Проектирование и внедрение системы удаленного доступа к оборудованию в лаборатории средств обеспечения информационной безопасности колледжа

В качестве программы управления VPN-сетью в решении ViPNet CUSTOM используется программа ViPNet Администратор, которая разворачивается на сервере, находящемся в сети, к которой требуется удалённый доступ. На ПК клиентов ставится ViPNet Client, через который осуществляется взаимодействие через туннель с сервером и удалённой сетью.

Если говорить о решении «Застава», то в ней в качестве программы управления VPN-сетью, которая устанавливается на сервер, используется программа «ЗАСТАВА-Офис», а на ПК клиентов ставится «ЗАСТАВА-Клиент».

После собранной информации по выбранным для сравнения методам реализации, необходимо перейти к их сравнению, найдя необходимую информацию по критериям. Итоги сравнения представлены в Таблице 2.

Таблица 2 Сравнение методов реализации удалённого доступа

Вид реализации	Критерии отбора
	Наличие функций администри- рования	Поддержка 100 и более одновременных подключений	Поддержка длины ключа шифрования не менее 128 бит	Совокупная цена решения
Роль «Удалённый доступ» на Windows Server (L2TP VPN)	+	+ (ограничений нет)	+ (3DES)	Бесплатно при наличии лицензии на серверную ОС
Remote Access VPN на Cisco ASA	+	+ (250 одновременных подключений)	+- (Для активации 3DES требуется доп. лицензия, иначе только DES, где 56 бит)	Бесплатно как с использованием шифрования DES, так и 3DES
Развёртывание продукта ViPNeT Custom	+	+	+ (ГОСТ РФ, AES)	672600 рублей (серверная и клиентские лицензии на 100 пользователей)
Развёртывание продукта ЗАСТАВА-Офис	+	+	+ (ГОСТ 28147-89, AES (256, 92, 128 бит), 3DES, DES	Не удалось связаться с представителями компании «ЭЛВИС-ПЛЮС»

По итогам сравнения я принял решение, что в качестве реализации системы удалённого доступа будет использована технология Remote-Access, которая будет настроена на МСЭ Cisco ASA 5510. Данный способ будет в меньшей степени нагружать сеть, т.к. резервный канал доступа в интернет, который планируется настроить в будущем, будет использоваться в экстренных случаях, когда основной канал недоступен. Также, в скором времени, планируется замена серверов, которые являются контроллерами домена на более новые. Поэтому, чтобы система всегда была доступна и просуществовала более длительное время у заказчика, целесообразнее использовать технологию Remote-Access на МСЭ. Стоит отметить, что у компании Cisco Systems есть программное обеспечение Cisco ASDM, предназначенное для мониторинга и управления МСЭ в целом, это упростит задачу дальнейшей поддержки VPN.

Преимущества использования системы удалённого доступа перед LMS

LMS - это система управления обучением, которая используется для разработки, управления и распространения учебных онлайн-материалов с обеспечением совместного доступа.

Достоинства:

+ Присутствует возможность предоставления общего доступа к необходимым учебным материалам по каждой дисциплине;

+ Структурированное хранение файлов;

+ Присутствует возможность добавления комментариев к работам.

Недостатки:

- Скорость открытия страниц портала;

- Интерфейс управления требует определённых навыков работы с ним;

- Неизвестен объём свободного пространства.

В рамках этого сравнения, система удалённого доступа может использоваться для доступа к общим ресурсам отделения УиИТ.

Достоинства:

+ Присутствует возможность предоставления общего доступа к необходимым учебным материалам по каждой дисциплине;

+ Структурированное хранение файлов;

+ Скорость открытия общих ресурсов;

+ Не требует определённых навыков работы;

+ Объём свободного пространства всегда известен и равен строго заданным квотам на файловом сервере.

Недостатки:

- Отсутствует возможность добавления комментариев к работам.

Как видно из сравнения, система удалённого доступа работает быстрее системы управления обучением, необходимые материалы проще найти в общих ресурсах, потому что без определённых навыков работы разобраться в иерархической структуре папок проще, чем в интерфейсе управления LMS.



2.7 Технико-экономическое обоснование проектного решения

Как уже говорилось ранее, МСЭ Cisco ASA 5510 уже был приобретён на месте работы Заказчика по цене 74 750р. за 1 штуку с целью обеспечения резервного канала доступа в интернет, поэтому отпадает необходимость его (МСЭ) приобретения.

Как известно, срок службы АС составляет 7 лет, поэтому необходимо рассчитать, сколько будет стоить содержание системы в течение этого срока.

Зарплата сотрудника, который будет работать с этой системой, за 1 месяц составляет 43500 рублей, поэтому общая стоимость сопровождения к концу срока службы будет составлять 3654000 рублей.

Помимо уже закупленного оборудования, положительным моментом также является то, что есть возможность бесплатного использования Remote-Access VPN для 250 одновременных подключений, т.к. стоимость функции удалённого доступа уже включена в стоимость МСЭ и интегрирована его ПО под названием IOS. Поэтому даже если целесообразность использования удалённого доступа будет поставлена под сомнение, можно будет в любой момент её прекратить с наименьшими финансовыми потерями.

Список приобретённого Колледжем программно-технических средств, необходимых для решения задачи, которая устранит проблему моего диплома приведён в приложении 5.

2.8 Формирование проектного решения

Моё проектное решение было разработано согласно руководящему документу РД 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов». Сам технический проект состоит из комплекта документов, которых включает в себя:

1. Общее описание системы (Приложение 1);

2. Описание автоматизированных функций (Приложение 2);

3. Схема автоматизации (Приложение 3);

4. Пояснительная записка к техническому проекту (Приложение 4);

5. Спецификация оборудования (Приложение 5).

