Подсистема обеспечения информационной безопасности государственной интегрированной информационной системы управления общественными финансами "Электронный Бюджет"
Общие принципы и направления реализации политики информатизации в сфере государственного управления. Формат сертификата открытого ключа. Программа управления сервером "КУБ". Техническая поддержка пользователям при подключении к ГИИС "Электронный Бюджет".
Рубрика | Программирование, компьютеры и кибернетика |
Вид | отчет по практике |
Язык | русский |
Дата добавления | 14.12.2015 |
Размер файла | 1,3 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
ФГБ ОУ ВПО «Московский государственный университет путей сообщения (МИИТ)»
Институт транспортной техники и систем управления
(ИТТСУ)
Кафедра "Управление и защита информации (УиЗИ)"
Отчет по преддипломной практике на тему
«Подсистема обеспечения информационной безопасности государственной интегрированной информационной системы управления общественными финансами «Электронный Бюджет»
Выполнил: ст. группы АКБ-611
Усанова Ю.А.
Принял: профессор
Клепцов М. Я.
Москва - 2015
Содержание
Введение
1. ГИИС «Электронный Бюджет»
2. Проект подсистемы обеспечения информационной безопасности ГИИС «Электронный Бюджет»
3. Континент TLS VPN
4. Сертификаты открытых ключей
5. IDM-система «КУБ»
Вывод
Источники информации
Введение
Производственная преддипломная практика пройдена мной в Сервисном центре компании ЗАО НИП «ИНФОРМЗАЩИТА», входящей в состав ГК «ИНФОРМЗАЩИТА» в период с 28.09.2015 до 23.10.2015 в качестве оператора второй линии поддержки.
Группа компаний «Информзащита» специализируется в области обеспечения информационной безопасности автоматизированных систем управления и более 10 лет является лидером российского рынка ИБ.
Работа производилась над проектом сопровождения подсистемы информационной безопасности Государственной интегрированной информационной системы «Электронный бюджет» и заключалась в обслуживании клиентов системы «Электронный бюджет», как правило государственных организаций, по проблемам подключения к личному кабинету, настройки АРМ и работы в IDM-системе «КУБ».
1. ГИИС «Электронный Бюджет»
В послании Президента РФ Федеральному собранию на 2012-2014 гг. была поставлена задача утверждения и реализации Концепции создания и развития интегрированной информационной системы управления общественными финансами «Электронный бюджет». Концепция была разработана Министерством финансов РФ и 20 июля 2011 года одобрена распоряжением Правительства РФ.
Система Электронный бюджет является составной частью электронной модели государственного управления и подчиняется общим принципам и основным направлениям реализации политики информатизации в сфере государственного управления.
Система «Электронный бюджет» предназначена для обеспечения прозрачности, открытости и подотчётности деятельности государственных органов и органов управления государственными внебюджетными фондами, органов местного самоуправления, государственных и муниципальных учреждений, а также для повышения качества их финансового менеджмента за счёт формирования единого информационного пространства и применения информационных и телекоммуникационных технологий в сфере управления государственными и муниципальными (общественными) финансами. [1]
Портал ГИИС «Электронный Бюджет» был запущен в опытную эксплуатацию в мае 2015 года.
Открытая часть портала «Электронный Бюджет» расположена по адресу http://budget.gov.ru/. Закрытая часть - http://lk.budget.gov.ru/udu-webcenter
2. Проект подсистемы обеспечения информационной безопасности ГИИС «Электронный Бюджет»
При проектировании и разработке ГИИС «Электронный бюджет» соблюдались следующие принципы создания технической архитектуры:
1. Централизованные или облачные технологии хранения и обработки информации;
2. Использование интегрированной телекоммуникационной среды передачи данных;
3. Создание стандартных интерфейсов для взаимодействия информационных ресурсов с другими (внешними) системами в рамках системы «Электронный бюджет», основанных на открытых промышленных стандартах межсистемного взаимодействия;
4. Обеспечение готовности технической инфраструктуры к развитию в части расширения функциональности, увеличения числа пользователей и обслуживаемых организаций, повышения качества предоставляемых сервисов;
5. Унификация интерфейсов для обеспечения всех видов взаимодействия с системой и ее компонентами на основе единых унифицированных правил;
6. Обеспечение необходимого уровня отказоустойчивости и катастрофоустойчивости.[2]
Пользователями ГИИС «Электронный Бюджет» должны стать все органы государственной власти и федеральные государственные учреждения, кроме того, доступ в систему будет предоставлен на безвозмездной заявительной основе всем органам государственной власти субъектов РФ, органам местного самоуправления, организациям сектора государственного управления. Каждому пользователю необходимо предоставить интерактивный доступ к информационным ресурсам, в том числе с мобильных устройств. Отсюда следует, что для обеспечения информационной безопасности персональных данных пользователей, данных организаций и защиты конфиденциальной информации, используемой и создаваемой внутри системы «Электронный Бюджет», от НСД необходимо организовать защищенный доступ к ресурсам системы, надежную процедуру идентификации и аутентификации пользователей, а также, гибкую и легко-администрируемую систему управления доступом пользователей.
