Файл: Государственное образовательное учреждение высшего профессионального образования санктпетербургский государственный университет телекоммуникаций.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 17.03.2024
Просмотров: 107
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Описание архитектуры ИС
Построение структурно-функциональной схемы «закрытого» и «открытого» контуров ИС
Современные информационные системы строятся в основном на архитектуре «клиент-сервер» с применением технологии виртуальных серверов. В них предусматривается «закрытый» и «открытый» контуры обработки, хранения и передачи информации. В «закрытом» контуре обрабатывается конфиденциальная информация, а в «открытом» - открытая. При этом информация может передаваться только из «открытого» контура в «закрытый» при помощи однонаправленного межсетевого экрана.
Внешнее взаимодействие информационных систем с корпоративными системами осуществляется через «закрытый» контур с помощью средств криптографической защиты информации (СКЗИ) с шифрованием информации. Взаимодействие между «открытыми» контурами корпоративной информационной системы осуществляется через Интернет с применением сертифицированного внешнего межсетевого экрана.
С точки зрения логики структуру сети можно представить в виде трех отделов: технического, финансового и административного (руководство организации). У каждого из этих отделов есть доступ к серверам как «открытого», так и «закрытого» контура. Также в организациях обычно бывают сотрудники, которые работают удаленно. Такие пользователи имеют доступ к «открытому» и «закрытому» контурам, а также сети Интернет по VPN.
Обозначения на структурной схеме:
-
ШТ – шифрованный с помощью СКЗИ трафик. -
НШТ – нешифрованный трафик. -
VPN – технология организации защищенного канала для подключения удаленного сотрудника к ресурсам серверов «открытого» контура через сеть общего пользования (Интернет и\или мобильные сети)
логические связи, которые показывают работу отделов организации с ресурсами серверов «открытого» и «закрытого» контура, а также доступ к ним удаленных сотрудников.
Описание средств защиты аппаратных и информационных ресурсов
Приведем сводную таблицу с описанием средств защиты каждого аппаратного ресурса, средств защиты каждого вида информации, которая на нем хранится, а также укажем вес каждого средства.
| Тип средства защиты | Средство защиты | Вес средства защиты |
| Средства защиты закрытого сервера | ||
| Средства физической защиты | [Д, К] Контроль доступа в помещение, где расположен ресурс (физическая охрана, дверь с замком, специальный пропускной режим в помещение) | 84 |
| [К] Система наблюдения (видеонаблюдение, сенсоры и т.д.) за объектом | 84 | |
| Средства локальной защиты | [Ц] Настроенная политика аудита (учет всех действий на сервере, в т. ч. авторизация, выход из учетной записи, модификации данных) | 60 |
| [К, Ц] Отсутствие дисководов и USB-портов (исключение возможности использования внешних носителей с предположительно вредоносным кодом и/или выгрузки информации) | 30 | |
| Средства корпоративной сетевой защиты | [Д] Межсетевой экран | 60 |
| [К, Ц] Система антивирусной защиты | 75 | |
| [Ц] Система обнаружения и предотвращения утечек (DLP-система) | 84 | |
| Средства резервирования и контроля целостности | [Д, Ц] Средства создания резервной копии (резервная копия создается каждые три дня в соответствии с политикой безопасности организации) | 84 |
| [Ц] Аппаратная система контроля целостности | 75 | |
| Средства защиты открытого сервера | ||
| Средства физической защиты | [К, Д] Контроль доступа в помещение, где расположен ресурс (физическая охрана, дверь с замком, специальный пропускной режим в помещение) | 66 |
| [К] Система наблюдения (видеонаблюдение, сенсоры и т.д.) за объектом | 48 | |
| Средства локальной защиты | [Ц] Настроенная политика аудита (учет всех действий на сервере, в т. ч. авторизация, выход из учетной записи, модификации данных) | 36 |
