Архитектура программы

Kaspersky Industrial CyberSecurity for Networks включает в себя следующие компоненты:

• Сервер – основной компонент, который принимает данные, обрабатывает и предоставляет их пользователям программы. Полученная информация (например, события и сведения об устройствах) сохраняется на Сервере в базе данных. В каждой схеме развертывания Kaspersky Industrial CyberSecurity for Networks может использоваться только один Сервер.
• Сенсор – компонент, который под управлением Сервера получает и анализирует данные из вычислительных сетей, подключенных к сетевым интерфейсам компьютера. Результаты анализа данных сенсор передает на Сервер. По запросам Сервера сенсор может отправлять на Сервер полученные данные в том виде, в котором они поступили для анализа (например, трафик, относящийся к зарегистрированным событиям). Сенсоры устанавливаются на отдельных компьютерах. Если компьютер выполняет функции Сервера, на этот компьютер невозможно установить сенсор. В программе может использоваться до 50 сенсоров.

Безопасность соединений Сервера и сенсоров обеспечивается с использованием сертификатов. С помощью сертификатов также обеспечивается безопасность и других соединений с компонентами программы (например, подключение к компоненту через веб-интерфейс или подключение сторонних систем через специальные программные модули – коннекторы).

Если на компьютерах контролируемой сети установлены приложения "Лаборатории Касперского", выполняющие функции защиты рабочих станций и серверов (EPP-приложения), в Kaspersky Industrial CyberSecurity for Networks можно настроить интеграцию с этими приложениями. После настройки интеграции Сервер и/или сенсоры получают данные от EPP-приложений и могут взаимодействовать с ними.

При использовании заданий аудита безопасности Сервер и/или сенсоры могут удаленно подключаться к устройствам для сканирования устройств и получения результатов.

Сервер Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:

• управляет сенсорами и принимает от них результаты анализа полученных данных;
• обрабатывает и сохраняет полученные сведения об устройствах и их взаимодействиях;
• регистрирует и сохраняет события;
• выполняет дополнительный анализ накопленной информации для обнаружения угроз и инцидентов (например, по правилам корреляции событий);
• контролирует работоспособность программы;
• контролирует действия пользователей программы;
• обрабатывает поступающие запросы через веб-интерфейс и коннекторы и предоставляет запрашиваемые данные.

Сенсор Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:

• анализирует поступающий трафик промышленной сети:
  • выделяет из трафика данные о взаимодействиях устройств и о технологических параметрах;
  • выявляет признаки атак в трафике;
• регистрирует события по результатам анализа данных;
• передает события, информацию о трафике, об устройствах и о технологических параметрах на Сервер Kaspersky Industrial CyberSecurity for Networks.

Компоненты программы получают копию трафика промышленной сети от точек мониторинга. Точки мониторинга могут использоваться как на сенсорах, так и на Сервере. Вы можете добавить точки мониторинга на сетевые интерфейсы, обнаруженные на узлах с установленными компонентами программы. Точки мониторинга требуется добавить на сетевые интерфейсы, через которые поступает трафик из промышленной сети.

Все сетевые интерфейсы, на которые добавлены точки мониторинга, должны быть подключены к промышленной сети таким образом, чтобы исключить возможность влияния на промышленную сеть. Например, для подключения можно использовать порты сетевых коммутаторов промышленной сети, настроенные на передачу зеркалированного трафика (Switched Port Analyzer, SPAN).

В программе действуют следующие ограничения на количество точек мониторинга:

• суммарное количество точек мониторинга – не более 50;
• количество точек мониторинга на Сервере – не более 4;
• количество точек мониторинга на сенсоре – не более 8.

При работе в режиме интеграции с решением Kaspersky SD-WAN вы можете использовать не более 100 точек мониторинга как на одном узле, так и суммарно на всех узлах с установленными компонентами программы.

Для соединения с Сервером сенсоров и других компонентов решения Kaspersky Industrial CyberSecurity (Kaspersky Industrial CyberSecurity for Nodes / Kaspersky Industrial CyberSecurity for Linux Nodes, Kaspersky Security Center) рекомендуется использовать выделенную сеть Kaspersky Industrial CyberSecurity. Сетевое оборудование для взаимодействия компонентов в выделенной сети должно быть установлено отдельно от промышленной сети. В общем случае к выделенной сети следует подключить следующие компьютеры и устройства:

• узел Сервера Kaspersky Industrial CyberSecurity for Networks;
• узлы сенсоров Kaspersky Industrial CyberSecurity for Networks;
• компьютеры для подключения к Серверу и сенсорам через веб-интерфейс;
• компьютеры с Kaspersky Industrial CyberSecurity for Nodes / Kaspersky Industrial CyberSecurity for Linux Nodes и программными компонентами Endpoint Agent;
• устройства, к которым выполняются удаленные подключения для сканирования в рамках заданий аудита безопасности;
• компьютеры с программными модулями коннекторов;
• компьютер с Kaspersky Security Center;
• сетевой коммутатор.

В начало