Проектирование системы удалённого доступа

Система удалённого доступа распространяется на всё отделение УиИТ. Работа пользователей должна осуществляться в режиме 24 часа в день, 7 дней в неделю (24х7). В качестве шлюза удаленного доступа будет выступать МСЭ Cisco ASA 5510. В качестве клиентов удалённого доступа будут удалённые рабочие места пользователей с установленным ПО ShrewSoft VPN Client. Шлюз удаленного доступа будет назначать клиентам удаленного доступа IP-адреса из статического пула IP-адресов. Статический пул IP-адресов будет состоять из диапазонов адресов, принадлежащих той же сети, к которой подключен сам шлюз. Аутентифицировать пользователей будет контроллер домена отделения УиИТ. Максимальное число клиентов удаленного доступа, которые могут работать одновременно равно 250. На пользователей удалённого доступа будут распространяться групповые политики домена.

Моделирование, тестирование и внедрение системы удалённого доступа

Передо мной стоит задача построить чёткую последовательность действий по внедрению системы удалённого доступа и проверить её работоспособность для того, чтобы удостовериться, что внедряемая система будет функционировать без сбоев.

Схема работы VPN, на мой взгляд, следующая: Пользователь загружает и настраивает клиентское ПО ShrewSoft VPN client на своём ПК. Затем он запускает процесс создания защищённого соединения между ним и сетью Колледжа. Запрос на создание туннеля получает МСЭ. Производится процесс первичной аутентификации - МСЭ проверяет, к какой внутренней политике относится запрос и правильно ли введён пароль, заданный в настройках. Если всё верно, то производится процесс вторичной аутентификации. МСЭ запрашивает у пользователя его логин и пароль доменной учётной записи. Получив ответ, МСЭ смотрит, какая серверная группа присоединена к внутренней групповой политике и подсоединяется к LDAP-серверу, затем отправляет ему запрос поиска учётной записи в каталоге. Сервер выполняет операцию и отправляет МСЭ ответ. Если такая учётная запись есть и пароль от учётной записи введён верно, то МСЭ создаёт защищённое соединение между ПК пользователя и межсетевым экраном, выдаёт пользователю IP-адрес из VPN-пула и открывает доступ к внутренней сети Колледжа.

Для внедрения системы удалённого доступа мне потребуется:

1. Создать учётную запись для шлюза удалённого доступа в домене;

2. Произвести базовую настройку МСЭ;

3. Задать статический пул IP-адресов для клиентов удалённого доступа;

4. Настроить сплит-туннелинг;

5. Исключить VPN-трафик из NAT трансляции;

6. Указать шлюз провайдера;

7. Настроить параметры авторизации LDAP;

8. Настроить параметры первой и второй фазы IPSec;

9. Настроить внутреннюю групповую политику для клиентов удалённого доступа;

10. Указать дополнительные параметры туннельного соединения;

11. Проверить работоспособность системы удалённого доступа.

Работоспособность настроек я проверял сначала внутри локальной сети. Для этого МСЭ временно я расположил в лаборатории, для которой, собственно говоря, система предназначалась. После успешной проверки работоспособности, настроенный МСЭ был помещён на объект размещения системы удалённого доступа и проверен уже вне локальной сети. После чего я составил инструкцию по установке VPN-соединения для пользователей системы и система была введена в эксплуатацию.

Подробное описание процесса настройки МСЭ и тестирования работоспособности находятся в Приложении 7, а инструкция по установке VPN-соединения для пользователей находится в Приложении 8.

2.9 Описание задач по администрированию

Для создания необходимых условий, при которых будет работать система удалённого доступа, необходимо выполнять следующие задачи:

1. Поддержка работоспособности системы 24x7;

2. Администрирование МСЭ;

3. Внедрение и сопровождение стандартных программ, направленных на решение задач управления;

4. Внедрение и сопровождение программного обеспечения для МСЭ;

5. Разработка инструкций (руководств) для пользователей и администраторов системы;

6. Участие в разработке технического задания, постановке задачи, разработке алгоритмов ее решения;

7. Разработка графиков выполнения плановых работ по внедрению программного обеспечения, контроль над их выполнением;

8. Участие в разработке методических материалов по комплексному использованию средств вычислительной техники.

В п.1 была выявлена проблема, связанная с необходимостью создания определённых условий, при которых студенты могли бы, воспользовавшись инструкцией по подключению, пройти два процесса аутентификации и получить удалённый доступ к виртуальным машинам, запущенным на сервере в ЛСОИБ. Для этого в этой дипломной работе ставилась следующая задача, которую необходимо решить для устранения вышеупомянутой проблемы: спроектировать и внедрить систему удалённого доступа.

В настоящий момент, каждый студент, которому требуется удалённо подключаться к своим виртуальным машинам, может получить доступ к ним, благодаря реализованной системе удалённого доступа. Сотрудники Колледжа могут удалённо подключаться к своим рабочим местам, а системные администраторы могут подключаться к оборудованию, находящемуся во внутренней сети отделения

Система функционирует 24 часа в сутки, что позволяет производить подключение в любое удобное время. Данные, проходящие через туннель, шифруются на приемлемом для образовательного учреждения уровне, но в целях повышения безопасности рекомендуется в будущем сменить метод авторизации пользователей.

ГЛАВА 3. ОХРАНА ТРУДА

Охрана труда - это система законодательных актов, социально-экономических, организационных, технических, гигиенических и лечебно-профилактических мероприятий и средств, обеспечивающих безопасность, сохранение здоровья и работоспособности человека в процессе труда. В связи с тем, что научно-технический прогресс внес серьезные изменения в условия производственной деятельности работников умственного труда, их труд стал более интенсивным, напряженным, требующим значительных затрат умственной, эмоциональной и физической энергии. Это потребовало комплексного решения проблем эргономики, гигиены и организации труда, регламентации режимов труда и отдыха.

Данный раздел моей дипломной работы посвящен инструкции монтажа МСЭ в стойку, требованиям к удалённому рабочему месту пользователя и технике безопасности при работе в Сети.

