1 / 18

В.С. Заборовский ЦНИИ РТК, Санкт-Петербург vlad@neva.ru

Разработка системы информационной безопасности единой образовательной среды: архитектура, технические решения и компоненты. В.С. Заборовский ЦНИИ РТК, Санкт-Петербург vlad@neva.ru. Отраслевая система информационной безопасности: цели и задачи в рамках развития ЕОИС. ЦЕЛЬ:

bert-duke
Download Presentation

В.С. Заборовский ЦНИИ РТК, Санкт-Петербург vlad@neva.ru

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Разработка системы информационной безопасности единой образовательной среды: архитектура, технические решения и компоненты В.С. Заборовский ЦНИИ РТК, Санкт-Петербург vlad@neva.ru Волгоград Июль 2003

  2. Отраслевая система информационной безопасности: цели и задачи в рамках развития ЕОИС ЦЕЛЬ: • Обеспечение надежного и защищенного информационного обмена в рамках управления отраслью и развития технологий образования ЗАДАЧИ: • Создание защищенных сетевых ресурсов (центральный сегмент, ресурсные центры) • Формирование отраслевой политики информационной безопасности (документооборот, ЕГЭ и т.д.) • Внедрение современных технических средств защиты данных, авторизации и автоматизации управления (межсетевые экраны, шлюзы, средства авторизации, антивирусные системы)

  3. Отраслевая система информационной безопасности:технологии и средства реализации • Защита от несанкционированного доступа: • фильтрация пакетов • межсетевые экраны • Защита информации при передаче и хранении: • кодирование ГОСТ 28147, ГОСТ 34.10, 34.11, Х509 • крипто шлюзы (КШ) • Авторизация и доступ к приложениям: • организация каталогов доступа, протокол LDAP • сервера авторизации • антивирусные средства защиты

  4. (представи- тельский) прикладной (сессионный) Функциональность и средства обеспечения ФУНКЦИОНАЛЬНОСТЬ МОДЕЛЬ ВОС СРЕДСТВА Proxy-системы, управление каталогами Защита приложений, авторизация доступа и аутентификация пользователей Крипто шлюзы и PKI крипто защита данных и документов транспортный межсетевые экраны защита сетевых транзакций сетевой канальный кодеки кодирование и защита от помех физический

  5. фильтрация пакетов и контроль транспортных соединений с помощью межсетевых экранов создание виртуальных локальных вычислительных сетей (ВЛВС – VLAN) создание виртуальных частных сетей ( VPN) электронная цифровая подпись (ЭЦП) документов и сообщений электронной почты авторизация и аутентификация пользователей распределений сертификатов (PKI) Технические решения для различных уровнейзащиты На уровне сетевой инфраструктуры На уровне информационных приложений

  6. точка доступа: средства управления и защиты информационная магистраль узла сети средства ИКТ прикладные системы и порталы Архитектура и компоненты инфотелекаммуникационной среды отраслевая открытая магистраль сервер авторизации LDAP межсетевой экран (МСЭ) Крипто шлюз хранилище Oracle управление R3 документооборот Lotus сервера и БД защищенная виртуальная сеть и инфраструктура распределения ключей

  7. Открытая глобальная сеть (Интернет) открытая магистраль открытая магистраль открытая магистраль Виртуальная локальная сеть (ВЛВС) МСЭ МСЭ МСЭ КШ КШ КШ виртуальная защищенная магистраль виртуальная защищенная магистраль виртуальная защищенная магистраль Организация взаимодействия сетевых компонент системы ИБ VPN сеть

  8. … … … k m n MACj … … MACq MACi IPp IPl IPd … … … … … … номера портов Управление защитой на основе фильтрации пакетов в корпоративной ВЛВС {k, m, n} – множество номеров ВЛВС Уровень ВЛВС множество МАС адресов, объединенных в ВЛВС с номером m Уровень МАСадресов множество IP адресов, используемых в ВЛВС с номером m Уровень IP адресов множество приложений, доступных в ВЛВС с номером m Уровень TCP портов

