Комплексное управление безопасностью информационной системы в ЛВС ОАО “ХК Дальзавод”

Предотвращение  вторжений:

• предотвращение попыток НСД в режиме реального времени;
• блокировка или завершение нежелательных сетевых соединений;
• анализ информации в заданных VLAN;
• функции HoneyPot для отвода атак;
• блокировка любого вида трафика в режиме IPS.

Цена SecureNet Sensor = $3200 

7.2.5. Juniper Networks IDP

     Семейство продуктов Juniper Networks IDP включает четыре одинаковые по функциональности модели (IDP-10, IDP-100, IDP-500, IDP-1000), различающиеся  величиной пропускной способности  и ассортиментом интерфейсов. Juniper Networks IDP включается непосредственно в линию связи и может работать в режиме моста (без IP адресов на интерфейсах) и маршрутизатора. Устройство может быть использовано и в качестве пассивного детектора атак. Для организации отказоустойчивых структур и распределения нагрузки, а также с целью увеличения пропускной способности узла защиты, несколько (до16) устройств могут быть объединены в кластер, имеющий для каждой VLAN один виртуальный интерфейс с собственными виртуальными МАС и IP адресом.Совместно с IDP-10 и IDP-100 может также быть использован т.н. Bypass Unit, который включается в линию вместо IDP и осуществляет продвижение трафика в случае, если IDP выйдет из строя. Особенностью решения NetScreen является использование комплексного метода обнаружения вторжений на 2-7 уровнях модели OSI (включающего анализ поведения протоколов, характера трафика, обнаружение предопределенных последовательностей, распознавание атак типа backdoor, IP spoof, Syn-flood и др.), точность реализации которого позволяет осуществлять немедленную блокировку атак в режиме реального времени. 
 
 

Характеристики  устройств

Цена модели Juniper Networks IDP-200 = $4821 
 
 
 
 

7.3. Системы мониторинга и управления безопасностью

7.3.1. Cisco MARS

     Cisco Security Monitoring Analysis and Response System (CS-MARS) - программно-аппаратный комплекс, предназначенный для мониторинга, анализа и принятия ответных мер при управлении угрозами безопасности, в рамках стратегии самозащищающейся сети (Cisco Self-Defending Network). Технология CS-MARS представляет семейство высокопроизводительных масштабируемых устройств для управления, мониторинга и отражения угроз, позволяя потребителям более эффективно использовать сеть и устройства защиты.

Cisco CS-MARS сочетает в себе интеллектуальные  возможности сети, механизмы корреляции  событий на основе контекста,  векторного анализа, обнаружения  аномалий, идентификации активных  узлов и автоматического отражения  атак. В результате получается система, позволяющая быстро и точно выполнять обнаружение, контроль и отражение сетевых атак и поддерживать соответствие устройств сети установленным требованиям защиты.

В качестве источников информации о событиях для Cisco MARS может выступать сетевое оборудование (маршрутизаторы и коммутаторы), средства защиты (межсетевые экраны, антивирусы, системы обнаружения атак и сканеры безопасности), журналы регистрации ОС(Solaris, Windows NT, 2000,2003, Linux) и приложений (СУБД,Web и т. д.), сетевой трафик (например, Cisco Netflow). Cisco MARS поддерживает решения различных производителей - Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft и т. д. Таким образом внедрение Cisco MARS способствует предотвращению роста количества инцидентов компьютерной безопасности, повышает эффективность процесса контроля и профилактики, способствовать расследованию нарушений и дает возможность автоматизировать реакцию системы на инциденты. Кроме того, Cisco MARS позволяет дифференцировать посылку различных сигналов и сообщений специалистам обслуживающим систему - офицерам безопасности, системным администраторам, руководителям.

Основные возможности Cisco MARS:

• Обработка до 10 000 событий в секунду или свыше 300 000 событий Netflow в секунду
• Сигнатурные и "поведенческие" методы обнаружения аномалий и других атак
• Возможность создания собственных правил корреляции
• Эскалация инцидентов (идентификация, реагирование, расследование, контроль, генерация отчетов)
• Уведомление об обнаруженных проблемах по e-mail, SNMP, через syslog и на пейджер
• Ролевое управление через Web-интерфейс
• Визуализация атаки на канальном и сетевом уровнях
• Поддержка Syslog, SNMP, RDEP, SDEE, NetFlow, системных и пользовательских журналов регистрации в качестве источников информации
• Возможность подключения собственных средств защиты для анализа
• Эффективное отсечение ложных срабатываний и шума, а также обнаружение атак, пропущенных отдельными средствами защиты
• Обнаружение аномалий с помощью протокола NetFlow
• Создание и автоматическое обновление карты сети, включая импорт из CiscoWorks и других систем сетевого управления
• Поддержка IOS 802.1x, NAC (фаза 2)
• Распределенное отражение атак с помощью технологии Distributed Threat Mitigation
• Мониторинг механизмов защиты коммутаторов (Dynamic ARP Inspection, IP Source Guard и т. д.)
• Интеграция с Cisco Security Manager (CSM Policy Lookup)
• Интеграция с системами управления инцидентами с помощью XML Incident Notification
• Слежение за состоянием контролируемых устройств
• Интеграция с Cisco Incident Control System (ICS)

Цена Cisco MARS = $2500 

7.3.2. Secure Net Provider  

     Intrusion SecureNet Provider является одной из лучших систем анализа данных о вторжениях и управления системами безопасности. SecureNet Provider высокомасштабируемая система мониторинга и управления которая позволяет производить все действия как из единой точки так и из распределенной системы центров управления. С каждым шагом управления информационной безопасностью от мониторинга до анализа и подготовки отчетов — администратор безопасности обеспечивается интуитивно понятными и продуктивными интерфейсами.

Основные  возможности: 

• Платформа SecureNet Provider осуществлять расширение и настройку на таком большом количестве уровней, что может использоваться в сетях любой сложности и размера.
• Платформа предоставляет огромное количество возможностей по настройке и управлению при интуитивно понятном интерфейсе. 
• Intrusion SecureNet Provider работает в соответствии с бизнес-процессами компании. Начиная работу с мониторинга событий в реальном времени, затем производит анализ событий в соответствии с задаваемыми правилами для обнаружения несанкционированных действий, оценки потенциального ущерба, анализа аномалий, подготовки доказательств для проведения расследований. Заканчивает архивированием информации и презентацией информации для проведения корректирующих мероприятий и изменения политики безопасности.
• Модуль мониторинга позволяет как производить мониторинг всех событий происходящих в сети в режиме реального времени так и перейти к анализу конкретного события всего одним щелчком мыши.
• Вы выбираете какое поле вы хотите увидеть и какие из них ввести в легко конфигурируемые модули Мониторинга (Real-time Monitoring) и Анализа (forensics).
• Основа интерфейса — интуитивно понятная настраиваемая древовидная структура которая обеспечивает быстрый доступ к определенным пользователем формам представления данных, будь это физическое местоположение, атака, адрес откуда производится соединение, вы решаете как это должно выглядеть и как это представить. 
• Модуль анализа позволит вам быстро и просто найти те необходимые ключевые события среди возможных миллионов других которые сохраняются в системе. Полная многозадачность позволяет запускать многочисленные при этом система продолжает работу по сбору информации и обработке.

Цена  Secure Net Provider = $2700.