Автор: Артемий | 70219 | 28.03.2017 13:17 |
Есть ИСПДн, аттестованная по классу К3. Основная часть пользователей подключается к данной системе по защищенной сети. Но возникла необходимость организации подключения к системе через открытую сеть с машин не входящих в защищенную сеть. Настроить доступ решено следующим образом:
- поднимается виртуальный сервер с установленным клиентом работы в ИС, являющейся ИСПДн. Сервер являющийся контролером домена. - в AD заводится необходимое количество пользователей, которые будут работать с системой удаленно. В настройках пользователей приписывается авторизация по смарт-картам. - В настройках удаленного доступа на сервере включается использование TLS для защиты соединения, сертификат будет ГОСТовский. - На сервере и на клиентских машинах устанавливается сертифицированная версия КРИПТО CSP c лицензией Winlogon. - для авторизации на сервере используется сертифицированная смарт-карта с записанным гостовским ключем, настроенным для работы с Winlogon. - после авторизации пользователем на сервере запускается клиентская часть ИС по логину и паролю. Насколько безопасен такой механизм предоставления доступа к ресурсам ИСПДн? |
Автор: oko | 70223 | 28.03.2017 15:06 |
Приветствую!
Безопасен на столько, на сколько реализуете... А вот с аттестацией такой системы будут проблемы. Как минимум по 2 причинам: 1. Классов защищенности для ИСПДн уже давно нет. Есть Уровни защищенности (которые определяются ПП 1119). Классы защищенности есть для ГИС и АС. 2. Виртуализация. Которая тоже подлежит защите. И как правило (по особенностям общения с регуляторами) - только сертифицированными средствами. А это дорого, долго, не удобно и не всегда (не для всех гипервизоров) применимо. Почитайте 21 Приказ ФСТЭК. |
Автор: Dfg | 70253 | 29.03.2017 09:06 |
To oko
По 21 аттестация не нужна ;) To Артемий Если у клиентов известны внешние белые ip, можно усилить дав доступ только им. |
Автор: oko | 70265 | 29.03.2017 13:23 |
to Dfg
Про аттестацию топикстартер первично сказал - я всего лишь указал на сложности при последующей аттестации (буде таковая понадобится). К тому же сакральный смысл мероприятий по "оценке защищенности" регулятором до сих пор не пояснен, да и самим регулятором понимается не иначе как "аттестация". Кстати, imho, ограничение по белым ip настолько же бесполезно, насколько и все приведенные выше мероприятия. Нужны не ГОСТ-смарт-карты-winlogon'ы, а полноценный VPN средствами отдельного маршрутизатора/firewall'a. Внутри которого другими средствами уже можно реализовать и ИАФ, и УПД, и РСБ, и проч. как на уровне ОС, так и на уровне используемых программ (СУБД?). Удаленный доступ (мы говорим об RDP, не так ли?) + winlogon в Win тянет за собой кучу мелких дыр безопасности, которые позволят нарушителю и ИАФ через смарт-карту обойти, и трафик раскрыть, и т.д. и т.п. |
Автор: Dfg | 70267 | 29.03.2017 13:45 |
Всегда полезно прикрывать любые порты хоть для -сертифицированной- криптухи, хоть для какой удаленки, через МЭ по белым спискам. Чтоб ЦРУшники не пробили из под тора, мегасекретными приват сплоитами и не залезли в скромную испдн скромного отечественного оператора пдн.
|
Автор: oko | 70272 | 29.03.2017 19:27 |
Дык, тогда не суть белые ip, а суть нормальный firewall. А как будет техпроцесс обмена данными реализован - вторичное дело (если, конечно, его "задумку" вообще можно нормально закрыть). Кстати, большинство криптомаршрутизаторов отечественного производства (из зарубежных только VPN на Cisco в руках вертел, поэтому сравнить не с чем) именно по такому принципу работают - acl у них не настраивается в явном виде, но любые соединения они принимают только после подтверждения источника по криптоключам (сертификатам) не важно на какой порт.
|
Просмотров темы: 2722