1. Заключение (1209992), страница 4
Текст из файла (страница 4)
Подключение к сетям общего пользования выполняется оператором связи ОАО «Транстелеком» через волоконно-оптический кабель.
Конфигурация информационной системы представлена на рисунке А.1 (см. приложение А).
Все серверы, объединены в одну локальную сеть, топология которой представлена на рисунке А.2 (см. приложение А)
Все ИС, которые используют вычислительные мощности ЦОД для централизованного управления введены в один домен. В качестве контроллера домена используется виртуальная машина под управлением операционной системы Windows server 2012. Маршрутизацией между сегментами сети и доступом в интернет управляет сертифицированный ФСТЭК-ом сервер под управлением операционной системы Altlinux.
Каждый сервер виртуализации имеет от 1 до 4 мостов для виртуальных машин.
Сервер виртуализации Proxmox 2.3:
а) вторичный контроллер домена под управлением операционной системы Windows server 2012. На сервере развернута СУБД MSSQL Server 2005, серверная часть и БД ПО «Дело» и «Архивное дело». Данный сервер настроен только на взаимодействие с ИС, использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования.
b) вторичный контроллер домена под управлением операционной системы Windows server 2012. На данном сервере находится внутренний DNS сервер для всей сети. Данный сервер взаимодействует с сервером под управлением операционной системы Linux, на котором находится внешний DNS-сервер.
c) виртуальная машина под управлением операционной системы Windows 10 . На данной виртуальной машине хранится база данных КУМИ, комитета по приватизации и управлению имуществом и др. Данная виртуальная машина настроена только на взаимодействие с ИС, использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования.
d) виртуальная машина под управлением операционной системы Linux . Данная виртуальная машина используется как Web-сервер для официального сайта администрации и сайтов некоторых поселений. На данной виртуальной машине настроены два сетевых моста, и она настроена на взаимодействие с ИС находящиеся за пределами контролируемой зоны.
е) виртуальная машина под управлением операционной системы Linux . Данная виртуальная машина используется как почтовый сервер. Данная виртуальная машина имеет две сетевых карты и настроена на взаимодействие с ИС находящиеся за пределами контролируемой зоны через выделенный сетевой мост. Данная виртуальная машина является уязвимым местом МИС ЦОД!
f) виртуальная машина под управлением операционной системы Linux . Данная виртуальная машина используется как файловый сервер. Данный сервер введен в домен и настроен только на взаимодействие с ИС, использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования. На данном сервере программа SAMBA разграничивает доступ к расшаренным папкам согласно прав доступа к данным в домене.
Сервер виртуализации Proxmox 2.3 под управлением операционной системы Debian.:
а) Сервер 1С:Предприятие под управление операционной системы Linux. На данном сервере находятся базы 1С. На данном сервере по несколько баз данных для каждого предприятия
b) виртуальная машина под управлением операционной системы Linux. Данная виртуальная машина используется как файловый сервер 1С:Предприятие. Данный сервер обслуживает бухгалтерии и тоже введен в домен. Данная виртуальная машина настроена только на взаимодействие с ИС использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования.
с) виртуальная машина под управлением операционной системы Linux . Данная виртуальная машина используется для обслуживания кадрового отдела. Данная виртуальная машина настроена только на взаимодействие с ИС использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования. Доступ настроен через программу SAMBA согласно прав в домене.
Сервер под управлением операционной системы Alt linux 6 сертифицированный ФСТЭК. Данный сервер используется как сетевой узел, объединяющий все сети ЦОДа. Сертификат не действителен. Данный серве используется как DNS сервер внутри ЦОДА и снаружи. Также данный сервер обеспечивает маршрутизацию всей сети и прокси сервер для всех сегментов сетей. Так же данный сервер обеспечивает маршрутизацию с сетями общего пользования.
Сервер резервирования под управлением операционной системы Linux введен в домен. Данный сервер используется для резервирования виртуальных серверов. Данный сервер настроен только на взаимодействие с ИС использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования.
Сервер виртуализации Proxmox 4 под управлением операционной системы Debian. Данный сервер используется как виртуальный сервер - контроллер Касперского. Данный сервер настроен только на взаимодействие с ИС использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования.
Организации, с которыми ЦОД обеспечивает обмен информацией:
-
Министерства и ведомства края;
-
Федеральные структуры;
-
Прокуратура;
-
Судебный аппарат;
-
Казначейство;
-
Пенсионный фонд;
-
Центр занятости населения;
-
Банки;
-
Режим обработки информации
Режим работы с ИС предусматривает следующие действия с информацией: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу, обезличивание, блокирование, уничтожение.
Все пользователи МИС ЦОД имеют собственные роли и, в соответствии с ролью, права доступа и разрешенные действия.
