Задачи информационной безопасности при создании единого информационного пространства транспортной системы России А. Г. Золотников
| Вид материала | Документы |
- Система менеджмента информационной безопасности, 205.89kb.
- Проблемы современного образования информационные технологии в средней школе сборник, 2976.91kb.
- Распределенная информационная система анализа, синтеза и моделирования сау, 31.72kb.
- Правовое обеспечение информационной безопасности при построении информационного общества, 626.88kb.
- Давайте говорить, друг другом восхищаться, 251.97kb.
- Взаимодействие художественной и информационной культур в современной России, 98.22kb.
- Настоящая статья посвящена вопросам обеспечения информационной безопасности при осуществлении, 557.89kb.
- Продолжение (факультатив) Модели информационного пространства распределенной вычислительной, 39.21kb.
- Аннотация, 418.67kb.
- Некрасова Римма Александровна Цели и задачи создания сайта школы Цель : Развитие единого, 18.4kb.
Секция С
Защита информации в телекоммуникационных сетях и системах на транспорте России
Задачи информационной безопасности
при создании единого информационного пространства транспортной системы России
А.Г. Золотников
Дирекция информационной безопасности
ЗАО «Компания ТрансТелеКом», Москва
Повышение эффективности работы транспортной системы (ТС) России выдвигает новые требования к процессу управления грузопотоками. Решение этой задачи осуществляется в рамках федеральной целевой программы «Модернизация транспортной системы», одним из основных направлений которой является создание единого информационного пространства (ЕИП) транспортной системы для взаимодействия органов управления ТС, субъектов и пользователей рынка транспортных услуг. Особенно важно создание таких условий для пользователей рынка, которые смогут оперативно взаимодействовать как непосредственно с транспортными организациями, так и с другими субъектами (министерствами, агентствами, службами) прямо или опосредованно участвующими в перевозке грузов. Это позволит им снижать свои издержки, уменьшать стоимость перевозок, в режиме реального времени отслеживать движение грузов. Достижение такой эффективности в рамках построения единого информационного пространства должно основываться на использовании современных телекоммуникационных и информационных технологий, увязывающих между собой множество телекоммуникационных сетей и информационных ресурсов, разнесенных в пространстве, охватывающей всю территорию России и выходящей за ее пределы.
В этих условиях использование сетевых возможностей ЗАО «Компания ТрансТелеКом» (Единая магистральная сеть связи, магистральная IP-сеть) как основы для создания ЕИП является объективной и обоснованной. При этом доступ пользователей транспортных услуг может осуществляться через публичные сети (например, Интернет), а профессиональные участники рынка могут объединяться в виртуальные частные сети.
Однако здесь необходимо отметить, что при всех преимуществах, которые появляются с созданием ЕИП, возникает и ряд проблем, к числу которых, в первую очередь можно отнести проблему информационной безопасности ЕИП. И это очевидно. В такой сложной системе, которую будет представлять ЕИП, появляются новые уязвимости и, следовательно, новые угрозы информационной безопасности. Это обостряет проблему зависимости качества процессов управления грузопотоками от существенно расширяющихся потенциальных возможностей нарушителей по реализации нагативных воздействий на информационные ресурсы ЕИП.
Работы по адекватному комплексному противодействию этим факторам предусматривают решение следующих основных задач:
- создание единой нормативно-методологической базы обеспечения информационной безопасности ЕИП;
- создание защищенных информационно-телекоммуникационных сетей, защищенных каналов по пропуску трафика;
- защиты систем управления сетями связи;
- решение технологических задач обеспечения информационной безопасности (ОБИ), создание эффективных систем обеспечения информационной безопасности (СОИБ);
- обеспечения оперативного управления СОИБ;
- обеспечения защищенного электронного документооборота участников транспортного рынка;
- противодействия проявлению всякого рода терроризма в т. ч. и киберпреступлений.
Часть из указанных задач активно решается КТТК. По заказу ОАО «РЖД» создается СОИБ Магистральной цифровой сети связи. В рамках обеспечения информационной безопасности магистральной IP-сети КТТК проведены организационные и технические мероприятия по ее защите и работы по сертификации. Разработаны механизмы построения защищенных виртуальных частных сетей и обеспечения безопасного доступа к защищенным информационным ресурсам.
В этих условиях клиенты транспортного рынка получают высокопроизводительные, постоянно доступные и защищенные информационные магистрали, а владельцы информационных ресурсов обезопасены от нарушения их целостности, разрушения и несанкционированного использования.
Об организации работ в ОАО «РЖД»
в области информационной безопасности
С.Е. Ададуров
Департамент безопасности ОАО «РЖД», Москва
Информационная безопасность информационных систем и телекоммуникационных сетей ОАО «РЖД» во многом определяет его способность сохранять свои коммерческие и технические секреты и обеспечить живучесть и устойчивость созданных и создающихся информационных и телекоммуникационных систем.