3.1 Правила монтажа МСЭ в стойку

Для предотвращения травм при монтаже или обслуживании данного устройства в стойке необходимо принять особые меры предосторожности, обеспечивающие устойчивость системы. Необходимо соблюдать соответствующие правила техники безопасности. Данное устройство следует устанавливать в нижней части стойки, если оно является единственным устройством в стойке. При установке устройства в частично заполненную стойку необходимо загружать стойку снизу вверх, причем самые тяжелые компоненты должны находиться снизу. Если к стойке прилагаются стабилизаторы, нужно установить их до начала монтажа или обслуживания устройства в стойке.

При установке оборудования в стойку, стоит придерживаться следующих правил:

- Оставьте пространство вокруг стойки для обслуживания;

- Если стойка оснащена стабилизаторами, установите их до начала монтажа или обслуживания устройства в стойке;

- При монтаже устройства в закрытую стойку убедитесь в наличии достаточной вентиляции. Не перегружайте закрытую стойку. Убедитесь в том, что стойка не перегружена, поскольку каждое устройство выделяет тепло;

- Устанавливая устройство в открытой стойке, убедитесь, что рама стойки не блокирует входные и выходные отверстия;

- Если стойка содержит только одно устройство, устанавливайте его в нижней части стойки;

- При установке устройства в частично заполненную стойку загружайте стойку снизу вверх, причем самые тяжелые компоненты должны находиться снизу.

Для монтажа используйте монтажные кронштейны для крепления корпуса к передней или задней части стойки, при этом передняя панель или задняя панель корпуса направлена наружу. Для монтажа корпуса в стойку выполните следующие действия:

1. Прикрепите кронштейны для монтажа в стойку к корпусу с помощью прилагающихся винтов. Прикрепите кронштейны, ввернув винты в отверстия, как показывает Рис. 3.1. После крепления кронштейнов к корпусу можно устанавливать корпус в стойку.

Рис. 3.1 Установка правого и левого кронштейнов



Прикрепите корпус к стойке с помощью прилагаемых винтов, как показывает Рис. 3.2.

Рис. 3.2 Монтаж корпуса в стойку

3.2 Требования к удалённому рабочему месту пользователя

Несмотря на то, что подразумевается, что пользователь будет работать удалённо, всё равно желательно не забывать про общие правила к АРМ пользователя для снижения риска возникновения болезней.

В данные требования входят:

· требования к рабочему столу;

· требования к посадочному месту (стулу, креслу);

· требования к подставкам для рук и ног.

Монитор должен быть установлен прямо перед пользователем и не требовать поворота головы или корпуса тела.

Рабочий стол и посадочное место должны иметь такую высоту, чтобы уровень глаз пользователя находился чуть выше центра монитора. На экран монитора следует смотреть сверху вниз, а не наоборот. Даже кратковременная работа с монитором, установленным слишком высоко, приводит к утомлению шейных отделов позвоночника.

Если при правильной установке монитора относительно уровня глаз выясняется, что ноги пользователя не могут свободно покоиться на полу, следует установить подставку для ног, желательно наклонную. Если ноги не имеют надежной опоры, это непременно ведет к нарушению осанки и утомлению позвоночника. Удобно, когда компьютерная мебель (стол и рабочее кресло) имеют средства для регулировки по высоте. В этом случае проще добиться оптимального положения.

Клавиатура должна быть расположена на такой высоте, чтобы пальцы рук располагались на ней свободно, без напряжения, а угол между плечом и предплечьем составлял 100°- 110°. Для работы рекомендуется использовать специальные компьютерные столы, имеющие выдвижные полочки для клавиатуры. При длительной работе с клавиатурой возможно утомление сухожилий кистевого сустава. Известно тяжелое профессиональное заболевание - кистевой туннельный синдром, связанное с неправильным положением рук на клавиатуре. Во избежание чрезмерных нагрузок на кисть желательно предоставить рабочее кресло с подлокотниками, уровень высоты которых, замеренный от пола, совпадает с уровнем высоты расположения клавиатуры.

При работе с мышью рука не должна находиться на весу. Локоть руки или хотя бы запястье должны иметь твердую опору. Если предусмотреть необходимое расположение рабочего стола и кресла затруднительно, рекомендуется применить коврик для мыши, имеющий специальный опорный валик. Нередки случаи, когда в поисках опоры для руки (обычно правой) располагают монитор сбоку от пользователя (соответственно, слева), чтобы он работал вполоборота, опирая локоть или запястье правой руки о стол. Этот прием недопустим. Монитор должен обязательно находиться прямо перед пользователем. Схема правильного расположения рабочего места пользователя изображена на Рис.3.3.



Рис. 3.3 Удалённое рабочее место пользователя

3.3 Техника безопасности при работе в Сети

Во избежание компрометации логинов и паролей от системы удалённого доступа, необходимо придерживаться простых советов, которые помогут обезопасить удалённые компьютеры пользователя:

1. Обязательно устанавливайте антивирусное ПО и постоянно следите за тем, чтобы базы данных сигнатур были всегда актуальны;

2. Никогда не храните учётные данные в простом текстовом файле или того хуже на бумаге, которую приклеили к монитору. Не стоит быть настолько беспечным - храните свои секретные данные только в надежных местах;

3. Будьте очень осторожны и бдительны при посещении неизвестных страниц в Сети;

4. Никому не сообщайте свои учетные данные (даже своим друзьям). Злоумышленниками, к сожалению, не редко становятся именно те люди, которым очень сильно доверяешь.

Охрана труда - это неотъемлемая часть защиты здоровья человека находящегося в процессе трудовой деятельности.

Для того, чтобы быть уверенным в правильности действий при монтаже МСЭ, рекомендуется внимательно ознакомиться с руководством по установке оборудования, выдержки из которого приведены в этой главе. Даже находясь вне Колледжа, не стоит забывать про основные требования к рабочему месту пользователя при работе с компьютером. Это позволит максимально долго сохранять работоспособность и снизить вероятность развития болезней. В целях повышения безопасности системы удалённого доступа, необходимо, чтобы каждый пользователь системы удалённого доступа придерживался простых советов при работе в Сети. Данные советы помогут пользователю избежать заражения его удалённого компьютера и снизить риск утечки учётных данных, не давая злоумышленникам возможность получить доступ к внутренней сети Колледжа.



