ГТ, МЭ и ЛВС - Форум по вопросам информационной безопасности
ГТ, МЭ и ЛВС - Форум по вопросам информационной безопасности
| Автор: oko | 77414 | 08.09.2017 00:08 |
|
Товарищи, возник интерес. У кого-нибудь есть опыт внедрения и согласования схемы "АС ГТ -> МЭ-по-ГТ -> внутренняя ЛВС организации -> МЭ-по-Конфи -> Интернет"? Ставили ли СОВ?
Попал в руки ПАК МЭ нужного класса (сертификат старый, но действующий, ага). Цель проста: обновление баз АВЗ + получение НС-инфы из ЛВС в НС-каталоги АС. Жесткие правила фильтрации трафика (1-2 адреса ЛВС, 1-2 сетевых протокола), наличие АВЗ, наличие СЗИ НСД. Можно автоматический режим по расписанию прикрутить (аля "однонаправленный шлюз для бедных") и побайтовую регистрацию принятых данных... Дополнительный вопрос: SMB или FTP? Заранее спасибо! *в сторону* знаю, что по шаловливым ручкам чаще всего и бьют, но не покидает мысль, стоит ли овчинка выделки до вступления в силу новых Требований или нет смысла морочить голову себе и регулятору... |
|
| Автор: sekira | 77416 | 08.09.2017 07:12 |
|
аля "однонаправленный шлюз для бедных"
Да такие системы аттестовывали. Главное настроить однонаправленность. Для ГИС и ИСПДн когда были требования СОВ ставили. SMB |
|
| Автор: Dfg | 77812 | 12.09.2017 22:05 |
|
Имхо, лучше однонаправленный шлюз. Надежнее чем просто МЭ )
|
|
| Автор: Юрий | 77820 | 13.09.2017 07:48 |
|
А кто может посоветовать однонаправленный шлюз для ГТ ?
внутренняя ЛВС организации -> ОШ -> АС ГТ (1Б) Рубикон, СТРОМ-100 ? Есть опыт из последних (актуальных) аттестаций? |
|
| Автор: oko | 77841 | 14.09.2017 01:14 |
|
to Dfg
Надежнее по своей идее. Реализации, которые я видел (камешек в сторону Рубикона, кстати) не произвели впечатления. К тому же, альтернативы нет - разве что кто-то согласится махнуться сертифицированным ОНШ на АПКШ, ага :) to sekira Благодарю. Причина выбора SMB, поскольку разграничение средствами СЗИ НСД, а не какого-то там ftp-сервера, верно понимаю? А в части СОВ - отсутствие явного указания регулятора для ГТ? И да, чистой однонаправленности на базе PF все равно не добиться - либо "сессия", либо правила для входящего и исходящего трафика. Конечно, вероятность взлома и дальнейшей утечки будет весьма призрачной, но... как это обходили, если не секрет? |
|
| Автор: oko | 77842 | 14.09.2017 01:20 |
|
*в догонку*
Есть еще вариант сетевую карту выставить в режим "только НС" средствами СЗИ НСД. Тогда в теории будет доп.рубеж = мандатному режиму (контроль потоков, ага). Но все равно остается сетевой доступ и некоторая вероятность брута по SMB/NetBios, что, кстати, этим самым СЗИ НСД не контролируется (протоколы, не брут) даже при аппаратных ИАФ (кто догадался - молодец - сами знаете разработчика, в которого следует кидать камни)... |
|
| Автор: sekira | 77846 | 14.09.2017 05:13 |
|
"отсутствие явного указания регулятора для ГТ"
но люди о и мы обычно делаем если функционал позволяет - для админов спокойнее и удобнее и в протоколе пару слов вне требований мол есть такое. про SMB да. Но была и экзотика пришлось убеждать :)) "PF все равно не добиться" вопрос красивости отчетов сканера и их описания в протоколе. слишком много белых пятен - ждем новых документов. можно приплести профили по МЭ но а) нелегитимно б) не очень много толку в "белых" вопросах. |
|
| Автор: Dfg | 77866 | 14.09.2017 14:04 |
|
To oko
Конечно если говорить о шлюзе то только хардкор на железе, с оторванным обратным каналом передачи данных. Посмотрите З-кросс или стром как выше написали. Если реализация на программном МЭ то уже не кошерно. |
|
Прошел месяц
| Автор: snoop_d, сх | 79601 | 18.10.2017 11:34 |
|
Взаимодействие локальных вычислительных сетей в разрезе новых технических требований.
В организации есть аттестованная в соответствии с СТР-97 автоматизированная система (АС). Все основные средства АС подключены к оптической СКС. Линии связи (оптической СКС) находятся в 1 здании, в пределах КЗ. В организации имеется открытый сегмент корпоративной вычислительной сети (КВСо) имеющий выход в сети международного информационного обмена (интернет). Между АС и КВСо находится сертифицированный МСЭ. Логически АС является дочерним доменом КВСо с двухсторонними доверительными отношениями. Некоторые сервисы КВСо (базы данных, специальное ПО) используются в АС. Между АС и КВСо происходит двухсторонний обмен информацией (реприкация контроллерами, обмен инфрмацией при доступе пользователей АС к ресурсам и сервисам КВСо). Что можно предпринять в связи с необходимостью использования устройств односторонней передачи данных в соответствии с новыми техническими требованиями? В нашем случае – это равносильно созданию нового объекта информатизации с нуля и как следствие огромные затраты средств и ресурсов. |
|
| Автор: sekira | 79650 | 18.10.2017 12:58 |
|
Нужно выполнить требования и соответсвенно указ по международному обмену, транслируемый в разных интерпритациях в новые и старые требования.
Вы не уйдете от требований за счет невозможности созданию практически "нового объекта информатизации с нуля и как следствие огромные затраты средств и ресурсов" |
|
Просмотров темы: 7028
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"