Содержание
Управление политиками контроля 5
Управление политиками доступа 7
Дополнительная информация
Экплуатационная_инструкция.pdf
Система контроля доступа к ресурсам сети (в дальнейшем Система) предназначена для ограничения доступа к сервисам со стороны автоматизированных рабочих мест (в дальнейшем АРМ) пользователей информационной системы на основании параметров операционной системы, перечня запущенных приложений, состава установленных обновлений, состояния антивирусной защиты и т.д.
В автоматическом режиме система обеспечивает контроль параметров АРМ и на основании данной информации принимается решение о предоставлении доступа с IP адресов контролируемого узла к ресурсам в соответствии с политикой доступа заданной для пользователя или АРМ в целом. На основании решения формируются правила фильтрации сетевого трафика для цепочки межсетевых экранов (в дальнейшем МЭ) и обеспечивается их загрузка на оборудование.
Функциональные возможности
Система обеспечивает следующий набор функциональных возможностей:
Управление АРМ пользователей:
автоматизированное добавление новых клиентов и регистрация клиентов администратором системы;
информация по АРМ: запущенные процессы, адресная информация, информация об активном пользователе и основным параметрам операционной системы;
управление списком АРМ;
Управление политиками контроля:
создание, удаление, редактирование политик контроля;
настройка политик контроля в режимах: эталон, контроль разрешенных процессов, контроль запрещенных процессов, контроль обязательных процессов;
назначение политик на АРМ;
Управление МЭ:
управление учетными данными для доступа к МЭ;
управление списком МЭ;
контроль состояния МЭ;
Управление политиками доступа:
управление списком сетевых сервисов и ресурсов;
управление политиками доступа;
назначение политик доступа для АРМ и МЭ;
формирование правил фильтрации на основании информации о текущем состоянии АРМ, такой как состав сетевых интерфейсов и их адреса, а так же информации об МЭ;
периодический контроль соответствия правил фильтрации политикам доступа;
Отображение текущего состояния системы:
сессии пользователей АРМ;
информация о МЭ: состояние устройства, перечень запущенных процессов, перечень сетевых интерфейсов;
регистрационная информация о процессе формирования политики фильтрации на МЭ.
При работе с системой администратор имеет возможность управлять списком АРМ: проводить добавление и регистрацию новых рабочих станций и удалять их, просматривать информацию о текущем состоянии управляемого объекта, назначать политику контроля параметров, т.е. выполнять все необходимые действия для подключения новых и обеспечения работы уже подключенных АРМ.
Управление АРМ пользователей может осуществляться специалистами отделов информационных технологий при введении в эксплуатацию нового рабочего места или сотрудниками подразделений по защите информации в ходе настройки. Система разграничения доступа обеспечивает возможность независимого управления составом АРМ и настройками, связанными с требованиями по защите информации: политик контроля, политик доступа и т.д.
При первичном подключении клиентского программного обеспечения (Клиент), информация об АРМ заносится в список незарегистрированных АРМ, т.е. узлов ожидающих подтверждения администратора на работу в системе. По умолчанию, регистрация проводится в ручном режиме.
Настройки модуля позволяют задать возможность регистрации в автоматическом режиме, при котором любой клиент после первичного подключения переводится в статус зарегистрированных. Данный режим не является безопасным и предназначен для быстрой первичной настройки системы для работы с большим количеством АРМ.
По запросу администратора система обеспечивает отображение следующей информации по АРМ:
АРМ:
имя АРМ;
имя активного пользователwя;
IP адреса АРМ;
список запущенных процессов;
пользовательские сессии системы.
Данная информация запрашивается на момент запроса администратора и формируется Клиентом на основании текущего состояния операционной системы.
При управлении списком АРМ доступны следующие действия:
просмотр информации об АРМ;
перевод АРМ в статус не зарегистрированных;
редактирование имени АРМ;
удаление АРМ.
Администратору систему обеспечивается возможность формирования политик контроля – правил, в соответствии с которыми, система обеспечивает контроль состояния операционной системы АРМ и выработку инцидентов, в случае не соответствия.
Система обеспечивает стандартный набор функций по управлению списком политик контроля, обеспечивающая возможность просмотра параметров политики, ее создания, редактирования и удаления.
В процессе создания или редактирования политик контроля администратор системы имеет возможность выбора одного или нескольких режимов контроля:
контроль запрещенных процессов;
контроль разрешенных процессов;
контроль обязательных процессов;
эталон.
Формирование инцидента будет инициировано, если на АРМ, привязанном к политике с включенным режимом контроля запрещенных, разрешенных или обязательных процессов будет запущен процесс либо не указанный в списке разрешенных, либо присутствующий в списке запрещенных процессов, а так же в ситуации, когда не запущен процесс из списка обязательных.
Список процессов формируется на основании имен процессов, например: Far.exe, mspaint.exe. Существует возможность импорта файла сформированного специализированным программным обеспечением, что позволяет быстро и удобно провести конфигурацию режима.
В режиме эталон обеспечивается формирование политики контроля на основании состояния эталонного АРМ, при этом осуществляется:
привязка одного АРМ к политике контроля как Эталонного АРМ;
формирование списка разрешенных процессов на основании списка всех запущенных процессов Эталонного АРМ;
работа остальных АРМ привязанных к политике в режиме контроля процессов со списком разрешенных процессов.