ЗАКЛЮЧЕНИЕ

Появление системы удалённого доступа в Колледже - это большой шаг в развитии мобильности обучения студентов. После завершения работы над дипломным проектом и введения его в эксплуатацию, у пользователей системы удалённого доступа появилась возможность доступа к внутренним ресурсам Колледжа. У сотрудников Колледжа теперь есть возможность удалённого подключения к своим рабочим местам. Системные администраторы имеют возможность удалённого доступа к оборудованию, находящемуся во внутренней сети отделения.

В моей дипломной работе ставилась следующая цель - Создание необходимых условий для удалённого совершенствования практических навыков по работе с программно-аппаратными средствами обеспечения информационной безопасности в аудитории при реализации Федерального государственного образовательного стандарта среднего профессионального образования по специальности «Информационная безопасность автоматизированных систем» в Колледже предпринимательства №11. Для этой цели перед работой был поставлен ряд задач, которые необходимо было выполнить для устранения проблемы, которая преграждала достижение цели. В работе были приведены результаты обследования объекта. На основе изученных правовых и нормативных документов были разработаны требования к системе удалённого доступа и спецификации программно-аппаратных средств, которые были помещены в приложения, как и схемы сети. Далее были созданы проектные решения, которые уже перешли в практическую реализацию, затем было произведено формирование тестовых примеров и создана инструкция для администратора системы удалённого доступа и её конечных пользователей. По окончанию работы, были проведены контрольные испытания, и система удалённого доступа была введена в промышленную эксплуатацию. Таким образом, поставленные задачи были решены и, следовательно, цель была достигнута.

Стоит отметить, что изначально система удалённого доступа проектировалась и внедрялась для студентов. Но со временем практическое применение стало расширяться: у сотрудников Колледжа появилась потребность в удалённом доступе к своим рабочем местам и им была предоставлена такая возможность. Со временем стало понятно, что удалённый доступ - это удобное средство удалённого администрирования оборудования Колледжа и системные администраторы получили возможность удалённого доступа в этих целях. Также по определённым причинам потребовался удалённый доступ и к другим отделениям Колледжа, после чего возможность удалённого доступа стала доступна и для них. Поэтому хочется сказать, что появление возможности удалённого доступа - это большой задел на будущее, количество пользователей будет увеличиваться, а соответственно, актуальность моей дипломной работы - повышаться.

Не исключено, что в будущем можно будет усилить шифрование, сделав запрос в Федеральную Службу Безопасности на разрешение использования шифрования 3DES. Помимо этого, можно будет усилить безопасность авторизации путём замены общего пароля на сертификаты.



СПИСОК ЛИТЕРАТУРЫ

1. Чекмарев. А.Н. «Windows 2008. Настольная книга администратора». СПб.: БХВ-Петербург, 2009. - 512с.

2. Харрис Ш. «CISSP All-in-One Exam Guide, 5th Edition». McGraw-Hill, 2009г. - 1216с.



ПРИЛОЖЕНИЯ

Приложение 1

Общее описание системы

1 НАЗНАЧЕНИЕ СИСТЕМЫ

1.1 Вид деятельности, для автоматизации которой предназначена система

Реализация образовательных программ подготовки специалистов по специальности 090305 «Информационная безопасность автоматизированных систем» (ИБ АС) на базе основного общего образования, с присвоением квалификации «Техник по защите информации», сроком обучения - 3 года 10 месяцев.

1.2 Перечень объектов автоматизации, на которых используется система

Лаборатория средств обеспечения информационной безопасности Колледжа предпринимательства № 11.

1.3 Перечень функций, реализуемых системой

· предоставление удалённого доступа к сети Колледжа по защищённому соединению

2 ОПИСАНИЕ СИСТЕМЫ

2.1 Структура системы

Структура системы обеспечивает реализацию перечня функций указанных в п. 1.3 настоящего описания и представляет собой комплекс, состоящий из удалённых рабочих мест и межсетевого экрана Cisco ASA 5510, через который пользователи подключаются к сети Колледжа и в котором отображаются все текущие VPN-соединения.

При подключении по технологии Remote-Access VPN к сети Колледжа на удалённом рабочем месте пользователя, утверждена и принята следующая технология работы:

1. Загрузка программы ShrewSoft VPN client на компьютер пользователя

2. Настройка параметров подключения

3. Осуществление подключения

Если программа ShrewSoft VPN client не была настроена (не указаны следующие параметры: IP-адрес межсетевого экрана, логин пользователя в домене колледжа и пароль) - то произвести подключение будет невозможно. Если параметры были указаны неверно - то процесс подключения к сети Колледжа не будет успешным.

При успешном подключении пользователю будет выдан IP-адрес из VPN-пула межсетевого экрана и открыт доступ к внутренней сети Колледжа.

2.2 Сведения об АС, необходимые для обеспечения эксплуатации системы

Состав аппаратной платформы СУД ЛСОИБ:

- межсетевой экран;

- сеть передачи данных;

- удалённое рабочее место пользователя (студента, преподавателя, системного администратора);

- устройства бесперебойного питания (для межсетевого экрана и сетевого оборудования, необходимого для успешного подключения пользователей к внутренней сети Колледжа).

Удалённое рабочее место пользователя состоит из компьютера и программы ShrewSoft VPN client не ниже версии 2.2.х.

Программное обеспечение СУД ЛСОИБ:

- программное обеспечение IOS версии 9.1.3 (на межсетевом экране);

- операционная система Windows Vista/7/8/ (на рабочем месте пользователя);

- программа ShrewSoft VPN client версии 2.2.x и выше (на удалённом рабочем месте пользователя);

2.3 Описание функционирования системы и частей системы

Функционирование СУД ЛСОИБ обеспечивает возможность удалённого доступа к сети Колледжа путём авторизации каждого пользователя в домене Колледжа, создания защищённого соединения между АРМ пользователя и межсетевым экраном с последующей выдачей IP-адреса из VPN-пула и открытия доступа к внутренней сети Колледжа.