Для обеспечения данных требований были использованы продукты отечественных разработчиков, компаний ООО «Код безопасности» и ООО «Трастверс», входящих в группу компаний «Информзащита». Защищенный доступ удаленных пользователей к защищаемым ресурсам ГИС «Электронный Бюджет» обеспечивает аппаратно-программный комплекс «Континент TLS VPN», также, обеспечивающий надежную идентификацию и аутентификацию пользователей по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11-94, 34.10-2001), и осуществляющий криптографическую защиту HTTP-трафика на транспортном уровне, шифруя всю передаваемую информацию по алгоритму ГОСТ 28147-89.
Управление правами доступа пользователей к системе происходит через IDM-систему «КУБ» (разработчик ООО «Трастверс»). «КУБ» позволяет автоматизировать управление учетными записями, реализовать процесс согласования прав доступа, а также обеспечить непрерывный мониторинг их изменений.
3. Континент TLS VPN
«Континент TLS VPN» осуществляет криптографическую защиту HTTP-трафика на транспортном уровне. Шифрование информации производится по алгоритму ГОСТ 28147-89. Трафик от АРМ пользователя до защищаемого сервера передается в VPN-туннеле. Схема работы представлена на рисунке 1.
Рисунок 1 - Схема работы «Континент TLS VPN»
Программный продукт «Континент TLS VPN» Клиент (далее Клиент) работает совместно с СКЗИ «Континент TLS NPN Сервер» (далее Сервер) и обеспечивает выполнение следующих функций:
· обоюдная аутентификация с сервером в процессе установки защищенного соединения посредством технологии открытых ключей;
· установление защищенного соединения и обмен зашифрованными данными с Сервером;
· функционирование с открытыми ключами и сертификатами открытых ключей;
· возможность работы с серверами, поддерживающими протокол TLS v.1.0, TLS v1.2;
· хранение ключевой информации в защищенном контейнере;
· регистрация событий, связанных с работой Клиента.
Клиент представляет собой устанавливаемое на АРМ удаленного пользователя программное обеспечение. Для его функционирования в настройках указывается адрес защищаемого сервера, в нашем случае Личного кабинета пользователя ГИИС «Электронный Бюджет» lk.budget.gov.ru. Там же указывается открытый сертификат Сервера. И, если используется, адрес прокси-сервера сети, в которой расположено АРМ пользователя. Настройка Клиента представлена на рисунке 2.
Все необходимые сертификаты расположены на сайте Заказчика - Федерального Казначейства (http://roskazna.ru).
Рисунок 2 - Настройка «Континент TLS Клиента»
Для взаимодействия Клиента и интернет обозревателя в настройках последнего в качестве прокси-сервера указывается localhost 127.0.0.1 порт по-умолчанию 8080. Использование адреса 127.0.0.1 позволяет устанавливать соединение и передавать информацию для программ-серверов, работающих на том же компьютере, что и программа-клиент. Таким образом, при обращении в браузере с настройками прокси-сервера 127.0.0.1 порт 8080 к любому адресу Клиент сверяет его со своим адресом защищаемого сервера, и если они равнозначны, строит VPN канал до Сервера.
Когда соединение с Сервером успешно установлено, Клиент предлагает пользователю выбрать личный сертификат для прохождения процедуры аутентификации. После успешной аутентификации и авторизации в Личном Кабинете закрытой части портала «Электронный Бюджет» между АРМ пользователя устанавливается VPN туннель, по которому производится обмен данными между пользователем и сервером.
4. Сертификаты открытых ключей
Формат сертификата открытого ключа определен в рекомендациях Международного Союза по телекоммуникациям ITU (X.509) и документе RFC 3280 Certificate & CRL Profile организации инженерной поддержки Интернета Internet Engineering Task Force (IETF). IETF является открытым интернациональным сообществом исследователей, разработчиков сетевых протоколов, операторов и производителей, занимающихся проблемами развития сетей Интернет и обеспечением непрерывного функционирования существующей инфраструктуры. В настоящее время основным принятым форматом является формат версии 3, позволяющий задавать дополнения, с помощью которых реализуется определенная политика безопасности в системе. Несмотря на то, что документ RFC 3820 адресован Интернет-сообществу, формат сертификата открытого ключа предоставляет гибкий механизм передачи разнообразной информации и применяется в корпоративных PKI.
