Embed Size (px)
DESCRIPTION
Презентация Макарова Е.В. (ФГУП НИИ "Восход"). VI конференция «Электронная торговля. Информационная безопасность и PKI». г.Казань, 22 – 24 октября 2014 г.
Citation preview
www.voskhod.ru
Макаров Евгений Викторович
Начальник отдела Департамент обеспечения ИБ
ФГУП НИИ «Восход»
ОБЕСПЕЧЕНИЕИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИС «НЕЗАВИСИМЫЙ РЕГИСТРАТОР»
www.voskhod.ru 2
Назначение ИС НР
независимого сбора, протоколирования, хранения, контроля и аудита информации в целях исполнения полномочий контролирующими и правоохранительными органами:
– в процессах проведения электронных аукционов на электронных торговых площадках, отобранных в соответствии с требованиями законодательства Российской Федерации о размещении заказов;
– при совершении юридически значимых действий при размещении информации о размещении заказов на поставки товаров, выполнение работ, оказание услуг.
Информационная система «Независимый регистратор» (далее в докладе – Система, ИС НР) предназначена для
www.voskhod.ru
ЭТП NЭТП N
3
Архитектура ИС НР
ЦУ ИС НР
Серверы приложений и
обработки сообщений
СХД
Сервер БД
VPN
Участники размещения заказа, работающие через тонкий клиент
(плагин) с установленным
модулем контроля работы ЭТП
Internet
Сеть НР
Сервер приложений
ФАС-КонтрольСерверы приложений и очереди сообщений
ФАСЭТП 1-N
VPN VPN
Оборудование ЭТП
УМ ИС НР УМ ИС НР
www.voskhod.ru
4
Подсистемы ИС НР
подсистема контроля и аудита; подсистема формирования единой нормативно-справочной базы; подсистема администрирования; подсистема информационной безопасности; подсистема контроля работы электронных площадок; подсистема интеграции.
Доработанные подсистемы:
подсистема аналитического обеспечения; подсистема автоматизированного выявления нарушений при выполнении действий
участников электронных аукционов, работы электронных площадок и государственных заказчиков;
подсистема мониторинга состояния программно-аппаратного комплекса ИС НР; подсистема обеспечения деятельности правоохранительных органов; подсистема электронного архива; подсистема автоматизированного рабочего места контролирующего органа; подсистема контроля имущественных торгов.
Разработанные подсистемы:
www.voskhod.ru
5
Схема взаимодействия подсистем ИС НР
ПОИБ
ФАС ЭТП
АРМ участника торгов
Подсистема контроля и
аудита
Подсистема формирования единой
нормативно-справочной базы
Подсистема администрирования
Подсистема контроля
работы ЭТП
Подсистема Интеграции
ООС
Модуль подсистемы контроля и аудита
Модуль подсистемы контроля работы ЭТП
www.voskhod.ru 6
Особенности ИС НР
Передаваемая информация подписывается отсоединенной электронной подписью участников Системы.
Сформированные сообщения при передаче содержат открытую и закрытую части, закрытая часть шифруется с использованием СКП ЭП ФАС и может быть расшифрована только на стороне ФАС.
ИС НР получает информацию от участников размещения заказа по открытым каналам связи, от ЭТП – по закрытому каналу.
ИС НР обладает следующими особенностями с точки зрения обеспечения ИБ:
www.voskhod.ru 7
Перечень защищаемой информации
открытая, общедоступная информация:– информация о ходе торгов, предоставляемая Порталом
государственных закупок;– статистическая информация о показателях функционирования ИС НР;– сертификаты открытых ключей, используемых в системе;
информация конфиденциального характера:– персональные данные УТ (в зашифрованном виде);– информация, составляющая коммерческую тайну УТ (в
зашифрованном виде);– аутентифицирующие данные пользователей ИС НР;– ключевая информация;– журналы доступа пользователей и внешних ИС к компонентам ИС НР;– конфигурационные и настроечные данные программно-аппаратных
средств компонентов ИС НР и взаимодействующих с ИС НР систем (технические параметры).
В ИС НР обрабатываются следующие категории информации:
www.voskhod.ru 8
Общая информация о ПОИБ ИС НР
межсетевого экранирования; криптографической защиты каналов связи; обнаружения вторжений; антивирусной защиты; защиты от НСД, включая средства защиты от НСД виртуальной
инфраструктуры; электронной подписи и криптографической защиты информации.
