решение по защите информации в системах двойного применения Казанов Владислав Александрович директор филиала ЗАО «Фирма НТЦ КАМИ» 1 ноября 2012 г.
План презентации 1. Определение 2. Базовые принципы 3. Архитектура 4. Возможности 4.1. Стандартные возможности 4.2. Новые возможности 5. Система защиты информации 5.1. Принципы реализации 5.2. Динамика 6. Преимущества 7. Успешный опыт 8. Вопросы 2/20
3/20 комплексное системное решение, предназначенное для создания защищенных автоматизированных систем 1. Определение
4/20 2. Базовые принципы безопасность надёжность масштабируемость модульность архитектуры экономическая привлекательность
Терминальная станция Ввод-вывод данных Реализация терминальной сессии Сервер загрузки и управления Загрузка ОС терминалов Авторизация пользователей Сервер приложений Вычислительные операции Хранение данных 3. Архитектура решения 5/20
6/20 3. Архитектура решения Включает в себя: терминальные станции (тонкие клиенты) выделенный сервер загрузки терминалов подсеть терминалов терминальные серверы сегменты существующей информационной системы с различными уровнями доступа (защиты информации)
7/ Стандартные возможности обеспечение высокой надёжности СТД за счёт развёртывания кластерных систем, состоящих как из терминальных серверов, так и серверов загрузки и управления; масштабируемость системы до уровня ИС предприятия при практически отсутствующей потребности существенной модернизации терминальных станций и клиентского СПО;
8/ Стандартные возможности использование серверных платформ RedHat Enterprise Linux или SuSE Linux Enterprise Server обеспечивают высокую готовность и производительность сервера загрузки и управления; поддержка звука на терминальном устройстве; поддержка возможности использования на терминальном устройстве внешних USB- накопителей, USB-устройств типа floppy и CD-ROM, принтеров и др.
9/ Новые возможности построение системы разграничения доступа к информационным ресурсам с различными уровнями защиты информации с использованием идеологии виртуальных IP- сетей (VLAN); формирование образа загружаемой на терминале ОС в адаптивном режиме в соответствии с полномочиями пользователя и характером решаемых задач;
10/ Новые возможности предоставление пользователю одновременного запуска нескольких Windows сессий (протоколы ICA, RDP) на клиентском рабочем месте с переключением между ними в процессе работы. Каждая сессия запускается на отдельной виртуальной консоли; создание многоуровневой системы защиты информации, начиная с формирования среды доверительной загрузки ОС терминала на локальном уровне (сразу после включения питания).
виртуализированные среды более автоматизированы экономия по сравнению с традиционной архитектурой достигает 40-45% феномен BYOD - по мнению экспертов к 2013г. более 35%* сотрудников во всем мире будут использовать свои мобильные устройства в рабочих целях! *По данным PC WEEK/RE 8 от Новые возможности. «Облака». 11/20
По данным PC WEEK/Russian Edition 2 (2012г.) уровень пиковой загрузки оборудования не превышает 30% ! 4.2. Новые возможности. «Облака» 12/20
Серверная системаКлиентское рабочее место ___ Исключение устройств долговременного хранения данных; Минимальное необходимое количество портов ввода/вывода. Аппаратный уровень (конфигурация) Сервер загрузки терминалов (Linux) Верификация процесса «отгрузки» образа ОС на терминал; Терминальные серверы (Windows) Разграничение полномочий администратора СТД и администратора информационной безопасности СТД. формирование среды доверительной загрузки ОС (КАМИ-BIOS); аутентификация пользователя терминала и затем пользователя Windows при обращении к терминальному серверу (ПСКЗИ). Аппаратно- программный уровень 5.1. Система защиты информации. Принципы реализации. Сервер загрузки терминалов (Linux) Предоставление загружаемых на терминалы образов ОС в соответствии с полномочиями пользователей («принцип минимума полномочий»); Аудит работы терминалов Терминальные серверы (Windows) Выполнение роли «посредника» для доступа к информационным ресурсам. Минимальный слой ПО, необходимый для подключения к серверу загрузки терминалов и обеспечения функциональности СКЗИ; Усеченный вариант загружаемого ядра ОС (Linux); Работа ОС терминала только в ОЗУ. Программный уровень 13/20
Программно-аппаратный комплекс решения Формирование среды доверительный загрузки на этапе включения терминала 5.1. Система защиты информации. Принципы реализации. KAMI-Bios 14/20
Электронное средство защиты: идентификатор RUTOKEN Защита сети по технологии VIPNET 5.1. Система защиты информации. Принципы реализации. 15/20
16/ Система защиты информации. Динамика 1. Локальные процессы 2. Сетевая загрузка ОС 3. Запуск клиентских приложений
Практичность длительный срок службы в сравнении с ПК Экономия времени и финансов при модернизации Надежность централизованное администрирование Непрерывность бизнеса в случае выхода из строя терминала 6. Преимущества Гибкость адаптация решения под требования Клиента 17/20
Решение «КАМИ-Терминал» сертифицировано ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей по 5 классу защищенности от несанкционированного доступа к информации 6. Преимущества 18/20
Министерства Обороны РФ интегрирован в ит-инфраструктуру следующих Заказчиков Центрального Банка России Мэрии города Ярославля 7. Успешный опыт 19/20
20/20 8. Ваши вопросы?
Филиал ЗАО «Фирма НТЦ КАМИ» г. Ярославль, ул. Чайковского, 40А Тел.: (4852) СПАСИБО!