Проектирование и внедрение системы удаленного доступа к оборудованию в лаборатории средств обеспечения информационной безопасности колледжа

Значения эквивалентного уровня акустического шума, создаваемого аппаратурой системы, должно соответствовать ГОСТ 21552-84 «Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортирование и хранение», но не превышать следующих величин:

- 50 дБ - при работе технологического оборудования и средств вычислительной техники без печатающего устройства;

- 60 дБ - при работе технологического оборудования и средств вычислительной техники с печатающим устройством.

3.5 Состав функций, комплексов задач, реализуемых системой

- Программа ShrewSoft VPN client - реализует функции создания процесса подключения к VPN и позволяет управлять настройками подключения.

- Контроллер домена - предоставляет возможность авторизации каждого пользователя в домене

3.6 Решения по комплексу технических средств и его размещение на объекте автоматизации

Программа ShrewSoft VPN client устанавливается на имеющиеся у пользователей домашние компьютеры, подключенные к Internet.

Специальные технические средства не требуются.

4 МЕРОПРИЯТИЯ ПО ПОДГОТОВКЕ ОБЪЕКТА АВТОМАТИЗАЦИИ К ВВОДУ СИСТЕМЫ В ДЕЙСТВИЕ

4.1 Мероприятия по приведению информации к виду, пригодному для обработки на ЭВМ

Мероприятия по приведению информации к виду, пригодному для обработки на ЭВМ не требуются, поскольку реализуемая система предназначена для создания защищённого соединения Remote-Access VPN между домашним компьютером пользователя и межсетевого экрана Колледжа. То есть данные, передаваемые через данное защищённое соединение, будут представлены в том формате, для передачи которого и предназначена Система.

4.2 Мероприятия по обучению и проверке квалификации персонала

Мероприятия по обучению и проверке квалификации персонала производит организация-Заказчик.

4.3 Мероприятия по созданию необходимых подразделений и рабочих мест

Специальные мероприятия по созданию подразделений и рабочих мест не требуются, поскольку система должна быть развернута на имеющихся рабочих местах.

4.4 Мероприятия по изменению объекта автоматизации

Специальные мероприятия по изменению объекта автоматизации не требуются, поскольку система создается исходя из существующей структуры объекта автоматизации.

4.5 Другие мероприятия, исходящие из специфических особенностей создаваемых АС

Дополнительные мероприятия не требуются.

5 ТЕРМИНЫ И СОКРАЩЕНИЯ

СУД ЛСОИБ - Cистема удаленного доступа к оборудованию в лаборатории средств обеспечения информационной безопасности.

Приложение 5

СПЕЦИФИКАЦИЯ

на программно-технические средства (включая средства защиты информации)

№	Наименование комплектующих	Количество (шт.)
1.	Межсетевой экран Cisco ASA 5510-k8	1
2.	Переходник USB->COM Gembird UAS111	1
3.	Кабель COM->Ethernet (RS232-RJ45)	1



Приложение 6

Техническое задание

1. Общие сведения

1.1. Наименование системы

1.1.1. Полное наименование системы: Cистема удаленного доступа к оборудованию в лаборатории средств обеспечения информационной безопасности.

1.1.2. Краткое наименование системы: СУД ЛСОИБ.

1.2. Шифр темы или шифр (номер) договора: Договор №1 от 27.09.14.

1.3. Наименование предприятий разработчика и заказчика системы и их реквизиты.

1.3.1. Заказчиком Cистемы удаленного доступа к оборудованию в лаборатории средств обеспечения информационной безопасности (далее СУД ЛСОИБ) является Государственное автономное образовательное учреждение среднего профессионального образования города Москвы «Колледж предпринимательства № 11» (далее - ГАОУ СПО «Колледж предпринимательства № 11»), юридический адрес: 125438, Москва, Онежская улица, д. 3; контактный телефон: 8 (499) 153-17-92.

1.3.2. Разработчиком (исполнителем) СУД ЛСОИБ является студент ГАОУ СПО «Колледж предпринимательства № 11») Овсянников Кирилл Евгеньевич; контактный телефон: 8 (903) 735-35-53.

1.4. Перечень документов, на основании которых создается система, кем и когда утверждены эти документы.

1.4.1. СУД ЛСОИБ разрабатывается на основании Договора №1 от 27.09.14г. между Государственным автономным образовательным учреждением среднего профессионального образования города Москвы «Колледж предпринимательства № 11» и студеном ГАОУ СПО «Колледж предпринимательства № 11») Овсянниковым Кириллом Евгеньевичем.

1.4.2. СУД ЛСОИБ разрабатывается в рамках Федерального государственного образовательного стандарта среднего профессионального образования по специальности «Информационная безопасность автоматизированных систем», утвержденного Приказом Министерства образования и науки РФ от 24 июня 2010 г. N 708.

1.5. Плановые сроки начала и окончания работы по созданию системы.

1.5.1. СУД ЛСОИБ разрабатывается в три этапа.

1.5.2. Сроки: начала работы: 06.10.2014 г., окончания работы: 01.04.2015 г.

1.5.3. Первый этап "Обследование объекта, изучение правовых и нормативных документов, разработка требований, спецификации программно-аппаратных средств и схемы к системе удалённого доступа". Срок: 06.10.2014 - 19.11.2014.

1.5.4. Второй этап "Создание проектных решений, практическая реализация (развёртывание), формирование тестовых примеров и создание инструкции для администратора системы удалённого доступа и конечных пользователей системы удалённого доступа". Срок: 20.11.2014 - 07.02.2015.

1.5.5. Третий этап "Проведение контрольных испытаний и ввод в промышленную эксплуатацию системы удалённого доступа". Срок: 09.02.2015 - 28.02.2015.

1.6. Порядок оформления и предъявления заказчику результатов работ по созданию системы.

1.6.1. Разрабатываемые документы при создании СУД ЛСОИБ должны отвечать требованиям, установленных РД 50-34.698-90.

1.6.2. Содержание каждого документа, разрабатываемого при проектировании СУД ЛСОИБ согласно ГОСТ 34.201, определяет разработчик.

1.6.3. На этапе "Обследование объекта, изучение правовых и нормативных документов, разработка требований, спецификации программно-аппаратных средств и схемы к системе удалённого доступа" разрабатывается и утверждается Заказчиком Перечень эксплуатационных документов на СУД ЛСОИБ и ее составные части.

