external perimeter of secure network public Internet SNMPdata transaction data control commands Волгоград Июль 2003 Разработка системы информационной безопасности единой образовательной среды: архитектура, технические решения и компоненты В.С. Заборовский ЦНИИ РТК, Санкт-Петербург
Отраслевая система информационной безопасности: цели и задачи в рамках развития ЕОИС ЦЕЛЬ: Обеспечение надежного и защищенного информационного обмена в рамках управления отраслью и развития технологий образования Обеспечение надежного и защищенного информационного обмена в рамках управления отраслью и развития технологий образования ЗАДАЧИ: Создание защищенных сетевых ресурсов (центральный сегмент, ресурсные центры) Создание защищенных сетевых ресурсов (центральный сегмент, ресурсные центры) Формирование отраслевой политики информационной безопасности (документооборот, ЕГЭ и т.д.) Формирование отраслевой политики информационной безопасности (документооборот, ЕГЭ и т.д.) Внедрение современных технических средств защиты данных, авторизации и автоматизации управления (межсетевые экраны, шлюзы, средства авторизации, антивирусные системы ) Внедрение современных технических средств защиты данных, авторизации и автоматизации управления (межсетевые экраны, шлюзы, средства авторизации, антивирусные системы )
Отраслевая система информационной безопасности: технологии и средства реализации Защита от несанкционированного доступа: Защита от несанкционированного доступа: фильтрация пакетов фильтрация пакетов межсетевые экраны межсетевые экраны Защита информации при передаче и хранении: Защита информации при передаче и хранении: кодирование ГОСТ 28147, ГОСТ 34.10, 34.11, Х509 кодирование ГОСТ 28147, ГОСТ 34.10, 34.11, Х509 крипто шлюзы (КШ) крипто шлюзы (КШ) Авторизация и доступ к приложениям: Авторизация и доступ к приложениям: организация каталогов доступа, протокол LDAP организация каталогов доступа, протокол LDAP сервера авторизации сервера авторизации антивирусные средства защиты антивирусные средства защиты
Функциональность и средства обеспечения кодирование и защита от помех кодекифизический ФУНКЦИОНАЛЬНОСТЬ СРЕДСТВА МОДЕЛЬ ВОС защита сетевых транзакций крипто защита данных и документов Защита приложений, авторизация доступа и аутентификация пользователей канальный сетевой транспортный (сессионный) (представи- тельский) прикладной межсетевые экраны Крипто шлюзы и PKI Proxy-системы, управление каталогами
Технические решения для различных уровней защиты фильтрация пакетов и контроль транспортных соединений с помощью межсетевых экранов фильтрация пакетов и контроль транспортных соединений с помощью межсетевых экранов создание виртуальных локальных вычислительных сетей (ВЛВС – VLAN) создание виртуальных локальных вычислительных сетей (ВЛВС – VLAN) создание виртуальных частных сетей ( VPN) создание виртуальных частных сетей ( VPN) электронная цифровая подпись (ЭЦП) документов и сообщений электронной почты электронная цифровая подпись (ЭЦП) документов и сообщений электронной почты авторизация и аутентификация пользователей авторизация и аутентификация пользователей распределений сертификатов (PKI) распределений сертификатов (PKI) На уровне сетевой инфраструктуры На уровне информационных приложений
Архитектура и компоненты инфотелекаммуникационной среды отраслевая открытая магистраль защищенная виртуальная сеть и инфраструктура распределения ключей сервер авторизации LDAP межсетевой экран (МСЭ) Крипто шлюз хранилище Oracle управление R3 документооборот Lotus сервера и БД информационная магистраль узла сети точка доступа: средства управления и защиты средства ИКТ прикладные системы и порталы
Открытая глобальная сеть (Интернет) Виртуальная локальная сеть (ВЛВС) Организация взаимодействия сетевых компонент системы ИБ VPN сеть МСЭ открытая магистраль виртуальная защищенная магистраль КШ МСЭ открытая магистраль виртуальная защищенная магистраль КШ МСЭ открытая магистраль виртуальная защищенная магистраль КШ
Управление защитой на основе фильтрации пакетов в корпоративной ВЛВС MAC i MAC j MAC q …… IP p IP l IP d … … … kmn ………… Уровень ВЛВС Уровень МАС адресов Уровень IP адресов Уровень TCP портов {k, m, n} – множество номеров ВЛВС множество МАС адресов, объединенных в ВЛВС с номером m множество IP адресов, используемых в ВЛВС с номером m множество приложений, доступных в ВЛВС с номером m номера портов
Организация виртуальной частной сети, объединяющей узлы корпоративной сети открытая магистраль виртуальная защищенная магистраль открытая магистраль виртуальная защищенная магистраль открытая магистраль виртуальная защищенная магистраль открытая магистраль виртуальная защищенная магистраль УЗЕЛ 2 УЗЕЛ m УЗЕЛ n центральный УЗЕЛ 1 туннель 2,1туннель 1,n туннель 2,n туннель m,1
