Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
jana
Зарегистрирован: 08.01.2004 Сообщения: 48
|
Добавлено: Вс Апр 04 2004 12:22 Заголовок сообщения: Как соединить закрытую сеть с открытой ? |
|
|
В пределах организации имеются две сети - одна с открытой информацией, соединённая к тому же с Интернет, другая с закрытой (имеющей гриф). Из открытой сети необходимо передавать (довольно часто) информацию в закрытую сеть, т.е. подключением/отключением проводка здесь не обойдётся. Наверно не нужно говорить о том, что утечка информации из закрытой сети недопустима.
Вопросов собственно два:
1.Как должно быть организовано такое соединение сетей, чтобы его можно было атестовать (вопрос для тех, кто с этим сталкивался или читал о таком)?
2.Как бы Вы сами организовали такую передачу (буду благодарна за любые идеи)? |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Пн Апр 05 2004 10:24 Заголовок сообщения: |
|
|
А как они соединялись до этого? В смысле, куда "проводок" втыкался?
Я бы предложил, для начала, поставить роутер с запрещением передачи пакетов из защищенной сети куда-либо. Далее - спецы, кто работал с такими системами, подскажут, надеюсь. Я сам не сталкивался. ...Пока... _________________ Удачи! |
|
Вернуться к началу |
|
|
Andy_user
Зарегистрирован: 03.12.2003 Сообщения: 382 Откуда: Санкт-Петербург
|
Добавлено: Пн Апр 05 2004 11:02 Заголовок сообщения: |
|
|
Попытайтесь найти документ "Специальные требования и рекомендации по технической защите конфиденциальной информации".
Этот документ был одобрен решением коллегии Гостехкомиссии Росии от 02.03.2001 года № 7.2
Интересен пункт 5.7 "Защита информации при межсетевом взаимодействии".
Сразу необходимо оговориться, предпологается, ни одна из ЛВС не должна иметь выход в сеть общего пользования типа Internet. (Для гос учереждений это обязательно, для негосударственных организаций - носит рекомендательный характер).
5.7.2 Контроль взаимодействия ЛВС с другими вычислительными сетями должен быть постоянным и осуществляться с использованием сертифицированных по требованиям безопасности информации средств контроля (средств обнаружения вторжения, мониторинга сети, активного аудита и т.п.). Коммуникационное оборудование и все точки соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах контролируемой зоны.
5.7.3 При конфигурировании коммуникационного оборудования (маршрутизаторов, концентраторов, мостов и мультиплексоров) рекомендуется разделять трафик отдельных сетевых фрагментов с учетом решаемых задач пользователей ЛВС.
5.7.4. Подключение ЛВС к другой автоматизированной системе (локальной или распределенной) должно осуществляться с использованием межсетевых экранов
Также интересен параграф 6 "Рекомендации по обеспечению защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, при взаимодействии абонентов с информационными сетями общего пользования".
Там написано много, коротко можно сформулировать так:
- криптография;
- межсетевые экраны;
- VPN;
- контроль (вторжения, аудит, анализ защищенности и т.д.);
- аутентификация пользователей;
- ответственность пользователей. |
|
Вернуться к началу |
|
|
jana
Зарегистрирован: 08.01.2004 Сообщения: 48
|
Добавлено: Пн Апр 05 2004 18:49 Заголовок сообщения: |
|
|
1.Раньше эти сети никак не соединялись - делаем это впервые, причём буквально в приказном порядке: "Чтоб сделали и всё !"
2.Предприятие государственное, да ещё и большое (около 3500 компьютеров) - отсюда и все проблемы.
3.Спасибо, документ обязательно сейчас поищу.
4.Буду благодарна за любые высказывания. |
|
Вернуться к началу |
|
|
jana
Зарегистрирован: 08.01.2004 Сообщения: 48
|
Добавлено: Пн Апр 05 2004 20:54 Заголовок сообщения: |
|
|
Неплохой документ, но к сожалению пункт 2.2 гласит:
"Требования и рекомендации настоящего документа распространяются на защиту:
-конфиденциальной информации - информации с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне..."
, т.е.как раз к моему случаю не подходит. Ну или скажу более мягко - не совсем то, хотя и безусловно полезно.
А вообще ещё посоветуюсь с ребятами из "Информзащиты" - они эти документы хорошо знают. |
|
Вернуться к началу |
|
|
Andy_user
Зарегистрирован: 03.12.2003 Сообщения: 382 Откуда: Санкт-Петербург
|
Добавлено: Вт Апр 06 2004 08:51 Заголовок сообщения: |
|
|
Позвольте чуть поворчать...
Ну что Вам стоило в первом же посте упомянуть 2 факта:
- государственная организация;
- наличие сведений, составляющих государственную тайну.
