Upload
bert-duke
View
49
Download
0
Embed Size (px)
DESCRIPTION
Разработка системы информационной безопасности единой образовательной среды: архитектура, технические решения и компоненты. В.С. Заборовский ЦНИИ РТК, Санкт-Петербург [email protected]. Отраслевая система информационной безопасности: цели и задачи в рамках развития ЕОИС. ЦЕЛЬ: - PowerPoint PPT Presentation
Citation preview
ВолгоградИюль 2003
Разработка системы Разработка системы информационной безопасности информационной безопасности единой образовательной среды: единой образовательной среды: архитектура, технические решения и архитектура, технические решения и
компонентыкомпоненты
В.С. ЗаборовскийВ.С. ЗаборовскийЦНИИ РТК, Санкт-ПетербургЦНИИ РТК, Санкт-Петербург
[email protected]@neva.ru
Отраслевая система Отраслевая система информационной безопасности: информационной безопасности: цели и задачи в рамках развития ЕОИСцели и задачи в рамках развития ЕОИС
ЦЕЛЬ: ЦЕЛЬ: Обеспечение надежного и защищенного информационного обмена в Обеспечение надежного и защищенного информационного обмена в
рамках управления отраслью и развития технологий образованиярамках управления отраслью и развития технологий образования
ЗАДАЧИ:ЗАДАЧИ: Создание защищенных сетевых ресурсов Создание защищенных сетевых ресурсов
(центральный сегмент, ресурсные центры)(центральный сегмент, ресурсные центры) Формирование отраслевой политики информационной Формирование отраслевой политики информационной
безопасности (документооборот, ЕГЭ и т.д.)безопасности (документооборот, ЕГЭ и т.д.) Внедрение современных технических средств защиты данных, Внедрение современных технических средств защиты данных,
авторизации и автоматизации управления (межсетевые экраны, авторизации и автоматизации управления (межсетевые экраны, шлюзы, средства авторизации, антивирусные системышлюзы, средства авторизации, антивирусные системы))
Отраслевая система Отраслевая система информационной безопасности:информационной безопасности:технологии и средства реализациитехнологии и средства реализации
Защита от несанкционированного доступа:Защита от несанкционированного доступа: фильтрация пакетовфильтрация пакетов межсетевые экранымежсетевые экраны
Защита информации при передаче и хранении:Защита информации при передаче и хранении: кодирование ГОСТ 28147, ГОСТ 34.10, 34.11, Х509кодирование ГОСТ 28147, ГОСТ 34.10, 34.11, Х509 крипто шлюзы (КШ)крипто шлюзы (КШ)
Авторизация и доступ к приложениям:Авторизация и доступ к приложениям: организация каталогов доступа, протокол организация каталогов доступа, протокол LDAPLDAP сервера авторизациисервера авторизации антивирусные средства защитыантивирусные средства защиты
Функциональность и средства обеспеченияФункциональность и средства обеспечения
кодирование и защита от помех
кодеки физический
ФУНКЦИОНАЛЬНОСТЬСРЕДСТВА МОДЕЛЬ ВОС
защита сетевыхтранзакций
крипто защитаданных и
документов
Защита приложений, авторизация доступа и
аутентификация пользователей
канальный
сетевой
транспортный
(сессионный)
(представи-тельский)
прикладной
межсетевыеэкраны
Крипто шлюзыи
PKI
Proxy-системы,управлениекаталогами
Технические решения для различных уровнейТехнические решения для различных уровнейзащиты защиты
фильтрация пакетов и фильтрация пакетов и контроль транспортных контроль транспортных соединений с помощью соединений с помощью межсетевых экрановмежсетевых экранов
создание виртуальных создание виртуальных локальных вычислительных локальных вычислительных сетей (ВЛВС – сетей (ВЛВС – VLAN)VLAN)
создание виртуальных создание виртуальных частных сетей ( частных сетей ( VPN)VPN)
