Создание надежной защиты сети - проблема уже не техническая, а организационная
Примерно так начал свое выступление на состоявшемся 3 июня семинаре Владимир Гайкович, руководитель департамента разработки программных средств компании "Информзащита". Для упрощения организации комплексной защиты "Информзащита" разработала технологию "Беркут", которая позволяет управлять сложным комплексом защитных средств.
Основная цель создания "Беркута" - обеспечение взаимодействия подразделений защищаемой компании: руководства, отдела автоматизации и службы информационной безопасности. Эти три подразделения должны выработать общую политику безопасности сети и занести ее в специальную БД, которая носит условное название "как должно быть".
При этом служба информационной безопасности вырабатывает общий план защиты, утверждаемый руководством, а подразделение информатизации его исполняет. База данных "как должно быть" представляет собой хранилище всех настроек системы, записанных в терминах, которые не зависят от платформы реализации. Управление элементами системы осуществляется с помощью репликации общего хранилища с распределенными базами данных настроек, расположенных на различных платформах. С помощью "Беркута" можно управлять серверами Windows NT, Novell NetWare и Unix. Также реализована поддержка Windows 95/98, в которые добавлены механизмы разграничения доступа и дистанционного управления.
В основе управления распределенной защиты лежит следующая модель. Сотрудник компании может иметь несколько регистрационных имен - пользователей. Каждый пользователь входит в состав одной из многочисленный групп, за которой закреплена своя роль в информационной системе. Исполнитель роли имеет определенные права доступа к ресурсам. Такое многоуровневое разграничение полномочий позволило распределить обязанности между руководством, службой безопасности и отделом автоматизации. Руководство выделяет для каждого сотрудника необходимые для него регистрационные имена и записывает их в соответствующие группы. Сотрудники службы безопасности определяют роли групп и их возможности для решения закрепленных за ними задач, а отделы автоматизации дают права доступа к конкретным компьютерам, программам, файлам и каталогам. Таким образом, каждое подразделение автономно контролирует работу средств безопасности, что позволяет более точно их настроить.
В состав комплекса "Беркут" входят следующие компоненты: сервер безопасности (ядро системы), агенты (управляют работой серверов и межсетевых экранов) и клиенты (управляют работой рабочих мест). Основная база данных и криптографические механизмы располагаются на сервере безопасности. Агенты следят за изменением конфигурации отдельных серверов и корректируют ее в случае необходимости. Клиенты устанавливаются на рабочие места с ОС Windows 95/98, где организуется система разграничения доступа, аналогичная Unix и Windows NT. Все элементы объединяются шифрованными соединениями, что предохраняет систему от посягательств злоумышленников с целью изменения контроля конфиденциальной информации. А администратор системы "с высоты птичьего полета" наблюдает за вверенной ему территорией.