поиск по сайту
Защита решений для федеральных органов власти

Д. Ю. Счастный,

Россия, ОКБ САПР

Защита решений для федеральных органов власти

Презентация: скачать

Экономические процессы федерального уровня отличаются сложной структурой. Любое управленческое решение государственного сектора требует высокого уровня обоснованности. Решения компании «XXX» для федеральных органов власти основаны на методах математического моделирования макроэкономических процессов и моделирования региональной экономики и межсекторных связей.» - эта фраза из рекламного проспекта одной из крупных отечественных компаний целиком и полностью определяет всю глубину и значимость как самих решений для федеральных органов власти, так и необходимость комплексности и полноты построения систем защиты для таких решений.

Не вникая в суть самих решений, постараемся разобраться в их структуре, выделим наиболее общие черты, присущие такого рода решениям, и предложим комплексное решение построения системы защиты для таких решений.

Системы такого уровня просто обязаны оперировать значительными объемами данных. Обработка этих данных должна проводится оперативно. Результаты обработки данных должны быть доступны в любой момент времени из любого места. Все эти требования логично приводят к варианту построения системы: это должно быть клиент-серверное решение с удаленным доступом. Причем удаленный доступ должен быть возможен как через web-интерфейс, так и посредством терминального соединения. Причем, учитывая потенциальный рост объемов обрабатываемых данных и как следствие необходимость масштабирования серверной части, решение должно строиться в инфраструктуре виртуализации. Пользователи работают с сервисами такой системы с различных рабочих мест, как мобильных, так и стационарных. Таким образом, система состоит из следующих технологических элементов:

  • Инфраструктура виртуализации
  • Мобильное рабочее место
  • Стационарное полноценное рабочее место
  • Стационарное облегченное рабочее место
  • Каналы связи.

Сценарии работы пользователей видятся следующие:

  • Пользователь с мобильного рабочего места загружается с флешки и через броузер или терминальное подключение получает доступ к серверной части решения. При этом работа ведется только с удаленными данными, хранящимися на сервере. В случае необходимости данные с сервера могут быть распечатаны на принтере, подключенном к мобильному рабочему месту.
  • Пользователь стационарного полноценного рабочего места выполняет служебные обязанности, которые могут быть не связаны с использованием сервисов системы. В случае необходимости он через броузер или через терминальное подключение получает доступ к северной части решения. При этом работа может вестись как с удаленными данными, хранящимися на сервере, так и локальными данными, хранящимися на рабочем месте. В случае необходимости любые данные могут быть распечатаны как на принтере, подключенном к рабочему месту, так и на сетевом принтере.
  • Пользователь стационарного облегченного рабочего места загружается с диска, установленного в терминал, или через сеть и через броузер или терминальное подключение получает доступ к серверной части решения. При этом (как и в случае с мобильным рабочим местом) работа ведется только удаленными данными, хранящимися на сервере. В случае необходимости данные с сервера могут быть распечатаны как на принтере, подключенном к рабочему месту, так и на сетевом принтере.

Комплексная система защиты должна защищать и взаимоувязывать все элементы системы в единое целое. Защитные средства инфраструктуры виртуализации должны обеспечивать целостность и разграничение прав доступа пользователей к ресурсам виртуальной инфраструктуры. Этот элемент защищается Аккордом-В. Дополнительно должны защищаться каналы доступа к ресурсам виртуальной инфраструктуры. Для их защиты рекомендуется использовать технологию vpn.

Защита мобильного рабочего места должна обеспечивать целостность рабочей среды на момент работы с ресурсами сервера и целостность и конфиденциальность передаваемых данных. Этот элемент защищается МАРШ!.

Защита полноценного стационарного рабочего места должна обеспечивать целостность рабочей среды на момент работы с ресурсами сервера и целостность и конфиденциальность передаваемых данных. Также защита должна обеспечивать разграничение прав доступа к ресурсам самого рабочего места. Этот элемент защищается ПАК СЗИ НСД Аккорд Win32 (Win64, X) на базе контроллера Аккорд GXMH и идентификатора ПСКЗИ ШИПКА.

Защита облегченного стационарного рабочего места должна обеспечивать целостность рабочей среды на момент работы с ресурсами сервера и целостность и конфиденциальность передаваемых данных. Этот элемент защищается Центр-Т.

Отдельно стоит остановиться на обмене данными между рабочими местами не через сеть (так как этот обмен защищен средствами ДСС), а посредством флеш-накопителей. Не всегда удобно и технологически оправдано использовать ресурсы сети для обмена данными. Зачастую возникает необходимость передать данные между рабочими местами напрямую через флеш-накопитель. И этот элемент взаимодействия также требует защиты. Этот элемент защищается Секретом. Секрет - это служебный носитель, предназначенный для работы только на строго определенных компьютерах, и неработоспособный на всех прочих компьютерах.

Решение можно представить следующей схемой:

Рис. 1. Схема решения

Большие сложные комплексные решения должны защищаться комплексно. Описанная выше система построения защиты позволяет это сделать комплексно и взаимоувязано.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них