электронная цифровая электронная цифровая подпись (ЭЦП) подпись (ЭЦП) документов и сообщений документов и сообщений электронной почтыэлектронной почты
авторизация и авторизация и аутентификация аутентификация пользователейпользователей
распределений распределений сертификатов (сертификатов (PKI)PKI)
На уровне сетевой инфраструктуры
На уровне информационных приложений
Архитектура и компоненты Архитектура и компоненты инфотелекаммуникационной средыинфотелекаммуникационной среды
отраслевая открытая магистраль
защищенная виртуальная сеть и инфраструктура распределения ключей
сервер авторизации
LDAP
межсетевойэкран (МСЭ)
Криптошлюз
хранилищеOracleуправление
R3документооборотLotus сервера и БД
информационная магистраль узла сети
точка доступа:
средства управления и защиты
средства ИКТ
прикладные системыи порталы
Открытая глобальная сеть (Интернет)
Виртуальная локальная сеть (ВЛВС)
Организация взаимодействия сетевых Организация взаимодействия сетевых компонент системы ИБкомпонент системы ИБ
VPN сеть
МСЭ
открытая магистраль
виртуальная защищенная магистраль
КШ
МСЭ
открытая магистраль
виртуальная защищенная магистраль
КШ
МСЭ
открытая магистраль
виртуальная защищенная магистраль
КШ
Управление защитой на основе Управление защитой на основе фильтрации пакетов в корпоративной ВЛВС фильтрации пакетов в корпоративной ВЛВС
MACi
MACj MACq… …
IPp IPl IPd
… … … … … …
k m n… … ……УровеньВЛВС
УровеньМАС адресов
УровеньIP адресов
УровеньTCP портов
{k, m, n} – множество
номеров ВЛВС
множествоМАС адресов,
объединенных вВЛВС с номером m
множество IP адресов,используемых в
ВЛВС с номером m
множествоприложений,доступных в
ВЛВС с номером m
номера портов
Организация виртуальной частной сети, Организация виртуальной частной сети, объединяющей узлы корпоративной сетиобъединяющей узлы корпоративной сети
открытая магистраль
виртуальная защищенная магистраль
открытая магистраль
виртуальная защищенная магистраль
открытая магистраль
виртуальная защищенная магистраль
открытая магистраль
виртуальная защищенная магистраль
УЗЕЛ 2 УЗЕЛ m УЗЕЛ n
центральныйУЗЕЛ 1
туннель 2,1 туннель 1,n
туннель 2,n туннель m,1
Параметры защищенных туннелей частной Параметры защищенных туннелей частной виртуальной сетивиртуальной сети
ТИПЫ КЛЮЧЕЙ:ТИПЫ КЛЮЧЕЙ: основные (рассчитаны на длительный период основные (рассчитаны на длительный период
использования)использования) временные или сеансовые (рассчитаны для защиты временные или сеансовые (рассчитаны для защиты
одного виртуального соединения или туннеля)одного виртуального соединения или туннеля)
ТИПЫ КРИПТОСИСТЕМ:ТИПЫ КРИПТОСИСТЕМ: симметричные (высокая скорость работы, сложность симметричные (высокая скорость работы, сложность
распределения ключей)распределения ключей) асимметричные (распределение открытого ключа, асимметричные (распределение открытого ключа,
необходимость обеспечить подлинность и целостность)необходимость обеспечить подлинность и целостность) использование цифровых сертификатов (стандарт Х.509 использование цифровых сертификатов (стандарт Х.509 v3v3, ,
имя центра сертификации, описание владельца, открытый имя центра сертификации, описание владельца, открытый ключ, период действия сертификата)ключ, период действия сертификата)
Компоненты системы ИБ: Компоненты системы ИБ: Организация системы авторизации и аутентификацииОрганизация системы авторизации и аутентификации
Цель: автоматизация системы управления доступом к информационным ресурсам
Задачи: выработка отраслевой политики ИБ
выбор средств синхронизации каналов
обеспечение надежной работы и резервирования данных
