АПКШ "Континент" - Развертывание

Последовательность действий в общем
(Согласно "Admin Guide Central")


1. Инициализация и подключение КШ с ЦУС. См. [ 2 ].
2. Установка и запуск Программы управления (см. стр. 25).
3. Установка и запуск Агента (см. стр. 35).
4. Настройка Агента. См. [ 3 ].
5. Регистрация КШ, входящих в комплекс (см. стр. 35).
6. Запись конфигураций КШ на отчуждаемые носители (см. стр. 38).
7. Инициализация и подключение зарегистрированных КШ. См. [ 2 ].
8. Ввод в эксплуатацию инициализированных КШ (см. стр. 56).
9. Настройка комплекса (см. стр. 39).

1. Установка/обновление ПО

Для установки с usb-флешки, ее надо сначала подготовить с помощью утилиты Flash.exe

При этом все данные с нее удаляются !!! Имиджи установщиков:

cgw_release.flash               ПО для установки КШ

cgw.aserv_release.flash     ПО для установки КШ с сервером доступа

ncc_release.flash                ПО для установки КШ с ЦУС

ncc.aserv_release.flash      ПО для установки КШ с ЦУС и сервером доступа

Также требуется идентификатор админа (таблетка ibutton) для того чтобы ПАК "Соболь" разрешил изменить программную среду. По F1 надо обязательно проверить, что Соболь - Версия 1.0

2. Инициализация ЦУС КШ

Требуется ключевая информация для инициализации. Поставляется на дискете, можно просто переписать на флеш. После инициализации на флеш будет записан ключ для установки ПУ для этого ЦУС.

АПКШ "Континент" - Фильтрация IP-пакетов.

Фильтрация дважды - до и после (де-)криптования.

Фильтрация по:

• dest&source IP, dest&source ports
• source int
• факт аутентификации для внутренних хостов.
• содержимое пакетов для прикладных протоколов.

Правила фильтрации IP-пакетов подразделяются на два типа:
• правила, сформированные комплексом автоматически;
• правила, заданные администратором.

Автоматическое формирование правил фильтрации для данного КШ осуществ-
ляется при инициализации ЦУС и КШ. Правила этого типа не отображаются на
экране и не могут быть удалены или изменены администратором

Правила, сформированные комплексом автоматически, разрешают соединения:
• ЦУС с Программой управления и Агентом;
• ЦУС с зарегистрированными КШ;
• основного и резервного КШ.

Режимы работы фильтра:
1) Основной - пакеты, прохождение которых запрещено, отбрасывают-

ся с регистрацией этого события в журнале НСД.

2) "Мягкий"- пакеты только регистрируются в журнале НСД, но пропускаются фильтром.

АПКШ "Континент" - Общие сведения

Основа - урезанная FreeBSD
Общий функционал:

• NAT
• QoS
• PPPoE
• VLAN
• v.92 dial-up (через COM или USB модем) ! нельзя при установленном на КШ ЦУС или сервера доступа
• hot standby (кроме КШ с установленным ЦУС, а также КШ, подключаемых к телефонной линии с помощью модема)
• Аутентификация хостов, подключенных к внутренним интерфейсам КШ
• SPAN-порт

В стандартной поставке идет с ПАК "Соболь"

Центральное управление КШ - через ЦУС и программу управления. 

ЦУС устанавливается на одном из КШ. 

Программа управления работает через агент центра управления сетью. 

Основные ТТХ:

• Алгоритм шифрования ГОСТ 28147-89 режим гаммирования с обратной связью

• Длина ключа, бит 256

• Защита передаваемых данных от искажения ГОСТ 28147-89 режим имитовставки

• Фильтрация IP-пакетов в соответствии с задаваемыми правилами фильтрации

• Увеличение размера пакета с учетом дополнительного IP-заголовка, байт, не более 48

• Количество КШ в сети с одним ЦУС до 500

• Максимальное количество сетевых интерфейсов у одного КШ 16

• Аутентификация компьютеров при подключениик КШ На основе расчета хэш-функции по

алгоритму ГОСТ Р 34.11-94

• Максимальное количество КШ в кластере горячего резервирования 2

• Комплекс обеспечивает непрерывную работу в необслуживаемом режиме

Законы регламентирующие защиту ПДн

Общедоступные

• ФЗ № 152 «О персональных данных» от 27 июля 2006 г.
• ФЗ 363 "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" от 27 декабря 2009 г.
• Приказ ФСТЭК N 58 "Об утверждении положения о методах и способах защиты информации в информационных системах защиты персональных данных"от 5 февраля 2010 г.

Закрытые

Методические материалы ФСТЭК

• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (Базовая модель).

• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (Методика).

Документы, которые не применяются с 15 марта 2010 г. Решение ФСТЭК:

• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)

• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)

ГОСТ Р 51583-2000 Порядок создания автоматизированных систем в защищенном исполнении

ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 6 апреля 2000 г. № 95-ст

1 Область применения

Настоящий стандарт распространяется на автоматизированные системы в защищенном ис полнении, используемые в различных видах деятельности (исследование, управление, проектиро вание и т. п.), включая их сочетания, в процессе создания и применения, которых осуществляется обработка защищаемой информации, содержащей сведения, отнесенные к государственной или служебной тайне.

Настоящий стандарт устанавливает дополнительные требования и положения стандартов класса 34 “Информационная технология. Комплекс стандартов на автоматизированные системы” в части порядка создания и применения автоматизированных систем в защищенном исполнении.

Настоящий стандарт применяется на территории Российской Федерации органами государственной власти, местного самоуправления, организациями, предприятиями и учреждениями не зависимо от их организационно-правовой формы и формы собственности, которые заказывают, разрабатывают, изготавливают и используют (эксплуатируют) автоматизированные системы в за щищенном исполнении.