2. Назначение и цели создания системы

2.1. Назначение системы.

2.1.1. СУД ЛСОИБ предназначена для удалённого практического освоения программно-аппаратных средств обеспечения информационной безопасности отделения УиИТ на домашних персональных компьютерах студентов.

2.2. Цели создания системы.

2.2.1. Система разрабатывается с целью создания необходимых условий для удалённого совершенствования практических навыков по работе с программно-аппаратными средствами обеспечения информационной безопасности отделения УиИТ на домашних персональных компьютерах студентов.

2.2.2. Для достижения цели необходимо проектирование и внедрение системы удалённого доступа на пограничном межсетевом экране Cisco ASA 5510 отделения УиИТ.

3. Характеристика объектов автоматизации

3.1. Краткие сведения об объектах автоматизации.

3.1.1. СУД ЛСОИБ должна предоставлять удалённо через сеть Интернет по защищенным каналам с применением технологии VPN доступ к программно-аппаратным средствам обеспечения информационной безопасности на домашних персональных компьютерах студентов(до 250 компьютеров одновременно).

3.2. Сведения об условиях эксплуатации объекта автоматизации и характеристиках окружающей среды.

Оборудование средств вычислительной техники находится в условиях, приведенных в таблице 1. Данные характеристики окружающей среды соответствуют «Гигиеническим требованиям к персональным электронно-вычислительным машинам и организации работы. СанПиН 2.2.2/2.4.1340-03» (Утверждены Постановлением Министерства здравоохранения России от 03.06.2003 № 118).

Таблица 1. Условия эксплуатации средств вычислительной техники

	Влияющая величина	Значение
	Температура окружающего воздуха, ° С	0 ± 15
	Относительная влажность, %	От 55 до 62 без конденсации влаги
	Атмосферное давление, кПа	От 84 до 106
	Частота питающей электросети, Гц	50 ± 0,7
	Напряжение питающей сети переменного тока, В	От 165 до 270

4. Требования к системе.

4.1. Требования к системе в целом.

Система должна поддерживать следующие режимы функционирования:

1) Основной режим, в котором подсистемы СУД ЛСОИБ выполняют все свои основные функции.

2) Профилактический режим, в котором одна или все подсистемы СУД ЛСОИБ не выполняют своих функций.

В основном режиме функционирования СУД ЛСОИБ должна обеспечивать:

1) работу пользователей в режиме - 24 часов в день, 7 дней в неделю (24х7);

2) выполнение своей функции - предоставление удалённого доступа;

В профилактическом режиме СУД ЛСОИБ должна обеспечивать возможность проведения следующих работ:

1) техническое обслуживание;

2) модернизацию аппаратно-программного комплекса;

3) устранение аварийных ситуаций;

4) обеспечение работоспособности оборудования.

Общее время проведения профилактических работ не должно превышать 10% от общего времени работы системы в основном режиме (72 часа в месяц).

4.1.1. Требования к численности и квалификации персонала системы и режиму его работы.

4.1.1.1. Компоненты системы должны устанавливаться квалифицированными администраторами системы, знающими структуру локальных вычислительных сетей.

Каждый пользователь СУД ЛСОИБ должен обладать навыками работы с функциями СУД ЛСОИБ, применяя его либо в удалённом совершенствовании практических навыков по работе с программно-аппаратными средствами обеспечения информационной безопасности, либо для подключения к своему рабочему месту. Преподаватель лаборатории средств обеспечения информационной безопасности должен уметь использовать СУД ЛСОИБ в целях объяснения студентам принципов его работы.

Системный администратор должен уметь использовать СУД ЛСОИБ в целях осуществления:

1) удалённого обслуживания электротехнического оборудования;

2) удалённой установки, настройки и администрирования локальной сети и средств вычислительной техники.

4.1.2.2. Режим работы персонала определяется установленным распорядком дня.

4.1.2.3. Численность персонала должна быть достаточной для выполнения задач установки компонентов на средства вычислительной техники и инспекции в период учебного года.

4.1.2. Показатели назначения

4.1.2.1. Требования к сохранению работоспособности системы в различных вероятных условиях

В зависимости от различных вероятных условий система должна выполнять требования, приведенные в таблице.

Вероятное условие	Требование
Нарушения в работе системы внешнего электроснабжения серверного и сетевого оборудования продолжительностью до 15 мин.	Функционирование в полном объеме.

4.1.3. Требования к надежности

4.1.3.1. Состав показателей надежности для системы в целом

Уровень надежности должен достигаться согласованным применением организационных, организационно-технических мероприятий и программно-аппаратных средств.

Надежность должна обеспечиваться за счет:

6) применения технических средств, системного и базового программного обеспечения, соответствующих классу решаемых задач;

7) своевременного выполнения процессов администрирования СУД ЛСОИБ.

8) соблюдения правил эксплуатации и технического обслуживания программно-аппаратных средств;

9) предварительного обучения пользователей и обслуживающего персонала.

10) резервного копирования конфигурационного файла Cisco ASA 5510

Время устранения отказа должно быть следующим:

3) при перерыве и выходе за установленные пределы параметров электропитания - не более 30 минут.

4) при выходе из строя СУД ЛСОИБ - не более 2 часов.

Система должна соответствовать следующим параметрам:

4) среднее время восстановления Q часов - определяется как сумма всех времен восстановления за заданный календарный период, поделенные на продолжительность этого периода;

5) коэффициент готовности W - определяется как результат отношения средней наработки на отказ к сумме средней наработки на отказ и среднего времени восстановления;

6) время наработки на отказ E часов - определяется как результат отношения суммарной наработки Системы к среднему числу отказов за время наработки.

Средняя наработка на отказ СУД ЛСОИБ не должна быть меньше G часов.

4.1.3.2. Перечень аварийных ситуаций, по которым регламентируются требования к надежности.

Под аварийной ситуацией понимается аварийное завершение работы СУД ЛСОИБ, а также «зависание» процесса работы. При работе системы возможны следующие аварийные ситуации, которые влияют на надежность работы системы:

5) сбой в электроснабжении СУД ЛСОИБ;

6) сбой в электроснабжении обеспечения локальной сети (поломка сети);

7) ошибки СУД ЛСОИБ, не выявленные при отладке и испытании системы;

8) сбои программного обеспечения СУД ЛСОИБ.

