250 likes | 438 Views
Применения сетевой защиты в задачах информатизации крупных государственных социальных и культурных проектов. СТАНДАРТ СЕТЕВОЙ БЕЗОПАСНОСТИ ДЛЯ РОССИЙСКОГО БИЗНЕСА. Применения сетевой защиты в государственных социальных и культурных проектах Взгляд из Ванкувера 2010 Возможности. Проблемы
E N D
Применения сетевой защиты в задачах информатизации крупных государственных социальных и культурных проектов СТАНДАРТ СЕТЕВОЙ БЕЗОПАСНОСТИ ДЛЯ РОССИЙСКОГО БИЗНЕСА
Применения сетевой защиты в государственных социальных и культурных проектах Взгляд из Ванкувера 2010 Возможности. Проблемы Продукты Взгляд из Ванкувера 2010
«Их» опыт – очень кстати сегодня... • Игры в Ванкувере начнутся через неделю • Масштаб явления: • свыше 80 стран-участниц олимпийских и свыше 40 – параолимпийских игр, 5 500 спортсменов-олимпийцев и 1 350 - параолимпийцев • 86 комплектов олимпийских и 64 комплекта параолимпийских наград • 55 000 сотрудников аппарата и обслуживающего персонала • 10 000 аккредитованных СМИ • 3 000 000 000 телезрителей • 75 000 000 справочных обращений к веб-сайту
Любопытный документ • Конфиденциален, содержит рабочий анализ • Авторы примерно в том же состоянии, что и мы: 05.09.2005 – до Олимпиады 5 лет • Примечателен последний из выводов: • «Без целостного подходак безопасности Игр ресурсы могут быть избыточны, или наоборот, имеющиеся ресурсы – неэффективно использованы. То и другое ведет к росту затрат»
«Целостный подход» встречается дважды • Зимние Игры 2010 – первые, имеющие целостную архитектуру информационного обеспечения • Масштабы также впечатляющи: • 18 000VoIP телефонных и факсимильных линий • 7 000 служебных мобильных телефонов из них 2 000 – работающий в приоритетном (прерывающем) режиме • 5 000 персональных радиостанций • 500 точек беспроводного доступа • Для объектов информатизации создается целостное информационное пространство: • единая мультисервисная IP-сеть, интегрирующая службы данных, телефонии, телематики и вещания • еще в Солт Лейк Сити это были три различных сети • почему они так сделали? • больше гибкости • лучше условия предоставления сервиса пользователю • дешевле
Целостность безопасности – в едином органе
Участники программы безопасности Игр 2010 • Правительство Канады: представительство и надзор • Региональные (провинция BC) и местные муниципальные (Ванкувер) органы власти: надзор и операционное управление • Муниципальная полиция: безопасность на местах, ситуационный центр • Integrated Public Safety (пожарная безопасность, скорая медицинская помощь, чрезвычайные ситуации – мониторинг, оперативное упрваление, ситуационный центр) • VANOC: общее управление, международная координация • Владельцы критических объектов инфраструктуры: подчиняют регулярные ресурсы безопасности своих объектов программе безопасности Игр ...ОРГАНИЗУЕТСЯ ОПЕРАТИВНЫЙ ИНФОРМАЦИОННЫЙ ОБМЕН УЧАСТНИКОВ ПРОГРАММЫ
Как они видят проблемы безопасности • Две ключевых цели: • Обеспечить безопасность олимпийского сообщества, затем – гостей олимпиады и местных жителей • Не удушить местных жителей и бизнес требованиями безопасности • Информационные досье на аккредитуемых • Пограничный и визовый контроль (их особо беспокоит поток СЩА-Канада) • Безопасное планирование транспортного обеспечения • Безопасность авиатранспорта и аэропортов • Безопасность морского порта • Обеспечение тактического реагирования на инциденты (по направлениям) • Защита информационных коммуникаций • Коммуникации Олимпийского комитета, прессы • Внутренние • Трансграничные международные информационные обмены • Дадим им ГОСТ попользоваться? • Коммуникации управления и служб обеспечения • Коммуникации служб безопасности • Медицинская информатизация • Технологический контроль • Безопасность объектов Игр и спортивных арен • Связи с общественностью • Обучение и тренинги участников • Управление трафиком