Для осуществления защиты информации в ПОИБ ИС НР предусмотрены средства:
ЦУ ИС НР; ФАС России; Электронные торговые площадки.
ПОИБ ИС НР развернута на всех объектах ИС НР:
www.voskhod.ru 9
Состав средств ПОИБ ИС НР
межсетевого экранирования; криптографической защиты каналов связи; обнаружения вторжений; антивирусной защиты; защиты от НСД, включая средства защиты от НСД виртуальной
инфраструктуры; электронной подписи и криптографической защиты информации.
Для осуществления защиты информации в ПОИБ ИС НР предусмотрены средства:
ЦУ ИС НР; ФАС России; Электронные торговые площадки.
ПОИБ ИС НР развернута на всех объектах ИС НР:
www.voskhod.ru 10
Общая схема ПОИБ ИС НР
ЦОД ИС НР
ДМЗ СП ИС НРСОВ VPN
СХД
ЭТП ФАС РоссииМЭ МЭ
СОВVPNСП ЭТП
ИС ЭТП
VPNСОВ СП ФАС
ИС ФАС
ООС
ИС ООС
МЭ
СП ООС
www.voskhod.ru 11
Решения в части ПОИБ
Сетевое взаимодействие
ЦУ ИС НР
Удаленный модуль ИС НР
Y
Плагин пользователя
Закрытый сегмент
Демилитаризованная зона
Интернет
Криптошлюз
Межсетевой экран
Обозначения направлений передачи
информации в ИС НР
Обозначения направлений инициализации
соединений в ИС НР
Удаленный модуль ИС НР
Y
www.voskhod.ru 12
Решения в части ПОИБ
Криптографическая защита данных (1)
Отправитель получает действительный сертификат долговременной ключевой пары электронной подписи (ГОСТ Р 34.10-2001) ФАС России.
Выбираются параметры алгоритма симметричного шифрования (режим шифрования, s-box, алгоритм key meshing, паддинг), описанные в ГОСТ 28147-89, RFC 4357.
Генерируется ключ шифрования контента (далее - CEK) при помощи датчика случайных чисел (ДСЧ).
Производится шифрование данных при помощи алгоритма ГОСТ 28147-89 с использованием CEK и выбранных параметров алгоритма.
Генерируется одноразовая сеансовая ключевая пара электронной подписи алгоритма ГОСТ Р 34.10-2001 с параметрами, указанными в сертификате ключевой пары получателя.
Для генерации ключа шифрования ключа (KEK) применяет алгоритм VKO GOST R 34.10-2001 (см. RFC 4357, пункт 5.2).
Формирует структуру GostR3410-KeyTransport (см. RFC4490, пункт 4.2), в которой включается открытый сеансовый ключ отправителя, параметры шифрования ключевой информации CEK и собственно данная ключевая информация, упакованная при помощи алгоритма CryptoPro Key Wrap (см. 4357, пункт 6.3)
Отправитель пересылает получателю структуру GostR3410-KeyTransport и зашифрованные данные.
www.voskhod.ru 13
Решения в части ПОИБ
Криптографическая защита данных (2)
Оператор ФАС России в случае возникновения необходимости получения доступа к конфиденциальной информации производит следующие действия: Из структуры GostR3410-KeyTransport получает открытый сеансовый ключ отправителя,
параметры шифрования ключевой информации CEK, UKM. Затем, при помощи алгоритма VKO GOST R 34.10-2001 определяет KEK. При помощи алгоритма Crypto Pro Key Unwrap (см. RFC 4357, пункт 6.4) получает CEK и проверяет правильность значения имитовставки.
Расшифровывает данные, используя полученный CEK.
www.voskhod.ru
Выводы:
Контактная информация:
Макаров Евгений Викторович
[email protected] & [email protected]
ИС НР соответствует 2 классу защищенности в соответствии с 17 Приказом ФСТЭК.
ПОИБ ИС НР обеспечивает непрерывную защиту на протяжении всего жизненного цикла информации от угроз ПДн, конфиденциальной информации и специфических угроз, возникающих в процессе проведения электронных торгов.
Обеспечена юридическая значимость при разборе конфликтных ситуаций.
Конфиденциальная информация о ходе торгов и аукционов доступна исключительно сотрудникам ФАС России.
ИС НР успешно прошла аттестацию по требованиям ИБ.
