Предложения по технической защите информационной системы

Учитывая сведения, описанные в Главе 1 объект защиты (ИСПДн 1С:ЗУП) характеризуется следующими свойствами:
- территориальная распределенность в пределах одного региона;
- множество (порядка 36) объектов, представляющих собой однотипные сетевые структуры;
- централизованная подчиненность объектов.
В соответствии с основными свойствами объекта защиты можно сформировать перечень требований, предъявляемых к системе защиты информации:
- построение системы защиты по принципу рубежей безопасности – данное требование предполагает построение многослойной системы защиты, состоящей из нескольких рубежей (контуров) безопасности, что существенно затрудняет доступ нарушителя к объекту воздействия;
- централизованное управление – данное требование предполагает наличие в системе защиты информации централизованного управления всеми компонентами и удаленными элементами, однако в случае отсутствия связи с головным подразделением каждый из компонентов должен продолжать функционировать в заданном режиме;
- модульный принцип функционирования и масштабируемость – система защиты информации должна быть легко масштабируема на новые потенциальные площадки объекта защиты, также должна быть обеспечена модульность компонентов, что обеспечивает быструю замену вышедших из строя устройств и модификацию существующих компонентов;
- типизация решений – для обеспечения универсальности в процессе управления системой защиты информации, а также в целях экономической выгоды предлагается использовать комплекс типовых решений, построенный на единой платформе;
- соответствие требованиям нормативных документов Российской Федерации в области защиты информации.
Рубежность системы защиты информации персональных данных ИСПДн 1С:ЗУП ПАО «Тверьэнерго» (далее – СЗПДн) достигается применением комплекса средств защиты информации обеспечивающих:
- противодействие направленным атакам (обнаружение и предотвращение вторжений);
- контроль информационных потоков (межсетевое экранирование и шифрование);
- противодействие вредоносному программному обеспечению (антивирусная защита);
- аудит и контроль доступа пользователей (контроль доступа, регистрация и учет событий);
- неизменность данных (целостность).
В соответствии с вышеперечисленными разработана следующая архитектура СЗПДн (рисунок 2.1).
Рис. 2.1. Архитектура СЗПДн
В соответствии с предложенной структурой СЗПДн ПАО «Тверьэнерго» состоит из следующих функциональных подсистем:
1. Подсистема межсетевого экранирования и шифрования трафика.
2. Подсистема обнаружения и предотвращения вторжений.
3. Подсистема антивирусной защиты.
4. Подсистема контроля доступа.
5. Подсистема регистрации и учета.
6. Подсистема обеспечения целостности.
Для реализации подсистемы межсетевого экранирования и шифрования трафика, подсистемы обнаружения и предотвращения вторжений, а также подсистемы антивирусной защиты применяется платформа CheckPoint Appliance.
Решение выбора платформы CheckPoint Appliance сделано исходя их следующих показателей:
- более мощная система управления безопасностью, в сравнении с аналогами (позволяет построить на базе всех устройств центр управления безопасности и корреляции событий);
- масштабируемое решение – не требует дооснащения отдельных устройств для расширения функционала;
- все шлюзы унифицированы и могут быть применены к любой инфраструктуре независимо от ее сложности;
- решение имеет сертификаты ФСТЭК, а также ФСБ на шифрование с использованием встраивания Крипто-Про.
Платформа CheckPoint Appliance выбрана как наиболее оптимальное решение из разряда UTM-решений (Unified Threat Management) в соответствии с показателями квдранта Гартнера для UTM-решений.
Платформа CheckPoint Appliance представляет собой единую программно-аппаратную архитектуру устройств, позволяющая эффективно управлять информационной безопасностью организаций самых разных масштабов.
В состав платформы входят следующие компоненты (рисунок 2.2):
- Security Management Server (SMS) — сервер управления шлюзами. С помощью данного сервера выполняются практически все настройки на шлюзовых устройствах. В качестве Лог-сервера может выступать SMS, способный обрабатывать их встроенной системой анализа и корреляции событий — Smart Event (подобие SIEM для Check Point). SMS используется для централизованного управления несколькими шлюзами количество которых определяется лицензией;
- Smart Console — клиентская консоль для подключения к серверу управления (SMS). Все изменения на сервере и применение настроек к шлюзам безопасности осуществляются через данную консоль. Консоль, как правило, устанавливается на компьютер администратора;
- Security Gateway (SG) — шлюз безопасности, который обычно ставится на периметр сети и выполняет функции защиты информации, реализован на архитектуре программных модулей (блейдов).