Архитектура системы информатизации • Центр обработки данных VANOC • Пресс-центры, центры международных коммуникаций, обеспечение деятельности СМИ • Информационная инфраструктура кампусов • Управление информационной системой и ресурсами • Система обеспечения информационной безопасности • Интегрированная мультисервисная IP-сеть
Знакомый взгляд на ИБ (профи везде профи ) • Энди Платтен, вице-президент VANOC по технической инфраструктуре: • «Мой опыт работы с ИТ лежит в сфере обслуживания очень крупных банков. Инфраструктура, которую мы строим для Игр, примерно того же масштаба и уровня сложности. Но то, что нам приходится делать здесь – это как открыть все отделения и филиалы банка в один день, причем все системы должны работать. И должны работать без замечаний. Транзакции пользователей должны быть обеспечены и мы должны балансировать [систему] каждую ночь» • «I used to work in IT fora very large bank. Theinfrastructure that we’rebuilding for the Gamesis roughly the samecomplexity and size aswhat we had deployedthere. But what we’redoing here for theGames is like opening allthe branches on thesame day, with all thesystems working. And ithas to run perfectly.Customer transactionscan’t go wrong, and wehave to balance everynight»
Применения сетевой защиты в государственных социальных и культурных проектах Взгляд из Ванкувера 2010 Возможности. Проблемы Продукты Возможности.Проблемы
Наши возможности: • Мы можем учесть опыт всех предыдущих Олимпиад • У нас есть время построить достойное техническое решение • Технологии интеграции служб в 2004 будут не хуже ... НО В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ МЫ ДОЛЖНЫ РЕШИТЬ РЯД ПРОБЛЕМ
Сетевая безопасность • Сетевая безопасность в широком смысле – это комплекс мер защиты от атак, осуществляемых методами сетевого доступа • Сетевая безопасность в узком смысле – это средства защиты информации, применяемые на сетевом и транспортном уровнях, в первую очередь – межсетевые экраны и VPN • Эти средства защиты обрабатывают каждый сетевой пакет, обойти их невозможно и они обеспечивают полный контроль над коммуникациями любого компьютера, отдельно взятого приложения или каждого пользователя • Структурообразующие средства сетевой информационной безопасности высвечивают ключевые проблемы построения комплексной системы защиты
Позиционирование сетевой защиты • В задачах защиты инфраструктуры олимпийских игр сетевая безопасность не только обеспечит конфиденциальность данных, передаваемых между различными субъектами, она обеспечит: • структуризацию информационного пространства • изоляцию специализированных подсетей от внешнего окружения и друг от друга • эффективный многоуровневый контроль доступа
Кросс-ведомственные ИС • Характеризуются: • множество субъектов работают в едином информационном пространстве • единый [, часто – довольно сложный и принципиально распределенный] комплексинформационных ресурсов • при этом - множество владельцев информационных активов • [в некоторой степени] интегрированная инфраструктура • нет единого интегратора/архитектора/проектанта, система строится многими организациями • нет единого производителя (причем единственный производитель не нужен и опасен)
Готовы ли мы к их интеграции? • КАТАСТРОФИЧЕСКИ НЕ ГОТОВЫ: • технологии не стандартизованы • продукты не полнофункциональны и не совместимы • типовые технические решения не разработаны • системные интеграторы не готовы к сотрудничеству при горизонтальном делении проектов • в небогатой практике только иерархии субподрядов, состыковать две независимые разработки никто пока не смог • сервис-провайдеры не готовы поставлять сервис информационной безопасности в масштабах такой системы • проблематично будет и техническое сопровождение
Проблема модульности комплексной системы • Система формируется из ИКТ-продуктов, СЗИ и СКЗИ • Свойства их безопасности, уровни сертификации различны • Защищенность системы зависит от комбинации продуктов • Функции защиты каждого продукта определяются его политикой безопасности (внутренними настройками) • Руководства по подбору «деталей» для сборки комплексной системы (т.е. рекомендаций по применению технологических стандартов) нет • Задача технологической стандартизации в принципе решаема, но требует более активной позиции органов стандартизации • Руководства, как «сшить» функции защиты моделей воедино, нет • Разработка такого универсального руководства вряд ли технически реализуема
