Архитектура программы

02 февраля 2024

ID 102350

Kaspersky Industrial CyberSecurity for Networks включает в себя следующие компоненты:

  • Сервер – основной компонент, который принимает данные, обрабатывает и предоставляет их пользователям программы. Полученная информация (например, события и сведения об устройствах) сохраняется на Сервере в базе данных. В каждой схеме развертывания Kaspersky Industrial CyberSecurity for Networks может использоваться только один Сервер.
  • Сенсор – компонент, который под управлением Сервера получает и анализирует данные из вычислительных сетей, подключенных к сетевым интерфейсам компьютера. Результаты анализа данных сенсор передает на Сервер. По запросам Сервера сенсор может отправлять на Сервер полученные данные в том виде, в котором они поступили для анализа (например, трафик, относящийся к зарегистрированным событиям). Сенсоры устанавливаются на отдельных компьютерах. Если компьютер выполняет функции Сервера, на этот компьютер невозможно установить сенсор. В программе может использоваться до 50 сенсоров.

Безопасность соединений Сервера и сенсоров обеспечивается с использованием сертификатов. С помощью сертификатов также обеспечивается безопасность и других соединений с компонентами программы (например, подключение к компоненту через веб-интерфейс или подключение сторонних систем через специальные программные модули – коннекторы).

Сервер Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:

  • управляет сенсорами и принимает от них результаты анализа данных, полученных из вычислительных сетей;
  • обрабатывает и сохраняет полученные сведения об устройствах и их взаимодействиях;
  • получает данные от приложений "Лаборатории Касперского", выполняющих функции защиты рабочих станций и серверов (EPP-приложения);
  • взаимодействует с программой Kaspersky Endpoint Agent, установленной на устройствах;
  • выполняет удаленные подключения к устройствам для сканирования устройств в рамках заданий аудита безопасности;
  • регистрирует и сохраняет события;
  • выполняет дополнительный анализ накопленной информации для обнаружения угроз и инцидентов (например, по правилам корреляции событий);
  • контролирует работоспособность программы;
  • контролирует действия пользователей программы;
  • обрабатывает поступающие запросы через веб-интерфейс и коннекторы и предоставляет запрашиваемые данные.

Сенсор Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:

  • анализирует поступающий трафик промышленной сети:
    • выделяет из трафика данные о взаимодействиях устройств и о технологических параметрах;
    • выявляет признаки атак в трафике;
  • получает данные от приложений "Лаборатории Касперского", выполняющих функции защиты рабочих станций и серверов (EPP-приложения);
  • взаимодействует с программой Kaspersky Endpoint Agent, установленной на устройствах;
  • выполняет удаленные подключения к устройствам для сканирования устройств в рамках заданий аудита безопасности;
  • регистрирует события по результатам анализа данных;
  • передает события, информацию о трафике, об устройствах и о технологических параметрах на Сервер Kaspersky Industrial CyberSecurity for Networks.

Компоненты программы получают копию трафика промышленной сети от точек мониторинга. Точки мониторинга могут использоваться как на сенсорах, так и на Сервере. Вы можете добавить точки мониторинга на сетевые интерфейсы, обнаруженные на узлах с установленными компонентами программы. Точки мониторинга требуется добавить на сетевые интерфейсы, через которые поступает трафик из промышленной сети.

Вы можете добавить не более 8 точек мониторинга на сенсоре и не более 4 точек мониторинга на Сервере. Всего в программе вы можете использовать не более 50 точек мониторинга.

Все сетевые интерфейсы, на которые добавлены точки мониторинга, должны быть подключены к промышленной сети таким образом, чтобы исключить возможность влияния на промышленную сеть. Например, для подключения можно использовать порты сетевых коммутаторов промышленной сети, настроенные на передачу зеркалированного трафика (Switched Port Analyzer, SPAN).

Для соединения с Сервером сенсоров и других компонентов решения Kaspersky Industrial CyberSecurity (Kaspersky Industrial CyberSecurity for Nodes / Kaspersky Industrial CyberSecurity for Linux Nodes, Kaspersky Security Center) рекомендуется использовать выделенную сеть Kaspersky Industrial CyberSecurity. Сетевое оборудование для взаимодействия компонентов в выделенной сети должно быть установлено отдельно от промышленной сети. В общем случае к выделенной сети следует подключить следующие компьютеры и устройства:

  • узел Сервера Kaspersky Industrial CyberSecurity for Networks;
  • узлы сенсоров Kaspersky Industrial CyberSecurity for Networks;
  • компьютеры для подключения к Серверу и сенсорам через веб-интерфейс;
  • компьютеры с Kaspersky Industrial CyberSecurity for Nodes / Kaspersky Industrial CyberSecurity for Linux Nodes и Kaspersky Endpoint Agent;
  • компьютеры, через которые выполняются удаленные подключения к устройствам для сканирования устройств в рамках заданий аудита безопасности;
  • компьютеры с программными модулями коннекторов;
  • компьютер с Kaspersky Security Center;
  • сетевой коммутатор.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!