4.1.3.3. Требования к надежности технических средств и программного обеспечения

К надежности оборудования предъявляются следующие требования:

4) в качестве аппаратных платформ должны использоваться средства с повышенной надежностью;

5) применение технических средств соответствующих классу решаемых задач;

6) аппаратно-программный комплекс СУД ЛСОИБ должен иметь возможность восстановления в случаях сбоев.

К надежности электроснабжения предъявляются следующие требования:

3) с целью повышения отказоустойчивости системы в целом необходима обязательная комплектация серверной стойки источником бесперебойного питания с возможностью автономной работы системы не менее 15 минут;

4) должно быть обеспечено бесперебойное питание активного сетевого оборудования.

Надежность аппаратных и программных средств должна обеспечиваться за счет следующих организационных мероприятий:

5) предварительного обучения пользователей и обслуживающего персонала;

6) своевременного выполнения процессов администрирования;

7) соблюдения правил эксплуатации и технического обслуживания программно-аппаратных средств;

8) своевременного выполнения процедур резервного копирования конфигурационного файла Cisco ASA 5510.

Надежность программного обеспечения СУД ЛСОИБ должна обеспечиваться за счет:

3) надежности ПО, разрабатываемого Разработчиком;

4) проведением комплекса мероприятий отладки, поиска и исключения ошибок.

4.1.3.4. Требования к методам оценки и контроля показателей надежности на разных стадиях создания системы в соответствии с действующими нормативно-техническими документами.

Проверка выполнения требований по надежности должна производиться на этапе проектирования расчетным путем, а на этапах испытаний и эксплуатации - по методике Разработчика, согласованной с Заказчиком.

4.1.4. Требования безопасности

Целью обеспечения безопасности СУД ЛСОИБ является исключение или существенное затруднение получения злоумышленником защищаемой информации, проходящей через СУД ЛСОИБ.

Заказчик, собственник и владелец СУД ЛСОИБ, а также участники создания СУД ЛСОИБ несут ответственность за обеспечение защиты обрабатываемой информации в СУД ЛСОИБ и выполняемые работы по ЗИ на всех стадиях создания СУД ЛСОИБ, как это предусмотрено в законодательстве Российской Федерации.

За обеспечение создания СУД ЛСОИБ несут ответственность:

- заказчик - в части включения в ТЗ (ЧТЗ) на СУД ЛСОИБ и ее компонентов, а также в техническую, программную, конструкторскую и эксплуатационную документацию обоснованных требований по защите обрабатываемой информации и контроля их выполнения в процессе экспертизы документации, испытаний и приемки СУД ЛСОИБ в целом;

- разработчик - в части обеспечения соответствия разрабатываемой СУД ЛСОИБ и требованиям ТЗ (ЧТЗ) по защите обрабатываемой информации, действующим стандартам, нормам и другим НД;

- предприятие - изготовитель - в части осуществления технических мер по обеспечению соответствия изготавливаемых технических средств и программной продукции заданным требованиям по защите обрабатываемой информации, реализованным в конструкторской и программной документации.

При внедрении, эксплуатации и обслуживании технических средств системы должны выполняться меры электробезопасности в соответствии с «Правилами устройства электроустановок» и «Правилами техники безопасности при эксплуатации электроустановок потребителей».

Аппаратное обеспечение системы должно соответствовать требованиям пожарной безопасности в производственных помещениях по ГОСТ 12.1.004-91. «ССБТ. Пожарная безопасность. Общие требования».

Должно быть обеспечено соблюдение общих требований безопасности в соответствии с ГОСТ 12.2.003-91. «ССБТ. Оборудование производственное. Общие требования безопасности» при обслуживании системы в процессе эксплуатации.

Аппаратная часть системы должна быть заземлена в соответствии с требованиями ГОСТ Р 50571.22-2000. «Электроустановки зданий. Часть 7. Требования к специальным электроустановкам. Раздел 707. Заземление оборудования обработки информации».

Значения эквивалентного уровня акустического шума, создаваемого аппаратурой системы, должно соответствовать ГОСТ 21552-84 «Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортирование и хранение», но не превышать следующих величин:

- 50 дБ - при работе технологического оборудования и средств вычислительной техники без печатающего устройства;

- 60 дБ - при работе технологического оборудования и средств вычислительной техники с печатающим устройством.

4.1.5. Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов системы

Условия эксплуатации, а также виды и периодичность обслуживания технических средств СУД ЛСОИБ должны соответствовать требованиям по эксплуатации, техническому обслуживанию, ремонту и хранению, изложенным в документации завода-изготовителя (производителя) на них.

Технические средства СУД ЛСОИБ и персонал должны размещаться в существующих помещениях Заказчика, которые по климатическим условиям должны соответствовать ГОСТ 15150-69 «Машины, приборы и другие технические изделия. Исполнения для различных климатических районов. Категории, условия эксплуатации, хранения и транспортирования в части воздействия климатических факторов внешней среды» (температура окружающего воздуха от 5 до 40 °С, относительная влажность от 40 до 80 % при Т=25 °С, атмосферное давление от 630 до 800 мм ртутного столба). Размещение технических средств и организация автоматизированных рабочих мест должны быть выполнены в соответствии с требованиями ГОСТ 21958-76 «Система "Человек-машина". Зал и кабины операторов. Взаимное расположение рабочих мест. Общие эргономические требования».

Для электропитания технических средств должна быть предусмотрена трехфазная четырехпроводная сеть с глухо заземленной нейтралью 380/220 В (+10-15)% частотой 50 Гц (+1-1) Гц. Каждое техническое средство запитывается однофазным напряжением 220 В частотой 50 Гц через сетевые розетки с заземляющим контактом.

Для обеспечения выполнения требований по надежности должен быть создан комплект запасных изделий и приборов (ЗИП).

Состав, место и условия хранения ЗИП определяются на этапе технического проектирования.

4.1.6. Требования к защите информации от несанкционированного доступа

4.1.6.1 Требования к информационной безопасности

Обеспечение информационное безопасности СУД ЛСОИБ должно удовлетворять следующим требованиям:

- Защита Системы должна обеспечиваться комплексом программно-технических средств и поддерживающих их организационных мер.

