Есть вопрос?
Зайди на форум

Поиск:

Denix: русификация Ubuntu и кодеки :: RSS:: Скачать книги Колисниченко в PDF

Англо-русский словарь компьютерных терминов (Д. Колисниченко)

A  B  C  D  E  F  G  H  I  K  L  M  N  O  P  Q  R  S  T  V  W  X  Y  Z 

укрпочта отслеживание посылок перевод денег график отключения света в Кировограде график отключения счета в Киеве график отключения света в Одессе (zip)

Разграничение информационных систем при защите персональных данных

Предмет данной статьи - разграничение информационных систем при защите персональных данных с помощью программы Киберсейф Межсетевой экран. В статье будет показан пример развертывания программы и разграничения доступа групп ПК в реальной компании.

Требования к защите информационных систем персональных данных

ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

В этой статье будет рассмотрено практическое использование программы Киберсейф Межсетевой экран, которая на данный момент сертифицирована по 4-ому уровню защищенности, однако в течение месяца будет сертифицирована по 3-ему уровню. С соответствующим сертификатом можно ознакомиться на сайте компании КиберСофт. Ссылка на государственный реестр сертифицированного ПО будет приведена в конце статьи.

Постановка задачи

Структура компании, в которой мы недавно внедряли программу Киберсейф Межсетевой экран, изображена на рис. 1.

Рис. 1. Структура компании

Рассматриваемая компания содержит пять отделов (Агроотдел, IT-отдел, юридический отдел, отдел управления, ИСПДн «Атлант ПД») и три филиала. Связь с удаленными филиалами осуществляется через Интернет. На шлюзе, как и на остальных компьютерах сети, установлена программа Киберсейф Межсетевой экран. Далее в этой статье будет показано развертывание программы Киберсейф Межсетевой экран на все компьютеры сети с помощью Active Directory, а также настройка групповых правил.

Наша задача - оградить группу ИСПДн от внешнего мира (то есть закрыть ей доступ в Интернет) и от остальной локальной сети. Таким образом, компьютеры в ИСПДн смогут "общаться" только друг с другом. Стоит отметить, что данный продукт был специально создан для максимально быстрого решения задач по ограничению доступа к группам ПК. В других продуктах решение поставленной задачи занимает гораздо больше времени или вообще невозможно (если используется система динамического распределения сетевых адресов). Если не учитывать время, необходимое на развертывание программы с помощью Active Directory, ограничить доступ одной группы компьютеров к другой вы сможете за считанные минуты.

Данная схема не претендует на оригинальность или новизну. Задача была сделать продукт максимально удобным для разграничения нескольких ИС или ограничить одну ИС с конфиденциальной информацией от других секторов локальной сети и интернет

Создание файла трансформации

Первым делом нужно создать файл трансформации (MST-файл), чтобы была возможность выполнить развертывание Киберсейф Межсетевой экран на все компьютеры сети с одинаковыми настройками. После этого вам не придется вручную настраивать межсетевой экран, например, создавать пользователя для входа в программу, указывать IP-адрес удаленного сервера, его порт и т.д.

Установите программу на компьютер, который будет использоваться в качестве удаленного сервера Киберсейф Межсетевой экран, и который будет использоваться вами для управления межсетевыми экранами всей сети. Можете установить программу на свой собственный компьютер, а можете установить программу сразу на шлюз, который будет предоставлять остальным компьютерам доступ к Интернету.

Для создания сценария развертывания выполните следующие действия:

Рис. 2. Создание сценария развертывания

Рис. 3. Сохранение сценария развертывания

Подробно программа Киберсейф Удаленный сервер рассмотрена в руководстве по программе Киберсейф Межсетевой экран (http://cybersafesoft.com/rus/products/cybersafe-firewall/).

Если в вашей организации не используется Active Directory, то с помощью программы Киберсейф Удаленный сервер вы можете создать командный файл (*.bat). Для развертывания программы на всех компьютерах сети достаточно будет скопировать его на каждый компьютер вместе с инсталлятором программы (MSI-файл) и запустить его (командный файл). Если же для каждого компьютера нужны уникальные пользователи, тогда можно на каждом компьютере вручную запустить инсталлятор программы (MSI-файл), при этом вам не нужны ни файл трансформации, ни командный файл.

