- •Федеральное агентство по рыболовству
- •Концепция информационной безопасности росрыболовства
- •1. Общие положения
- •1.1. Назначение и правовая основа документа
- •2. Объекты защиты
- •2.1. Назначение, цели создания и эксплуатации
- •2.2. Структура, состав и размещение основных элементов иивс
- •2.2.1. Общая характеристика иивс Росрыболовства
- •2.2.2. Структура иивс Росрыболовства
- •2.3. Категории информационных ресурсов Росрыболовства,
- •2.4. Категории пользователей иивс Росрыболовства,
- •2.5. Уязвимость основных компонентов иивс Росрыболовства
- •3. Цели и задачи обеспечения иб
- •3.1. Интересы затрагиваемых при эксплуатации
- •3.2. Цели защиты
- •3.3. Основные задачи системы обеспечения информационной
- •3.4. Основные пути достижения целей защиты
- •4. Основные угрозы информационной безопасности
- •4.1. Угрозы информационной безопасности и их источники
- •4.2. Пути реализации непреднамеренных искусственных
- •4.3. Умышленные действия сторонних лиц, зарегистрированных
- •4.4. Утечка информации по техническим каналам
- •4.5. Неформальная модель возможных нарушителей
- •5. Основные положения технической политики в области
- •5.1. Техническая политика в области обеспечения
- •5.2. Формирование режима информационной безопасности
- •5.3. Оснащение техническими средствами хранения
- •6. Основные принципы построения системы комплексной защиты
- •7. Меры, методы и средства обеспечения требуемого уровня
- •7.1. Меры обеспечения безопасности
- •7.2. Физические средства защиты
- •7.2.1. Разграничение доступа на территорию и в помещения
- •7.3. Технические (аппаратно-программные) средства защиты
- •7.3.1. Средства идентификации (опознавания) и аутентификации
- •7.3.2. Средства разграничения доступа зарегистрированных
- •7.3.3. Средства обеспечения и контроля целостности
- •7.3.4. Средства оперативного контроля и регистрации
- •7.3.5. Криптографические средства защиты информации
- •7.4. Зи от утечки по техническим каналам
- •7.5. Защита речевой информации при проведении
- •7.6. Управление системой обеспечения
- •7.7. Контроль эффективности системы защиты
- •8. Первоочередные мероприятия по обеспечению
2.2.2. Структура иивс Росрыболовства
Инфраструктура ИИВС Росрыболовства центрального аппарата (далее - ЦА) представляет собой локально-вычислительную сеть, объединяющую рабочие места пользователей и серверные платформы с выделением различных сегментов. Общая структура ИИВС центрального аппарата Росрыболовства приведена на рис. 2.
┌────────────────────────┐ ┌────────────────────────────────────────┐
│ Сегмент "Интернет" │ │ Сегмент "Агентство" │
│ │ │ │
│ ┌────────────────────┐ │ │ ┌───────┐ │
│ │ Сегмент "Интернет" │ │ │ │ АРМ │ ┌────┐ │
│ │ (АП) │ │ │ ┌───────────┐ └───┬───┘ │ УЦ │ │
│ └──────────┬─────────┘ │ │ │ Терминалы │\ │ └─┬──┘ │
│ │ │ └───────────┘ \ │ │
│ │ │ │ \ │ │
│ / \ │ │ ┌────────────┐ \ / \ ┌─────┴───┐ │
│ / \ │ │ │ Внутренний ├────/ \───┤ Внешний │ │
│ \ / │ │ │ контур │ \ / │ контур │ │
│ \ / │ │ └────────────┘ \ / └─────────┘ │
│ │ │ │ │ │
│ │ │ │
│ ┌──────────┴─────────┐ │ │ │ │
│ │ Сегмент "Интернет" │ │ │ ┌──────────┴───────┐ ┌─────┐ │
│ │ (Proxy) │ │ │ │ Удаленный доступ │ │ ДМЗ │ │
│ └────────────────────┘ │ │ └──────────┬───────┘ └──┬──┘ │
│ │ │ │ │ │ │
└──────────── ───────────┘ └────────────────────────────────────────┘
│ . │ │
/ \
│__________/ \_____________________│_____________│
\ /
\ /
│ ┌───────┐ Компоненты располагаются
│ │ в административных зданиях
│ └───────┘
/ \
│ │ ┌───────┐ Компоненты располагаются
\ / │ │ в ЦОД
│ └───────┘
│
/ \
/ \
. . / \ . .
. ./ \. .
. . . .
. ISP 1 . . ISP 2 .
. . . .
. . . . . . . .
Рис. 2. Структура ИИВС ЦА Росрыболовства
Сегмент "Агентство" является основным сегментом, в котором размещаются рабочие станции пользователей и все ИР Росрыболовства. В сегменте выделяются "внутренний контур" с ИР конфиденциального характера, не содержащими сведения, составляющие государственную тайну, и "внешний контур" - с открытыми ИР, не содержащими служебной информации ограниченного распространения. Доступ пользователей во "внутренний контур" осуществляется посредством терминального доступа.
Также имеются сегменты защищенных демилитаризованных зон (далее - ДМЗ), в которых размещаются ресурсы, доступ к которым разрешен со стороны внешних пользователей, и "Удаленный доступ", который предназначен для организации удаленного доступа к внутренним ресурсам Росрыболовства со стороны территориальных управлений и мобильных пользователей.