- Защита Системы должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

- Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики Системы (надежность, быстродействие, возможность изменения конфигурации).

4.1.7. Требования по сохранности информации при авариях

В Системе должно быть обеспечено резервное копирование конфигурационного файла Cisco ASA 5510.

4.1.8. Требования к защите от влияния внешних воздействий

Применительно к программно-аппаратному окружению СУД ЛСОИБ предъявляются следующие требования к защите от влияния внешних воздействий.

Требования по стойкости, устойчивости и прочности к внешним воздействиям:

- Система должна иметь возможность функционирования при колебаниях напряжения электропитания в пределах от 165 до 270 В (220 ± 20 % - 30 %);

- Система должна иметь возможность функционирования в диапазоне допустимых температур окружающей среды, установленных изготовителем аппаратных средств.

- Система должна иметь возможность функционирования в диапазоне допустимых значений влажности окружающей среды, установленных изготовителем аппаратных средств.

- Система должна иметь возможность функционирования в диапазоне допустимых значений вибраций, установленных изготовителем аппаратных средств.

4.1.9. Требования к патентной чистоте

По всем техническим и программным средствам, применяемым в системе, должны соблюдаться условия лицензионных соглашений и обеспечиваться патентная чистота.

Патентная чистота - это юридическое свойство объекта, заключающиеся в том, что он может быть свободно использован в данной стране без опасности нарушения действующих на ее территории патентов исключительного права, принадлежащего третьим лицам (права промышленной собственности).

4.1.10. Требования по стандартизации и унификации К АРМ пользователя

- сетевой контроллер должен соответствовать стандарту скорости передачи информации 1 Гбит\сек;

К межсетевому экрану:

- сетевые интерфейсы должны соответствовать стандарту скорости передачи информации 1 Гбит\сек по "витой паре";

К дополнительному сетевому оборудованию:

1) Оптический модем-роутер:

- обеспечивающий стандарт скорости доступа в сеть Интернет не менее 1Гбит/сек;

К кабельной сети:

- кабель "витая пара" должен соответствовать стандарту разъема RJ-45.

К источнику бесперебойного питания:

- должен обеспечить бесперебойное питание сервера и сетевого оборудования в течении 15 минут после отключения электроэнергии от электросети стандарта 220В.

4.1.11. Дополнительные требования.

СУД ЛСОИБ должна разрабатываться и эксплуатироваться на уже имеющемся у Заказчика аппаратно-техническом комплексе.

Необходимо создать отдельные самостоятельные зоны разработки и тестирования СУД ЛСОИБ.

Для зоны разработки и тестирования должны использоваться те же программные средства, что и для зоны промышленной эксплуатации

4.2. Требования к функциям, выполняемым системой

Основная функция:

- предоставление удалённого доступа к сети Колледжа.

4.3. Требования к видам обеспечения

4.3.1. Требования к математическому обеспечению

Не предъявляются.

4.3.2. Требования к информационному обеспечению

4.3.2.1. Требования к структуре процесса сбора, обработки, передачи данных в системе и представлению данных

Процесс сбора, обработки и передачи данных в системе определяется регламентом процессов сбора, преобразования и загрузки данных.

4.3.2.2. Требования к защите данных от разрушений при авариях и сбоях в электропитании системы Система должна иметь бесперебойное электропитание, обеспечивающее её нормальное функционирование в течение 15 минут в случае отсутствия внешнего энергоснабжения, и 5 минут дополнительно для корректного завершения работы.

4.3.3. Требования к лингвистическому обеспечению

Для организации диалога системы с пользователем должен применяться графический оконный пользовательский интерфейс.

4.3.4. Требования к программному обеспечению

Для АРМ пользователя:

- наличие операционной системы не ниже Windows XP;

Для межсетевого экрана:

- операционная система IOS не ниже 9 версии.

4.3.5. Требования к техническому обеспечению

АРМ пользователя:

- сетевой контроллер, обеспечивающий скорость передачи информации 1 Гбит\сек;

Для межсетевого экрана:

- наличие одного процессора не хуже Intel Pentium 4 Celeron 1599 MHz;

- общий объем оперативной памяти не менее 1Гб;

- наличие не менее 4-х сетевых интерфейсов, обеспечивающих скорость передачи информации 1 Гбит\сек по "витой паре";

- наличие резервного интернет-соединения

Для сетевого оборудования:

1) Оптический модем-роутер:

- обеспечивающий скорость доступа в сеть Интернет не менее 1Гбит/сек;

Для кабельной сети:

- кабель "витая пара" 5 категории типа FTP с разъемами RJ-45.

Для источника бесперебойного питания:

- должен обеспечить бесперебойное питание сетевого оборудования в течении 15 минут после отключения электроэнергии от электросети 220В.

4.3.6. Требования к метрологическому обеспечению

Не предъявляются.

4.3.7. Требования к организационному обеспечению

Основными пользователями СУД ЛСОИБ являются студенты Колледжа Предпринимательства №11.

Обеспечивает техническое обслуживание СУД ЛСОИБ системный администратор учебного заведения Заказчика.

Состав сотрудников, обеспечивающих техническое обслуживание, определяется штатным расписанием Заказчика, которое, в случае необходимости, может изменяться.

Критерии отбора на должность:

- возраст от 18 лет

- наличие среднего специального профессионального или высшего образования

К организации функционирования СУД ЛСОИБ и порядку взаимодействия персонала, обеспечивающего эксплуатацию, и пользователей предъявляются следующие требования:

- системный администратор, обеспечивающий техническое обслуживание, должен заранее (не менее чем за 3 дня) информировать всех пользователей (с указанием точного времени и продолжительности) о переходе её в профилактический режим.

К защите от ошибочных действий персонала предъявляются следующие требования:

- должна быть предусмотрена система подтверждения легитимности пользователя при просмотре данных;

- для снижения ошибочных действий пользователей должно быть разработано полное и доступное руководство пользователя.

5. Состав и содержание работ по созданию системы

Работы по созданию СУД ЛСОИБ выполняются в три этапа:

Обследование объекта, изучение правовых и нормативных документов, разработка требований, спецификации программно-аппаратных средств и схемы к системе удалённого доступа (продолжительность - 1 месяц).

