Размещено на http://www.allbest.ru/

ФГБ ОУ ВПО «Московский государственный университет путей сообщения (МИИТ)»

Институт транспортной техники и систем управления

(ИТТСУ)

Кафедра "Управление и защита информации (УиЗИ)"

Отчет по преддипломной практике на тему

«Подсистема обеспечения информационной безопасности государственной интегрированной информационной системы управления общественными финансами «Электронный Бюджет»

Выполнил: ст. группы АКБ-611

Усанова Ю.А.

Принял: профессор

Клепцов М. Я.

Москва - 2015

Содержание

Введение

2. Проект подсистемы обеспечения информационной безопасности ГИИС «Электронный Бюджет»

Введение

Производственная преддипломная практика пройдена мной в Сервисном центре компании ЗАО НИП «ИНФОРМЗАЩИТА», входящей в состав ГК «ИНФОРМЗАЩИТА» в период с 28.09.2015 до 23.10.2015 в качестве оператора второй линии поддержки.

Группа компаний «Информзащита» специализируется в области обеспечения информационной безопасности автоматизированных систем управления и более 10 лет является лидером российского рынка ИБ.

Работа производилась над проектом сопровождения подсистемы информационной безопасности Государственной интегрированной информационной системы «Электронный бюджет» и заключалась в обслуживании клиентов системы «Электронный бюджет», как правило государственных организаций, по проблемам подключения к личному кабинету, настройки АРМ и работы в IDM-системе «КУБ».

1. ГИИС «Электронный Бюджет»

В послании Президента РФ Федеральному собранию на 2012-2014 гг. была поставлена задача утверждения и реализации Концепции создания и развития интегрированной информационной системы управления общественными финансами «Электронный бюджет». Концепция была разработана Министерством финансов РФ и 20 июля 2011 года одобрена распоряжением Правительства РФ.

Система Электронный бюджет является составной частью электронной модели государственного управления и подчиняется общим принципам и основным направлениям реализации политики информатизации в сфере государственного управления.

Система «Электронный бюджет» предназначена для обеспечения прозрачности, открытости и подотчётности деятельности государственных органов и органов управления государственными внебюджетными фондами, органов местного самоуправления, государственных и муниципальных учреждений, а также для повышения качества их финансового менеджмента за счёт формирования единого информационного пространства и применения информационных и телекоммуникационных технологий в сфере управления государственными и муниципальными (общественными) финансами. [1]

Портал ГИИС «Электронный Бюджет» был запущен в опытную эксплуатацию в мае 2015 года.

Открытая часть портала «Электронный Бюджет» расположена по адресу http://budget.gov.ru/. Закрытая часть - http://lk.budget.gov.ru/udu-webcenter

2. Проект подсистемы обеспечения информационной безопасности ГИИС «Электронный Бюджет»

При проектировании и разработке ГИИС «Электронный бюджет» соблюдались следующие принципы создания технической архитектуры:

1. Централизованные или облачные технологии хранения и обработки информации;

2. Использование интегрированной телекоммуникационной среды передачи данных;

3. Создание стандартных интерфейсов для взаимодействия информационных ресурсов с другими (внешними) системами в рамках системы «Электронный бюджет», основанных на открытых промышленных стандартах межсистемного взаимодействия;

4. Обеспечение готовности технической инфраструктуры к развитию в части расширения функциональности, увеличения числа пользователей и обслуживаемых организаций, повышения качества предоставляемых сервисов;

5. Унификация интерфейсов для обеспечения всех видов взаимодействия с системой и ее компонентами на основе единых унифицированных правил;

6. Обеспечение необходимого уровня отказоустойчивости и катастрофоустойчивости.[2]

Пользователями ГИИС «Электронный Бюджет» должны стать все органы государственной власти и федеральные государственные учреждения, кроме того, доступ в систему будет предоставлен на безвозмездной заявительной основе всем органам государственной власти субъектов РФ, органам местного самоуправления, организациям сектора государственного управления. Каждому пользователю необходимо предоставить интерактивный доступ к информационным ресурсам, в том числе с мобильных устройств. Отсюда следует, что для обеспечения информационной безопасности персональных данных пользователей, данных организаций и защиты конфиденциальной информации, используемой и создаваемой внутри системы «Электронный Бюджет», от НСД необходимо организовать защищенный доступ к ресурсам системы, надежную процедуру идентификации и аутентификации пользователей, а также, гибкую и легко-администрируемую систему управления доступом пользователей.

