2.2. Основные функциональные возможности объекта оценки

В данном подразделе представлено краткое описание предполагаемых функциональных возможностей и средств.

Системы обнаружения вторжений, соответствующие настоящему ПЗ, должны обеспечивать:

возможность собирать информацию о сетевом трафике, проходящем через контролируемые узлы ИС, о событиях, регистрируемых в журналах аудита ОС, прикладного ПО; о вызове функций, об обращении к ресурсам;

возможность выполнять анализ собранных данных СОВ о сетевом трафике в режиме, близком к реальному масштабу времени, и по результатам анализа фиксировать информацию о дате и времени, результате анализа, идентификаторе источника данных, протоколе, используемом для проведения вторжения;

возможность обнаруживать вторжения по отношению к контролируемым узлам ИС в режиме, близком к реальному масштабу времени, на уровне отдельных узлов;

возможность выполнять анализ собранных данных с целью обнаружения вторжений с использованием сигнатурного и эвристических методов;

возможность выполнять анализ собранных данных с целью обнаружения вторжений с использованием эвристических методов, основанных на методах выявления аномалий сетевого трафика и аномалий в действиях пользователя ИС, на заданном уровне эвристического анализа;

возможность фиксации факта обнаружения вторжений или нарушений безопасности в журналах аудита; уведомить администратора СОВ об обнаруженных вторжениях и нарушениях безопасности с помощью отображения соответствующего сообщения на консоли управления;

возможность обнаружения вторжений на основе анализа служебной информации протоколов сетевого уровня базовой эталонной модели взаимосвязи открытых систем;

возможность автоматизированного обновления базы решающих правил;

наличие интерфейса администрирования;

возможность уполномоченным администраторам (ролям) управлять режимом выполнения функций безопасности СОВ;

возможность уполномоченным администраторам (ролям) управлять данными (данными СОВ), используемыми функциями безопасности СОВ;

поддержка определенных ролей для СОВ и их ассоциацию с конкретными администраторами СОВ и пользователями возможность генерации записей аудита для событий, потенциально подвергаемых аудиту;

возможность предоставлять возможность читать информацию из записей аудита.

В общем виде архитектура СОВ включает следующие компоненты:

датчики (сенсоры) СОВ, предназначенные для сбора необходимой информации о функционировании ИС;

анализаторы СОВ, выполняющие анализ данных, собранных датчиками, с целью обнаружения вторжений;

хранилище, обеспечивающее хранение информации о событиях, зафиксированных вторжениях, а также сигнатуры вторжений, профили пользователей и другую информацию базы решающих правил, на основании которой принимается решение о наличии вторжения;

консоль управления компонентами СОВ, позволяющая администратору безопасности конфигурировать СОВ, наблюдать за состоянием защищаемой ИС и СОВ, просматривать выявленные анализатором инциденты.

Основными компонентами СОВ являются датчик(и) и анализатор(ы) СОВ. Датчики собирают информацию о сетевом трафике и событиях, связанных с работой общесистемного и прикладного ПО контролируемых узлов ИС, осуществляют первичный анализ и направляют эту информацию (данные) анализатору. Анализатор выполняет анализ собранных данных, уведомляют администраторов СОВ об обнаруженных вторжениях, выполняют другие действия по реагированию, генерируют отчеты на основе собранной информации (данных).

Датчик СОВ уровня узла представляет собой программный или программно-технический компонент СОВ, устанавливаемый на защищаемые узлы ИС, предназначенный для сбора и первичного анализа информации о событиях, возникающих на этих узлах.

Датчик должен обладать следующими функциональными возможностями:

осуществлять сбор данных о событиях, происходящих на контролируемых узлах ИС;

передавать все собранные данные анализатору для обработки и анализа.

Датчики СОВ могут собирать информацию в непрерывном в режиме, в режиме сбора с заданной периодичностью или по команде администратора безопасности. Датчики СОВ уровня узла могут собирать информацию о пакетах данных, передаваемых в рамках контролируемого узла, а также о событиях, связанных с работой аппаратного общесистемного и прикладного ПО.

Анализатор СОВ представляет собой программный или программно-технический компонент СОВ, предназначенный для сбора информации от датчиков (сенсоров) СОВ, ее итоговый анализ на предмет обнаружения вторжения на контролируемую ИС с применением базы решающих правил. В зависимости от используемых методов анализа база решающих правил может хранить сигнатуры вторжений, профили пользователей и другую информацию.

Анализатор должен обладать следующими функциональными возможностями:

принимать данные от датчиков;

обрабатывать данные с целью выявления вторжений;

реагировать на выявленные вторжения. Реагирование может включать создание отчетов, отображение сообщения на консоли управления и иные возможности по реагированию.

Решение об обнаружении вторжения СОВ принимает в соответствии с результатами анализа информации, собираемой сенсорами СОВ, с применением базы решающих правил СОВ.

Администрирование ОО может выполняться удаленным или локальным способами. Локальное администрирование осуществляется непосредственно с того узла, где установлен компонент СОВ, а удаленное - посредством команд, посылаемых по каналам связи.

Кроме того, все компоненты СОВ должны обладать следующими функциональными возможностями:

- осуществлять защиту (совместно с механизмами среды функционирования) собственной программной и информационной части от вмешательства;

- допускать настройку своих параметров со стороны администратора безопасности;

- вести журнал аудита (в том числе осуществлять регистрацию попыток изменения конфигурации, а также попыток доступа к компонентам и данным).

Типовая схема применения в ИС СОВ уровня узла представлена на рисунке 2.1.

Рисунок 2.1 - Типовая схема применения в ИС СОВ уровня узла

Функционирование ОО подчинено политике безопасности ОО, отраженной в функциональных требованиях безопасности ОО.