Два продукта для администраторов безопасности

ИНСТРУМЕНТЫ

Нехватка персонала, времени и финансовых средств сказывается на продуктивности работы управления безопасности в любой компании точно так же, как и на работе других отделов. Недостаток сотрудников более всего отражается на отделе технической защиты информации. Обычно функции отсутствующего работника временно выполняет другой человек, иногда из соседнего подразделения. В случае же с отделом защиты информации такое невозможно - никто, кроме администратора по безопасности, не имеет права конфигурировать системы защиты, просматривать журналы регистрации, предоставлять доступ к ресурсам ИС. Иначе это чревато злоупотреблениями и может привести к утечке информации.

В исключительных случаях функции администратора по безопасности может временно взять на себя системный администратор, но заниматься непосредственно безопасностью он будет скорее всего в свободное от основной работы время. К тому же сетевые и системные администраторы заинтересованы в предоставлении как можно больших прав пользователю - так им проще, для них главное, чтобы все оборудование, за которое они отвечают, работало исправно.

Отдел информационной безопасности, как и любой другой, иногда страдает от нехватки финансов - трудно убедить руководство в необходимости приобретения средства защиты информации.

Существуют и другие трудности, вытекающие из специфики работы администраторов.

Специфика работы администратора по безопасности

Чем занимается администратор по безопасности? Настраивает механизмы защиты ОС и СУБД, конфигурирует межсетевые экраны, средства обнаружения атак, предоставляет пользователям права на доступ к ресурсам сети и к базам данных, анализирует журналы регистрации ОС и средств защиты информации.

В крупной информационной системе функционирует большое число компьютеров: рабочие станции, файловые серверы, серверы баз данных и приложений. Часто корпоративная сеть является гетерогенной, а стало быть, в разных операционных системах и СУБД механизмы защиты настраиваются по-разному. Поэтому назначение прав доступа сотрудников к корпоративным ресурсам и контроль за их соблюдением в гетерогенных системах - задача трудоемкая и нетривиальная.

Для того чтобы выявить попытки несанкционированных действий, необходимо просмотреть все журналы регистрации ОС, СУБД и брандмауэров. В то же время в силу различного именования пользователей и различной степени подробности регистрируемых событий в разных системах получить представление о реальных действиях сотрудника затруднительно.

Чтобы понять, сколько рутинной работы необходимо выполнять администратору по безопасности без помощи средства, позволяющего автоматизировать его работу, достаточно представить бухгалтера, который для составления баланса будет пользоваться только калькулятором.

От чего зависит сложность управления ИС?

Сложность управления информационной системой зависит от числа связей между объектами ИС. Связей этих может быть огромное количество. Рассмотрим такой пример: в локальной сети, состояшей из ста компьютеров, работает сто пользователей, каждый из которых имеет доступ только к локальным ресурсам своего компьютера. В этом случае в ИС имеется двести объектов управления и между ними установлено сто связей. Если же мы добавим всего один сервер, на котором находится общедоступный сетевой ресурс, то количество связей увеличится до двухсот (к ста имеющимся добавится сто связей всех пользователей с сервером).

Таких простых ИС мало, в действительности все гораздо сложнее и запутаннее. В сети может быть большое количество файловых серверов, серверов приложений, серверов баз данных; на каждом из них расположено множество ресурсов - несколько общедоступных каталогов, базы данных, приложения.

Укрупнение объектов управления

Так как сложность управления информационной системой зависит от числа связей, то, сократив количество объектов управления, мы уменьшим число связей между ними и, следовательно, упростим управление ИС.

На этом принципе построены специализированные программные средства, помогающие администратору в работе, например система защиты информации Secret Net, разработанная российской компанией НИП “Информзащита”, Tivoli SecureWay Security Manager - продукт фирмы Tivoli Systems и другие.

