АРМ-Трафик
Комплекс программ АРМ-Трафик предназначен для использования в организациях, оказывающих самые различные услуги населению (услуги связи, социально-бытовые услуги и т.д.). Общее свойство таких организаций: наличие автоматизированной системы (АС), связанной с хранением и обработкой конфиденциальной информации.
Показание к применению АРМ-Трафик: повышенное внимание к защите информации, прежде всего, с точки зрения предотвращения ее преступного использования.
При эксплуатации таких систем нередко возникает проблема наблюдения за действиями пользователей, которые, на первый взгляд, не выходят за рамки своих служебных полномочий и не нарушают принятой схемы разграничения доступа к базе данных, но, тем не менее, злоупотребляют служебным положением. Например, оператор, действуя по указке криминального заказчика, может систематически собирать информацию о телефонных звонках, сделанных с заданного телефонного номера.
На данный момент система АРМ-Трафик внедрена и успешно эксплуатируется в филиале «Петербургская телефонная сеть» ОАО «Северо-Западный Телеком». Эта организация недавно внедрила автоматизированную систему расчетов (АСР) с населением, рассчитанную на одновременную работу 1000 пользователей (операторов, телефонистов и т.д.). Потенциальные проблемы, перечисленными выше, были своевременно выявлены службой информационной безопасности ОАО еще на стадии внедрения АСР.
Функциональный состав АРМ-Трафик
• Модуль перехвата и декодирования – обеспечивает разбор, фильтрацию и декодирование пакетов, полученных с контролируемого сетевого интерфейса
• Локальная база данных – СУБД Cache компании InterSystems Corporation
• Модуль предварительной обработки – осуществляет предварительную обработку полученных данных и их структуризацию для повышения эффективности последующих аналитических запросов
• Инструмент генерации отчетов – пакет Crystal Reports компании Business Objects
Интеграция с другими системами.
В качестве «объектов контроля» АРМ-Трафик могут использоваться автоматизированные системы на основе СУБД, поддерживающих реляционную модель или SQL-совместимые СУБД, а также система интегрируется с любыми средствами генерации отчетов, поддерживающими источники данных ODBC/JDBC.
Системные средства и технические характеристики
К серверу безопасности (СБ), на котором устанавливается АРМ-Трафик предъявляются следующие требования:
• Программно-аппаратная платформа СБ должна допускать использование Cachй; начальный уровень: архитектура Intel, один или несколько x86-совместимых процессоров не ниже Pentium IV 3.0MHz, ОС Linux
• СБ должен быть оснащен сетевыми адаптерами с интерфейсом PCI 64 bit, их количество определяется количеством контролируемых сетевых портов плюс один, используемый для управления и обмена данными с сервером безопасности
• В качестве технического средства перехвата трафика рекомендуется использовать сетевые маршрутизаторы с возможностью зеркалирования портов
Преимущества и характерные особенности системы
Важной отличительной особенностью АРМ-Трафик является его односторонняя изолированность как от контролируемого сервера баз данных, так и от сегмента сети, к которому тот подключен. Это позволяет, с одной стороны, избежать влияния инструмента (АРМ-Трафик) на объект наблюдения (сервер баз данных), а с другой – свести к минимуму возможность постороннего вмешательства в работу комплекса.
Дополнительная возможность АРМ-Трафик: можно анализировать эффективность прикладного программного обеспечения, использующего сервер баз данных, а также контролировать качество прикладных разработок третьих фирм.
В качестве объектов контроля могут выступать любые автоматизированные системы, работающие по технологии клиент-сервер. Вопрос настройки на ту или иную РСУБД сводится к написанию соответствующего модуля декодирования, что, как показал первый опыт, может оказаться весьма нетривиальной задачей. В ближайшее время, возможно, появится поддержка новых версий популярных на российском рынке СУБД.
Почему в качестве СУБД была выбрана Cache? Прежде всего, благодаря ее высокой производительности и такой «изюминке», как единая архитектура данных. Какая СУБД выдержит онлайновую нагрузку по вставке сотен тысяч записей в секунду при весьма скромных «аппаратных аппетитах»? Какая еще СУБД позволит на том же самом сервере начального уровня (2 процессора Intel P4 HT 3.0MHz, ОЗУ 1 Гбайт и т.д.) спокойно запускать аналитические отчеты по тем же самым данным, доступным в виде «классических» реляционных таблиц? Ответ очевиден – только Cache.