  9. открытая магистраль открытая магистраль открытая магистраль открытая магистраль туннель 2,n туннель m,1 туннель 2,1 туннель 1,n виртуальная защищенная магистраль виртуальная защищенная магистраль виртуальная защищенная магистраль виртуальная защищенная магистраль Организация виртуальной частной сети, объединяющей узлы корпоративной сети УЗЕЛ m УЗЕЛ n УЗЕЛ 2 центральный УЗЕЛ 1

  10. Параметры защищенных туннелей частной виртуальной сети ТИПЫ КЛЮЧЕЙ: • основные (рассчитаны на длительный период использования) • временные или сеансовые (рассчитаны для защиты одного виртуального соединения или туннеля) ТИПЫ КРИПТОСИСТЕМ: • симметричные (высокая скорость работы, сложность распределения ключей) • асимметричные (распределение открытого ключа, необходимость обеспечить подлинность и целостность) • использование цифровых сертификатов (стандарт Х.509 v3, имя центра сертификации, описание владельца, открытый ключ, период действия сертификата)

  11. администраторсистемы ИБ сервер LDAP сервер БД сервер Lotus сервер порталов Компоненты системы ИБ: Организация системы авторизации и аутентификации Цель: автоматизация системы управления доступом к информационным ресурсам мета каталоги Задачи: выработка отраслевой политики ИБ выбор средств синхронизации каналов обеспечение надежной работы и резервирования данных

  12. Защита приложений с использованием каталогов • Каталоги - специализирование БД, оптимизирование для чтения и поиска разнородной информации • Возможность объединения каталогов в корпоративную систему авторизации доступа к приложениям • аутентификация на базе ASL – Authentification and Security Layer • конфиденциальность с использованием SSL – Secure Sockets Layer • авторизация на основе ACL – Access Control List

  13. Информационная модель каталогов LDAP:записи, атрибуты и значения АТРИБУТ тип ЗАПИСЬ значение значение атрибут атрибут значение атрибут атрибут

  14. dc=company name, dc=com корневой LDAP сервер ou=People cn=admin cn=repadmin dc=branch2 LDAP сервер филиала 2 uid=Иван uid=Юрий dc=branch1 LDAP сервер филиала 1 uid=Сергей cn=admin cn=admin ou=People cn=repadmin cn=repadmin ou=People uid=dan uid=Петрl uid=mike uid=vlad uid=julia uid=Андрей Организация каталогов LDAP для распределенной корпоративной ИАИС

  15. Возможности управления каталогами на базе LDAP серверов авторизации • масштабируемость • единая адресная книга пользователей • построение корпоративной инфраструктуры обмена открытыми ключами • интеграция приложений с единой корпоративной системой управления

  16. кластеры информационной безопасности в составе: • межсетевые экраны • ВЧС-шлюзы • сервера авторизации аппаратно-программная платформа инфраструктура распределения ключей сервера PKI на базе X.509, использующие LDAP Общая платформа и компоненты отраслевой системы ИБ средства коммутации и сетевая структура информационные приложения

  17. МСЭ МСЭ VPN-шлюз Технические решения: Организация защищенного узла (центральный сегмент) базовая сеть (1000 Мбит/с Ethernet) локальная консоль управления LDAP сервер

  18. Заключение • Отраслевая система ИБ строится как распределенная иерархическая система. • Для защиты информационной инфраструктуры применяются • сетевой уровень – межсетевые экраны • транспортный уровень – крипто шлюзы • прикладной уровень - средства PKI и LDAP • Этапы реализации 2003-2004 • создание системы ИБ центрального сегмента • формирование опытного сегмента распределенной корпоративной VPN сети, включая отраслевую PKI • создание защищенной системы документооборота

More Related