ОАО «РЖД» ведет большую коммерческую работу в условиях конкурентной среды и, соответственно, всегда имеется конфиденциальная информация о планах, готовящихся сделках, внедренных и подготовленных к внедрению технологиях и т. д., которая до определенной поры не должна выноситься на всеобщее обозрение. Также крайне важно, кроме защиты собственной конфиденциальной информации, защитить интересы наших партнеров, доверивших нам свою информацию ограниченного доступа.
В этой связи в ОАО «РЖД» большое внимание уделяется формированию системы информационной безопасности.
В настоящее время разрабатывается комплект организационно-распорядительных документов, регламентирующих порядок организации работ в области защиты конфиденциальной информации, в которых проводится общий анализ состояния вопроса защиты информации в ОАО «РЖД», определяются риски, связанные с нарушением информационной безопасности, основные объекты защиты, направления и программа работ по обеспечению информационной безопасности. Практически закончена работа над одним из основных документов – перечнем конфиденциальной информации ОАО «РЖД», а также подготовлен и будет вводиться с 2 квартала 2004 года порядок обращения с конфиденциальной информацией.
Особенностью защиты информации в ОАО «РЖД» является необходимость защиты многофункциональных, распределенных по всей стране информационных и телекоммуникационных систем, построенных на самых передовых, порой уникальных и не имеющих мировых аналогов информационных технологиях. Пользователями наших систем, кроме наших внутренних, исчисляемых десятками тысяч, являются многие государственные и коммерческие структуры (экспедиторы, операторы, грузополучатели и другие). При этом постоянно растет количество партнеров ОАО «РЖД», как внутри страны, так и за рубежом. Растут их потребности в качественной и достоверной информации о грузах, собственных вагонах, маршрутах. В этих условиях чрезвычайно важно обеспечить доступ сторонних пользователей к информации в реальном масштабе времени и не создать угроз для сети, обеспечив безопасность информационных технологий в перевозочном процессе.
Результаты анализа рисков, связанных с информационной безопасностью наших систем свидетельствуют о том, что, во-первых, внедрение и поддержание в работоспособном состоянии системы обеспечения информационной безопасности ОАО «РЖД» является объективной необходимостью, во-вторых, эффективная защита информации может быть реализована только при условии реализации комплекса организационных и технических мер.
В области защиты конфиденциальной информации в центральном аппарате ОАО «РЖД» функционируют подразделения защиты конфиденциальной информации, на которые возложены функции разработки и реализации единой организационной и технической политики при планировании, создании и эксплуатации системы защиты конфиденциальной информации, методическое и оперативное руководство подразделениями дорог, обеспечивающими защиту информации и информационных ресурсов, организация контроля эффективности системы мер по комплексной защите информации, организация обучения и повышения квалификации специалистов по защите информации.
С технической точки зрения информационная безопасность обеспечивается комплексным использованием сертифицированных по требованиям информационной безопасности средств ограничения доступа, разграничения доступа, межсетевого экранирования, обнаружения вторжений, анализа уязвимостей, антивирусной защиты и криптосредств. Для проведения работ по информационной безопасности привлекаются лучшие российские предприятия, имеющие большой опыт работ по защите информации и соответствующие лицензии ФСБ и Государственной технической комиссии при Президенте Российской Федерации. Все работы проводятся в соответствии с действующими в нашей стране руководящими документами.
В настоящее время ежегодные затраты отрасли на обеспечение информационной безопасности значительно увеличены Объемы выделяемых средств в позволили преодолеть сложившееся отставание в области обеспечения информационной безопасности ряда основных объектов защиты, и особенно критичных, с точки зрения обеспечения функционирования информационной инфраструктуры отрасли, объектов.
Защищенная магистральная IP-сеть ЗАО
«Компания ТрансТелеКом» – основа обеспечения безопасного информационного обмена
Д.В. Соболев
Отдел внедрения систем информационной безопасности
ЗАО «Компания ТрансТелеКом», Москва
Задача обеспечения безопасного информационного обмена становится все более актуальной для потребителей телекоммуникационных услуг. Поставщики телекоммуникационных услуг прилагают значительные усилия, позволяющие создать надежную и безопасную среду передачи информации для своих клиентов. ЗАО «Компания ТрансТелеКом», как инновационная компания демонстрирует пример построения защищенных телекоммуникационных сетей.