Для обеспечения данных требований были использованы продукты отечественных разработчиков, компаний ООО «Код безопасности» и ООО «Трастверс», входящих в группу компаний «Информзащита». Защищенный доступ удаленных пользователей к защищаемым ресурсам ГИС «Электронный Бюджет» обеспечивает аппаратно-программный комплекс «Континент TLS VPN», также, обеспечивающий надежную идентификацию и аутентификацию пользователей по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11-94, 34.10-2001), и осуществляющий криптографическую защиту HTTP-трафика на транспортном уровне, шифруя всю передаваемую информацию по алгоритму ГОСТ 28147-89.

Управление правами доступа пользователей к системе происходит через IDM-систему «КУБ» (разработчик ООО «Трастверс»). «КУБ» позволяет автоматизировать управление учетными записями, реализовать процесс согласования прав доступа, а также обеспечить непрерывный мониторинг их изменений.

3. Континент TLS VPN

«Континент TLS VPN» осуществляет криптографическую защиту HTTP-трафика на транспортном уровне. Шифрование информации производится по алгоритму ГОСТ 28147-89. Трафик от АРМ пользователя до защищаемого сервера передается в VPN-туннеле. Схема работы представлена на рисунке 1.

Рисунок 1 - Схема работы «Континент TLS VPN»

Программный продукт «Континент TLS VPN» Клиент (далее Клиент) работает совместно с СКЗИ «Континент TLS NPN Сервер» (далее Сервер) и обеспечивает выполнение следующих функций:

· обоюдная аутентификация с сервером в процессе установки защищенного соединения посредством технологии открытых ключей;

· установление защищенного соединения и обмен зашифрованными данными с Сервером;

· функционирование с открытыми ключами и сертификатами открытых ключей;

· возможность работы с серверами, поддерживающими протокол TLS v.1.0, TLS v1.2;

· хранение ключевой информации в защищенном контейнере;

· регистрация событий, связанных с работой Клиента.

Клиент представляет собой устанавливаемое на АРМ удаленного пользователя программное обеспечение. Для его функционирования в настройках указывается адрес защищаемого сервера, в нашем случае Личного кабинета пользователя ГИИС «Электронный Бюджет» lk.budget.gov.ru. Там же указывается открытый сертификат Сервера. И, если используется, адрес прокси-сервера сети, в которой расположено АРМ пользователя. Настройка Клиента представлена на рисунке 2.

Все необходимые сертификаты расположены на сайте Заказчика - Федерального Казначейства (http://roskazna.ru).

Рисунок 2 - Настройка «Континент TLS Клиента»

Для взаимодействия Клиента и интернет обозревателя в настройках последнего в качестве прокси-сервера указывается localhost 127.0.0.1 порт по-умолчанию 8080. Использование адреса 127.0.0.1 позволяет устанавливать соединение и передавать информацию для программ-серверов, работающих на том же компьютере, что и программа-клиент. Таким образом, при обращении в браузере с настройками прокси-сервера 127.0.0.1 порт 8080 к любому адресу Клиент сверяет его со своим адресом защищаемого сервера, и если они равнозначны, строит VPN канал до Сервера.

Когда соединение с Сервером успешно установлено, Клиент предлагает пользователю выбрать личный сертификат для прохождения процедуры аутентификации. После успешной аутентификации и авторизации в Личном Кабинете закрытой части портала «Электронный Бюджет» между АРМ пользователя устанавливается VPN туннель, по которому производится обмен данными между пользователем и сервером.

4. Сертификаты открытых ключей

Формат сертификата открытого ключа определен в рекомендациях Международного Союза по телекоммуникациям ITU (X.509) и документе RFC 3280 Certificate & CRL Profile организации инженерной поддержки Интернета Internet Engineering Task Force (IETF). IETF является открытым интернациональным сообществом исследователей, разработчиков сетевых протоколов, операторов и производителей, занимающихся проблемами развития сетей Интернет и обеспечением непрерывного функционирования существующей инфраструктуры. В настоящее время основным принятым форматом является формат версии 3, позволяющий задавать дополнения, с помощью которых реализуется определенная политика безопасности в системе. Несмотря на то, что документ RFC 3820 адресован Интернет-сообществу, формат сертификата открытого ключа предоставляет гибкий механизм передачи разнообразной информации и применяется в корпоративных PKI.

Сертификат открытого ключа -- электронный или бумажный документ, содержащий открытый ключ, информацию о владельце ключа, области применения ключа, подписанный выдавшим его Удостоверяющим центром и подтверждающий принадлежность открытого ключа владельцу (рис. 3).

Открытый ключ может быть использован для организации защищённого канала связи с владельцем двумя способами:

· для проверки подписи владельца (аутентификация);

· для шифрования посылаемых ему данных (конфиденциальность).

Удостоверяющий центр или центр сертификации - сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации -- подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.

