Windows) Данные комплексы могут работать как на автономных ПК, так и в терминальном режиме (TSE).
Функции ПАК СЗИ НСД «Аккорд» Защита от несанкционированного доступа Обеспечение доверенной загрузки ОС Контроль целостности программ и данных Защита программ и данных от несанкционированных модификаций Разграничение доступа пользователей Ведение журнала регистрируемых событий СЗИ
Состав журнала событий СЗИ Дата и время регистрации события Детальность журнала, установленная на момент регистрации события Имя рабочей станции Тип операции Наименование объекта доступа (файла, каталога, диска, устройства) Имя процесса Результат события (ОК, НСД, ошибка доступа)
Программа LOGVIEW В состав ПАК «Аккорд» входит программа LOGVIEW. Возможности LOGVIEW: просмотр вывод на печать архивация журнала событий СЗИ
Обязанности администратора информационной безопасности (ИБ) В обязанности администратора ИБ входит: Просмотр и анализ событий в журнале СЗИ Определение причины возникновения попытки НСД или ошибки В обязанности администратора ИБ не входит: Администрирование системы Установка и настройка ПО, защиту которого выполняет ПАК «Аккорд»
Сложности при сборе и анализе событий СЗИ Журнал событий СЗИ состоит из огромного количества строк В реальной системе достаточно много пользователей Эти факты делают задачу анализа событий СЗИ для АИБ достаточно сложной. Если необходимо сделать сводку о попытках НСД с классификацией по типу события в определенный период времени, то эта задача становится еще более сложной. Если же необходимо проанализировать статистику событий НСД по нескольким отделениям организации, то эта задача становится почти нереальной.
Технология Business Intelligence (BI) Одним из способов решения озвученной проблемы является использование технологии Business Intelligence (BI). В ее основе лежат следующие принципы: организация доступа конечных пользователей (руководителей, аналитиков, администраторов) к данным, структурированным определенным образом анализ полученных структурированных данных получение на основе структурированных данных информации о процессах, происходящих в системе Технология BI может быть использована для любых агрегированных данных, в том числе и для журналов событий СЗИ.
Contour BI Технология BI используется в продукте Contour BI, одна из модификаций которого предназначена для обработки и анализа событий СЗИ, полученных в результате функционирования ПАК «Аккорд». Возможности Contour BI: быстрое создание интерактивных отчетов анализ содержащихся в отчетах данных силами конечных пользователей (руководителей организации и ее подразделений, аналитиков, администраторов ИБ) Входные данные - общий журнал событий СЗИ от различных подразделений организации. Выходные данные - графики и диаграммы, на основании которых можно отфильтровать нужные данные или выполнить сортировку по выбранному событию, выделить N лучших или худших событий.
Корреляционный анализ данных Contour BI также предоставляет возможность корреляционного анализа данных: журналов событий СЗИ, полученных в результате функционирования ПАК «Аккорд» и других подсистем, одновременно функционирующих в рассматриваемой системе, например: подсистемы регистрации доступа пользователей в помещение подсистемы антивирусной защиты подсистемы обновления ОС подсистемы обновления прикладного ПО
IBM Tivoli Security Operation Manager (TSOM) Для агрегации, визуализации событий СЗИ, анализа корреляций можно использовать TSOM. Возможности TSOM: централизованное выполнение действий по обеспечению безопасности для различных подразделений, технологий и процессов управление событиями, связанными с IT- безопасностью агрегация в единый журнал событий СЗИ, полученных в процессе функционирования ПАК «Аккорд» анализ единого журнала событий СЗИ на предмет корреляции с событиями других систем безопасности
Преимущества средств сбора и анализа статистики по событиям СЗИ Более качественный анализ событий СЗИ, чем при использовании стандартных средств просмотра журналов Возможность рассмотрения событий СЗИ в совокупности с событиями других подсистем безопасности Возможность анализа корреляций различных событий Получение большего количества информации и более верных выводов о корректности функционирования системы в целом
ОКБ САПР Агрегация и визуализация событий средств защиты информации