Сертификат открытого ключа -- электронный или бумажный документ, содержащий открытый ключ, информацию о владельце ключа, области применения ключа, подписанный выдавшим его Удостоверяющим центром и подтверждающий принадлежность открытого ключа владельцу (рис. 3).
Открытый ключ может быть использован для организации защищённого канала связи с владельцем двумя способами:
· для проверки подписи владельца (аутентификация);
· для шифрования посылаемых ему данных (конфиденциальность).
Удостоверяющий центр или центр сертификации - сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации -- подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.
Рисунок 3 - Открытый сертификат
Удостоверяющий центр генерирует сертификат пользователя и подписывает его своим корневым сертификатом, как правило, самоподписанным. Открытый ключ составляет пару с закрытым ключом.
Открытый ключ шифрует передаваемое сообщение, а закрытый ключ расшифровывает. Схема представлена на рисунке 4:
Рисунок 4 - Схема шифрования открытым ключом
Идея криптографии с открытым ключом очень тесно связана с идеей односторонних функций, то есть таких функций , что по известному довольно просто найти значение , тогда как определение из невозможно за разумный срок.
Но сама односторонняя функция бесполезна в применении: ею можно зашифровать сообщение, но расшифровать нельзя. Поэтому криптография с открытым ключом использует односторонние функции с лазейкой. Лазейка -- это некий секрет, который помогает расшифровать. То есть существует такой , что зная и , можно вычислить . Это и есть закрытый ключ.
Для большей безопасности открытый и закрытый ключ рекомендуется хранить на токене.
Токен - это компактное устройство в виде USB-брелока, которое служит для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения любых персональных данных (рис. 5).
Рисунок 5 -Токен - Рутокен S
5. IDM-система «КУБ»
КУБ -- уникальное кроссфункциональное решение для автоматизации и управления доступом к информационным ресурсам компании и контроля соблюдения политики безопасности.
КУБ предназначен для крупных компаний с большой, с географически разветвленной структурой, имеющих большое количество ежедневных кадровых операций и/или высокую цену любых ошибок, связанных с неверно предоставленными правами доступа к информационным ресурсам.
Основные компоненты системы изображены на следующей схеме (рис.6):
Рисунок 6 - Архитектура КУБ
Сервер КУБ - является ядром системы, где выполняется централизованная обработка поступающей информации. Сервер координирует работу остальных компонентов системы и обеспечивает обмен данными между ними. Для хранения информации сервер использует базу данных Oracle.
Web-портал предназначен для формирования и согласования пользователями заявок на предоставление доступа, а также для получения детализированных отчетов. Для бизнес-пользователей этот компонент является основным интерфейсом взаимодействия с системой.
Программа управления сервером КУБ - приложение, предназначенное для настройки параметров системы КУБ сотрудниками службы информационной безопасности.
Коннекторы - компоненты системы, контролирующие предоставление доступа в конкретной информационной системе с учетом ее специфики и соответствие ее настроек требованиям согласованных заявок. Каждый коннектор состоит из двух частей: одна часть устанавливается на сервер КУБ, а вторая (контролирующая состояние ИС) может быть установлена либо на тот же сервер, что и ИС, либо на другой (то есть может работать удаленно). В базовую конфигурацию КУБ входят коннекторы к ряду популярных систем (служба каталога, почтовый сервер, системы управления ресурсами предприятия и т.д.).
Администраторами системы КУБ являются сотрудники Отдела режима секретности и безопасности Федерального Казначейства. Далее по иерархии распределяются права для регистрации и назначения полномочий пользователям системы «Электронный Бюджет». В каждом регионе Российской Федерации, в каждом УФК назначается несколько регистраторов, пользователей, которым выдаются права, необходимые для процедуры регистрации новых пользователей.
Таким образом, IDM-система КУБ значительно упрощает управление доступом пользователей в системе «Электронный Бюджет».
Вывод
пользователь электронный бюджет сервер
В ходе производственной практики в компании ЗАО НИП «Информзащита» мною были изучены продукты по обеспечению информационной безопасности - «Континент TLS VPN» и «КУБ». Освоены схемы их функционирования. Получены знания по структуре и работе больших территориально локальных сетей, изучена инфраструктура открытых ключей (PKI).
Благодаря тому, что рабочая составляющая на производственной практики заключалась в оказании технической поддержки пользователям при подключении к ГИИС «Электронный Бюджет», мной был получен огромный опыт общения с людьми, как с техническими специалистами, так и с обычными пользователями.
Работая в большой компании, уже 20 лет находящейся на рынке информационной безопасности, я получила знания необходимые для дальнейшего развития как специалиста. Взаимодействуя с высококвалифицированными специалистами мною был получен огромный опыт работы в команде.