Рис. 2.2. Архитектура CheckPoint Appliance
Платформа CheckPoint Appliance имеет мощный функционал по управлению территориально-распределенною сетью устройств.
По вариативности исполнения продукты CheckPoint Appliance могут быть следующих видов:
- Appliance — программно-аппаратное устройство включает в себя модели различные по производительности, функционалу и исполнению;
- Virtual Machine — виртуальная машина Check Point с ОС Gaia. Поддерживаются гипервизоры ESXi, Hyper-V, KVM, лицензируются по количеству ядер процессора;
- OpenServer — установка Gaia непосредственно на сервер в качестве основной операционной системы.
На уровне центрального офиса ПАО «Тверьэнерго» управление сетью межсетевых экранов (SMS) осуществляется устройством CheckPoint 21000 (рис 2.3), обладающим максимальной производительностью. Устройство 21000 реализует функционал Security Management Server и управляет политикой безопасности каждого филиала.
Рис. 2.3. CheckPoint 21000
Технические характеристики устройства:
- производительность SecurityPower 2175 / 29002;
- пропускная способность фаервола производительная/тестовая (Гб/с) 50 / 1102;
- пропускная способность VPN AES-128 (Гб/с) - 7 / 502;
- пропускная способность IPS (Гб/с) – 6;
- число одновременных соединений - 10 млн;
- соединений в секунду 130K / 300K2;
- 10/100/1000Base-T портов – от 13 до 37;
- 1000Base-F SFP портов до 36;
- 10GBase-F SFP+ портов до 12;
- память 24 Гб;
- хранилище - 2×500 Гб HDD RAID1;
- слоты расширения I/O Expansion Slots – 3;
- максимальная потребляемая мощность- 744 Вт.
На уровне площадок управление безопасностью (SG) осуществляется устройствами CheckPoint 4400 (рисунок 2.4).
Рис. 2.4. CheckPoint 4400
Технические характеристики устройства:
- производительность SecurityPower – 230;
- пропускная способность фаервола тестовая/производительная (Гб/с) – 5/2.2;
- пропускная способность VPN AES-128 (Гб/с) – 1,2;
- пропускная способность IPS (Гб/с) - 0.7;
- число одновременных соединений - 1.2 млн;
- соединений в секунду - 40,000;
- 10/100/1000Base-T портов - 8-12;
- 1000Base-F SFP портов - 0-4;
- память - 4 Гб;
- хранилище - 250 Гб;
- максимальная потребляемая мощность- 90 Вт.
В качестве средства антивирусной защиты конечных узлов применяется антивирусное решение Kaspersky Endpoint Security 10.
Выбор в пользу Kaspersky Endpoint Security 10 сделан исходя из совокупного независимого рейтинга антивирусных решений по показателям: Лечение активного заражения, быстродействие (постоянная защита, сканирование), проактивная защита.
Kaspersky Endpoint Security 10 является комплексным продуктом для защиты конечных точек от любых угроз безопасности информации

. Имеет встроенные возможности по: антивирусному сканированию и предотвращению заражений (как по сигнатурному, так и по про-активному способам сканирования), имеет функционал по контролю устройств и программ, предоставляет возможность создавать, применять и управлять политиками безопасности конечных точек.
Защита Антивируса Касперского строится исходя из источников угроз, на каждый источник предусмотрен отдельный компонент приложения, обеспечивающий его контроль и необходимые мероприятия по предотвращению вредоносного воздействия этого источника на данные пользователя. Такое построение системы защиты позволяет гибко настраивать приложение.
Функционал антивирусной защиты включает в себя:
Компоненты защиты, обеспечивающих защищенность на каналах поступления и передачи информации.
Задачи поиска вирусов, посредством которых выполняется проверка компьютера или отдельных файлов, каталогов, дисков или областей, на присутствие вирусов.
Сервисные функции, обеспечивающие информационную поддержку в работе с приложением и позволяющие расширить ее функциональность.
В качестве решения по реализации подсистем контроля доступа, регистрации и учета, а также обеспечения целостности применяется средство защиты информации от несанкционированного доступа Secret Net 7.
Решение сделано в пользу Secret Net 7 поскольку данное средство полностью отвечает требованиям, предъявляемым к СЗПДн ИСПДн 1С: ЗУП, обладает наилучшим в своем классе быстродействием и совместим со многим прикладным программным обеспечением.
