В.С. Заборовский ЦНИИ РТК, Санкт-Петербург vlad@neva.ru

ВолгоградИюль 2003

Разработка системы Разработка системы информационной безопасности информационной безопасности единой образовательной среды: единой образовательной среды: архитектура, технические решения и архитектура, технические решения и

компонентыкомпоненты

В.С. ЗаборовскийВ.С. ЗаборовскийЦНИИ РТК, Санкт-ПетербургЦНИИ РТК, Санкт-Петербург

vlad@neva.ruvlad@neva.ru

Отраслевая система Отраслевая система информационной безопасности: информационной безопасности: цели и задачи в рамках развития ЕОИСцели и задачи в рамках развития ЕОИС

ЦЕЛЬ: ЦЕЛЬ: Обеспечение надежного и защищенного информационного обмена в Обеспечение надежного и защищенного информационного обмена в

рамках управления отраслью и развития технологий образованиярамках управления отраслью и развития технологий образования

ЗАДАЧИ:ЗАДАЧИ: Создание защищенных сетевых ресурсов Создание защищенных сетевых ресурсов

(центральный сегмент, ресурсные центры)(центральный сегмент, ресурсные центры) Формирование отраслевой политики информационной Формирование отраслевой политики информационной

безопасности (документооборот, ЕГЭ и т.д.)безопасности (документооборот, ЕГЭ и т.д.) Внедрение современных технических средств защиты данных, Внедрение современных технических средств защиты данных,

авторизации и автоматизации управления (межсетевые экраны, авторизации и автоматизации управления (межсетевые экраны, шлюзы, средства авторизации, антивирусные системышлюзы, средства авторизации, антивирусные системы))

Отраслевая система Отраслевая система информационной безопасности:информационной безопасности:технологии и средства реализациитехнологии и средства реализации

Защита от несанкционированного доступа:Защита от несанкционированного доступа: фильтрация пакетовфильтрация пакетов межсетевые экранымежсетевые экраны

Защита информации при передаче и хранении:Защита информации при передаче и хранении: кодирование ГОСТ 28147, ГОСТ 34.10, 34.11, Х509кодирование ГОСТ 28147, ГОСТ 34.10, 34.11, Х509 крипто шлюзы (КШ)крипто шлюзы (КШ)

Авторизация и доступ к приложениям:Авторизация и доступ к приложениям: организация каталогов доступа, протокол организация каталогов доступа, протокол LDAPLDAP сервера авторизациисервера авторизации антивирусные средства защитыантивирусные средства защиты

Функциональность и средства обеспеченияФункциональность и средства обеспечения

кодирование и защита от помех

кодеки физический

ФУНКЦИОНАЛЬНОСТЬСРЕДСТВА МОДЕЛЬ ВОС

защита сетевыхтранзакций

крипто защитаданных и

документов

Защита приложений, авторизация доступа и

аутентификация пользователей

канальный

сетевой

транспортный

(сессионный)

(представи-тельский)

прикладной

межсетевыеэкраны

Крипто шлюзыи

PKI

Proxy-системы,управлениекаталогами

Технические решения для различных уровнейТехнические решения для различных уровнейзащиты защиты

фильтрация пакетов и фильтрация пакетов и контроль транспортных контроль транспортных соединений с помощью соединений с помощью межсетевых экрановмежсетевых экранов

создание виртуальных создание виртуальных локальных вычислительных локальных вычислительных сетей (ВЛВС – сетей (ВЛВС – VLAN)VLAN)

создание виртуальных создание виртуальных частных сетей ( частных сетей ( VPN)VPN)

электронная цифровая электронная цифровая подпись (ЭЦП) подпись (ЭЦП) документов и сообщений документов и сообщений электронной почтыэлектронной почты

авторизация и авторизация и аутентификация аутентификация пользователейпользователей

распределений распределений сертификатов (сертификатов (PKI)PKI)

На уровне сетевой инфраструктуры

На уровне информационных приложений

Архитектура и компоненты Архитектура и компоненты инфотелекаммуникационной средыинфотелекаммуникационной среды

отраслевая открытая магистраль

защищенная виртуальная сеть и инфраструктура распределения ключей

сервер авторизации

LDAP

межсетевойэкран (МСЭ)

Криптошлюз

хранилищеOracleуправление

R3документооборотLotus сервера и БД

информационная магистраль узла сети

точка доступа:

средства управления и защиты

средства ИКТ

прикладные системыи порталы

Открытая глобальная сеть (Интернет)

Виртуальная локальная сеть (ВЛВС)

Организация взаимодействия сетевых Организация взаимодействия сетевых компонент системы ИБкомпонент системы ИБ

VPN сеть

МСЭ

открытая магистраль

виртуальная защищенная магистраль

КШ

МСЭ

открытая магистраль

виртуальная защищенная магистраль

КШ

МСЭ

открытая магистраль

виртуальная защищенная магистраль

КШ

Управление защитой на основе Управление защитой на основе фильтрации пакетов в корпоративной ВЛВС фильтрации пакетов в корпоративной ВЛВС

MACi

MACj MACq… …

IPp IPl IPd

… … … … … …

k m n… … ……УровеньВЛВС

УровеньМАС адресов

УровеньIP адресов

УровеньTCP портов

{k, m, n} – множество

номеров ВЛВС

множествоМАС адресов,

объединенных вВЛВС с номером m

множество IP адресов,используемых в

ВЛВС с номером m

множествоприложений,доступных в

ВЛВС с номером m

номера портов

Организация виртуальной частной сети, Организация виртуальной частной сети, объединяющей узлы корпоративной сетиобъединяющей узлы корпоративной сети