В СУД ЛСОИБ реализована следующая защита доступа к серверному оборудованию: организационная (серверное и сетевое оборудование находится в комнате с закрытым доступом) и программная (доступ к настройкам межсетевого экрана возможен только по паролю).

3 ОПИСАНИЕ ВЗАИМОСВЯЗИ АС С ДРУГИМИ СИСТЕМАМИ

3.1 Перечень систем, с которыми связана данная АС

Системой, которая производит авторизацию пользователей в системе удалённого доступа, является контроллер домена Колледжа.

3.2 Описание связей между системами

После указания параметров подключения в программе ShrewSoft VPN client и начала процесса подключения происходит авторизация каждого пользователя в домене Колледжа, управляемым контроллером домена. При успешной авторизации создаётся защищённое соединение между АРМ пользователя и межсетевым экраном с последующей выдачей IP-адреса из VPN-пула и открытия доступа к внутренней сети Колледжа.

3.3 Описание регламента связи

Список учётных записей, которым разрешено подключение через СУД ЛСОИБ формируется в домене Колледжа.

Регламент позволяет идентифицировать всех пользователей, подключившихся через СУД ЛСОИБ.

Приложение 2

Описание автоматизируемых функций

1 ИСХОДНЫЕ ДАННЫЕ

1.1 Материалы и документы, используемые при разработке функциональной части АС

При разработке функциональной части АС использовались следующие документы:

· Техническое задание на разработку Cистемы удаленного доступа к оборудованию в лаборатории средств обеспечения информационной безопасности

· СанПиН 2.2.2/2.4.1340-03. Гигиенические требования к персональным электронно-вычислительным машинам и организации работы

· ГОСТ 12.1.004-91. «ССБТ. Пожарная безопасность. Общие требования»

· ГОСТ 12.2.003-91. «ССБТ. Оборудование производственное. Общие требования безопасности»

· ГОСТ Р 50571.22-2000. «Электроустановки зданий. Часть 7. Требования к специальным электроустановкам. Раздел 707. Заземление оборудования обработки информации».

· ГОСТ 21552-84. «Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортирование и хранение»

· ГОСТ 21958-76. «Система "Человек-машина". Зал и кабины операторов. Взаимное расположение рабочих мест. Общие эргономические требования».

· Федеральный государственный образовательный стандарт
среднего профессионального образования по специальности 090305 Информационная безопасность автоматизированных систем
(утв. приказом Министерства образования и науки РФ от 24 июня 2010 г. N 708)

1.2 Особенности объекта автоматизации

При разработке функциональной части СУД ЛСОИБ учитывались следующие особенности объекта автоматизации:

- вариативность развертывания СУД ЛСОИБ на объектах автоматизации;

- необходимость взаимодействия с доменом Колледжа;

1.3 Системы управления, взаимосвязанные с разрабатываемой АС

Контроллер домена Колледжа - авторизация пользователей, подключающихся через СУД ЛСОИБ.

1.4 Описание информационной модели объекта

Информационное обеспечение СУД ЛСОИБ включает в себя внутримашинное и внемашинное информационное обеспечение.

В состав внемашинного информационного обеспечения входят:

- система организации удалённого доступа и шифрования передаваемой информации;

В состав внутримашинного информационного обеспечения входят:

- программное обеспечение IOS версии 9.1.3

- файл конфигурации межсетевого экрана;

2 ЦЕЛИ АС И АВТОМАТИЗИРУЕМЫЕ ФУНКЦИИ

Система разрабатывается с целью создания необходимых условий для удалённого совершенствования практических навыков по работе с программно-аппаратными средствами обеспечения информационной безопасности в аудитории на домашних персональных компьютерах студентов.

Перечень автоматизированных функций:

- предоставление удалённого доступа к сети Колледжа по защищённому соединению

Для достижения цели необходимо проектирование и внедрение на пограничном межсетевом экране колледжа Cisco ASA 5510 системы удалённого доступа по технологии Remote Access VPN.

Ведение реестров студентов представляет собой набор следующих функций:

- Добавление учётных записей студентов в домен;

- Изменение записей о студентах в домене;

- Отображение информации о текущих VPN-подключениях в межсетевом экране;

3 ХАРАКТЕРИСТИКА ФУНКЦИОНАЛЬНОЙ СТРУКТУРЫ

3.1 Описание процесса выполнения функций

После указания параметров подключения в программе ShrewSoft VPN client и начала процесса подключения происходит авторизация каждого пользователя в домене Колледжа, управляемым контроллером домена. При успешной авторизации создаётся защищённое соединение между АРМ пользователя и межсетевым экраном с последующей выдачей IP-адреса из VPN-пула и открытия доступа к внутренней сети Колледжа.

3.2 Пояснения к разделению автоматизированных функций

Операции, выполняемые пользователем:

- указание параметров подключения в программе ShrewSoft VPN client

- совершение запуска процесса подключения

Операции, выполняемые контроллером домена:

- авторизация каждого пользователя в домене

Операции, выполняемые межсетевым экраном:

- создание защищённого соединения между АРМ пользователя и межсетевым экраном

- выдача IP-адреса из VPN-пула

- открытие доступа к внутренней сети Колледжа

3.3 Требования к временному регламенту и характеристикам процесса реализации автоматизированных функций

3.3.1 Показатели назначения

3.3.1.1 Требования к сохранению работоспособности системы в различных вероятных условиях

В зависимости от различных вероятных условий система должна выполнять требования, приведенные в таблице.

Вероятное условие	Требование
Нарушения в работе системы внешнего электроснабжения серверного и сетевого оборудования продолжительностью до 15 мин.	Функционирование в полном объеме.