В ЦОД предполагается разделение обязанностей по администрированию между несколькими сотрудниками. В ЦОД назначены следующие должности для управления информационной системой:
-
Начальник отдела информационно-коммуникационных технологий и общественных связей
-
Заместитель начальника отдела по связи и телекоммуникациям
-
Заместитель начальника отдела по защите информации
-
Инженер-программист 1 категории
-
Инженер-программист 1 категории
-
Инженер-программист 1 категории
-
Инженер-программист 1 категории
-
Инженер-программист 1 категории
В таблице 8.1 представлен список ролей в виде матрицы доступа МИС ЦОД.
Таблица 8.1 – Матрица доступа МИС ЦОД
| Привилегии и права, ресурс | Начальник отдела информационно-коммуникационных технологий | Заместитель начальника отдела по связи и телекоммуникациям | Заместитель начальника отдела по защите информации | Инженер-программист 1 категории |
| Изменение настроек политик AD | + | + | + | + |
| Доступ к ресурсам AD | + | + | + | + |
| Полномочия на изменение системных файлов БД | + | + | + | - |
| Настройка конфигурации серверов | + | + | + | - |
| Возможность изменения системных файлов на серверах БД | + | + | + | + |
| Работа с пользователями | - | + | + | + |
| Установка программ | + | + | + | + |
| Настройка защиты серверов | + | - | + | - |
| Настройка параметров телефонной связи | + | + | + | - |
| Настройка архивации | + | - | + | - |
| Удаленный доступ к АРМ пользователей | + | - | + | + |
| Загрузка ПЭВМ с внешних носителей (доступ к BIOS) | + | + | + | - |
| Доступ к изменению системных файлов пользователей | + | + | + | - |
| Изменение личного пароля пользователя | + | + | + | - |
| Работа с электронными подписями | + | + | + | - |
| Работа с системным журналом ОС | + | + | + | - |
| Работа с аппаратным обеспечением | + | - | + | + |
| Возможность создания ресурсов на серверах БД | + | - | + | - |
| Восстановление информационных ресурсов серверов БД | + | + | + | - |
| Работа с системным журналом СЗИ | - | - | + | - |
| Установка, настройка, сопровождение СЗИ | - | - | + | - |
| Доступ к сетевым ресурсам на АРМ пользователей | RWAXD | RWAXD | RWAXD | RWA |
| Доступ к локальным папкам пользователей | RWAXD | RWAXD | RWAXD | RWA |
| Доступ к средствам управления БД | RWAXD | RWAXD | RWAXD | RWAXD |
| Доступ к средствам управления СЗИ | RWAXDS | RWA | RWAXDS | RWA |
-
R - разрешение на открытие файлов только для чтения;
-
W - разрешение на открытие файлов для записи;
-
A - разрешение на создание файлов на диске/создание таблиц в БД;
-
D - разрешение на удаление файлов/записи в БД;
-
Х - разрешение на запуск программ;
-
S - разрешение на настройку средств защиты
-
Существующие меры защиты информации
Контроль доступа в здание осуществляется отделом охраны, а также с помощью турникетов с частичным перекрытием проема. Доступ работников ЦОД в здание осуществляется по индивидуальным пропускам. Граждане, находящиеся с ЦОД в договорных или иных гражданско-правовых отношениях, могут пройти в здание предварительно записав свои паспортные данные, на посту охраны. В помещении ЦОД ведется видеонаблюдение и имеется система видео регистрации сотрудников.
На границах контролируемой территории установлен металлический забор, и установлены камеры видеонаблюдения. Помещения оборудованы охранной сигнализацией.
Охранная сигнализация включается в конце рабочего дня и отключается в начале рабочего дня, в выходные и праздничные дни охранная сигнализация не отключается. В помещениях имеется пожарная сигнализация, работающая круглосуточно. Вся поступающая информация со средств охраны помещений централизовано поступает на пост охраны, помещение которого расположено на первом этаже у центрального входа и оборудовано «тревожной кнопкой».
Помещения ЦОД находится на 3 этаже здания. Вход в помещение осуществляется через деревянную дверь, которая запирается на замок.
Помещение серверной ЦОД, где обрабатывается и хранится информация, имеет двери, запирающиеся на ключ. На окнах установлены непрозрачные жалюзи.
Границами контролируемой зоны МИС являются ограждающие конструкции помещений (см. Приложение Б).
-
Приложение А. Конфигурация МИС и топология ЛВС ЦОД
-
Рис. А.1 – конфигурация МИС ЦОД
-
![]()
-
![]()
-
Рисунок А.2 – Топология локальной вычислительной сети ЦОД
-
Приложение Б. Размещение элементов относительно границ контролируемой зоны
-
На схемах ниже представлены план этажей здания администрации поселка Ванино, расположения ЦОД и элементов МИС ЦОД относительно границ контролируемой зоны.
-
![]()
-
Рис. Б.1 – Размещение ЦОД относительно границ контролируемой зоны на третьем этаже здания Администрации.
-
![]()
Рис. Б.2 – Размещение технических средств и систем МИС ЦОД
Рис. Б.2 – Размещение технических средств и систем МИС ЦОД 
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