Создание проектных решений, практическая реализация (развёртывание), формирование тестовых примеров и создание инструкции для администратора системы удалённого доступа и конечных пользователей системы удалённого доступа (продолжительность - 3 месяца). Проведение контрольных испытаний и ввод в промышленную эксплуатацию системы удалённого доступа (продолжительность - 1 месяц). Конкретные сроки выполнения стадий и этапов разработки и создания СУД ЛСОИБ определяются Планом выполнения работ, являющимся неотъемлемой частью Договора на выполнение работ по настоящему Частному техническому заданию. Перечень организаций - исполнителей работ, определение ответственных за проведение этих работ организаций определяются Договором.

6. Порядок контроля и приёмки системы

6.1. Виды и объем испытаний системы

СУД ЛСОИБ подвергается испытаниям следующих видов:

1) Предварительные испытания.

2) Опытная эксплуатация.

3) Приемочные испытания.

6.2. Требования к приёмке работ по стадиям

Требования к приёмке работ по стадиям приведены в таблице.



Таблица

Стадия испытаний	Участники испытаний	Место и срок проведения	Порядок согласования документации	Статус приемочной комиссии
Предварительные испытания	Организация Заказчика и Разработчик	На территории Заказчика, с 08.12.2014 по 12.01.2015	Проведение предварительных испытаний. Фиксирование выявленных неполадок в Протоколе испытаний. Устранение выявленных неполадок. Проверка устранения выявленных неполадок. Принятие решения о возможности передачи СУД ЛСОИБ в опытную эксплуатацию. Составление и подписание Акта приёмки СУД ЛСОИБ в опытную эксплуатацию.	Экспертная группа
Опытная эксплуатация	Организация Заказчика и Разработчик	На территории Заказчика, с 13.01.2015 по 02.02.2015	Проведение опытной эксплуатации. Фиксирование выявленных неполадок в Протоколе испытаний. Устранение выявленных неполадок. Проверка устранения выявленных неполадок. Принятие решения о готовности СУД ЛСОИБ к приемочным испытаниям. Составление и подписание Акта о завершении опытной эксплуатации СУД ЛСОИБ.	Группа тестирования
Приёмочные испытания	Организация Заказчика и Разработчик	На территории Заказчика, с 03.02.2015 по 28.02.2015	Проведение приемочных испытаний. Фиксирование выявленных неполадок в Протоколе испытаний. Устранение выявленных неполадок. Проверка устранения выявленных неполадок. Принятие решения о возможности передачи СУД ЛСОИБ в промышленную эксплуатацию. Составление и подписание Акта о завершении приемочных испытаний и передаче СУД ЛСОИБ в промышленную эксплуатацию. Оформление Акта завершения работ.	Приемочная комиссия

7. Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие

Для создания условий функционирования СУД ЛСОИБ, при которых гарантируется соответствие создаваемой системы требованиям, содержащимся в настоящем техническом задании, и возможность эффективного её использования, в организации Заказчика должен быть проведен комплекс мероприятий.

7.1. Технические мероприятия

Силами Заказчика в срок до начала этапа «Создание проектных решений, практическая реализация (развёртывание), формирование тестовых примеров и создание инструкции для администратора системы удалённого доступа и конечных пользователей системы удалённого доступа» должны быть выполнены следующие работы:

- осуществлена подготовка помещения для размещения СУД ЛСОИБ в соответствии с требованиями, приведенными в настоящем техническом задании;

- осуществлена закупка и установка необходимого оборудования;

- организовано необходимое сетевое взаимодействие.

8. Источники разработки

- Договор №1 от 27.09.14 г.

- ГОСТ 34.602-89. Техническое задание на создание автоматизированной системы.

- ГОСТ 2.105-95. Общие требования к текстовым документам.

- РД 50-34.698-90. Автоматизированные системы. Требования к содержанию документов.

- ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем

- СанПиН 2.2.2/2.4.1340-03. Гигиенические требования к персональным электронно-вычислительным машинам и организации работы

- ГОСТ 12.1.004-91. «ССБТ. Пожарная безопасность. Общие требования»

- ГОСТ 12.2.003-91. «ССБТ. Оборудование производственное. Общие требования безопасности»

- ГОСТ Р 50571.22-2000. «Электроустановки зданий. Часть 7. Требования к специальным электроустановкам. Раздел 707. Заземление оборудования обработки информации».

- ГОСТ 21552-84. «Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортирование и хранение»

- ГОСТ 21958-76. «Система "Человек-машина". Зал и кабины операторов. Взаимное расположение рабочих мест. Общие эргономические требования».

- Федеральный государственный образовательный стандарт среднего профессионального образования по специальности 090305 Информационная безопасность автоматизированных систем (утв. приказом Министерства образования и науки РФ от 24 июня 2010 г. N 708)

- Инструкция для администратора системы удалённого доступа и конечных пользователей системы удалённого доступа

Приложение 7

Описание процесса внедрения удалённого доступа

Перейдём к созданию учётной записи МСЭ в домене отделения УиИТ.

Заходим на первичный КД в диспетчер сервера.

Переходим в настройку роли Доменные службы Active Directory и заходим в оснастку Active Directory - пользователи и компьютеры. Затем заходим в управление доменом oyit.local.

Переходим сначала в подразделение administrators, затем в подразделение Engineers и здесь создаём нового пользователя с логином vpnadmin, и нажимаем «Далее >».



Убираем галку с пункта «Требовать смену пароля при следующем входе» и ставим галку на пункте «Срок действия пароля не ограничен», вводим пароль gjWfSfTqwv, нажимаем «Далее >» и жмём «Готово».

На этом создание учётной записи в домене завершается, поскольку никаких дополнительных действий не требуется. Перейдём к настройке МСЭ. После первого запуска ASA предлагает совершить первоначальную настройку с помощью мастера настроек. Но в нашем случае лучше настройки ввести вручную. Поэтому отказываемся от первоначальной настройки ASA, введя no. После этого мы попадаем в пользовательский режим.

