Технология защищенного терминального доступа Циркон - платформа для создания Единого информационного пространства

План презентации 1.Коротко о группе компаний СВЕМЕЛ 2.Преимущества технологии защищенного терминального доступа 3.Примеры внедрений 4.Технология Циркон как платформа для создания Единого информационного пространства

Успешная деятельность на рынке информационных технологий с 1993 года; Многолетний опыт сотрудничества с органами государственной власти и управления; Всеобъемлющий пакет лицензий компетентных государственных органов (ФСБ, ФСТЭК, СВР, МО и др.) на право проведения работ и оказания услуг по защите государственной и коммерческой тайны; Системная интеграция, разработка, производство, поставка, сопровождение, ремонт и обслуживание средств вычислительной техники и информационных систем, предназначенных для обработки информации, составляющей государственную, служебную и коммерческую тайну. Группа компаний «СВЕМЕЛ» ЗАО «МВП Свемел», ОАО «Синклит», ЗАО «АКТИ–Мастер», ООО «Мастер–Тул»

Универсальная защищенная платформа доступа: доступ ко всем ресурсам информационной системы разного уровня конфиденциальности; Эргономичное и удобное рабочее место с уникальными возможностями: доступ к своей сессии с любого терминала ; отсутствие движущихся частей, бесшумная работа терминального устройства. Значительное снижение эксплуатационных затрат Значительное снижение эксплуатационных затрат (стоимости владения) за счет: нулевого администрирования рабочих мест; снижения нагрузки на сетевую инфраструктуру (по сети передаются не массивы данных, а состояние экрана); отсутствия необходимости аппаратной модернизации; улучшенной защиты от потери данных на рабочих местах от аппаратных сбоев, вирусов, некорректных действий пользователей; низкого потребления электроэнергии. Основные преимущества Преимущества технологии защищенного терминального доступа

С 2002 года компания «Свемел» работает над развитием технологии «тонкого клиента». Началом комплекса работ по исследованию и модификации исходных текстов послужило программное обеспечение ОС Solaris и Sun Ray (клиентская и серверная компоненты) и firmware терминальных устройств корпорации Sun Microsystems. На основе этого ПО началось создание российской ОС «Циркон». В настоящее время серия продуктов «Циркон» переводится на свободное программное обеспечение. В настоящее время серия продуктов «Циркон» переводится на свободное программное обеспечение. ОС «Циркон» сертифицирована ФСБ и ФСТЭК России для использования в системах обработки и хранения информации, максимальный гриф которой- «сов. Секретно». ОС «Циркон» сертифицирована ФСБ и ФСТЭК России для использования в системах обработки и хранения информации, максимальный гриф которой- «сов. Секретно». История создания Преимущества технологии защищенного терминального доступа

Особенности ОС «Циркон»: первичный администратор – для решения незапланированных ситуаций. При обычной эксплуатации системы эта роль не востребована. Она применяется, например, для добавления новой роли или профиля безопасности, с возможностями, которых нет у администратора безопасности; первичный администратор – для решения незапланированных ситуаций. При обычной эксплуатации системы эта роль не востребована. Она применяется, например, для добавления новой роли или профиля безопасности, с возможностями, которых нет у администратора безопасности; системный администратор – для выполнения стандартных повседневных задач системного администратора; системный администратор – для выполнения стандартных повседневных задач системного администратора; администратор безопасности (офицер безопасности) – для управления чувствительными, с точки зрения безопасности атрибутами (метки безопасности, привилегии доступа, сетевое взаимодействие, и т.д. применительно к субъектам и объектам информационных систем). администратор безопасности (офицер безопасности) – для управления чувствительными, с точки зрения безопасности атрибутами (метки безопасности, привилегии доступа, сетевое взаимодействие, и т.д. применительно к субъектам и объектам информационных систем). системный оператор – управление сохранением/восстановлением данных и принтерами. системный оператор – управление сохранением/восстановлением данных и принтерами. - Ролевое управление доступом. Предназначено для реализации сложных политик безопасности, позволяя, в частности, решить проблему «суперпользователя». Пример ролевого разграничения прав:

Особенности ОС «Циркон»: Механизм реализован за счет добавления меток (labels) к различным информационным ресурсам. каждый объект системы имеет метку (файлы, графические окна, принтеры и прочие устройства, сетевые пакеты, сетевые интерфейсы, процессы,…); каждый объект системы имеет метку (файлы, графические окна, принтеры и прочие устройства, сетевые пакеты, сетевые интерфейсы, процессы,…); метка состоит из одной обязательной иерархической компоненты (например, гриф секретности) и необязательных неиерархических компонент (например, персональная, медицинская, принадлежность к департаменту); метка состоит из одной обязательной иерархической компоненты (например, гриф секретности) и необязательных неиерархических компонент (например, персональная, медицинская, принадлежность к департаменту); доступ или разделение данных контролируется путем сравнения меток взаимодействующих объектов:доступ или разделение данных контролируется путем сравнения меток взаимодействующих объектов: - доступ на чтение разрешено, если цифровая метка читающего >= цифровой метки объекта; - доступ на чтение разрешено, если цифровая метка читающего >= цифровой метки объекта; - доступ на запись разрешен если цифровые метки совпадают (по умолчанию). - доступ на запись разрешен если цифровые метки совпадают (по умолчанию). - Мандатное управление доступом. В отличие от традиционной (дискреционной) модели доступа, в которой владелец информации сам отвечает за безопасность данных, владельцем которых он является, система мандатного контроля навязывает пользователю правила доступа к информации.

Особенности ОС «Циркон»: - Реализация контейнеров. Средствами операционной системы, путем виртуализации ресурсов создаются изолированные среды выполнения приложений, сервисов а также размещения данных. Каждому контейнеру ставится в соответствие уникальная иерархическая метка безопасности. Политика безопасности предотвращает запись «вниз» и чтение «вверх» (с точки зрения иерархических меток безопасности). Система позволяет осуществлять настройки, когда процесс из контейнера с более низким приоритетом (иерархической меткой безопасности) может осуществлять запись в контейнер с более высоким приоритетом (запись «вверх»). Это позволяет создавать защищенные однонаправленные шлюзы обмена информацией на базе ОС «Циркон».

С каждого терминала информационной системы, включая и расположенные в выделенных помещениях, можно получить защищенный доступ к необходимым информационным ресурсам, как корпоративной сети или отдельных ее сегментов, так и открытой сети (Интернет). Фактически терминал заменяет несколько обычных ПК, подключаемых к различным информационным ресурсам! Аутентификация и выбор сети (внешней или внутренней) с которой в данный момент работает пользователь, осуществляется с помощью соответствующих смарт-карт, вставляемых в считывающее устройство, которым снабжен каждый терминал. При этом ресурсы другой сети на этот период времени становятся для него абсолютно недоступны. Смена смарт-карт не ведет к закрытию сессии – вставив соответствующую смарт-карту, пользователь продолжит работу с того же места, на котором он ее прервал. Универсальная точка доступа Преимущества технологии защищенного терминального доступа

ресурсыИНТЕРНЕТ ЦОД ЦОД Открытые ресурсы Конфиденциальныересурсы Взаимодействие с ОГВ Выбор информационного контура с помощью смарт-карты Защищенное терминальное рабочее место Министерство экономического развития Российской Федерации Министерство финансов Российской Федерации ФСТЭК России ФСБ России Технологию «Циркон» и ее отдельные элементы используют: Технология защищенного терминального доступа «ЦИРКОН» Министерство обороны Российской Федерации

Центр обработки данных (ЦОД) МИД России Терминалы центрального аппарата МЭДО СМЭВ ресурсыИНТЕРНЕТ Взаимодействие с ИС органов государственной власти Государственные услуги в электронном виде Технология защищенного терминального доступа «ЦИРКОН» - основа единого информационного пространства МИД России ТерминалызагранучрежденийМинистерства ЦОД МИД России – 2 контура обработки информации Центральный аппарат – более 2500 терминальных рабочих мест Загранучреждения – более 500 терминальных рабочих мест