Настоящий доклад посвящен магистральной IP-сети ЗАО «Компания ТрансТелеКом» и услугам по обеспечению информационной безопасности, предоставляемых Компанией. В докладе приводится краткая характеристика IP-сети и основные организационно-технические мероприятия, позволяющие обеспечить уровень безопасности в соответствии с требованиями Гостехкомиссии России. Показываются преимущества технологии MPLS в части обеспечения информационной безопасности. Раскрываются организационно-технические мероприятия по обеспечению безопасности магистральной IP-сети в рамках создания системы обеспечения информационной безопасности (СОИБ). Основными задачами, решаемыми СОИБ, являются обеспечение защищенности системы управления сетью от несанкционированного доступа, а также контроль за действиями инженерно-технического персонала, обслуживающего магистральную IP-сеть.
В докладе делается вывод, что магистральная IP-сеть ЗАО «Компания ТрансТелеКом» является основой обеспечения безопасного информационного обмена клиентов ЗАО «Компания ТрансТелеКом».
Обеспечение безопасности транспортных сетей
и сетей операторов связи
М.Ю. Кадер
Компания «Cicso Systems International»
Эта сессия повещена основам обеспечения безопасности магистральных сетей связи. С ростом инцидентов в области безопасности, в том числе прямых атак на сетевую инфраструктуру, операторы связи вынуждены защищать свои магистральные сети не только для своих заказчиков, но и для обеспечения стабильности работы самих сетей. В докладе будут коротко рассмотрены технические средства и сетевые дизайны, предназначенных помочь операторам связи повысить защищенность их сетей. Мы обсудим рекомендации по защите сетевых устройств, протоколов маршрутизации, специализированные функции обеспечения безопасности, существующие в современных сетевых устройствах.
О работах по созданию системы удостоверяющих центров ЗАО «Компания ТрансТелеКом»
для организации защищенного
электронного документооборота
С.Е. Ададуров
Департамент безопасности ОАО «РЖД», Москва
В.А. Пярин, А.А. Галдин
ЗАО «Компания ТрансТелеКом», Москва
На современном этапе деятельности ОАО «РЖД» и сопряженных транспортных комплексов России, рост объемов и количества пассажирских и грузовых перевозок требует внедрения новых информационных технологий. Успешное развитие и внедрение информационных систем невозможно без использования надежной и оперативной аутентификации пользователей этих систем и контроля целостности электронных документов.
Одним из наиболее совершенных механизмов аутентификации пользователей и контроля целостности электронных документов является электронная цифровая подпись (ЭЦП). В соответствии с федеральным законом «Об электронной цифровой подписи» для подтверждения подлинности ЭЦП должны использоваться сертификаты открытых ключей подписи, выдаваемые удостоверяющими центрами. Удостоверяющие центры составляют основу инфраструктуры открытых ключей (ИОК). Технология ИОК является наиболее эффективной и широко применяемой в мировой практике использования ЭЦП и других услуг информационной безопасности.
В данном докладе рассматривается широкий спектр вопросов, решаемых ОАО «РЖД» и ЗАО «Компания ТрансТелеКом», связанных с созданием инфраструктуры удостоверяющих центров (ИУЦ) в отрасли железнодорожного транспорта, предназначенной для предоставления юридически значимых услуг электронной цифровой подписи коммерческим клиентам ОАО «РЖД» и корпоративным клиентам ЗАО «Компания ТрансТелеКом».
Значительное место в докладе уделено рассмотрению проектных решений, положенных в основу создаваемой ЗАО «Компания ТрансТелеКом» инфраструктуры удостоверяющих центров. Разработка ИУЦ ЗАО «Компания ТрансТелеКом» ведется с учетом опыта создания удостоверяющих центров в Администрации Президента РФ и Аппарате Правительства Российской Федерации, а также системы удостоверяющих центров г. Москвы, создаваемой в рамках городской целевой программы «Электронная Москва». Опытная эксплуатация ИУЦ ЗАО «Компания ТрансТелеКом» намечена на 2 квартал 2004 года. Решения, отработанные в ходе опытной эксплуатации удостоверяющего центра ЗАО «Компания ТрансТелеКом», будут положены в основу создаваемой в отрасли железнодорожного транспорта иерархической инфраструктуры удостоверяющих центров, предназначенной для предоставления юридически значимых услуг электронной цифровой подписи коммерческим клиентам ОАО «РЖД».
Основные рассматриваемые угрозы
при проведении оценки соответствия систем управления сетями передачи данных требованиям безопасности информации
И.А. Калайда
Отдел лицензирования и сертификации Государственной технической комиссии при Президенте Российской Федерации
На примере магистральной IP сети ЗАО «Компания ТрансТелеКом» рассматриваются особенности процесса оценки соответствия систем управления сетями передачи данных требованиям безопасности информации, и, в частности, формирование модели угроз для такого класса изделий информационных технологий.
Угрозы безопасности наряду с политикой безопасности организации и предположениями безопасности представляют собой важный аспект среды безопасности автоматизированных систем критического применения, учитываемый при формировании целей и требований безопасности ИТ.