Pre-configure Firewall now through interactive prompts [yes]? no

Затем переходим в привилегированный режим командой enable, ASA попросит ввести пароль, но т.к. по умолчанию он пустой, просто нажимаем Enter:



ciscoasa> enable

Password: ciscoasa#

Для перехода к настройкам входим в конфигурационный режим командой configure terminal. ASA предложит нам отправлять анонимные отчёты о ошибках, для отказа от этого вводим n и попадаем в конфигурационный режим:

ciscoasa# configure terminal

ciscoasa(config)#

***************************** NOTICE *****************************

Help to improve the ASA platform by enabling anonymous reporting,

which allows Cisco to securely receive minimal error and health

information from the device. To learn more about this feature,

please visit: http://www.cisco.com/go/smartcall

Would you like to enable anonymous error reporting to help improve

the product? [Y]es, [N]o, [A]sk later: n

ciscoasa(config)#

Производим первоначальную настройку. Задаём имя устройства командой hostname <имя устройства>:



ciscoasa(config)# hostname OUIiT-ULTRA-VPN-ASA

OUIiT-ULTRA-VPN-ASA(config)#

Указываем доменное имя отделения УиИТ(OYIT.LOCAL) командой domain-name <имя домена>:

OUIiT-ULTRA-VPN-ASA(config)# domain-name oyit.local

OUIiT-ULTRA-VPN-ASA(config)#

Создаём пользователя user и задаём ему пароль командой username <логин> password <пароль>(от имени которого мы сможем попасть в привилегированный режим через SSH):

OUIiT-ULTRA-VPN-ASA(config)# username user password BDx762~CGIOSNAKm5JLM

OUIiT-ULTRA-VPN-ASA(config)#

Создаём пароль для входа в привилегированный режим командой enable password <пароль>:

OUIiT-ULTRA-VPN-ASA(config)# enable password gFOyhQ39sW

OUIiT-ULTRA-VPN-ASA(config)#

Сконфигурируем интерфейс, который идёт во внутреннюю сеть(GigabitEthernet 0/0). Переходим в настройку интерфейса командой interface GigabitEthernet 0/0. Задаём имя этому интерфейсу(это необходимо для дальнейшей настройки VPN) командой nameif <имя>. ASA присвоит по умолчанию 0(самый низкий) уровень безопасности интерфейсу, что означает, что сеть является ненадёжной, но сеть, в сторону которой смотрит интерфейс является доверенной, поэтому мы присваиваем интерфейсу 100(самый высокий) уровень безопасности командой security level <0-100>. Далее мы присваиваем интерфейсу ip-адрес из внутренней сети командой ip address <ip> <маска>. Включаем интерфейс командой no shutdown. На этом настройка интерфейса заканчивается, выходим из настройки интерфейса командой exit:

OUIiT-ULTRA-VPN-ASA(config)# interface GigabitEthernet 0/0

OUIiT-ULTRA-VPN-ASA(config-if)# nameif LAN

INFO: Security level for "LAN" set to 0 by default.

OUIiT-ULTRA-VPN-ASA(config-if)# security-level 100

OUIiT-ULTRA-VPN-ASA(config-if)# ip address 172.16.0.6 255.255.252.0

OUIiT-ULTRA-VPN-ASA(config-if)# no shutdown

OUIiT-ULTRA-VPN-ASA(config-if)# exit

OUIiT-ULTRA-VPN-ASA(config)#



Теперь настроим внешний интерфейс(GigabitEthernet 0/1). Задаём имя ULTRA этому интерфейсу. Уровень безопасности - 0. IP-адрес - 81.25.60.68 255.255.255.248. Включаем интерфейс и выходим из настройки:

OUIiT-ULTRA-VPN-ASA(config)# interface GigabitEthernet 0/1

OUIiT-ULTRA-VPN-ASA(config-if)# nameif ULTRA

INFO: Security level for "ULTRA" set to 0 by default.

OUIiT-ULTRA-VPN-ASA(config-if)# security-level 0

OUIiT-ULTRA-VPN-ASA(config-if)# ip address 81.25.60.68 255.255.255.248

OUIiT-ULTRA-VPN-ASA(config-if)# no shutdown

OUIiT-ULTRA-VPN-ASA(config-if)# exit

OUIiT-ULTRA-VPN-ASA(config)#

Разрешаем доступ во внутреннюю сеть для SSH используя списки доступа командой access-list <имя списка> [extended] {deny | permit} <протокол> <исходный адрес> <маска> <адрес назначения> <маска>, затем применяем этот список к интерфейсу LAN командой access-group <имя списка> {in | out} interface <имя интерфейса>:

OUIiT-ULTRA-VPN-ASA(config)# access-list LAN_IN extended permit ip any4 any4

OUIiT-ULTRA-VPN-ASA(config)# access-group LAN_IN in interface LAN

OUIiT-ULTRA-VPN-ASA(config)#

Генерируем ключ RSA длиной 1024 бита для SSH командой crypto key generate rsa modulus <длина ключа в битах>:

OUIiT-ULTRA-VPN-ASA(config)# crypto key generate rsa modulus 1024

INFO: The name for the keys will be: <Default-RSA-Key>

Keypair generation process begin. Please wait...

OUIiT-ULTRA-VPN-ASA(config)#

Настраиваем Triple-A для доступа по SSH и HTTP используя локальную учётную запись, созданную ранее, командой aaa authentication <протокол> console LOCAL. Доступ по HTTP нам нужен для работы системы мониторинга и управления МСЭ - ASDM.

OUIiT-ULTRA-VPN-ASA(config)# aaa authentication ssh console LOCAL

OUIiT-ULTRA-VPN-ASA(config)# aaa authentication http console LOCAL

OUIiT-ULTRA-VPN-ASA(config)#



Включаем доступ по HTTP командой http server enable, разрешаем доступ по HTTP только для локальной сети отделения УиИТ из внутреннего интерфейса командой http <сеть> <маска> <имя интерфейса> и указываем, где находится образ с файлами ASDM командой asdm image <путь до образа>:

OUIiT-ULTRA-VPN-ASA(config)# http server enable

OUIiT-ULTRA-VPN-ASA(config)# http 172.16.0.0 255.255.252.0 LAN

OUIiT-ULTRA-VPN-ASA(config)# asdm image disk0:/asdm-731-101.bin

OUIiT-ULTRA-VPN-ASA(config)#

Разрешаем доступ по SSH только для локальной сети отделения УиИТ из внутреннего интерфейса командой ssh <сеть> <маска> <имя интерфейса> и ставим 5 минутный таймаут на SSH-сессии командой ssh timeout <время в минутах>:

OUIiT-ULTRA-VPN-ASA(config)# ssh 172.16.0.0 255.255.252.0 LAN

OUIiT-ULTRA-VPN-ASA(config)# ssh timeout 5

OUIiT-ULTRA-VPN-ASA(config)#



Разрешаем доступ ICMP-запросов только для локальной сети отделения УиИТ из внутреннего интерфейса командой icmp {deny | permit} <сеть> <маска> <имя интерфейса> и запрещаем на внешнем интерфейсе:

OUIiT-ULTRA-VPN-ASA(config)# icmp permit 172.16.0.0 255.255.252.0 LAN

OUIiT-ULTRA-VPN-ASA(config)# icmp deny any ULTRA

OUIiT-ULTRA-VPN-ASA(config)#

На этом первоначальная настройка подходит к концу, переходим к настройке Remote-Access VPN:

Задаём пул IP-адресов, выдаваемых VPN-клиентам из внутренней сети начиная с 172.16.3.150, заканчивая 172.16.3.254 командой ip local pool <имя пула> <первый адрес из пула> <последний адрес из пула> mask <маска>:

OUIiT-ULTRA-VPN-ASA(config)# ip local pool SETIS-VPN_POOL 172.16.3.150-172.16.3.254 mask 255.255.252.0

OUIiT-ULTRA-VPN-ASA(config)#



Создаём object-network для нашей внутренней сети командой object network <имя объекта>, затем указываем нужную нам подсеть отделения УиИТ командой subnet <ip> <маска>. Это необходимо для настройки исключения VPN-трафика из NAT.

OUIiT-ULTRA-VPN-ASA(config)# object network KP11_LAN_172.16.0.0_16

OUIiT-ULTRA-VPN-ASA(config-network-object)# subnet 172.16.0.0 255.255.0.0

OUIiT-ULTRA-VPN-ASA(config-network-object)# exit

OUIiT-ULTRA-VPN-ASA(config)#

Создаём список доступа для сплит-туннелинга. Это необходимо, чтобы у пользователей при установлении vpn-подключения оставался доступ в интернет, если этого не сделать, то пакеты, адресованные узлам сети Интернет, пойдут через VPN-соединение до МСЭ и там потеряются, т.к. таких узлов не существует в нашей внутренней сети. Создавая данный список доступа, мы сообщаем МСЭ, чтобы она блокировала все адреса, не относящиеся к нашей сети. В итоге остальные пакеты не будут теряться, а будут отправляться в глобальную сеть.

OUIiT-ULTRA-VPN-ASA(config)# access-list SETIS-VPN_splitTunnelAcl standard permit 172.16.0.0 255.255.0.0



OUIiT-ULTRA-VPN-ASA(config)#

Исключаем трафик, который попадает в VPN из правил трансляции при помощи команды nat (<внутренний интерфейс>,<внешний интерфейс>) source static <IP или object-network/group> < маска или object-network/group> destination static <IP или object-network/group> < маска или object-network/group>:

OUIiT-ULTRA-VPN-ASA(config)# nat (LAN,ULTRA) source static any any destination static KP11_LAN_172.16.0.0_16 KP11_LAN_172.16.0.0_16

OUIiT-ULTRA-VPN-ASA(config)#

Создаём маршрут по умолчанию для внешнего интерфейса, указывающий на шлюз провайдера, командой route <имя интерфейса> <IP сети или хоста> <маска сети или хоста> <IP шлюза провайдера>:

OUIiT-ULTRA-VPN-ASA(config)# route ULTRA 0.0.0.0 0.0.0.0 81.25.60.65

OUIiT-ULTRA-VPN-ASA(config)#



Настраиваем параметры авторизации LDAP.

Первым делом создаём серверную группу и указываем, что аутентификация пользователей будет проходить через протокол LDAP, командой aaa-server <имя серверной группы> protocol <http-form/kerberos/ldap/nt/radius/sdi/tacacs+>:

OUIiT-ULTRA-VPN-ASA(config)# aaa-server OYIT_SERVER protocol ldap

Затем мы сообщаем серверной группе, что сервер, через который будет проходить аутентификация пользователей, доступен через локальный интерфейс под IP-адресом 172.16.1.1 командой aaa-server <имя серверной группы> host <IP сервера>:

OUIiT-ULTRA-VPN-ASA(config-aaa-server-group)# aaa-server OYIT_SERVER (LAN) host 172.16.1.1

Указываем место начала поиска по иерархии LDAP:

OUIiT-ULTRA-VPN-ASA(config-aaa-server-host)# ldap-base-dn DC=oyit,DC=local

Указываем, что поиск пользователей будет осуществляться по всему каталогу командой ldap-scope <onelevel/subtree>:

OUIiT-ULTRA-VPN-ASA(config-aaa-server-host)# ldap-scope subtree

Вводим имя атрибута, который однозначно идентифицирует запись на сервере LDAP командой ldap-naming-attribute <атрибут>:

OUIiT-ULTRA-VPN-ASA(config-aaa-server-host)# ldap-naming-attribute sAMAccountName

Вводим пароль учётной записи, через которую ASA связывается с доменом командой ldap-login-password <пароль>:

OUIiT-ULTRA-VPN-ASA(config-aaa-server-host)# ldap-login-password gjWfSfTqwv

Указываем DN(Distinguished Name), использующийся для привязки к серверу LDAP:

OUIiT-ULTRA-VPN-ASA(config-aaa-server-host)# ldap-login-dn CN=vpnadmin,OU=Engineers,OU=administration,DC=oyit,DC=local

Указываем поставщика LDAP-сервера командой server-type <auto-detect/microsoft/novell/openldap/sun>:

OUIiT-ULTRA-VPN-ASA(config-aaa-server-host)# server-type microsoft

Выходим из режима настройки параметров авторизации LDAP и переходим к настройке ikev1 transport set.