Параметры защищенных туннелей частной виртуальной сети ТИПЫ КЛЮЧЕЙ: основные (рассчитаны на длительный период использования) основные (рассчитаны на длительный период использования) временные или сеансовые (рассчитаны для защиты одного виртуального соединения или туннеля) временные или сеансовые (рассчитаны для защиты одного виртуального соединения или туннеля) ТИПЫ КРИПТОСИСТЕМ: симметричные (высокая скорость работы, сложность распределения ключей) симметричные (высокая скорость работы, сложность распределения ключей) асимметричные (распределение открытого ключа, необходимость обеспечить подлинность и целостность) асимметричные (распределение открытого ключа, необходимость обеспечить подлинность и целостность) использование цифровых сертификатов (стандарт Х.509 v3, имя центра сертификации, описание владельца, открытый ключ, период действия сертификата) использование цифровых сертификатов (стандарт Х.509 v3, имя центра сертификации, описание владельца, открытый ключ, период действия сертификата)
Компоненты системы ИБ: Организация системы авторизации и аутентификации Цель:автоматизация системы управления доступом к информационным ресурсам Задачи:выработка отраслевой политики ИБ выбор средств синхронизации каналов обеспечение надежной работы и резервирования данных мета каталоги сервер БД сервер LDAP сервер Lotus сервер порталов администратор системы ИБ
Защита приложений с использованием каталогов Каталоги - специализирование БД, оптимизирование для чтения и поиска разнородной информации Каталоги - специализирование БД, оптимизирование для чтения и поиска разнородной информации Возможность объединения каталогов в корпоративную систему авторизации доступа к приложениям Возможность объединения каталогов в корпоративную систему авторизации доступа к приложениям аутентификация на базе ASL – Authentification and Security Layer аутентификация на базе ASL – Authentification and Security Layer конфиденциальность с использованием SSL – Secure Sockets Layer конфиденциальность с использованием SSL – Secure Sockets Layer авторизация на основе ACL – Access Control List авторизация на основе ACL – Access Control List
Информационная модель каталогов LDAP: записи, атрибуты и значения ЗАПИСЬ атрибут АТРИБУТ тип значение
ou=People uid=dan uid=mike uid=Петрl ou=People uid=julia uid=Андрей uid=vlad ou=People uid=Иван uid=Юрий uid=Сергей Организация каталогов LDAP для распределенной корпоративной ИАИС dc=company name, dc=com корневой LDAP сервер cn=admin cn=repadmin cn=admincn=repadmin dc=branch1 LDAP сервер филиала 1 dc=branch2 LDAP сервер филиала 2 cn=admin cn=repadmin
Возможности управления каталогами на базе LDAP серверов авторизации масштабируемость масштабируемость единая адресная книга пользователей единая адресная книга пользователей построение корпоративной инфраструктуры обмена открытыми ключами построение корпоративной инфраструктуры обмена открытыми ключами интеграция приложений с единой корпоративной системой управления интеграция приложений с единой корпоративной системой управления
информационные приложения средства коммутации и сетевая структура Общая платформа и компоненты отраслевой системы ИБ аппаратно-программная платформа кластеры информационной безопасности в составе: межсетевые экраны ВЧС-шлюзы сервера авторизации инфраструктура распределения ключей сервера PKI на базе X.509, использующие LDAP
Технические решения: Организация защищенного узла (центральный сегмент) базовая сеть ( 1000 Мбит/с Ethernet ) МСЭ VPN-шлюз LDAP сервер локальная консоль управления
Заключение Отраслевая система ИБ строится как распределенная иерархическая система. Отраслевая система ИБ строится как распределенная иерархическая система. Для защиты информационной инфраструктуры применяются Для защиты информационной инфраструктуры применяются сетевой уровень– межсетевые экраны сетевой уровень– межсетевые экраны транспортный уровень – крипто шлюзы транспортный уровень – крипто шлюзы прикладной уровень - средства PKI и LDAP прикладной уровень - средства PKI и LDAP Этапы реализации Этапы реализации создание системы ИБ центрального сегмента создание системы ИБ центрального сегмента формирование опытного сегмента распределенной корпоративной VPN сети, включая отраслевую PKI формирование опытного сегмента распределенной корпоративной VPN сети, включая отраслевую PKI создание защищенной системы документооборота создание защищенной системы документооборота