Сегмент "Интернет" предназначен для предоставления пользователям Росрыболовства доступа к ресурсам международной сети Интернет и представляет собой отдельный контур, физически отделенный от контура "Агентство".
Общая структура ИИВС территориального управления Росрыболовства (далее - ТУ) приведена на рис. 3.
┌─────────────────────┐
│ Серверный сегмент │
└──────────┬──────────┘
│
│
┌───────────────┐ / \ ┌──────────────────┐
│ Сегмент АРМ ├────────/ \───────┤ Удаленный доступ │
└───────────────┘ \ / └──────────────────┘
\ /
│
│
/ \
│ │
\ /
│
│
. .
. .
. .
. ISP .
. .
. . . .
Рис. 3. Структура ТУ
Архитектура серверной площадки центра обработки данных (далее - ЦОД) основана на использовании виртуализированной среды, в которую помещаются компоненты ИС. Общая архитектура виртуализированной среды ЦОД приведена на рис. 4.
┌─────────────────────────────────────────────────────────────────────────┐
│ ЦОД │
│ ┌/───\┐ vSphere Client│
│ │ │ │
│ │\ _ /│ Файлы VM . . . │
│ │ │ на разделах VMFS . . │
│ │ СХД │ . LAN ЦОД . АРМ Админист-│
│ │ │ . . ратора ЦОД │
│ └──┬──┘ . . . . │
│ . │ │
│ . │ . . │
│ . . . │ │
│ . SAN . . │
│ . . . . │ │
│ . . . . . │
│ │ . . │ │
│ / \ . . / \ │
│ / \ . . / \ │
│ / \ . . / \ │
│ / Server\ . . / Server\ │
│ │\ ESX(i)/│ . .│\ ESX(i)/│ │
│ │ \ / │ │ \ / │ │
│ \ \ / / \ \ / / │
│ \ \ / / \ \ / / │
│┌──────\ │ /──────────────────────────────┐┌───────\ │ /────────────────┐│
││ \│/ ││ \│/ ││
││ . . . ││ . . . ││
││┌──────┐ . . ││┌──────┐ . . ││
│││vmware│ . vLAN .─ ─ ─ ─ ─ ─ ┐ │││vmware│ . vLAN . ││
││└──────┘ / . . \ │ ││└──────┘ /. . \ ││
││ / │ . . . │ \ ││ / │ . . . │ \ ││
││ / \ │ ││ / \ ││
││ / │ │ \ ││ / │ │ \ ││
││ ┌─────┐┌─────┐┌─────┐ ┌─────┐┌──┴──────┐││┌─────┐┌─────┐┌─────┐┌─────┐││
││ │ VM││ VM││ VM│ │ VM││ VM││││ VM││ VM││ VM││ VM│││
││ ││---││││---││││---││ ││---││││-------││││││---││││---││││---││││---││││
││ │ OS ││ OS ││ OS │ │ OS ││ vCenter ││││ OS ││ OS ││ OS ││ OS │││
││ ││---││││---││││---││ ││---││││Server ││││││---││││---││││---││││---││││
││ │ App ││ App ││ App │ │ App ││ ││││ App ││ App ││ App ││ App │││
││ ││---││││---││││---││ ││---││││-------││││││---││││---││││---││││---││││
││ └─────┘└─────┘└─────┘ └─────┘└─────────┘││└─────┘└─────┘└─────┘└─────┘││
││ АИС 2 АИС 1 ││ АИС 2 АИС 1 ││
│└─────────────────────────────────────────┘└────────────────────────────┘│
└─────────────────────────────────────────────────────────────────────────┘
Рис. 4. Виртуализированная среда ЦОД
В качестве основной аппаратной платформы используются высокопроизводительные серверы, на которых устанавливается программное обеспечение гипервизора. Все серверы подключены к сетевой системе хранения данных, на которой физически размещаются файлы создаваемых виртуальных машин. Запуск виртуальных машин осуществляется при помощи гипервизора, который выделяет для виртуальной машины необходимые аппаратные ресурсы и управляет ее работой. На одном сервере можно запустить одновременно несколько виртуальных машин.
Виртуальная машина представляет собой аналог физического сервера или рабочей станции и включает в себя необходимую операционную систему, прикладное ПО. Для размещения в виртуальной среде информационной системы создается необходимый набор виртуальных машин.
Для сетевого взаимодействия различных виртуальных машин в среде гипервизора создаются виртуальные коммутаторы, обеспечивающие создание виртуальной ЛВС. Виртуальные коммутаторы поддерживают технологию "VLAN" и позволяют разделить виртуальную сеть на различные изолированные сегменты. Все виртуальные машины, запущенные на одном гипервизоре, взаимодействуют в рамках созданной виртуальной сети. При взаимодействии с виртуальными машинами, запущенными на другом гипервизоре, или сетевыми узлами, не входящими в виртуальную среду, используются физические сетевые карты серверов и физические коммутаторы ЦОД.
Создание и управление виртуальной инфраструктурой осуществляется при помощи специального сервера управления, который представляет собой отдельную виртуальную машину, запущенную на одном из серверов.