28.2Требования к серверу информационной безопасности В состав Системы 103 должен быть включен сервер информационной безопасности. Сервер информационной безопасности является неотъемлемой частью системы и должен обеспечивать безопасность телекоммуникационных сетей, интегрируясь в существующую сетевую инфраструктуру. Он должен обеспечивать защиту от атак из внешних сетей, разграничение доступа к внутренним ресурсам и защиту при передаче конфиденциальной информации.
Сервер информационной безопасности должен быть размещен на базе компьютера с характеристиками не ниже - 500 MHz, 512 MB, 2 x LAN 10/100 и состоять из аппаратной базы и программных модулей: VPN-построителя, Межсетевого экрана, Модуля обнаружения и предотвращения вторжений (атак). Межсетевой экран должен обеспечивать следующие возможности:
Типовые функции модуля VPN-построителя:
обеспечение защиты информации при ее передаче по общедоступным сетям путем шифрования данных и контроля целостности (имитовставки) по алгоритмам ГОСТ 28147-89/ГОСТ Р 34.11-94;
использование инфраструктуры открытых ключей на базе сертификатов стандарта Х.509 для распределения ключей и двусторонней аутентификации участников VPN-соединения;
защищенное соединение между подразделениями, находящимися на удаленных площадках, а также подключение удаленных внешних пользователей к внутренней сети, предоставляя прозрачный доступ к ресурсам предприятия и защиту от внешних угроз, а также создавать защищенные контуры внутри сети предприятия для организации изолированной работы подразделений;
установление VPN-соединения при работе через NAT или прокси-сервер;
поддержка широковещательного трафика в виртуальной сети VPN, для использования Windows-сервисов на базе протоколов SMB/CIFS;
поддержка аппаратных ключей (токенов) известных производителей для хранения закрытых ключей;
поддержка множества соединений Site-to-Site на одном VPN-построителе;
возможность настройки таблицы маршрутизации для управления трафиком между виртуальными сетями;
возможность задания набора пользователей, которым разрешено установление VPN-соединения;
регистрация активности клиентов VPN-построителя;
централизованный сбор журналов безопасности;
создание клиентского соединения с кроссплатформенным VPN-клиентом.
Типовые функции модуля межсетевого экрана:
фильтрация пакетов на сетевом и транспортном уровне;
фильтрация на основании любых полей заголовка IP;
фильтрация на основании любых полей заголовков TCP/UDP;
фильтрация с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых пакетов;
возможность задания временных периодов действия правил фильтрации;
возможность журналирования принимаемых решений по фильтрации пакетов;
централизованный сбор журналов;
поддержка технологии NAT;
поддержка технологии Port forwarding.
Модуль предотвращения атак должен обнаруживать и блокировать широкий спектр сетевых атак, таких как сканирование портов, подделка сетевых адресов, атаки фрагментированными пакетами, атаки неверно сформированными пакетами, атаки на подбор пароля к SSH.
29Типовые требования в случае применния облачных технологий
29.1Требования по взаимодействию Взаимодействие Системы-103 и Системы-112 в облачной инфраструктуре может осуществляться как в on-line, так и off-line режиме.
Интеграционный слой должен обеспечивать взаимодействие с внешними системами по распространенным технологиям типа RPC, COM, DCOM, SOAP, JCA, RMI, message-ориентированное взаимодействие MOM (IBM WMQ, Oracle AQ и др.), файловый обмен, FTP/SFTP и др.
Интеграцию Системы-103 и Системы-112 рекомендуется осуществлять следующим образом:
на основе промышленной интеграционной платформы типа IBM WebSphere ESB; Microsoft BizTalk, Oracle ESB, JBoss ESB или аналогичными;
с использованием возможностей встроенного интеграционного слоя или прямого взаимодействия.
Первый подход рекомендован в том случае, когда один из участников взаимодействия уже эксплуатирует какую-либо интеграционную шину или требуется интеграция с большим числом систем разных производителей.
При небольшом числе взаимодействующих систем рекомендуется второй подход и связи «точка-точка». Управление взаимодействием в данном случае может обеспечиваться встроенной интеграционной подсистемой или интеграционными адаптерами.
Интеграционный адаптер рекомендуется реализовывать с использованием следующих технологий:
файловый обмен – напрямую или через протоколы FTP/SFTP;
SOAP – Simple Object Access Protocol, протокол обмена структурированными сообщениями в распределённой вычислительной среде;
ODBC – Open Database Connectivity, программный интерфейс (API) доступа к базам данных;
JDBC – Java Database Connectivity, платформенно-независимый промышленный стандарт взаимодействия Java-приложений с различными СУБД;
RPC – Remote Procedure Call, вызов удаленной процедуры;
RMI – Java Remote Method Invocation, протокол вызова удаленного метода на языке Java для распределенных объектных Java-приложений;
COM, DCOM – Distributed Component Object Model, распределенная компонентная объектная модель;
MOM – Messaging Oriented Middleware, ПО промежуточного слоя, ориентированное на сообщения.
Программные интерфейсы Системы-103 и Системы-112 должны иметь готовность к информационному обмену с федеральными, региональными государственными информационными системами и централизованными базами данных Российской Федерации, например на основе протоколов межведомственного электронного взаимодействия (СМЭВ), систем электронного документооборота (СЭДО), универсальной электронной карты (УЭК).
|