За основу взята типовая модель угроз безопасности информационных технологий автоматизированных систем критического применения, которая планируется к утверждению в качестве руководящего документа для широкого использования при задании и оценки безопасности автоматизированных систем и изделий информационных технологий.
Структура базовой модели угроз отражает общие элементы процесса возникновения, реализации и воздействия угрозы на защищаемые ресурсы.
Для обеспечения общего подхода в базовой модели угроз безопасности информационно-программных ресурсов (ИПР) принята обобщенная структура, содержащая следующие элементы:
1) источник угрозы;
2) cпособ реализации угрозы;
3) используемая уязвимость АС;
4) вид защищаемых активов, на который воздействует (использует) угроза;
5) вид воздействия на ИПР, порождаемый угрозой;
6) нарушаемое свойство безопасности ИПР.
Вопросы информационной безопасности
при информационном взаимодействии субъектов транспортной отрасли
К.В. Анисимов
Компания «Микротест», Москва
Создание единого информационного пространства субъектов транспортной отрасли позволит реализовать надежную, оперативную и защищенную передачу информации между субъектами транспортной отрасли и обеспечить их доступ к ресурсам отраслевых автоматизированных систем на всей территории страны.
Вопросы обеспечения качественных характеристик процессов функционирования информационных систем (ИС) в условиях случайных и преднамеренных воздействий нарушителя (злоумышленника) призвана решить комплексная система обеспечения информационной безопасности (ИБ). Результаты исследований и опыт практических решений показали, что сложность проблемы обеспечения ИБ ИС требует для решения комплексный подход, сочетающий:
● административные меры (действия общего характера, предпринимаемые руководством организации);
● процедурные меры (меры безопасности, реализуемые персоналом);
● программно-технические меры (применение криптографических средств, систем обнаружения вторжений, межсетевых экранов, систем антивирусной защиты, систем PKI и др.).
Реализация задач обеспечения ИБ сети передачи данных (СПД) и ИС должна происходить в увязке с аппаратно-программными средствами СПД, реализующими конкретную архитектуру СПД и обеспечивающими ее устойчивое функционирование.
Управление идентификационными данными
в корпоративных информационных системах транспортных ведомств России
А.С. Березин
ЗАО «КРОК инкорпорейтед», Москва
Существующие информационные системы (ИС) транспортных ведомств РФ представляют собой гетерогенные системы, включающие различные системные платформы (Windows, Novell, Unix, Linux) и корпоративные прикладные системы. Как правило, они слабо интегрированы между собой, не имеют общего пространства объектов доступа, сервисов, пользователей, групп пользователей, а, следовательно, и общей согласованной политики безопасности, в частности, политики управления доступом. Помимо сложной и ресурсоемкой процедуры администрирования пользователей и управления доступом, такие системы не имеют достаточного уровня защиты для безопасной работы, особенно по функциям идентификации, аутентификации пользователей, управления их доступом к информационным активам ИС. Причина проблемы заключается в том, что входящие в гетерогенную среду операционные системы, каталоги, базы данных и приложения имеют свои системы идентификации, которые, как правило, не пересекаются по структуре используемых идентификаторов, методам формирования и использования.
Основными задачами подсистемы управления доступом в гетерогенной среде является обеспечение единой идентификации и аутентификации пользователей системы, а также доступа пользователей к ресурсам целевых систем (приложениям и базам данных). Одним из вариантов реализации подсистемs управления доступом является комплексное промышленное решение, построенное на базе продукта Tivoli Identity Manager компании IВМ. В предлагаемом решении проблема управления доступом решается путем создания единой системы идентификации пользователей, в основе которой лежит использование уникального идентификатора на основе DN, используемого как различимое имя объектов каталога (стандарт Х.500, Х.521 и др.). Помимо выбора единого идентификатора, для функционирования системы предусматриваются механизмы отображения единого идентификатора на различные идентификаторы целевых систем, заключающегося в однозначном отображении единого идентификатора субъекта на конкретный идентификатор данного субъекта в каждой целевой системе.
Основными задачами подсистемы управления доступом в гетерогенной среде является обеспечение единой идентификации и аутентификации пользователей системы, а также доступа пользователей к ресурсам целевых систем (приложениям и базам данных). Подсистема предоставляет возможность централизованного управления паролями. Каждый пользователь имеет единый пароль для всех целевых систем (Single SignOn). В результате такого решения отпадает необходимость запоминания множества паролей и устраняются угрозы безопасности, связанные с недопустимыми формами хранения пользователем своих паролей.
Подсистема реализует единый интеграционный подход к идентификации, аутентификации и управлению учетными записями пользователей, единую модель организационной структуры компании и связанный с ней механизм ролевого доступа.
Оценивание информационной
безопасности систем
И.Б. Шубинский
Центр информационной безопасности ВНИИАС МПС России, Москва