настоящем стандарте приняты следующие сокращения:

AC — автоматизированная система;

АСЗИ — автоматизированная система в защищенном исполнении;

ЗИ — защита информации;

НД — нормативный документ;

ТЗ — техническое задание;

ЧТЗ — частное техническое задание;

ШС — шифровальное средство;

ТС — технические средства;

ПС — программные средства;

СрЗИ — средство защиты информации;

СиЗИ — система защиты информации;

СВТ — средство вычислительной техники;

ПЭМИН — побочные электромагнитные излучения и наводки;

НСД — несанкционированный доступ;

НИР — научно-исследовательская работа;

ФАПСИ — Федеральное агентство правительственной связи и информации.

http://iso27000.ru/standarty/gost-r-nacionalnye-standarty-rossiiskoi-federacii-v-oblasti-zaschity-informacii/gost-r-51583-2000-poryadok-sozdaniya-avtomatizirovannyh-sistem-v-zaschischennom-ispolnenii

Классификация ИСПДн

Классификация информационных систем персональных данных (ИСПДн) определяется Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Следующая информация приведена в соответствии с данным приказом.

Классификация ИСПДн включает в себя следующие этапы:

• сбор и анализ исходных данных по информационной системе;
• присвоение информационной системе соответствующего класса и его документальное оформление.

Категории информации

Информация, обрабатываемая в ИСПДн может быть отнесена к одной из следующих 4 категорий:

• категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
• категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
• категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
• категория 4 - обезличенные и (или) общедоступные персональные данные

Классификация по масштабу ИСПДн

По объему обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе), ИСПДн делятся на 3 подкласса (Хнпд):

1. в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
2. в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3. в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Типовые и специальные ИСПДн.

По заданным оператором ПДн характеристикам безопасности обрабатываемой информации ИСПДн подразделяются на типовые и специальные.

«Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

• информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
• информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы».

Типовым ИСПДн могут быть присвоены следующие классы:

• класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
• класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
• класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
• класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Данные классы определяются, исходя из таблицы, в которой в качестве исходных данных присутствует масштаб системы ИСПДн (Хнпд) и категория обрабатываемой информации (Хпд):

		Xнпд
		3	2	1
Xпд	Категория 4	К4	К4	К4
	Категория 3	К3	К3	К2
	Категория 2	К3	К2	К1
	Категория 1	К1	К1	К1

Кроме того ИСПДн имеют еще несколько критериев классификации.

В соответствии с п.2 Приказа «классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных» - то есть операторами персональных данных.

терминология ИБ

НСД - несанкционированный доступ, защита от несанкционированного доступа

СКЗИ - средства криптографической защиты информации

МСЭ - межсетевой экран

СЗИ - средства защиты информации (общее)

СЗПДн - система защиты персональных данных

AC — автоматизированная система;

АСЗИ — автоматизированная система в защищенном исполнении;

ЗИ — защита информации;

НД — нормативный документ;

ЧТЗ — частное техническое задание;

ШС — шифровальное средство;

ТС — технические средства;

ПС — программные средства;

СрЗИ — средство защиты информации;

СиЗИ — система защиты информации;

СВТ — средство вычислительной техники;

ПЭМИН — побочные электромагнитные излучения и наводки;

НИР — научно-исследовательская работа;

JunOS interfaces

Наименование порта

fe, ge, xe

fe 0/1/1

0 - номер шасси или слота, мембер ид в Virtual Chassis. Для standalone номер всегда = 0

1 - Pic number. Фиксированные интерфейсы - 0, аплинк модули - 1

1 - номер порта. Начинается с 0

lo0 - loopback интерфейс

me0 - mgmt out-of-band int

vme - логический mgmt интерфейс в Virtual Chassis, доступен через me0 на любом коммутаторе, входящим в VS

vlan - логический L3 int привязанный к соотвествующему vlan

Все физические интерфейсы имеют сабинтерфейсы, называемые units

L3 конфигурация - на уровне unit

L2 конфигурация применяется на уровне физического интерфейса.

family inet - ipv4 конфигурация

family ethernet-switching - L2 конфигурация ethernet

Деактивация порта:

deactivate - деактивирует конфигурацию порта логически

disable - деактивирует сам порт

Унифицированные коммуникации по версии Cisco

Что из себя представляет:

1) Все каналы коммуникации: телефония, видеосвязь, е-мейл, мессенджеры, sms и т.д. - объединяются в единую систему UC

Бенефиты от внедрения:

1) Экономия на расходах на связь - традиционно

2) Быстрый поиск всех способов связи с контактом (один контакт - несколько каналов связи) + presence абонента

3) "Единый номер" для всех ваших телефонов.

4) Ваши настройки (номер телефона, персональные контакты итд.) переезжают за вами, где бы вы не были. (Extension Mobility)

5) можем поддерживать 2х-стандартные wifi/gsm телефоны (через моб.терминалы)

6) Централизованное управления всеми контактами, каналами связи, и т.д. и т.п

Варианты совместной работы

1)Personal Communicator + UC Meeting Place.

Видео, desktop sharing, конференции через веб-камеру

2)Cisco Unified Video Conferincing Desktop

Облегченный вариант.

3) TelePresence

Вебконференции для "взрослых" - большие экраны, спецкамеры, выделенное оборудование и т.д и т.п.

Что посмотреть, почитать

1) Вебинар циско "UC в офисе" + наглядная демонстрация

http://cisco-apps.cisco.com/pcgi-bin/sreg2/register/regdetail.pl?SESSION_ID=127606627110586&LANGUAGE_ID=R&SEMINAR_ID=17197&SEMINAR_TYPE=O&USER_TYPE=R&BANNER_FLAG=1&METHOD=D&TOPIC_CODE=S12049