OUIiT-ULTRA-VPN-ASA(config-aaa-server-host)# exit

OUIiT-ULTRA-VPN-ASA(config)#

Настраиваем IKEv1 transform-set, который описывает параметры второй фазы определяя как защитить трафик в соответствии с заданным ранее списком доступа при помощи команды crypto ipsec ikev1 transform-set transform-set-имя <алгоритм шифрования> <алгоритм хеширования>:

OUIiT-ULTRA-VPN-ASA(config)# crypto ipsec ikev1 transform-set ESP-DES-SHA-SETIS_VPN esp-des esp-sha-hmac

OUIiT-ULTRA-VPN-ASA(config)# crypto ipsec ikev1 transform-set ESP-DES-MD5-SETIS_VPN esp-des esp-md5-hmac

OUIiT-ULTRA-VPN-ASA(config)#



Создаём динамическую криптокарту и включаем pfs командой crypto dynamic-map <имя> <номер> set pfs:

OUIiT-ULTRA-VPN-ASA(config)# crypto dynamic-map SETIS-VPN_CRYPTO_MAP 77 set pfs

Также мы указываем, какие transform-set будут задействованы командой crypto dynamic-map <имя> <номер> set ikev1 transform-set <TS1> <TS2>:

OUIiT-ULTRA-VPN-ASA(config)# crypto dynamic-map SETIS-VPN_CRYPTO_MAP 77 set ikev1 transform-set ESP-DES-SHA-SETIS_VPN ESP-DES-MD5-SETIS_VPN

OUIiT-ULTRA-VPN-ASA(config)#

Указываем, что созданная криптокарта должна ссылаться на уже существующую динамическую карту шифрования командой crypto dynamic-map <имя> <номер> ipsec-isakmp dynamic <имя динамической криптокарты>:

OUIiT-ULTRA-VPN-ASA(config)# crypto map SETIS-OUTSIDE_MAP 77 ipsec-isakmp dynamic SETIS-VPN_CRYPTO_MAP

Привязываем эту криптокарту к внешнему интерфейсу командой crypto dynamic-map <имя> <номер> interface <имя внешнего интерфейса>:

OUIiT-ULTRA-VPN-ASA(config)# crypto map SETIS-OUTSIDE_MAP interface ULTRA

OUIiT-ULTRA-VPN-ASA(config)#

Включаем политику ikev1 на внешнем интерфейсе командой crypto ikev1 enable <имя внешнего интерфейса>:

OUIiT-ULTRA-VPN-ASA(config)# crypto ikev1 enable ULTRA

Создаём политику ikev1 и переходим к её настройке командой crypto ikev1 policy <номер>:

OUIiT-ULTRA-VPN-ASA(config)# crypto ikev1 policy 77

Указываем метод аутентификации по паролю командой authentication <crack/pre-share/rsa-sig>:

OUIiT-ULTRA-VPN-ASA(config-ikev1-policy)# authentication pre-share

Указываем протокол шифрования командой encryption <3des/aes/aes-192/aes-256/des>:

OUIiT-ULTRA-VPN-ASA(config-ikev1-policy)# encryption des

Указываем алгоритм хеширования командой hash <sha/md5>:

OUIiT-ULTRA-VPN-ASA(config-ikev1-policy)# hash sha

Указываем группу Диффи-Хеллмана командой group <номер группы>:

OUIiT-ULTRA-VPN-ASA(config-ikev1-policy)# group 2

Указываем время жизни Security-Association (SA) командой lifetime <время в секундах>:

OUIiT-ULTRA-VPN-ASA(config-ikev1-policy)# lifetime 86400

На этом настройка политики ikev1 закончена, выходим из режима настройки политики ikev1 и переходим к настройке групповой политики

OUIiT-ULTRA-VPN-ASA(config-ikev1-policy)# exit

OUIiT-ULTRA-VPN-ASA(config)#

Создаём внутреннюю групповую политику командой group-policy SETIS-VPN internal:

OUIiT-ULTRA-VPN-ASA(config)# group-policy SETIS-VPN internal

Переходим к настройке атрибутов внутренней групповой политики командой group-policy SETIS-VPN attributes:

OUIiT-ULTRA-VPN-ASA(config)# group-policy SETIS-VPN attributes

Указываем внутренние dns-сервера отделения УиИТ командой dns-server value <DNS1> <DNS2>:

OUIiT-ULTRA-VPN-ASA(config-group-policy)# dns-server value 172.16.1.1 172.16.1.2

Указываем протокол VPN туннеля командой vpn-tunnel-protocol <ikev1/ikev2>:

OUIiT-ULTRA-VPN-ASA(config-group-policy)# vpn-tunnel-protocol ikev1

Включаем указанную в списке доступа подсеть в туннелирование командой split-tunnel-policy <excludespecified/tunnelall/tunnelspecified>:

OUIiT-ULTRA-VPN-ASA(config-group-policy)# split-tunnel-policy tunnelspecified

Указываем список доступа, в котором указана подсеть, которую требуется включить в туннелирование командой split-tunnel-network-list value <имя списка доступа>:

OUIiT-ULTRA-VPN-ASA(config-group-policy)# split-tunnel-network-list value SETIS-VPN_splitTunnelAcl

Указываем домен отделения УиИТ командой default-domain value <имя домена>:

OUIiT-ULTRA-VPN-ASA(config-group-policy)# default-domain value oyit.local

На этом настройка внутренней групповой политики закончена, выходим из режима настройки внутренней групповой политики и переходим к настройке туннельной группы.

OUIiT-ULTRA-VPN-ASA(config-group-policy)# exit

OUIiT-ULTRA-VPN-ASA(config)#

Создаём туннельную группу для Remote-Access VPN, в которой содержатся дополнительные параметры соединения, использующиеся при аутентификации пользователей командой tunnel-group <имя туннельной группы> type <ipsec-l2l/ipsec-ra/remote-access/webvpn>:

OUIiT-ULTRA-VPN-ASA(config)# tunnel-group SETIS-VPN type remote-access

Переходим к настройке параметров туннельной группы командой tunnel-group <имя туннельной группы> general-attributes:

OUIiT-ULTRA-VPN-ASA(config)# tunnel-group SETIS-VPN general-attributes

Указываем какой пул IP-адресов использовать для VPN командой address-pool <имя пула>:

OUIiT-ULTRA-VPN-ASA(config-tunnel-general)# address-pool SETIS-VPN_POOL

Указываем серверную группу командой authentication-server-group <имя серверной группы>:

OUIiT-ULTRA-VPN-ASA(config-tunnel-general)# authentication-server-group OYIT_SERVER

Указываем имя внутренней групповой политики, который будет вводить каждый пользователь при первичной аутентификации командой default-group-policy <имя внутренней групповой политики>:

...