| [К, Ц] Отсутствие дисководов и USB-портов (исключение возможности использования внешних носителей с предположительно вредоносным кодом и/или выгрузки информации) | 30 | |
| Средства корпоративной сетевой защиты | [Д] Межсетевой экран | 45 |
| [К, Ц] Система антивирусной защиты | 45 | |
| [Ц] Система обнаружения и предотвращения утечек (DLP-система) | 72 | |
| Средства резервирования и контроля целостности | [Д, Ц] Средства создания резервной копии (резервная копия создается каждые три дня в соответствии с политикой безопасности организации) | 66 |
| [Ц] Аппаратная система контроля целостности | 54 | |
| Средства защиты информации | ||
| Средство локальной защиты | [Ц] Использование средств криптографической защиты информации | 75 |
| [Д] Распределение прав доступа к информации в соответствии с матрицей доступа | 48 | |
| [К, Ц] Наличие соглашений о конфиденциальности (исключение разглашения конфиденциальной информации сотрудниками организации) | 60 | |
| Средства резервирования и контроля целостности | [Д, Ц] Средства создания резервной копии (резервная копия создается каждые три дня в соответствии с политикой безопасности организации) | 60 |
| [Ц] Аппаратная система контроля целостности | 54 | |
| Средства защиты рабочих мест | ||
| Средства физической защиты | [К, Д] Контроль доступа в помещение, где расположен ресурс (физическая охрана, дверь с замком) | 48 |
| [К] Система наблюдения (видеонаблюдение, сенсоры и т.д.) за объектом | 48 | |
| Средства локальной защиты | [К, Ц] Наличие соглашений о конфиденциальности (исключение разглашения конфиденциальной информации сотрудниками организации) | 60 |
| [Д] Настроенная локальная политика безопасности на каждом рабочем месте (распределение прав доступа, парольная политика, аудит действий пользователя) | 45 | |
| [К, Ц] Отсутствие дисководов и USB-портов | 30 | |
| [Ц] Средства антивирусной защиты (антивирусный монитор) | 30 | |
| Средства персональной сетевой защиты | [К, Ц] Система криптозащиты электронной почты | 15 |
| [Д, К] Наличие персонального межсетевого экрана на каждом АРМ | 15 | |
Буквы в квадратных скобках – это сокращения по типам угроз, которые закрывает каждое средство:
-
Д – угроза Доступности; -
К – угроза Конфиденциальности; -
Ц – угроза Целостности.
Описание типов и прав доступа сотрудников
Теперь опишем права доступа сотрудников с помощью таблицы. Виды доступа могут быть локальными или удаленными, права доступа – чтение, запись, удаление (для каждого из пользователей). Также в отдельном столбце укажем, нужен ли доступ по VPN конкретному отделу пользователей (или пользователю).
Администрация обычно контролирует деятельность других отделов. Соответственно, для них нужен доступ и к «закрытому», и к «открытому» контурам. Удаленным сотрудникам – также необходим такой доступ. Технический и финансовый отделы работают со своими данными (информацией), которые собирают со всей организации. Соответственно, этим отделам также нужен доступ и к «закрытому», и к «открытому» контурам.
В целях безопасности стоит запретить информационным потокам право на удаление, а для всех потоков, которые идут через закрытый сервер – запретить удаление и запись, чтобы избежать уничтожения и модификации информации.
| Информационный поток | Вид доступа | Права доступа | VPN-соединение | Количество человек |
| Администрация организации – Сервер закрытого контура | Локальный | Чтение, запись | Не требуется | 7 |
| Администрация организации – Сервер открытого контура | Локальный | Чтение, запись | Не требуется | |
| Удаленные сотрудники – Сервер закрытого контура | Удаленный | Чтение | Требуется | 9 |
| Удаленные сотрудники – Сервер открытого контура | Удаленный | Чтение, запись | Требуется | |
| Технический отдел – Сервер закрытого контура | Локальный | Чтение, запись | Не требуется | 15 |
| Технический отдел – Сервер открытого контура | Локальный | Чтение, запись | Не требуется | |
| Финансовый отдел – Сервер закрытого контура | Локальный | Чтение | Не требуется | 20 |
| Финансовый отдел – Сервер открытого контура | Локальный | Чтение, запись | Не требуется |