Таким образом, формирование инцидента будет осуществляться в ситуации, когда на АРМ пользователей будет запущен процесс не запущенный на эталонном АРМ.
Работа в данном режиме рекомендуется к использованию в совокупности с режимом разрешенных процессов, т .к. в противном случае, будет формироваться большое количество инцидентов связанных с запуском временных системных процессов, таких как обновление системы, обновление антивирусного программного обеспечения и т.д.
Система позволяет обеспечить привязку к АРМ одной политики контроля, при этом, если АРМ используется в качестве эталонного, это действие будет заблокировано.
Администратору системы доступны действия как по управлению набором данных о межсетевых экранах, так и по управлению рядом функций самих межсетевых экранов.
Система позволяет задать несколько наборов учетных данных для подключения к интерфейсу управления МЭ ССПТ-4А1, включающих в себя информацию об имени пользователя и его пароле. В дальнейшем данный набор можно использовать подключения к одному или нескольким МЭ.
Система позволяет обеспечивать управление списком МЭ ССПТ: добавление нового межсетевого экрана, редактирование его параметров, удаление, а так же просмотр информации.
Система осуществляет периодический контроль состояния МЭ ССПТ, в процессе которого осуществляется проверка возможности подключения и авторизации на устройстве, получение контрольных параметров и их анализ.
Администратору доступны функции формирования политик доступа на основе информации введенной при настройке системы: сервисы, ресурсы, а так же на основании информации о текущем состоянии АРМ: активность, наличие инцидентов, адресная информация. Сформированные политики доступа применяются к МЭ добавленным в систему.
Для задания политик доступа необходимо задать используемые сервисы и ресурсы. Сервис задается соответствием протокола и номера порта. Ресурс задается соответствием одного или нескольких адресов и набора сервисов. Использование именованных сущностей позволяет упростить процесс формирования политик доступа, т.к. приходится оперировать символьным именем, например Сегмент БД, а не адресной информацией, например 192.168.10.1-192.168.100.2, протокол TCP, порт 5432.
Система позволяет управлять политиками доступа: создавать, редактировать, удалять политики. Политика формируется на основании сервисов, ресурсов и прав доступа к ним, т.е. задается перечень ресурсов с указанием разрешения или блокировки сетевого взаимодействия.
Администратор системы имеет возможность привязки политики доступа к МЭ или АРМ. Политика, не привязанная к этим элементам системы, не будет влиять на работу пользователей.
Привязка политики к МЭ обеспечивает загрузку набора правил, необходимого для работы информационной системы в целом. Это могут быть разрешения доступа по протоколам DNS, NTP, доступ к серверам контроллера домена и т. д. Привязка обеспечивается назначением политики доступа определенному МЭ.
Привязка политик к АРМ обеспечивает возможность формирования наборов правил на основании информации об активности АРМ, инцидентах и адресной информации. Осуществляется привязка политики к соответствующему АРМ или группе АРМ.
Для корректной работы системы администратор должен задать топологию: указать к каким интерфейсам МЭ подключены АРМ. Допускается задание данной информации для группы АРМ.
При включении МЭ или АРМ, а так же при формировании инцидента или его снятии осуществляется формирование набора правил фильтрации на основании адресной информации, привязанной политики доступа, составе инцидентов.
Система обеспечивает периодический запрос текущего набора правил, заданных на МЭ и сравнение их с установленной политикой доступ. В ситуации, когда обнаружено несоответствие, приоритетной считается информация, сформированная в системе. В автоматическом режиме осуществляется коррекция правил на МЭ.
Система предоставляет информацию о текущем состоянии элементов, таких как межсетевой экран, пользовательские сессии АРМ, инциденты.
По запросу администратора производится отображение пользовательских сессий – информации о времени запуска АРМ, возникших с момента запуска инцидентах и выключении. Информация может быть отражена для определенного АРМ или общим списком.
По запросу администратора система производит отображение информации о состоянии устройства, при этом выводится информация о доступности МЭ, перечень запущенных процессов, перечень сетевых интерфейсов.
Система ведет журнал выполнения работ по подключению к МЭ, его доступности, событиям, связанным с настройкой правил фильтрации.
Система управления контролем доступа сети на основе ПУМА состоит из следующих сервисов:
защиты АРМ;
управления политиками доступа;
управления МЭ.
Данные сервисы могут функционировать на физически независимых серверах, что обеспечивает максимальную надежность системы при установке, а так же минимизирует нагрузку на сетевую инфраструктуру информационной системы. Подробная информация о рекомендациях применения в различных ситуациях представлена в документе «ПУМА. Система контроля доступа. Варианты внедрения»
Сервис Защиты АРМ обеспечивает процессы взаимодействия с АРМ:
Управление списком АРМ;
настройку политик контроля;
взаимодействие с клиентским ПО на АРМ;
формирование управляющих сообщений для сервиса управления политиками доступа.
Сервис управления политиками доступа обеспечивает функции управления составом политик, формирование наборов правил фильтрации для МЭ, формирование управляющих сообщений сервису управления МЭ для настройки оборудования.
Сервис управления МЭ обеспечивает управление списком МЭ, взаимодействием и настройкой оборудования.