Проведение администратором безопасности мониторинга и аудита информационной безопасности в корпоративных сетях (КС) предполагает наличие специально оборудованного автоматизированного рабочего места, где под автоматизированным рабочим местом понимается специализированная система, представляющая собой комплекс технических средств и программного обеспечения, ориентированного на выполнение специалистом своих обязанностей.

В данном случае АРМ должно обеспечивать следующие возможности:

  • предоставлять администратору безопасности доступ к специализированному программному обеспечению проведения мониторинга и аудита;
  • обеспечивать техническую возможность проведения мониторинга и аудита;
  • гарантировать безопасное выполнение работы.

Для решения поставленных выше задач  АРМ по мониторингу и аудиту информационной безопасности в может иметь следующую архитектуру представленную на рисунке 1. Она  включает в себя следующие модули:

  • Модуль проверки работоспособности серверов осуществляет подключение к серверам КС и анализирует полученный ответ с целью выявления нарушений в их работе;
  • Модуль анализа log-файлов серверов – собирает информацию и анализирует содержание log-файлов серверов для выявления попыток несанкционированного доступа к содержащейся на них информации;
  • Модуль анализа журнала безопасности ОС Windows рабочих станций – анализирует данные журналов безопасности с рабочих компьютеров пользователей КС.
  • Модуль анализа работоспособности служб безопасности – анализирует работу антивирусного ПО, межсетевых экранов с целью обнаружения попыток внедрения вредоносного ПО, контроля их функционирования и выявления несанкционированных сетевых соединений;

-       Модуль анализа работоспособности сетевого оборудования анализирует пропускную способность и время отклика сетевого оборудования с целью выявления неполадок в сети;

-       Модуль мониторинга и аудита текущего состояния безопасности в КС собирает информацию со всех модулей и отображает информацию о текущем состоянии корпоративной сети;

-       Модуль работы со статистическими данными – осуществляет сбор, обработку и анализ  статистических данных, собранных из других модулей при проведении мониторинга, на основании данных этого модуля проводиться аудит информационной безопасности.

-       Интерфейс пользователя — осуществляет взаимодействие между пользователем и программой, обеспечивает настройку параметров.

Эти модули представлены в виде агентов. Базовые принципы функционирования автономных агентов заключаются в следующем:

-       агент не имеет полной информации, необходимой для решения задачи мониторинга;

-       собираемые и обрабатываемые данные распределены по сети;

-       работа агентов  выполняются асинхронно;

-       взаимодействие агентов друг с другом осуществляется через централизованные модули мониторинга и аудита и работы со статистическими данными;