Развертывание Киберсейф Межсетевой экран с помощью Active Directory

Теперь рассмотрим процесс развертывания программы Киберсейф Межсетевой экран с помощью ActiveDirectory. Все иллюстрации для этого раздела были созданы в Microsoft Windows Server 2012 R2, но все приведенные инструкции будут работать и в более старых версиях (Microsoft Windows Server 2003/2008), возможно, немного будут отличаться иллюстрации.

Первым делом нужно создать папку для развертывания программного обеспечения. Она будет содержать все MSI-пакеты, развертывания которых вам нужно выполнить (не нужно создавать отдельную папку для программы Киберсейф Межсетевой экран).

Пусть это будет папка C:\Install. В этой папке создайте подпапку CSFirewall. В нее нужно поместить установочный файл csfirewall.msi и файл трансформации csfirewall.mst, который вы создали в предыдущем разделе.

К папке C:\Install нужно предоставить общий доступ. Для этого щелкните правой кнопкой по папке и выберите команду Свойства. На вкладке Доступ нажмите кнопку Общий доступ и предоставьте доступ на чтение и запись администратору и доступ только на чтение всем остальным пользователям сети. Далее запустите редактор групповой политики gpmc.msc. Мы предполагаем, что программу Киберсейф Межсетевой экран нужно установить на все компьютеры сети. Поэтому щелкните правой кнопкой мыши на домене и выберите команду Создать объект групповой политики в этом домене и связать его (рис. 4).

Рис. 4. Редактор групповой политики

Назовите новый объект групповой политики CS_Firewall (рис. 5). В разделе Фильтры безопасности удалите группу Прошедшие проверку и добавьте компьютеры, группы и пользователей, к которым будут применены параметры данного объекта групповой политики (рис. 6). Другими словами добавьте компьютеры, на которые должна быть установлена программа.

Рис. 5. Создание нового объекта GPO

Рис. 6. Созданный объект GPO

Щелкните правой кнопкой мыши на только что созданном GPO (CS Firewall) и выберите команду Изменить. Перейдите в раздел Конфигурация пользователя, Политики, Конфигурация программ, Установка программ (рис. 7).

Рис. 7. Раздел Конфигурация пользователя, Политики, Конфигурация программ, Установка программ

Щелкните правой кнопкой на разделе Установка программ и выберите команду Создать, Пакет. В появившемся окне нужно выбрать путь к MSI-файлу программы. Обратите внимание, что вводить нужно не локальный путь, а сетевой, поскольку пользователи будут получать доступ к пакету по сети. Следующий шаг - выбор метода развертывания. Поскольку мы хотим предоставить файл трансформации (mst-файл, созданный программой Киберсейф Удаленный сервер), то нужно выбрать особый метод развертывания (рис. 8). Благодаря этому будет открыто окно настройки пакета развертывания (рис. 9). Затем перейдите на вкладку Модификации, нажмите кнопку Добавить и выберите файл трансформации (.mst-файл), рис. 10.

Рис. 8. Выбор метода развертывания

Рис. 9. Настройка пакета развертывания

Рис. 10. Указываем файл трансформации

Нажмите кнопку OK.

Примечание. После нажатия кнопки OK пакет и файл трансформации (файлы .msi и .mst соответственно) будут прокэшированы. Если вам понадобится изменить файл трансформации после создания пакета, то придется создавать пакет развертывания заново.

На этом работа с редактором групповой политики завершена. Закройте все окна, откройте командую строку (или хотя бы окно Выполнить, нажав комбинацию клавиш Win + R) и введите команду:

gpupdate /force

На этом все. Программа будет автоматически установлена на компьютеры после их перезагрузки и до отображения окна входа в систему. Пользователь ни на что не может повлиять и ни в чем не может ошибиться. Иногда программа не устанавливается автоматически. Чаще всего такая проблема наблюдается на рабочих станциях под управлением Windows XP. Чтобы произвести ее установку, нужно вручную ввести на ней команду gpupdate /force.

Настройка правил брандмауэра

Используя панель администрирования Киберсейф межсетевой экран, вы можете задать глобальные и групповые правила для всех межсетевых экранов Киберсейф, установленных в вашей сети. Глобальные правила распространяются на все компьютеры, на которых установлена программа Киберсейф межсетевой экран, а групповые правила определяют поведение программы Киберсейф межсетевой экран, установленной на определенной группе компьютеров.