Средство защиты информации от несанкционированного доступа (далее - СЗИ от НСД) Secret Net 7.0 предназначено для выполнения следующего типового функционала:
- обеспечение безопасности информации средств вычислительной техники в соответствии с требованиями регуляторов;
- контроль утечек, а также каналов распространения защищаемых данных.
Возможности СЗИ от НСД Secret Net 7.0:
- аутентификация пользователей;
- ограничение на доступ пользователям к информации, а также ресурсам ИСПДн;
- создание доверенной информационной среды;
- контроль утечек, а также каналов распространения защищаемых данных;
- контроль устройств средств вычислительной техники, а также внешних носителей информации на базе групповых политик, которые исключают утечки информации;
- централизованное управление средствами защиты, оперативный аудит и мониторинг состояния информационной безопасности;
- масштабируемость - возможность развертывания Secret Net в сетевом варианте на предприятии с большим количеством филиальных подразделений;
- обеспечение безопасности терминальной инфраструктуры, а также поддержка технологий виртуализации рабочего стола (VDI).
Сетевой режим Secret Net 7.0 – предназначен для инсталляции системы в доменную сеть c Active Directory. Такой вариант имеет средства для централизованного управления, а также позволяет применить политики информационной безопасности в масштабах предприятия. Сетевой вариант Secret Net 7.0 может быть также успешно развернут в сложной гетерогенной сети (domain tree/forest).
Компоненты Secret Net 7 (сетевой режим):
- Secret Net 7.0 Клиент;
- Secret Net 7.0 Сервер безопасности;
- Secret Net 7.0 Программа управления.
Клиент Secret Net 7.0 инсталлируется на все защищаемые компьютеры. Он реализует мониторинг соблюдения настроенных политик безопасности всех средствах вычислительной техники и обеспечивает регистрацию событий информационной безопасности и передачу их журналов на рабочее место сервера безопасности, а также прием от сервера безопасности оперативных команд и их реализацию.
Secret Net 7.0 Сервер безопасности является центральным звеном в сетевой структуре системы защиты Secret Net 7.0. Данный компонент реализует взаимодействие объектов управления, выполняет функции контроля и управления, в том числе осуществляет процессы обработки, хранения и передачи информации.
В состав СЗИ Secret Net 7.0 включено средство оперативного управления, Secret Net 7.0 Программа управления. Средство оперативного управления предназначено для конфигурации сетевой структуры Secret Net 7.0, централизованного управления средствами вычислительной техники, а также для работы с записями журналов безопасности, поступившими на хранение в собственную базу данных сервера безопасности Secret Net 7.0. Средство оперативного управления устанавливается на рабочем месте администратора информационной безопасности. При работе средство взаимодействует с сервером безопасности Secret Net 7.0, который обрабатывает все управляющие команды от администратора информационной безопасности.
На рисунке 2.5 показана структурная схема СЗПДн.
Рис. 2.5. Структурная схема СЗПДн
2.1.1 Подсистема межсетевого экранирования и шифрования
Настройка устройств CheckPoint осуществляется в следующей последовательности:
Пуско-наладка SMS - устройства CheckPoint 21000.
Создание конфигураций глобальных политик безопасности устройств филиалов.
Настройка программных блейдов групповых политик устройства CheckPoint 21000.
Пуско-наладка устройств SG - CheckPoint 4400.
Создание защищенного канала связи между CheckPoint 4400 и CheckPoint 21000.
Применение глобальных политик безопасности к устройствам CheckPoint 4400.
До начала эксплуатации все устройства CheckPoint инсталлируются в сетевую стойку СЗПДн, разграниченную от остальных устройств. К ним подключаются все необходимые коммуникации: резервируемое электропитание и линии связи.
Пуско-наладка СЗПДн начинается с головного устройства CheckPoint 21000.
В первую очередь на аппаратный комплекс инсталлируется операционная система Gaia (рисунок 2.6), а также назначается роль устройства в сети.
Рис. 2.6. Инсталлируется операционная система Gaia
В ходе инсталляции операционной системы устанавливаются системные параметры сети, определяются настройки сетевых интерфейсов устройства, определяется место на жестком диске под систему и под резервное копирование настроек, задаются учетные данные пользователей и администраторов.
Инсталляция происходит непосредственно на устройстве в режиме командной строки (CLI).
После инсталляции операционной системы администратор подключается к устройству посредством web-интерфейса и инициирует процесс назначения роли устройства в сети, в случае CheckPoint 21000 выбирается Security Management (рисунок 2.7).
Рис