Чтобы понять, с помощью каких механизмов обеспечивается уменьшение объектов управления и, следовательно, упрощение информационной системы, надо разобраться, для чего сотрудникам нужно иметь доступ к тем или иным ресурсам, приложениям или базам данных, находящимся на серверах сети. Все просто: эти ресурсы необходимы им для выполнения своих служебных обязанностей. С другой стороны, для того, чтобы результаты работы сотрудника были доступны его коллегам по отделу или компании, он должен выкладывать (копировать) подготовленные им документы в те же общедоступные каталоги, вводить информацию в соответствующую базу данных.

Естественно, что задач, которые выполняют сотрудники, меньше, чем самих сотрудников; над одной задачей может работать несколько человек или даже несколько отделов компании - например, коллектив программистов может разрабатывать одну программу. При этом всем программистам необходимо иметь доступ к одним и тем же каталогам на сервере, на которых находятся техническое задание на разрабатываемый программный продукт, сведения о сроках окончания разработки тех или иных компонентов программы и другая информация.

Таким образом, объединив все ресурсы ИС (каталоги на серверах, локальные диски на компьютере пользователя), необходимые сотруднику для выполнения служебной задачи, в единый объект, мы тем самым укрупним объекты управления, которыми манипулирует администратор безопасности.

В Tivoli SecureWay Security Manager (рис. 1) такой объект называется role (“роль”), в системе Secret Net - “задача”, в обеих системах кроме перечня ресурсов объект содержит права доступа к этим ресурсам.

Рис. 1. Интерфейс Tivoli SecureWay Security Manager

Операция предоставления доступа в данных системах состоит из двух шагов.

1. Администратор по безопасности создает объект “роль”/“задача” и описывает в нем именно те ресурсы, которые необходимы пользователям для решения производственной задачи.

2. Пользователь, под именем которого работает сотрудник, связывается с объектом “роль”/“задача”.

В чем выигрыш администратора по безопасности, вооруженного подобным инструментом? Ранее в качестве объектов управления выступали пользователи и, например, сетевые каталоги, а теперь администратор манипулирует пользователями и целым набором сетевых каталогов. Таким образом происходит укрупнение объектов управления, что приводит к упрощению информационной системы.

Перечень ресурсов и права доступа к ним администратор определяет один раз. Если необходимо предоставить эти ресурсы новому пользователю, администратору достаточно установить одну связь между объектом “роль”/“задача” и пользователем, т. е. набор рутинных управляющих воздействий заменяется одной простой операцией.

Сами объекты управления становятся понятнее. Дело в том, что объект “роль”/“задача” может соответствовать некой должности в организации - например, “задача бухгалтера”, “задача технического писателя” и др. Использование таких объектов интуитивно понятно, оперировать ими проще, а это существенно облегчает управление.

Особенности программных продуктов

Каждый программный продукт имеет свои достоинства и недостатки. Среди достоинств Tivoli SecureWay Security Manager стоит упомянуть его многоплатформность. Продукт Tivoli SecureWay Security Manager работает под управлением операционных систем AIX, HP-UX, Solaris и Windows NT. Система защиты Secret Net поддерживает операционные среды Windows 95/98/ NT/2000. Основное преимущество Secret Net заключается в том, что она учитывает специфику работы администратора по безопасности и имеет для этого специальные объекты управления (рис. 2.). В частности, объект “сотрудник”, содержащий перечень всех пользователей ИС, под именами которых работает сотрудник, личную карточку и указание на уровень допуска к конфиденциальной информации.

Рис. 2. Интерфейс подсистемы управления Secret Net

Поскольку данный объект содержит список пользователей, то процесс предоставления доступа к ресурсам выглядит иначе: с объектом “задача” связывается не пользователь, а объект “сотрудник”, соответственно система Secret Net автоматически назначает всем пользователям данного сотрудника те права доступа, которые указаны в объекте “задача”.

Оба программных продукта - и Tivoli SecureWay Security Manager, и Secret Net - используют описанный подход к управлению, что позволяет упростить ИС за счет укрупнения объектов и сделать сами объекты понятнее для восприятия.