Прежде, чем приступить к настройке глобальных и групповых правил, нужно назначить пользователя администратором. Сделать это можно только с помощью программы Киберсейф Удаленный сервер.

Администратор может с помощью панели администрирования управлять удаленным брандмауэром. Итак, в программе Киберсейф Удаленный сервер разверните узел Пользователи и выберите пользователя, которого вы хотите сделать администратором и включите переключатель Администратор (рис. 11).

Рис. 11. Назначение пользователя администратором

Теперь приступим к решению нашей задачи. Напомню, нам нужно запретить доступ компьютерам ИСПДн "Атлант" доступ к Интернету и к другим компьютерам сети.

Войдите в программу Киберсейф Межсетевой экран и выберите команду меню Файрвол, Панель администрирования. Создайте различные группы компьютеров, которые будут соответствовать имеющимся в сети отделам (см. рис. 1). Для создания группы щелкните правой кнопкой мыши на рабочей области и выберите команду Добавить группу. А чтобы добавить в группу компьютер просто перетащите его пиктограмму на пиктограмму группы. Конечный результат приведен на рис. 12. Обязательно нажмите кнопку Применить, чтобы программа "запомнила" созданные группы. Нужно отметить, что при изменении IP-адресов входящих в группу компьютеров состав созданной группы не изменится. Поэтому не стоит волноваться о составе группы в случае использования в вашей организации DHCP-сервера.

Рис. 12. Созданные группы

Выделите ИСПДн "Атлант ПД" и нажмите кнопку Установить правила. Так вы сможете установить групповые правила. Для установки глобальных правил нужно выделить узел Все и нажать кнопку Установить правила.

Итак, установим правила для группы ИСПДн "Атлант ПД". В появившемся окне перейдите в раздел Правила безопасности и нажмите кнопку Добавить (рис. 13).

Рис. 13. Правила безопасности: пока не заданы

На вкладке Общие (рис. 14) задайте описание правила - "Запрет обмена данными с группой <Название группы>". Установите тип правила - Запретить пакеты, выберите направление пакетов - Для всех пакетов и протокол - Любой.

Рис. 14. Вкладка Общие

В качестве источника укажите ИСПДн "Атлант ПД", а в качестве получателя - одну из групп вашего предприятия, например, IT-отдел. Нажмите кнопку OK.

Что делает это правило? Оно запрещает компьютерам ИСПДн "Атлант ПД" передавать любые пакеты в группу IT-отдел. Даже если какой-то компьютер из группы IT-отдел попытается установить соединение с компьютером группы ИСПДн "Атлант ПД", то компьютеры группы ИСПДн "Атлант ПД" все равно не смогут ответить ему, поскольку им это запрещает правило.

Рис. 15. Вкладка Источник

Рис. 16. Вкладка Получатель

Повторите описанную процедуру для остальных групп в вашей сети. У вас должен получиться набор правил, показанный на рис. 17.

Рис. 17. Созданные правила для группы ИСПДн "Атлант ПД"

Осталось запретить доступ к Интернету. Для этого достаточно запретить любой обмен данными со шлюзом. Для этого создадим еще одно правило безопасности для ИСПДн "Атлант ПД". На вкладке Общие установите параметры так:

  1. Описание - Запрет доступа к Интернету
  2. Тип правила - Запретить пакеты
  3. Направление пакетов - Для всех пакетов
  4. Протокол - Любой

На вкладке Источник выберите в качестве источника ИСПДн "Атлант ПД" (рис. 15). На вкладке Получатель установите IP-адрес сервера (внутренний), например, 192.168.1.1 (рис. 18).

Рис. 18. Запрет доступа к Интернету

Нажмите кнопку OK. По умолчанию все правила являются выключенными. Для их включения щелкните на каждом правиле правой кнопкой мыши и выберите команду Включить. Окончательный вариант правил показан на рис. 19. Обратите внимание на статус правила - Включено.

Рис. 19. Окончательный вариант правил

Закройте окно редактирования правил безопасности, а в окне Панель администрирования нажмите кнопку Применить, а затем закройте само окно.