3.3.2 Требования к надежности

3.3.2.1 Состав показателей надежности для системы в целом

Уровень надежности должен достигаться согласованным применением организационных, организационно-технических мероприятий и программно-аппаратных средств.

Надежность должна обеспечиваться за счет:

1) применения технических средств, системного и базового программного обеспечения, соответствующих классу решаемых задач;

2) своевременного выполнения процессов администрирования СУД ЛСОИБ.

3) соблюдения правил эксплуатации и технического обслуживания программно-аппаратных средств;

4) предварительного обучения пользователей и обслуживающего персонала.

5) резервного копирования конфигурационного файла Cisco ASA 5510

Время устранения отказа должно быть следующим:

1) при перерыве и выходе за установленные пределы параметров электропитания - не более 30 минут.

2) при выходе из строя СУД ЛСОИБ - не более 2 часов.

Система должна соответствовать следующим параметрам:

1) среднее время восстановления Q часов - определяется как сумма всех времен восстановления за заданный календарный период, поделенные на продолжительность этого периода;

2) коэффициент готовности W - определяется как результат отношения средней наработки на отказ к сумме средней наработки на отказ и среднего времени восстановления;

3) время наработки на отказ E часов - определяется как результат отношения суммарной наработки Системы к среднему числу отказов за время наработки.

Средняя наработка на отказ СУД ЛСОИБ не должна быть меньше G часов.

3.3.2.2 Перечень аварийных ситуаций, по которым регламентируются требования к надежности.

Под аварийной ситуацией понимается аварийное завершение работы СУД ЛСОИБ, а также «зависание» процесса работы.

При работе системы возможны следующие аварийные ситуации, которые влияют на надежность работы системы:

1) сбой в электроснабжении СУД ЛСОИБ;

2) сбой в электроснабжении обеспечения локальной сети (поломка сети);

3) ошибки СУД ЛСОИБ, не выявленные при отладке и испытании системы;

4) сбои программного обеспечения СУД ЛСОИБ.

3.3.2.3 Требования к надежности технических средств и программного обеспечения

К надежности оборудования предъявляются следующие требования:

1) в качестве аппаратных платформ должны использоваться средства с повышенной надежностью;

2) применение технических средств соответствующих классу решаемых задач;

3) аппаратно-программный комплекс СУД ЛСОИБ должен иметь возможность восстановления в случаях сбоев.

К надежности электроснабжения предъявляются следующие требования:

1) с целью повышения отказоустойчивости системы в целом необходима обязательная комплектация серверной стойки источником бесперебойного питания с возможностью автономной работы системы не менее 15 минут;

2) должно быть обеспечено бесперебойное питание активного сетевого оборудования.

Надежность аппаратных и программных средств должна обеспечиваться за счет следующих организационных мероприятий:

1) предварительного обучения пользователей и обслуживающего персонала;

2) своевременного выполнения процессов администрирования;

3) соблюдения правил эксплуатации и технического обслуживания программно-аппаратных средств;

4) своевременного выполнения процедур резервного копирования конфигурационного файла Cisco ASA 5510.

Надежность программного обеспечения СУД ЛСОИБ должна обеспечиваться за счет:

1) надежности ПО, разрабатываемого Разработчиком;

2) проведением комплекса мероприятий отладки, поиска и исключения ошибок.

3.3.2.4 Требования к методам оценки и контроля показателей надежности на разных стадиях создания системы в соответствии с действующими нормативно-техническими документами.

Проверка выполнения требований по надежности должна производиться на этапе проектирования расчетным путем, а на этапах испытаний и эксплуатации - по методике Разработчика, согласованной с Заказчиком.

3.3.3 Требования по сохранности информации при авариях

В Системе должно быть обеспечено резервное копирование конфигурационного файла Cisco ASA 5510.

4 ТИПОВЫЕ РЕШЕНИЯ

В процессе разработки системы были использованы следующие типовые решения:

- Использование «ГОСТ 34.601-90 Автоматизированные системы. Стадии создания» при разработке СУД ЛСОИБ;

- Применение технологии защиты соединения между АРМ пользователя и межсетевым экраном;

- Построение пользовательского интерфейса в соответствии с рекомендациями Cisco и Microsoft.

Приложение 3

Схема автоматизации

1 ФИЗИЧЕСКАЯ СХЕМА АВТОМАТИЗАЦИИ

2 ЛОГИЧЕСКАЯ СХЕМА АВТОМАТИЗАЦИИ



Приложение 4

Пояснительная записка к техническому проекту

1 ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Наименование проектируемой Системы

Полное наименование системы: Cистема удаленного доступа к оборудованию в лаборатории средств обеспечения информационной безопасности.

Краткое наименование системы: СУД ЛСОИБ.

Проектирование СУД ЛСОИБ осуществляется на основании Договора №1 от 27.09.14.

1.2 Организации, участвующие в разработке

Заказчиком Cистемы удаленного доступа к оборудованию в лаборатории средств обеспечения информационной безопасности (далее СУД ЛСОИБ) является Государственное автономное образовательное учреждение среднего профессионального образования города Москвы «Колледж предпринимательства № 11» (далее - ГАОУ СПО «Колледж предпринимательства № 11»), юридический адрес: 125438, Москва, Онежская улица, д. 3; контактный телефон: 8 (499) 153-17-92.

Разработчиком (исполнителем) СУД ЛСОИБ является студент ГАОУ СПО «Колледж предпринимательства № 11») Овсянников Кирилл Евгеньевич; контактный телефон: 8 (903) 735-35-53.

1.3 Цели разработки Системы

Система разрабатывается с целью создания необходимых условий для удалённого совершенствования практических навыков по работе с программно-аппаратными средствами обеспечения информационной безопасности в аудитории на домашних персональных компьютерах студентов.

Для достижения цели необходимо проектирование и внедрение на пограничном межсетевом экране колледжа Cisco ASA 5510 системы удалённого доступа по технологии Remote Access VPN.