открытая магистраль

виртуальная защищенная магистраль

открытая магистраль

виртуальная защищенная магистраль

открытая магистраль

виртуальная защищенная магистраль

открытая магистраль

виртуальная защищенная магистраль

УЗЕЛ 2 УЗЕЛ m УЗЕЛ n

центральныйУЗЕЛ 1

туннель 2,1 туннель 1,n

туннель 2,n туннель m,1

Параметры защищенных туннелей частной Параметры защищенных туннелей частной виртуальной сетивиртуальной сети

ТИПЫ КЛЮЧЕЙ:ТИПЫ КЛЮЧЕЙ: основные (рассчитаны на длительный период основные (рассчитаны на длительный период

использования)использования) временные или сеансовые (рассчитаны для защиты временные или сеансовые (рассчитаны для защиты

одного виртуального соединения или туннеля)одного виртуального соединения или туннеля)

ТИПЫ КРИПТОСИСТЕМ:ТИПЫ КРИПТОСИСТЕМ: симметричные (высокая скорость работы, сложность симметричные (высокая скорость работы, сложность

распределения ключей)распределения ключей) асимметричные (распределение открытого ключа, асимметричные (распределение открытого ключа,

необходимость обеспечить подлинность и целостность)необходимость обеспечить подлинность и целостность) использование цифровых сертификатов (стандарт Х.509 использование цифровых сертификатов (стандарт Х.509 v3v3, ,

имя центра сертификации, описание владельца, открытый имя центра сертификации, описание владельца, открытый ключ, период действия сертификата)ключ, период действия сертификата)

Компоненты системы ИБ: Компоненты системы ИБ: Организация системы авторизации и аутентификацииОрганизация системы авторизации и аутентификации

Цель: автоматизация системы управления доступом к информационным ресурсам

Задачи: выработка отраслевой политики ИБ

выбор средств синхронизации каналов

обеспечение надежной работы и резервирования данных

мета каталоги

сервер БДсервер LDAP сервер Lotusсервер

порталов

администраторсистемы ИБ

Защита приложений с использованием Защита приложений с использованием каталоговкаталогов

Каталоги - специализирование БД, оптимизирование для Каталоги - специализирование БД, оптимизирование для чтения и поиска разнородной информациичтения и поиска разнородной информации

Возможность объединения каталогов в корпоративную Возможность объединения каталогов в корпоративную систему авторизации доступа к приложениямсистему авторизации доступа к приложениям

аутентификация на базе аутентификация на базе ASL – Authentification and Security ASL – Authentification and Security LayerLayer

конфиденциальность с использованием конфиденциальность с использованием SSL – Secure Sockets SSL – Secure Sockets LayerLayer

авторизация на основе авторизация на основе ACL – Access Control ListACL – Access Control List

Информационная модель каталогов Информационная модель каталогов LDAP:LDAP:записи, атрибуты и значениязаписи, атрибуты и значения

ЗАПИСЬ

атрибутатрибут

атрибутатрибут

АТРИБУТ

тип

значение значение

значение

ou=People

uid=dan

uid=mike

uid=Петрl

ou=People

uid=julia

uid=Андрей

uid=vlad

ou=People

uid=Иван uid=Юрий

uid=Сергей

Организация каталогов Организация каталогов LDAPLDAP для для распределенной корпоративной ИАИСраспределенной корпоративной ИАИС

dc=company name, dc=com корневой LDAP сервер

cn=admin

cn=repadmin

cn=admin cn=repadmin

dc=branch1LDAP сервер филиала 1

dc=branch2LDAP сервер

филиала 2

cn=admin

cn=repadmin

Возможности управления каталогами на базе Возможности управления каталогами на базе LDAP серверов авторизацииLDAP серверов авторизации

масштабируемостьмасштабируемость

единая адресная книга пользователейединая адресная книга пользователей

построение корпоративной инфраструктуры обмена построение корпоративной инфраструктуры обмена открытыми ключамиоткрытыми ключами

интеграция приложений с единой корпоративной интеграция приложений с единой корпоративной системой управлениясистемой управления

информационныеприложения

средства коммутациии

сетевая структура

Общая платформа и компоненты отраслевой Общая платформа и компоненты отраслевой системы ИБсистемы ИБ

аппаратно-программнаяплатформа

кластеры информационной безопасности в составе:

• межсетевые экраны• ВЧС-шлюзы• сервера авторизации

инфраструктура распределения ключей

сервера PKI на базе X.509, использующие LDAP

Технические решения: Организация Технические решения: Организация защищенного узла (центральный сегмент)защищенного узла (центральный сегмент)

базовая сеть(1000 Мбит/с Ethernet)

МСЭ

МСЭ VPN-шлюз

LDAPсервер

локальнаяконсоль

управления

ЗаключениеЗаключение

Отраслевая система ИБ строится как распределенная Отраслевая система ИБ строится как распределенная иерархическая системаиерархическая система..

Для защиты информационной инфраструктуры Для защиты информационной инфраструктуры применяютсяприменяются

сетевой уровеньсетевой уровень – межсетевые экраны– межсетевые экраны транспортный уровень транспортный уровень – крипто шлюзы– крипто шлюзы прикладной уровень - средства прикладной уровень - средства PKIPKI и и LDAPLDAP

Этапы реализации 2003-2004Этапы реализации 2003-2004 создание системы ИБ центрального сегментасоздание системы ИБ центрального сегмента формирование опытного сегмента распределенной формирование опытного сегмента распределенной

корпоративной корпоративной VPN VPN сети, включая отраслевую сети, включая отраслевую PKIPKI создание защищенной системы документооборотасоздание защищенной системы документооборота