Московский государственный университет имени М.В.Ломоносова
Опубликован: 21.09.2006 | Доступ: свободный | Студентов: 4412 / 644 | Оценка: 4.32 / 4.09 | Длительность: 19:19:00
ISBN: 978-5-9556-0076-0
Лекция 5:

Развертывание IDS

< Лекция 4 || Лекция 5: 123456 || Лекция 6 >

Организационные требования и ограничения

Цели функционирования организации, ограничения и традиции влияют на выбор IDS, других инструментальных средств безопасности и технологий для защиты системы. Рассмотрим эти требования и ограничения.

  1. Внешние по отношению к IDS требования

Необходимо определить, существуют ли какие-либо внешние требования к IDS и другим конкретным системным ресурсам безопасности.

  1. Требования для публичного доступа к информации в системах

Нужно учитывать, существуют ли постановления, требующие, чтобы информация в системе была публично доступна в течение определенных часов, дней или иных интервалов времени.

  1. Законодательные требования, относящиеся к безопасности и к расследованию инцидентов безопасности

Следует рассмотреть, существуют ли законодательные требования для защиты персональной информации (такой как информация о доходах или медицинские записи), хранящейся в системе. Также следует учесть, существуют ли законодательные требования для рассмотрения нарушений безопасности, которые привели к разглашению или уничтожению данной информации.

Следует специфицировать все функции IDS, относящиеся к сбору и защите логов IDS, которые могут использоваться в качестве судебного доказательства.

  1. Требования внутреннего аудита

Следует рассмотреть, имеются ли какие-либо функции аудита, которые IDS может предоставлять или поддерживать.

  1. Требования аккредитации системы

Следует рассмотреть, какая аккредитация требуется для IDS и других систем.

Ограничения на ресурсы, существующие в организации

Защита, обеспечиваемая IDS, имеет четкую экономическую составляющую. Если в организации нет достаточного количества ресурсов и персонала, который может обслуживать IDS, это может привести к дополнительным расходам или неэффективному функционированию IDS. Необходимо учитывать следующие экономические и организационные параметры.

  1. Бюджет для приобретения и поддержки жизненного цикла аппаратуры, ПО и инфраструктуры IDS

Следует помнить, что приобретение ПО IDS не определяет полную стоимость владения; нужно также приобрести систему, на которой будет выполняться ПО, специализированные вспомогательные устройства для инсталлирования и конфигурирования системы. Также необходимо обеспечить определенные тренинги для персонала.

  1. Специалисты по эксплуатации IDS

Некоторые IDS разработаны в предположении, что персонал будет присутствовать около них в течение всего времени. Если это не представляется возможным, то следует рассмотреть те системы, которые требуют меньшего присутствия.

  1. Полномочия для осуществления изменений на основе результатов, предоставленных IDS

Надо понимать, что можно столкнуться с определенными организационными и административными проблемами. Например, может встать вопрос, достаточно ли полномочий для обработки инцидентов, которые возникли в результате мониторинга, выполненного IDS.

Возможности IDS

IDS должна обеспечивать следующие возможности.

  1. Масштабируемость используемого программного продукта для конкретного окружения

Многие IDS не имеют возможности масштабирования для больших и сильно распределенных сетевых окружений.

  1. Протестированность программного продукта

Простого утверждения, что IDS имеет определенные возможности, недостаточно для доказательства того, что эти возможности реально существуют. Следует иметь возможность демонстрации соответствия конкретной IDS требуемому окружению и целям безопасности.

Следует иметь информацию производителя о тестировании предотвращения разных типов атак. Если программный продукт включает возможности оценки сетевых уязвимостей, следует знать о параметрах тестирования, при которых анализировались эти уязвимости.

Учет возможного роста организации

Следует проанализировать, разработан ли программный продукт с учетом возможности постоянной адаптации к требованиям организации.

  1. Адаптируемость программного продукта к возрастающей квалификации пользователей

Следует проанализировать, может ли интерфейс IDS конфигурироваться для использования настраиваемых по мере необходимости различных shortcut-ключей, возможностей тревоги и т.п. Следует проанализировать также, насколько такие возможности документированы и поддерживаются.