Источники информации
1 Официальный сайт Министерства Финансов Российской Федерации - http://www.minfin.ru/
2 Лекции по экономике организаций - http://newinspire.ru/
3 Официальный сайт казначейства России - http://www.roskazna.ru/
4 Официальный сайт ООО «Код Безопасности» - http://www.securitycode.ru/
5 Официальный сайт ООО «ТрастВерс» - https://www.cube-system.ru
Размещено на Allbest.ru
...Подобные документы
Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья [15,9 K], добавлен 24.09.2010Основные принципы и условия обеспечения информационной безопасности. Защита информации от несанкционированного и преднамеренного воздействия, от утечки, разглашения и иностранной разведки. Цели, задачи и принципы системы ИБ. Понятие политики безопасности.
презентация [118,4 K], добавлен 19.01.2014Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.
контрольная работа [27,8 K], добавлен 26.02.2016Анализ организационной структуры управления и бизнес-процессов компании. Разработка логистической информационной системы, включающей в себя подсистемы управления продажами, запасами и грузоперевозками. Подбор ее программного и технического обеспечения.
дипломная работа [3,2 M], добавлен 18.05.2014Понятие информационной системы. Объект управления, субъект управления. Технология управления. Главные принципы создания информационной системы, ее основные признаки и классификация, состав и структура ее элементов. Информационная технология и ресурсы.
презентация [149,7 K], добавлен 14.10.2013Назначение создания информационной системы "Электронный журнал" для автоматизации контроля учебного процесса. Построение логической и реляционной моделей данных. Разработка клиент-серверного приложения для работы с базой данных; программная реализация.
дипломная работа [5,9 M], добавлен 19.01.2017Понятие информации и информатизации. Современная концепция безопасности и характеристика средств обеспечения информационной безопасности. Особенности обеспечения информационной безопасности в образовательных учреждениях в зависимости от их вида.
дипломная работа [208,6 K], добавлен 26.01.2013Структура локальной сети. Функции участников ИС. Должностные обязанности инженера-программиста. Экспериментальное тестирование информационной системы "Электронный журнал образовательной организации". Рабочее место оператора персонального компьютера.
отчет по практике [757,1 K], добавлен 20.05.2015Построение корпоративной информационной системы Cлавянского кирпичного завода. Разработка структуры системы информационного обеспечения управления предприятием, единого стандарта электронного документооборота. Интеграция локально-вычислительных сетей.
контрольная работа [1,6 M], добавлен 24.07.2009Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Сущность и содержание системы управления, основные принципы формирования ее информационной модели. Определение роли и значения информации в процессе управления. Принципы и инструменты автоматического управления. Главные задачи теории управления.
реферат [43,4 K], добавлен 10.02.2011Основные алгоритмы реализации электронной цифровой подписи. Понятие секретного и открытого ключа. Программные модули, сроки действия и порядок функционирования электронной подписи. Технология работы с информационной системой "ЭЦП", перспективы развития.
курсовая работа [1,1 M], добавлен 07.12.2010Многоаспектность и сложность проблемы государственного управления, ее главные критерии на современном этапе. Электронное правительство: порядок и принципы его внедрения, оценка значения в обществе, перспективы и направления дальнейшего развития.
контрольная работа [75,9 K], добавлен 10.02.2011Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Необходимость внедрения интегрированной информационной системы с целью повышения эффективности управления процессами. Анализ технологического процесса установки каталитического крекинга КК-1. Разработка концепции построения информационной системы.
дипломная работа [1,1 M], добавлен 09.10.2013Выработка практических навыков по разработке информационной системы предприятия на основе процессного подхода. Основные термины, применяемые при реализации процессного подхода. Структура управления компании ООО "Грин", состояние информатизации компании.
контрольная работа [38,3 K], добавлен 20.02.2012Комплексный анализ структуры информационной системы управления персоналом на предприятии. Моделирование информационной системы и расчет задержек запроса менеджера из филиала в области к центральному серверу. Модель оптимизации информационной системы.
курсовая работа [2,1 M], добавлен 18.09.2014Изучение существующих методик и инструментальных средств для управления сервисным обслуживанием. Лучшие практики управления IT. Выбор языка моделирования информационной системы. Ролевая модель системы. Модуль управления объектами и настройки системы.
дипломная работа [2,3 M], добавлен 03.07.2017Инфраструктура открытых ключей PKI. Преимущество сетевой архитектуры. Программные средства поддержки PKI. Описание логики работы программы. Форма генерации и экспорта ключа для подписи, создания нового пользователя, добавления нового сертификата.
курсовая работа [450,8 K], добавлен 22.07.2012