Ресурсы внутреннего контура Внешние ресурсы (ИНТЕРНЕТ) Терминальные рабочие места Центр обработки данных Интернет Терминальный сервер внутреннего контура внутреннего контура Терминальный сервер внешнего контура внешнего контура Универсальная точка доступа Преимущества технологии защищенного терминального доступа

2 контура, в т. ч. контур обработки 2 контура, в т. ч. контур обработки конфиденциальной информации; конфиденциальной информации; 268 серверов в Центре обработки 268 серверов в Центре обработки данных (терминальных, серверов данных (терминальных, серверов приложений, серверов центральных приложений, серверов центральных ресурсов и управления); ресурсов и управления); свыше 3000 терминальных рабочих свыше 3000 терминальных рабочих мест; мест; 10 терминальных комплексов 10 терминальных комплексов загранучреждений, включенных в загранучреждений, включенных в единое информационное пространство единое информационное пространство Министерства Министерства Примеры внедрения МИД России

Территориально-распределенная защищенная сеть терминального доступав интересах ФСБ России Территориально-распределенная защищенная сеть терминального доступа в интересах ФСБ России Новосибирск Ростов-на-Дону Москва Санкт-Петербург НижнийНовгород Хабаровск Екатеринбург Федеральный Центр обработки данных Региональные Центры обработки данных Территориальные подсистемы терминального доступа (необслуживаемые ЛВС)

Пример построения территориально-распределенной защищенной сети терминального доступа ЦОД и РЦОД Терминальные подсистемы ЦА ЦЕНТР РегиональныеЦОД ИНТЕРНЕТ Удаленные (необслуживаемые) терминальные подсистемы Внешние базы данных Выделенные каналы связи VPN - каналы Выделенные каналы связи VPN - каналы

Федеральный Центр обработки данных Региональные Центры обработки данных Территориальные подсистемы терминального доступа (необслуживаемые ЛВС) Территориально-распределенная защищенная сеть терминального доступав интересах ФСБ России Территориально-распределенная защищенная сеть терминального доступа в интересах ФСБ России Численный состав – 16 человек (по 4 в смене) - Главный администратор - Главный администратор - Офицер безопасности - Офицер безопасности - Администратор - Администратор - Инженер по оборудованию - Инженер по оборудованию (без учета специалистов по прикладным задачам, базам данных, инженерным системам) Численный состав – 12 человек (по 3 в смене) - Главный администратор - Главный администратор - Офицер безопасности - Офицер безопасности - Инженер по оборудованию - Инженер по оборудованию Квалификация специалистов – Центры обучения Sun Microsystems существуют во всех крупных городах России. Возможно проведение технических семинаров и консультаций на базе ЗАО «МВП «Свемел» Гарантийные обязательства - ЗАО «МВП «Свемел» поддерживает официальную гарантию производителей оборудования и ПО. По истечении этого срока все полномочия по обслуживанию системы передаются Заказчику

Примеры внедрения Распределенная ИАС

Технология терминального доступа «Циркон» востребована везде, где необходимо обеспечить защищенный доступ к централизованным ресурсам различного уровня конфиденциальности, в том числе и персональным данным, где требуется защищенная, экономически эффективная инфраструктура для информационного обеспечения бизнес- процессов, интеграции приложений различных платформ, а так же существует необходимость в создании единого защищенного информационного пространства. - органы власти и управления; - образование; - медицина; - бизнес, финансы и др. Примеры реализации Универсальная платформа для создания единого защищенного информационного пространства

МИД РоссииМИД России ФСБ РоссииФСБ России ФСТЭК РоссииФСТЭК России ГД ФС РоссииГД ФС России Минэкономразвития РоссииМинэкономразвития России Минфин РоссииМинфин России ГК «Росатом»ГК «Росатом» ОАО «РЖД»ОАО «РЖД» Система образования Псковской областиСистема образования Псковской области... и многие другие... и многие другие Наши Заказчики: уже оценили передовую технологию, позволяющую вдвое сократить затраты на создание и эксплуатацию защищенных информационных систем

Группа компаний «СВЕМЕЛ» Тел/Факс: +7(495) ,