  1. Адаптируемость программного продукта к возрастанию и изменению инфраструктуры организации

Это означает возможность масштабирования IDS при расширении и увеличении разнородности сети. Большинство производителей могут хорошо адаптировать свои продукты к возрастанию сетей. Следует также узнать о поддержке новых стандартов протоколов и типов платформ.

  1. Адаптируемость программного продукта к возрастанию и изменению угроз безопасности

Данный вопрос особенно актуален для текущего состояния угроз в Интернете, когда каждый месяц появляется по 30-40 новых атак.

Предоставляемая поддержка программного продукта

Подобно другим программным продуктам, IDS требуют постоянного сопровождения и поддержки.

  1. Поддержка инсталляции и конфигурирования

Многие производители предоставляют квалифицированную помощь при инсталляции и конфигурировании IDS; другие считают, что это могут делать собственные специалисты потребителя, и обеспечивают только поддержку по телефону или e-mail.

  1. Возможность непрерывной поддержки программного продукта

Существует ли подписка на обновления.

В большинстве IDS, которые определяют злоупотребления, программный продукт настолько хорош, насколько база данных сигнатур соответствует текущему состоянию. Большинство производителей предоставляют подписку на обновления сигнатур, которые создаются с некоторой периодичностью.

Как часто подписчики получают обновления.

При современных угрозах, когда ежемесячно публикуется 30-40 новых атак, это является важным фактором.

Как быстро после обнаружения новой атаки производитель поставит новую сигнатуру.

Если IDS используется для защиты популярных сайтов в Интернете, особенно важно получать сигнатуры для новых атак как можно быстрее.

Включает ли подписка на обновление также и обновление ПО.

Большинство IDS являются программными продуктами и, следовательно, могут содержать ошибки и уязвимости. Таким образом, возможность частого обновления ПО также является весьма существенным фактором.

Как быстро выпускаются обновления ПО после того, как о проблеме было сообщено производителю.

Так как ошибки ПО в IDS могут позволить атакующему обойти всю защиту, особенно важно, чтобы проблемы фиксировались надежно и быстро.

Включены ли сервисы технической поддержки и сколько они стоят.

Сервисы технической поддержки означают помощь производителя в настройке и адаптации IDS для конкретных нужд, мониторинге наследуемых систем на предприятии или создание отчетов о результатах IDS с использованием протокола или формата заказчика.

Какой способ контакта (e-mail, телефон, on-line chat, web-интерфейс) осуществляется для выполнения технической поддержки.

Следует выяснить, как доступны сервисы технической поддержки для обработки инцидентов или других критичных по времени ситуаций.

Какие имеются гарантии, связанные с IDS.

Как и в случае других продуктов ПО, IDS должны иметь определенные гарантии, связанные с их функционированием.

  1. Ресурсы по обучению, предоставляемые производителем как часть пакета услуг

После того как IDS выбрана, инсталлирована и сконфигурирована, она должна обслуживаться персоналом предприятия. Для того чтобы эти люди могли оптимально использовать IDS, они должны сначала научиться ее использовать. Некоторые производители предоставляют программы обучения как часть пакета услуг.

  1. Дополнительные ресурсы, доступные для обучения

В случае, если производитель IDS не предоставляет обучение как часть пакета IDS, следует выделить определенный бюджет для обучения персонала.

< Лекция 4 || Лекция 5: 123456 || Лекция 6 >
Виталий Гордиевских
Виталий Гордиевских

Здравстивуйте, диплом о профессиональной переподготовке по программе "Сетевые технологии" дает право на ведение профессиональной деятельности в какой сфере? Что будет написано в дипломе? (В образце просто ничего неуказано)

Напимер мне нужно чтоб он подходил для направления 09.03.01 Информатика и вычислительная техника

Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Алексей Бирюков
Алексей Бирюков
МГТУ им. Баумана
Роман Пермяков
Роман Пермяков
Россия, Челябинск, ЧГПУ