В этом случае нужны совсем другие документы, и сразу же Вас направили в организации типа "Информзащита" или "Атлас". |
|
Вернуться к началу |
|
|
cerber
Зарегистрирован: 19.12.2003 Сообщения: 296 Откуда: Казахстан, Актюбинск
|
Добавлено: Ср Апр 07 2004 10:37 Заголовок сообщения: |
|
|
У меня соединение такое:
Между сетями стоит комп с двумя сетевухами, на нём стоит Kerio Winroute 4.2.5. В итоге из внешней сетки доступа нет, зато из внутренней во внешнюю доступ есть. |
|
Вернуться к началу |
|
|
cerber
Зарегистрирован: 19.12.2003 Сообщения: 296 Откуда: Казахстан, Актюбинск
|
Добавлено: Ср Апр 07 2004 10:39 Заголовок сообщения: |
|
|
У меня соединение такое:
Между сетями стоит комп с двумя сетевухами, на нём стоит Kerio Winroute 4.2.5. В итоге из внешней сетки доступа нет, зато из внутренней во внешнюю доступ есть.
В WinRout'e убрана галка о трансляции сетевых адресов на сетевухе которая смотрит во внитреннюю сеть. |
|
Вернуться к началу |
|
|
Простой парень
Зарегистрирован: 22.12.2003 Сообщения: 46 Откуда: Ростов
|
Добавлено: Ср Апр 07 2004 16:05 Заголовок сообщения: |
|
|
jana писал(а): | А вообще ещё посоветуюсь с ребятами из "Информзащиты" - они эти документы хорошо знают. |
"Информзащита" - это хорошо. Для начала лучше узнать кто будет аттестовывать и узнать про конторы имеющие лицензии для проектирования закрытых сетей. (Если у вас соответствующие работы выполнила организация без оной)
А вообще необходимо поставить Межсетевой экран (Firewall) имеющий соответствующий сертификат ГТК. _________________ Привет всем! |
|
Вернуться к началу |
|
|
watcher Гость
|
Добавлено: Ср Апр 07 2004 16:32 Заголовок сообщения: |
|
|
одним firewall'om вы все равно не отделаетесь!
(будь он трижды сертифицирован)
а проектированием "закрытых" сетей занимается ФАПСИ
можно долго и упорно говорить о мерах защиты и т.д
но наладить конторе "защиту" парой-тройкой постов все равно никто не сможет!
+ надо прочитать много стандартов и ГОСТОв на эту тему
определить для себя предметную область
цели и риски безопасности и т.д |
|
Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003 Сообщения: 415 Откуда: Moscow
|
Добавлено: Чт Апр 08 2004 20:05 Заголовок сообщения: Re: Как соединить закрытую сеть с открытой ? |
|
|
Я бы решал эту задачу созданием "буферной зоны", куда имеют доступ люди из обеих подсетей. Разумеется, надо будет настраивать FireWall так, чтобы все имели доступ только туда, куда им положено. И наконец, рекомендую отказаться от M$явных технологий типа NetBIOS (доступ к файлам и принтерам), а использовать олько Internet-протоколы - почту, FTP, HTTP и т.д..
И наконец, если вам реально нужна защита - как можно меньше используйте Windows. _________________ Благословен Бог, сотворивший меня сисадмином! |
|
Вернуться к началу |
|
|
jana
Зарегистрирован: 08.01.2004 Сообщения: 48
|
Добавлено: Пт Апр 09 2004 20:44 Заголовок сообщения: |
|
|
Насчёт буферной зоны у меня тоже мысли были, по-видимому это действительно стоит проработать, а вот по поводу Windows - как переубедить, а главное переучить, несколько тысяч пользователей работать скажем под Linux. У нас QNX стоит на машинах с операциями "в реальном времени", так любо дорого посмотреть как народ водя пальцем по подробной инструкции как запустить единственную программу пытается сделать это в течении нескольких часов. С Linux-ом конечно дела обстоят полегче, но не на много. Да и w2k у нас везде купленный. Кроме того, покажите мне такой софт, в котором не было бы брешей и ошибок, а ведь только Windows (NT SP3, SP5 и 2000) прошёл сертификацию для нашей деятельности. Можно конечно пытаться использовать Windows только на станциях, но тут же возникают мелкие, но ужасно гнусные проблемы несовместимости то в одном, то в другом - как то не получается стройной и красивой системы. |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Сб Июл 31 2004 10:18 Заголовок сообщения: |
|
|
Нехило!
Хочу сказать кое-что, как сотрудник занимающийся защитой информации составляющей государтсвенную тайну.