1.4 Назначение и области использования Системы

СУД ЛСОИБ предназначена для удалённого совершенствования практических навыков по работе с программно-аппаратными средствами обеспечения информационной безопасности в аудитории на домашних персональных компьютерах студентов.

Область использования Системы - лаборатория средств обеспечения информационной безопасности.

1.5 Соответствие Системы нормам и правилам техники безопасности

Все технические решения, использованные при создании Системы, соответствуют действующим нормам и правилам техники безопасности, пожарной безопасности и взрывобезопасности, а также охраны окружающей среды при эксплуатации. Специальные требования не предъявляются.

1.6 Сведения об использованных при разработке нормативно-технических документов

При проектировании системы использованы следующие нормативно-технические документы:

- Договор №1 от 27.09.14 г.

- ГОСТ 34.602-89. Техническое задание на создание автоматизированной системы.

- ГОСТ 2.105-95. Общие требования к текстовым документам.

- ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем

- ГОСТ 12.1.004-91. «ССБТ. Пожарная безопасность. Общие требования»

- ГОСТ 12.2.003-91. «ССБТ. Оборудование производственное. Общие требования безопасности»

- ГОСТ Р 50571.22-2000. «Электроустановки зданий. Часть 7. Требования к специальным электроустановкам. Раздел 707. Заземление оборудования обработки информации».

- ГОСТ 21552-84. «Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортирование и хранение»

- ГОСТ 21958-76. «Система "Человек-машина". Зал и кабины операторов. Взаимное расположение рабочих мест. Общие эргономические требования».

- ГОСТ 34. «Информационная технология. Комплекс стандартов на автоматизированные системы»;

- ГОСТ 50922-96 Защита информации. Основные термины и определения;

- ГОСТ 51583-2000 Порядок создания АС в защищенном исполнении;

- РД 50-34.698-90. «Методические указания. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов»;

- СанПиН 2.2.2/2.4.1340-03. Гигиенические требования к персональным электронно-вычислительным машинам и организации работы

- Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем. 1992 г.;

- Федеральный государственный образовательный стандарт среднего профессионального образования по специальности 090305 Информационная безопасность автоматизированных систем (утв. приказом Министерства образования и науки РФ от 24 июня 2010 г. N 708)

- Инструкция для администратора системы удалённого доступа и конечных пользователей системы удалённого доступа

1.7 Сведения о НИР используемых при разработке Системы

При разработке проекта никакие НИР не использовались.

1.8 Очередность создания Системы

СУД ЛСОИБ разрабатывается в три этапа.

Сроки: начала работы: 06.10.2014 г., окончания работы: 01.04.2015 г.

Первый этап: "Обследование объекта, изучение правовых и нормативных документов, разработка требований, спецификации программно-аппаратных средств и схемы к системе удалённого доступа". Срок: 06.10.2014 - 19.11.2014.

Второй этап: "Создание проектных решений, практическая реализация (развёртывание), формирование тестовых примеров и создание инструкции для администратора системы удалённого доступа и конечных пользователей системы удалённого доступа". Срок: 20.11.2014 - 07.02.2015.

Третий этап: "Проведение контрольных испытаний и ввод в промышленную эксплуатацию системы удалённого доступа". Срок: 09.02.2015 - 28.02.2015.

2 ОПИСАНИЕ ПРОЦЕССА ДЕЯТЕЛЬНОСТИ

После указания параметров подключения в программе ShrewSoft VPN client и начала процесса подключения происходит авторизация каждого пользователя в домене Колледжа, управляемым контроллером домена. При успешной авторизации создаётся защищённое соединение между АРМ пользователя и межсетевым экраном с последующей выдачей IP-адреса из VPN-пула и открытия доступа к внутренней сети Колледжа.

Физическая схема сети:



Логическая схема сети:

3 ОСНОВНЫЕ ТЕХНИЧЕСКИЕ РЕШЕНИЯ

3.1 Средства и способы взаимодействия для информационного обмена между компонентами Системы

Операции, выполняемые пользователем:

- указание параметров подключения в программе ShrewSoft VPN client совершение запуска процесса подключения

Операции, выполняемые контроллером домена:

- авторизация каждого пользователя в домене

Операции, выполняемые межсетевым экраном:

- создание защищённого соединения между АРМ пользователя и межсетевым экраном

- выдача IP-адреса из VPN-пула

- открытие доступа к внутренней сети Колледжа

3.2 Решения по режимам функционирования Системы

Система должна поддерживать следующие режимы функционирования:

1) Основной режим, в котором подсистемы СУД ЛСОИБ выполняют все свои основные функции.

2) Профилактический режим, в котором одна или все подсистемы СУД ЛСОИБ не выполняют своих функций.

В основном режиме функционирования СУД ЛСОИБ должна обеспечивать:

1) работу пользователей в режиме - 24 часов в день, 7 дней в неделю (24х7);

2) выполнение своей функции - предоставление удалённого доступа;

В профилактическом режиме СУД ЛСОИБ должна обеспечивать возможность проведения следующих работ:

1) техническое обслуживание;

2) модернизацию аппаратно-программного комплекса;

3) устранение аварийных ситуаций;

4) обеспечение работоспособности оборудования.

Общее время проведения профилактических работ не должно превышать 10% от общего времени работы системы в основном режиме (72 часа в месяц).

3.3 Решения по численности, квалификации, функциям и режимам работы персонала

Компоненты системы должны устанавливаться квалифицированными администраторами системы, знающими структуру локальных вычислительных сетей.

Каждый пользователь СУД ЛСОИБ должен владеть навыками работы с функциями СУД ЛСОИБ, применяя его в удалённом освоении программно-аппаратных средств обеспечения информационной безопасности.

Преподаватель лаборатории средств обеспечения информационной безопасности должен уметь использовать СУД ЛСОИБ в целях объяснения студентам принципов его работы.

