Архитектура программы
Kaspersky Industrial CyberSecurity for Networks включает в себя следующие компоненты:
- Сервер – основной компонент, который принимает данные, обрабатывает и предоставляет их пользователям программы. Полученная информация (например, события и сведения об устройствах) сохраняется на Сервере в базе данных. В каждой схеме развертывания Kaspersky Industrial CyberSecurity for Networks может использоваться только один Сервер.
- Сенсор – компонент, который под управлением Сервера получает и анализирует данные из вычислительных сетей, подключенных к сетевым интерфейсам компьютера. Результаты анализа данных сенсор передает на Сервер. По запросам Сервера сенсор может отправлять на Сервер полученные данные в том виде, в котором они поступили для анализа (например, трафик, относящийся к зарегистрированным событиям). Сенсоры устанавливаются на отдельных компьютерах. Если компьютер выполняет функции Сервера, на этот компьютер невозможно установить сенсор. В программе может использоваться до 32 сенсоров (в версии Kaspersky Industrial CyberSecurity for Networks 4.0) или до 50 сенсоров (в версии Kaspersky Industrial CyberSecurity for Networks 4.0.1).
Безопасность соединений Сервера и сенсоров обеспечивается с использованием сертификатов. С помощью сертификатов также обеспечивается безопасность и других соединений с компонентами программы (например, подключение к компоненту через веб-интерфейс или подключение сторонних систем через специальные программные модули – коннекторы).
Сервер Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:
- управляет сенсорами и принимает от них результаты анализа данных, полученных из вычислительных сетей;
- обрабатывает и сохраняет полученные сведения об устройствах и их взаимодействиях;
- через подключения к другим вычислительным сетям получает данные от программ "Лаборатории Касперского", выполняющих функции защиты рабочих станций и серверов (EPP-программ);
- регистрирует и сохраняет события;
- выполняет дополнительный анализ накопленной информации для обнаружения угроз и инцидентов (например, по правилам корреляции событий);
- контролирует работоспособность программы;
- контролирует действия пользователей программы;
- обрабатывает поступающие запросы через веб-интерфейс и коннекторы и предоставляет запрашиваемые данные.
Сенсор Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:
- анализирует поступающий трафик промышленной сети:
- выделяет из трафика данные о взаимодействиях устройств и о технологических параметрах;
- выявляет признаки атак в трафике;
- через подключения к другим вычислительным сетям получает данные от программ "Лаборатории Касперского", выполняющих функции защиты рабочих станций и серверов (EPP-программ);
- регистрирует события по результатам анализа данных;
- передает события, информацию о трафике, об устройствах и о технологических параметрах на Сервер Kaspersky Industrial CyberSecurity for Networks.
Компоненты программы получают копию трафика промышленной сети от точек мониторинга. Точки мониторинга могут использоваться как на сенсорах, так и на Сервере. Вы можете добавить точки мониторинга на сетевые интерфейсы, обнаруженные на узлах с установленными компонентами программы. Точки мониторинга требуется добавить на сетевые интерфейсы, через которые поступает трафик из промышленной сети.
Вы можете добавить не более 8 точек мониторинга на сенсоре и не более 4 точек мониторинга на Сервере. Всего в программе вы можете использовать не более 32 точек мониторинга (в версии Kaspersky Industrial CyberSecurity for Networks 4.0) или не более 50 точек мониторинга (в версии Kaspersky Industrial CyberSecurity for Networks 4.0.1).
Все сетевые интерфейсы, на которые добавлены точки мониторинга, должны быть подключены к промышленной сети таким образом, чтобы исключить возможность влияния на промышленную сеть. Например, для подключения можно использовать порты сетевых коммутаторов промышленной сети, настроенные на передачу зеркалированного трафика (Switched Port Analyzer, SPAN).
Для соединения с Сервером сенсоров и других компонентов решения Kaspersky Industrial CyberSecurity (Kaspersky Industrial CyberSecurity for Nodes, Kaspersky Security Center) рекомендуется использовать выделенную сеть Kaspersky Industrial CyberSecurity. Сетевое оборудование для взаимодействия компонентов в выделенной сети должно быть установлено отдельно от промышленной сети. В общем случае к выделенной сети следует подключить следующие компьютеры и устройства:
- узел Сервера Kaspersky Industrial CyberSecurity for Networks;
- узлы сенсоров Kaspersky Industrial CyberSecurity for Networks;
- компьютеры для подключения к Серверу и сенсорам через веб-интерфейс;
- компьютеры с Kaspersky Industrial CyberSecurity for Nodes и Kaspersky Endpoint Agent;
- компьютер с Kaspersky Security Center;
- сетевой коммутатор.
В начало