мета каталоги
сервер БДсервер LDAP сервер Lotusсервер
порталов
администраторсистемы ИБ
Защита приложений с использованием Защита приложений с использованием каталоговкаталогов
Каталоги - специализирование БД, оптимизирование для Каталоги - специализирование БД, оптимизирование для чтения и поиска разнородной информациичтения и поиска разнородной информации
Возможность объединения каталогов в корпоративную Возможность объединения каталогов в корпоративную систему авторизации доступа к приложениямсистему авторизации доступа к приложениям
аутентификация на базе аутентификация на базе ASL – Authentification and Security ASL – Authentification and Security LayerLayer
конфиденциальность с использованием конфиденциальность с использованием SSL – Secure Sockets SSL – Secure Sockets LayerLayer
авторизация на основе авторизация на основе ACL – Access Control ListACL – Access Control List
Информационная модель каталогов Информационная модель каталогов LDAP:LDAP:записи, атрибуты и значениязаписи, атрибуты и значения
ЗАПИСЬ
атрибутатрибут
атрибутатрибут
АТРИБУТ
тип
значение значение
значение
ou=People
uid=dan
uid=mike
uid=Петрl
ou=People
uid=julia
uid=Андрей
uid=vlad
ou=People
uid=Иван uid=Юрий
uid=Сергей
Организация каталогов Организация каталогов LDAPLDAP для для распределенной корпоративной ИАИСраспределенной корпоративной ИАИС
dc=company name, dc=com корневой LDAP сервер
cn=admin
cn=repadmin
cn=admin cn=repadmin
dc=branch1LDAP сервер филиала 1
dc=branch2LDAP сервер
филиала 2
cn=admin
cn=repadmin
Возможности управления каталогами на базе Возможности управления каталогами на базе LDAP серверов авторизацииLDAP серверов авторизации
масштабируемостьмасштабируемость
единая адресная книга пользователейединая адресная книга пользователей
построение корпоративной инфраструктуры обмена построение корпоративной инфраструктуры обмена открытыми ключамиоткрытыми ключами
интеграция приложений с единой корпоративной интеграция приложений с единой корпоративной системой управлениясистемой управления
информационныеприложения
средства коммутациии
сетевая структура
Общая платформа и компоненты отраслевой Общая платформа и компоненты отраслевой системы ИБсистемы ИБ
аппаратно-программнаяплатформа
кластеры информационной безопасности в составе:
• межсетевые экраны• ВЧС-шлюзы• сервера авторизации
инфраструктура распределения ключей
сервера PKI на базе X.509, использующие LDAP
Технические решения: Организация Технические решения: Организация защищенного узла (центральный сегмент)защищенного узла (центральный сегмент)
базовая сеть(1000 Мбит/с Ethernet)
МСЭ
МСЭ VPN-шлюз
LDAPсервер
локальнаяконсоль
управления
ЗаключениеЗаключение
Отраслевая система ИБ строится как распределенная Отраслевая система ИБ строится как распределенная иерархическая системаиерархическая система..
Для защиты информационной инфраструктуры Для защиты информационной инфраструктуры применяютсяприменяются
сетевой уровеньсетевой уровень – межсетевые экраны– межсетевые экраны транспортный уровень транспортный уровень – крипто шлюзы– крипто шлюзы прикладной уровень - средства прикладной уровень - средства PKIPKI и и LDAPLDAP
Этапы реализации 2003-2004Этапы реализации 2003-2004 создание системы ИБ центрального сегментасоздание системы ИБ центрального сегмента формирование опытного сегмента распределенной формирование опытного сегмента распределенной
корпоративной корпоративной VPN VPN сети, включая отраслевую сети, включая отраслевую PKIPKI создание защищенной системы документооборотасоздание защищенной системы документооборота