Проблема интеграции инфраструктуры • Ключевое значение имеет единая инфраструктура безопасности комплексной системы • Основной вопрос – видите Вы картину безопасности системы в целом или как набор разрозненных фрагментов • Факторы безопасности, связанные с единством инфраструктуры системы в регулировании не рассмотрены • В то же время для крупной системы эти факторы определяющим образом влияют на ее безопасность: начиная с некоторого уровня развития политику безопасности в масштабах системы и мониторинг событий безопасности невозможно осуществлять иначе, чем с применением централизованных автоматизированных систем • В области создания доверенной инфраструктуры безопасности существует проблема масштаба для отечественного разработчика: задача разработки собственных инфраструктурных продуктов ему не по силам • Мы вынуждены либо отказываться от применения этих продуктов, либо допускать определенный уровень доверия импортным продуктам
Стандартизация • Коммуникационные протоколы и форматы данных • Типовые решения (конструктивные блоки) • Составляющие информационной инфраструктуры • Политики безопасности и процессы
Совместимость • Пример. IPsec interoperability workshop: • проводились 1-2 раза в год, всего – свыше 10 сессий, начиная с осени 1998 года • 50-70 компаний на каждой сессии • 200-500 циклов кросс-тестирования продуктов • Совместимость продуктов – это сотни часов кросс-тестов и отладки
Применения сетевой защиты в государственных социальных и культурных проектах Взгляд из Ванкувера 2010 Возможности. Проблемы Продукты Продукты
Стандартизация и совместимость • Исчерпывающая аналитическая проработка архитектуры, безопасный дизайн протоколов защиты информации • Совместимость • Унифицированная функциональность • Верификация кода продуктов, кросс-отладка • «Смешанные» сценарии применения, включающие в периметр защиты отечественные и импортные продукты • Документированное поведение продуктов • Базовые стандарты IPsec: • RFC 2401-RFC 2412 • Расширения IKE: • DPD • NAT Traversal IPsec • IKE-CFG • XAUTH • Криптоархитектура: • RFC 2628, 4357, MS CryptoAPI • ГОСТ 28147-89, DES, 3DES, AES • ГОСТ Р 34.10-94, 2001, RSA • ГОСТ Р 34.11-94, MD5, SHA-1 • Интеграция с PKI: • PKCS#7,10,12 • X.509 v.3 (RSA, DSA, ГОСТ) • CRL • LDAP • Мониторинг и аудит: • SNMP • Syslog
NME RVPN в исполнении MCM • Изделие «Модуль Сетевой Модернизированный (МСМ)» является аппаратной платформой (доверенным сетевым модулем), производимым ЗАО «С-Терра СиЭсПи» в соответствии с согласованным с Центром ФСБ России «Порядком организации производства изделия «Модуль Сетевой Модернизированный (МСМ)» в рамках подконтрольного технологического процесса на территории Российской Федерации» • «Порядок организации производства...» производства разработан с целями: • исключить вероятность внедрения в специализированную платформу недокументированных вредоносных аппаратно-программных элементов • создания и последующей сертификации в системе сертификации средств криптографической защиты информации № POCC RU.0001.03.0001 программных средств криптографической защиты информации, применяемых на модуле МСМ • Ответственным исполнителем технологических операций и мер контроля, предусмотренным «Порядком организации производства...», является ЗАО «С-Терра СиЭсПи» • Сетевой модуль МСМ предназначен для применения в составе сетевых маршрутизаторов программного обеспечения разработки ЗАО «С-Терра СиЭсПи», реализующего функции сетевой информационной безопасности
КОНТАКТЫ e-mail: information@s-terra.com web: http://www.s-terra.com/ Тел.: +7 (499) 940 9001 +7 (495) 726 9891 Факс: +7 (499) 7206928 Вопросы?Обращайтесь к нам!