Рисунок 3 - Открытый сертификат

Удостоверяющий центр генерирует сертификат пользователя и подписывает его своим корневым сертификатом, как правило, самоподписанным. Открытый ключ составляет пару с закрытым ключом.

Открытый ключ шифрует передаваемое сообщение, а закрытый ключ расшифровывает. Схема представлена на рисунке 4:

Рисунок 4 - Схема шифрования открытым ключом

Идея криптографии с открытым ключом очень тесно связана с идеей односторонних функций, то есть таких функций , что по известному довольно просто найти значение , тогда как определение из невозможно за разумный срок.

Но сама односторонняя функция бесполезна в применении: ею можно зашифровать сообщение, но расшифровать нельзя. Поэтому криптография с открытым ключом использует односторонние функции с лазейкой. Лазейка -- это некий секрет, который помогает расшифровать. То есть существует такой , что зная и , можно вычислить . Это и есть закрытый ключ.

Для большей безопасности открытый и закрытый ключ рекомендуется хранить на токене.

Токен - это компактное устройство в виде USB-брелока, которое служит для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения любых персональных данных (рис. 5).

Рисунок 5 -Токен - Рутокен S

5. IDM-система «КУБ»

КУБ -- уникальное кроссфункциональное решение для автоматизации и управления доступом к информационным ресурсам компании и контроля соблюдения политики безопасности.

КУБ предназначен для крупных компаний с большой, с географически разветвленной структурой, имеющих большое количество ежедневных кадровых операций и/или высокую цену любых ошибок, связанных с неверно предоставленными правами доступа к информационным ресурсам.

Основные компоненты системы изображены на следующей схеме (рис.6):

Рисунок 6 - Архитектура КУБ

Сервер КУБ - является ядром системы, где выполняется централизованная обработка поступающей информации. Сервер координирует работу остальных компонентов системы и обеспечивает обмен данными между ними. Для хранения информации сервер использует базу данных Oracle.

Web-портал предназначен для формирования и согласования пользователями заявок на предоставление доступа, а также для получения детализированных отчетов. Для бизнес-пользователей этот компонент является основным интерфейсом взаимодействия с системой.

Программа управления сервером КУБ - приложение, предназначенное для настройки параметров системы КУБ сотрудниками службы информационной безопасности.

Коннекторы - компоненты системы, контролирующие предоставление доступа в конкретной информационной системе с учетом ее специфики и соответствие ее настроек требованиям согласованных заявок. Каждый коннектор состоит из двух частей: одна часть устанавливается на сервер КУБ, а вторая (контролирующая состояние ИС) может быть установлена либо на тот же сервер, что и ИС, либо на другой (то есть может работать удаленно). В базовую конфигурацию КУБ входят коннекторы к ряду популярных систем (служба каталога, почтовый сервер, системы управления ресурсами предприятия и т.д.).

Администраторами системы КУБ являются сотрудники Отдела режима секретности и безопасности Федерального Казначейства. Далее по иерархии распределяются права для регистрации и назначения полномочий пользователям системы «Электронный Бюджет». В каждом регионе Российской Федерации, в каждом УФК назначается несколько регистраторов, пользователей, которым выдаются права, необходимые для процедуры регистрации новых пользователей.

Таким образом, IDM-система КУБ значительно упрощает управление доступом пользователей в системе «Электронный Бюджет».

Вывод

пользователь электронный бюджет сервер

В ходе производственной практики в компании ЗАО НИП «Информзащита» мною были изучены продукты по обеспечению информационной безопасности - «Континент TLS VPN» и «КУБ». Освоены схемы их функционирования. Получены знания по структуре и работе больших территориально локальных сетей, изучена инфраструктура открытых ключей (PKI).

Благодаря тому, что рабочая составляющая на производственной практики заключалась в оказании технической поддержки пользователям при подключении к ГИИС «Электронный Бюджет», мной был получен огромный опыт общения с людьми, как с техническими специалистами, так и с обычными пользователями.

Работая в большой компании, уже 20 лет находящейся на рынке информационной безопасности, я получила знания необходимые для дальнейшего развития как специалиста. Взаимодействуя с высококвалифицированными специалистами мною был получен огромный опыт работы в команде.

Источники информации

1 Официальный сайт Министерства Финансов Российской Федерации - http://www.minfin.ru/

2 Лекции по экономике организаций - http://newinspire.ru/

3 Официальный сайт казначейства России - http://www.roskazna.ru/

4 Официальный сайт ООО «Код Безопасности» - http://www.securitycode.ru/

5 Официальный сайт ООО «ТрастВерс» - https://www.cube-system.ru

Размещено на Allbest.ru