1. В СТР-97, и в новой Инструкции по работе со сведениями составляющими гостайну (взямен 0126) однозначно запрещено какими-бы то нибыло способами соединять сети где обрабатываетсяч инфа имеющая гриф секретности, с сетями которые каким-либо образом имеют выход "в мир".
2. Если "несекретная" сеть выхода "в мир" не имеет, то соединение осуществляется посредством сертифицированых МСЭ, соответствующего класса, и правильно аттастованных. При этом ПД ИТР следит за обеими сетями.
Решения типа WinRoute или iptables тут не приемлимы совершенно. Я не говорю что они хуже сертифицированых (хотя на самом деле это так отчасти - они не обеспечивают нужный уровень логов - почитайте рекомендации и требования ГТК). Но вот как Вы, будучи хоть впятеро умнее меня, сможете доказать свою правоту, если я буду Вас проверять, и у меня в руках будет инструкция - а у Вас только теория, хоть и правильная |
|
Вернуться к началу |
|
|
Amodeus Гость
|
Добавлено: Вт Авг 03 2004 12:09 Заголовок сообщения: |
|
|
Полностью согласен с ALEX_SE.
И мне стало интересно следующее.
1. Это как это так компьютеры с информацией составляющей гос тайну должны обмениваться информацией с компами не содержащими такой информации и наоборот.
2. Есть ли на данном предприятии отдел режима и безопасности (так называемый первый)? А если есть почему они еще не в местах не столь отдаленных в месте с руководством?
3. Насколько я помню, на таких предприятиях каждый комп категорируется на работу с той или иной информацией, даже не секретной. Самая низкая степень 4, для работы с ДСП.
4. Речи ни о каком инете быть не может на компах с тайнами. Если кто хочет поспорить, посоветуйтесь сперва с 1 отделом.
5. Для документооборота и файлообмена используются только сертифицированные ФСБ, ГТК и ранее ФАПСИ средства.
Я не говорю уже о другом комплексе организационно технических мероприятий направленных на защиту от утечки информации (ПдИТР). Кстати должны быть инструкция по ПдИТР утверждаемая на определенные сроки. Так что ранееуказанная задача просто незаконна, и предприятие подлежит проверке уполномоченных на это органов
Могу написать еще много интересного по этому поводу. Но по понятным причинам не буду. |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Вт Авг 03 2004 13:06 Заголовок сообщения: |
|
|
Цитата: | 1. Это как это так компьютеры с информацией составляющей гос тайну должны обмениваться информацией с компами не содержащими такой информации и наоборот. |
- Никак не должны. Наоборот - да, можно. Несекретные данные вводить на защищеных от записи носителях. А вот обмен закрытых с открытыми - это целая история. Трудно однозначно сказать не зная ситуации, и не место тут для этого.
Цитата: | 2. Есть ли на данном предприятии отдел режима и безопасности (так называемый первый)? А если есть почему они еще не в местах не столь отдаленных в месте с руководством? |
- Не обязательно. При малом объеме грифованного документооборота и отсутствии таких изделий/объектов, работу по защите гостайны ведет специально выделеный сотрудник, без формирования РСО. Более того - на предприятии вообще может не быть ничего такого, услуги по сохранению гостайны может оказывать другая организация. НО, этот вопрос даже не в ведении РСО - он в ведении ПД ИТР. И вот куда смотрит оно - действительно непонятно. Без подписи руководителя ПД ИТР ни аттестовать рабочие места, ни, тем более, разрешить работу на них нельзя!
Цитата: | 3. Насколько я помню, на таких предприятиях каждый комп категорируется на работу с той или иной информацией, даже не секретной. Самая низкая степень 4, для работы с ДСП. |
- Не каждый, а только там, где это необходимо либо где есть грифованная инфа. Есть классы и категории. Различается по степени серветности инфы, и по количеству пользователей. Ну и еще есть градации. Этот документ (РД ГТК) открытый, его не трудно найти
Цитата: | 5. Для документооборота и файлообмена используются только сертифицированные ФСБ, ГТК и ранее ФАПСИ средства. |
- Все они отпадают если другая сеть соединена с международными сетями общего пользования.
Цитата: | Я не говорю уже о другом комплексе организационно технических мероприятий направленных на защиту от утечки информации (ПдИТР). Кстати должны быть инструкция по ПдИТР утверждаемая на определенные сроки |
- Это только очень малая толика того, что должно быть сделано. На счет законности (а вернее незаконности) этого - однозначно. При этом, комиссия, если это найдет, при некоторых манипуляциях может выставить обвинение в утечке - а это лишение лицензии и вплоть до уголовного преследования... Так что автору рекомендовал бы обратиться в территориальный отрган ФСБ, и организацию имеющую лицензию на разработку и проектирование подобных АС. |
|
Вернуться к началу |
|
|
|