Вывод

Поставленная задача решена и теперь компьютеры группы ИСПДн "Атлант ПД" не могут взаимодействовать с остальными компьютерами локальной сети и у них нет доступа к Интернету. Средствами программ Киберсейф Межсетевой экран информационная система персональных данных была полностью изолирована от остальной сети.

На главную

Мне нравится!

Сегодня: 17/01

Поздравлять сегодня некого

Последние посты форума

Интересная картинка

Samsung Galaxy J2 Prime (SM-G532F)

дааа

Обучение PHP-программированию

Новый дизайн сайта

Возвращение на динамическую страницу сайта

С Новым Годом!

Бесплатный хостинг, SSL сертификат, не ограниченно

капец погода в ноябре у нас

Посоветуйте хостинг

флэшмобы

вот люди где живут... экстрим

авто-дилеры

Программы для Linux

книга Командная строка Linux и автоматизация рутинных задач

Совет:

Книги Д. Колисниченко:

Linux

Linux. От новичка к профессионалу. 2-е изд.Linux. От новичка к профессионалу. 2-е изд.
Даны ответы на все вопросы, возникающие при работе с Linux: от установки и настройки этой ОС до настройки сервера на базе Linux. Материал книги максимально охватывает все сферы применения Linux                                                                                                            

Fedora 8. Руководство пользователяFedora 8. Руководство пользователя
Эта книга поможет быстро освоить новую версию дистрибутива Linux Fedora 8. В ней рассказывается, как установить Fedora 8 и выполнить базовую настройку системы после установки, организовать подключение к Интернету...                                                                                      

Командная строка Linux и автоматизация рутинных задачКомандная строка Linux и автоматизация рутинных задач
Рассмотрены команды Linux, основы работы в командной строке, а также настройка системы с помощью программ, обладающих только текстовым интерфейсом. Работа с системой выполняется только в режиме консоли, что требует определенной квалификации пользоват                                                   

PHP

PHP 5/6 и MySQL 6. Разработка Web-приложений. 3-е издPHP 5/6 и MySQL 6. Разработка Web-приложений. 3-е изд
Даны начала программирования на PHP: установка и настройка PHP и MySQL, выбор редактора PHP-кода, основы синтаксиса и самые полезные функции PHP.                                                                                                                                                            

Современный сайт на РНР и JavaScript (+CD)Современный сайт на РНР и JavaScript (+CD)
Эта книга о PHP и не только. С помощью PHP вы легко создадите сайт любого масштаба — от небольшой личной странички до сайта уровня предприятия со сложной панелью управления.                                                                                                                                

HTML 5 & CSS 3 - практическо програмиране за начинаещиHTML 5 & CSS 3 - практическо програмиране за начинаещи
Тази книга ще ви научи как да прилагате на практика HTML 5 и CSS 3 и да се възползвате от богатите възможности, предлагани в новите уеб стандарти. Изданието е предназначено за всеки, който е решил да се възползва от съвременните технологии за уеб диз                                                   

Интернет/CMS

Интернет: от Интернет: от "чайника" к пользователю (+Видеокурс на CD)
Книга предназначена для начинающего домашнего пользователя, поможет ему самостоятельно освоить основы Интернета и начать уверенную работу.                                                                                                                                                                   

Новейший самоучитель компьютера и ИнтернетНовейший самоучитель компьютера и Интернет
О такой книге долгие годы мечтали миллионы начинающих пользователей, которые осваивали технику самостоятельно или по непонятным, громоздким руководствам.                                                                                                                                                    

Drupal 7. Руководство пользователяDrupal 7. Руководство пользователя
Эта книга — простое и эффективное учебное пособие по освоению и использованию системы управления контентом веб-сайта Drupal версии 7.0                                                                                                                                                                       

Компьютер/Windows

Windows 8. Настройка, работа, администрированиеWindows 8. Настройка, работа, администрирование
Книга предназначена всем пользователям, желающим начать работу с новой версией операционной системы компании Microsoft - Windows 8. Подробно описаны особенности установки, настройки и восстановления системы, а также методы повышения ее производительн                                                   

Компьютер На Флешке. Работающие Windows, Linux, офис и 150 самых полезных программКомпьютер На Флешке. Работающие Windows, Linux, офис и 150 самых полезных программ
В этой книге вы найдете уникальную полезную информацию о том, как установить на флешку Windows XP и Windows Vista...                                                                                                                                                                                         

