Архитектура программы

Kaspersky Industrial CyberSecurity for Networks включает в себя следующие компоненты:

• Сервер – основной компонент, который принимает и обрабатывает информацию о трафике промышленной сети, сохраняет и предоставляет данные (например, события и сведения об устройствах). В программе может использоваться только один Сервер.
• Веб-сервер – предоставляет интерфейс для подключения к Серверу через веб-браузер (веб-интерфейс). Используя веб-интерфейс, пользователи программы могут просматривать данные, предоставляемые Сервером, и управлять работой программы. Веб-сервер устанавливается на компьютере, который выполняет функции Сервера. Для безопасного соединения с Веб-сервером используются сертификаты.
• Консоль – реализует графический интерфейс для подключения к Серверу. С помощью Консоли пользователи программы могут настраивать функциональность, которая недоступна для управления через веб-интерфейс. Консоль устанавливается на компьютере, который выполняет функции Сервера.
• Сенсор – получает копию трафика промышленной сети, обрабатывает полученные данные и передает их Серверу. Сенсоры устанавливаются на отдельных компьютерах (не на компьютере, который выполняет функции Сервера). В программе может использоваться до 32 сенсоров.

Сервер Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:

• принимает информацию о трафике от сенсоров Kaspersky Industrial CyberSecurity for Networks и / или самостоятельно получает копию трафика промышленной сети;
• регистрирует события и сохраняет их в базе данных;
• контролирует работоспособность программы;
• контролирует действия пользователей программы;
• обрабатывает поступающие запросы от Веб-сервера и Консоли и предоставляет запрашиваемые данные;
• передает события в Kaspersky Security Center и сторонние системы (например, в SIEM-систему).

Веб-сервер, взаимодействуя с Сервером, предоставляет пользователю программы следующие возможности:

• просматривать в онлайн-режиме сведения об устройствах, событиях и технологических параметрах;
• просматривать и обрабатывать зарегистрированные события;
• просматривать и изменять сведения о контролируемых устройствах;
• просматривать сведения о взаимодействиях устройств;
• настраивать функции программы;
• просматривать сведения о работе программы;
• просматривать записи аудита действий пользователей.

Консоль предоставляет пользователю программы следующие возможности:

• настраивать правила контроля процесса;
• формировать список регистрируемых типов событий;
• настраивать передачу событий в сторонние системы;
• настраивать правила обнаружения вторжений;
• настраивать обновление баз и программных модулей.

Сенсор Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:

• обрабатывает поступающий трафик промышленной сети:
  • выделяет из трафика промышленной сети данные о взаимодействиях устройств и о технологических параметрах;
  • выявляет признаки атак в трафике промышленной сети;
• регистрирует события по результатам обработки трафика промышленной сети;
• передает события, информацию о трафике и о технологических параметрах на Сервер Kaspersky Industrial CyberSecurity for Networks.

Сенсоры и / или Сервер получают копию трафика промышленной сети от точек мониторинга. Вы можете добавить точки мониторинга на сетевые интерфейсы, обнаруженные на узлах с установленными компонентами программы. Точки мониторинга требуется добавить на сетевые интерфейсы, через которые поступает трафик из промышленной сети.

Вы можете добавить не более 8 точек мониторинга на сенсоре и не более 4 точек мониторинга на Сервере. Всего в программе вы можете использовать не более 32 точек мониторинга.

Все сетевые интерфейсы, на которые добавлены точки мониторинга, должны быть подключены к промышленной сети таким образом, чтобы исключить возможность влияния на промышленную сеть. Например, для подключения можно использовать порты сетевых коммутаторов промышленной сети, настроенные на передачу зеркалированного трафика (Switched Port Analyzer, SPAN).

Пользователи программы могут подключаться к Серверу через веб-интерфейс или Консоль как на компьютере, который выполняет функции Сервера, так и удаленно. При этом удаленная работа с Консолью возможна только с использованием системы удаленного доступа к рабочему столу.

Для соединения узлов с установленными компонентами Kaspersky Industrial CyberSecurity for Networks и другими компонентами решения Kaspersky Industrial CyberSecurity (Kaspersky Industrial CyberSecurity for Nodes, Kaspersky Security Center) рекомендуется использовать выделенную сеть Kaspersky Industrial CyberSecurity. Сетевое оборудование для взаимодействия компонентов в выделенной сети должно быть установлено отдельно от промышленной сети. В общем случае к выделенной сети следует подключить следующие компьютеры и устройства:

• узел Сервера Kaspersky Industrial CyberSecurity for Networks;
• узлы сенсоров Kaspersky Industrial CyberSecurity for Networks;
• компьютеры для подключения к Серверу через веб-интерфейс;
• компьютер с Kaspersky Industrial CyberSecurity for Nodes;
• компьютер с Kaspersky Security Center;
• сетевой коммутатор.

В начало