Системный администратор должен уметь использовать СУД ЛСОИБ в целях осуществления:

1) удалённого обслуживания электротехнического оборудования;

2) удалённой установки, настройки и администрирования локальной сети и средств вычислительной техники.

Режим работы персонала определяется установленным распорядком дня. виртуальный сеть удаленный доступ

Численность персонала должна быть достаточной для выполнения задач установки компонентов на средства вычислительной техники и инспекции в период учебного года.

3.4 Обеспечение заданных в техническом задании характеристик, определяющих качество Системы

3.4.1 Надежность

Уровень надежности должен достигаться согласованным применением организационных, организационно-технических мероприятий и программно-аппаратных средств.

Надежность должна обеспечиваться за счет:

1) применения технических средств, системного и базового программного обеспечения, соответствующих классу решаемых задач;

2) своевременного выполнения процессов администрирования СУД ЛСОИБ.

3) соблюдения правил эксплуатации и технического обслуживания программно-аппаратных средств;

4) предварительного обучения пользователей и обслуживающего персонала.

5) резервного копирования конфигурационного файла Cisco ASA 5510

Время устранения отказа должно быть следующим:

1) при перерыве и выходе за установленные пределы параметров электропитания - не более 30 минут.

2) при выходе из строя СУД ЛСОИБ - не более 2 часов.

Система должна соответствовать следующим параметрам:

1) среднее время восстановления Q часов - определяется как сумма всех времен восстановления за заданный календарный период, поделенные на продолжительность этого периода;

2) коэффициент готовности W - определяется как результат отношения средней наработки на отказ к сумме средней наработки на отказ и среднего времени восстановления;

3) время наработки на отказ E часов - определяется как результат отношения суммарной наработки Системы к среднему числу отказов за время наработки.

Средняя наработка на отказ СУД ЛСОИБ не должна быть меньше G часов. Под аварийной ситуацией понимается аварийное завершение работы СУД ЛСОИБ, а также «зависание» процесса работы.

При работе системы возможны следующие аварийные ситуации, которые влияют на надежность работы системы:

1) сбой в электроснабжении СУД ЛСОИБ;

2) сбой в электроснабжении обеспечения локальной сети (поломка сети);

3) ошибки СУД ЛСОИБ, не выявленные при отладке и испытании системы;

4) сбои программного обеспечения СУД ЛСОИБ.

К надежности оборудования предъявляются следующие требования:

1) в качестве аппаратных платформ должны использоваться средства с повышенной надежностью;

2) применение технических средств соответствующих классу решаемых задач;

3) аппаратно-программный комплекс СУД ЛСОИБ должен иметь возможность восстановления в случаях сбоев.

К надежности электроснабжения предъявляются следующие требования:

1) с целью повышения отказоустойчивости системы в целом необходима обязательная комплектация серверной стойки источником бесперебойного питания с возможностью автономной работы системы не менее 15 минут;

2) должно быть обеспечено бесперебойное питание активного сетевого оборудования.

Надежность аппаратных и программных средств должна обеспечиваться за счет следующих организационных мероприятий:

1) предварительного обучения пользователей и обслуживающего персонала;

2) своевременного выполнения процессов администрирования;

3) соблюдения правил эксплуатации и технического обслуживания программно-аппаратных средств;

4) своевременного выполнения процедур резервного копирования конфигурационного файла Cisco ASA 5510.

Надежность программного обеспечения СУД ЛСОИБ должна обеспечиваться за счет:

1) надежности ПО, разрабатываемого Разработчиком;

2) проведением комплекса мероприятий отладки, поиска и исключения ошибок.

Проверка выполнения требований по надежности должна производиться на этапе проектирования расчетным путем, а на этапах испытаний и эксплуатации - по методике Разработчика, согласованной с Заказчиком.

3.4.2 Безопасность

Целью обеспечения безопасности СУД ЛСОИБ является исключение или существенное затруднение получения злоумышленником защищаемой информации, проходящей через СУД ЛСОИБ.

Заказчик, собственник и владелец СУД ЛСОИБ, а также участники создания СУД ЛСОИБ несут ответственность за обеспечение защиты обрабатываемой информации в СУД ЛСОИБ и выполняемые работы по ЗИ на всех стадиях создания СУД ЛСОИБ, как это предусмотрено в законодательстве Российской Федерации.

За обеспечение создания СУД ЛСОИБ несут ответственность:

- заказчик - в части включения в ТЗ (ЧТЗ) на СУД ЛСОИБ и ее компонентов, а также в техническую, программную, конструкторскую и эксплуатационную документацию обоснованных требований по защите обрабатываемой информации и контроля их выполнения в процессе экспертизы документации, испытаний и приемки СУД ЛСОИБ в целом;

- разработчик - в части обеспечения соответствия разрабатываемой СУД ЛСОИБ и требованиям ТЗ (ЧТЗ) по защите обрабатываемой информации, действующим стандартам, нормам и другим НД;

- предприятие - изготовитель - в части осуществления технических мер по обеспечению соответствия изготавливаемых технических средств и программной продукции заданным требованиям по защите обрабатываемой информации, реализованным в конструкторской и программной документации.

При внедрении, эксплуатации и обслуживании технических средств системы должны выполняться меры электробезопасности в соответствии с «Правилами устройства электроустановок» и «Правилами техники безопасности при эксплуатации электроустановок потребителей».

Аппаратное обеспечение системы должно соответствовать требованиям пожарной безопасности в производственных помещениях по ГОСТ 12.1.004-91. «ССБТ. Пожарная безопасность. Общие требования».

Должно быть обеспечено соблюдение общих требований безопасности в соответствии с ГОСТ 12.2.003-91. «ССБТ. Оборудование производственное. Общие требования безопасности» при обслуживании системы в процессе эксплуатации.

Аппаратная часть системы должна быть заземлена в соответствии с требованиями ГОСТ Р 50571.22-2000. «Электроустановки зданий. Часть 7. Требования к специальным электроустановкам. Раздел 707. Заземление оборудования обработки информации».

...