Нетбук для экономныхНетбук для экономных
Книга предназначена в первую очередь для экономных пользователей. Упор делается на выбор недорогого нетбука и бесплатных программ.                                                                                                                                                                           

Сети

Самоучитель системного администратора. 4-е изд.Самоучитель системного администратора. 4-е изд.
Изложены основные задачи системного администрирования, описаны базовые протоколы, даны рекомендации по выбору оборудования и проведению ежедневных рутинных операций. Подробно раскрыты технологии, используемые при построении информационных систем, опи                                                   

Беспроводная сеть дома и в офисеБеспроводная сеть дома и в офисе
Книга поможет начинающему администратору домашней или офисной сети в кратчайшие сроки развернуть, настроить или модернизировать беспроводную сеть. Отличный выбор для построения сети SOHO                                                                                                                   

Сделай сам компьютерную сеть. Монтаж, настройка, обслуживание. Изд. 2.Сделай сам компьютерную сеть. Монтаж, настройка, обслуживание. Изд. 2.
Книга о настройке сети в Windows (98,NT,XP) и Linux. Является превосходным практическим руководством по созданию и обслуживанию компьютерных сетей.                                                                                                                                                          

Безопасность

Анонимность и безопасность в Интернете. От Анонимность и безопасность в Интернете. От "чайника" к пользователю
Простым и понятным языком рассказано, как скрыть свое местонахождение и IP-адрес, используя анонимные сети Tor и I2P, посетить заблокированные администратором сайты, защитить личную переписку от посторонних глаз                                                                                          

Rootkits под Windows. Теория и практика программирования “шапок-невидимок“, позволяющих скрывать от системы данные, процессы, сетевые соединения.Rootkits под Windows. Теория и практика программирования “шапок-невидимок“, позволяющих скрывать от системы данные, процессы, сетевые соединения.
-                                                                                                                                                                                                                                                                                                            

Автомобили

Что делать, чтобы не надули в автосервисе. Советует и рекомендует президент клуба BMWЧто делать, чтобы не надули в автосервисе. Советует и рекомендует президент клуба BMW
В этой книге речь пойдет о том, как правильно выбрать СТО; о преимуществах и недостатках гарантии; о том, как не дать в автосалоне навязать себе дополнительную комплектацию                                                                                                                                

Новичок за рулем 2. Выбор автомобиля, дальняя поездка...Новичок за рулем 2. Выбор автомобиля, дальняя поездка...
Книга вторая. Желательно прочтение первой книги. Рекомендуется всем начинающим (и не только) водителям/ . Текст этой книги бесплатно доступен в моем блоге http://dkws.net                                                                                                                                   

Особенности безопасной езды в разных условиях (город, бездорожье, гололед, горный серпантин).Особенности безопасной езды в разных условиях (город, бездорожье, гололед, горный серпантин).
Безопасная езда - это когда целы машина, пассажиры, водитель и деньги водителя                                                                                                                                                                                                                               

Переводные книги

Переводные книгиПереводные книги
Данные книги были переведены мною на русский язык (с английского и чешского). Надеюсь качество перевода вам понравится!                                                                                                                                                                                      

Android

Планшет и смартфон на базе Android для ваших родителейПланшет и смартфон на базе Android для ваших родителей
Книга рассчитана на людей среднего и старшего возраста. Она поможет освоить современный «карманный компьютер» на базе Android, в котором все новое и "не так, как в Windows". Доступным языком описывается, как включить и выключить смартфон и т.д.                                                         

Безопасный Android: защищаем свои деньги и данные от кражиБезопасный Android: защищаем свои деньги и данные от кражи
Рассмотрены различные способы обеспечения безопасности Android-устройств: шифрование персональной информации, хранящейся на устройстве, шифрование передаваемых данных, VPN-соединения, анонимизация трафика                                                                                             

Планшет и смартфон на базе Android для ваших родителей, 2-е изд.Планшет и смартфон на базе Android для ваших родителей, 2-е изд.
Книга знакомит читателя с мобильными устройствами на базе Android. Она написана простым и понятным языком для людей среднего и старшего возраста                                                                                                                                                             

Статьи

Rambler's Top100