Система безопасности корпоративной сети ЯНФЭ ОАО «Уралсвязьинформ». Типовые схемы построения периметра защиты узлов

1   Общиеположения

1.1Наименованиесистемы

Наименование разрабатываемой системы - Система безопасности корпоративной се­ти ЯНФЭ ОАО «Уралсвязьинформ».

Объекты - территориальные узлы электросвязи:

- Салехардский ТУЭС;

- Надымский ТУЭС;

- Новоуренгойский ТУЭС;

- Ноябрьский ТУЭС;

- Муравленковский цех Ноябрьского ТУЭС;

- Красноселькупский ТУЭС;

- Тазовский ТУЭС;  

- Губкинский ТУЭС;

- Пуровский ТУЭС;

- Ямальский ТУЭС;

- ШурышкарскийТУЭС.

1.3   Основаниедляпроектирования

Технический проект разработан в соответствии с Техническим заданием на Создание системы безопасности корпоративной сети передачи данных ЯНФЭ ОАО «Уралсвязьин­форм».

1.4   Соответствиепроектныхрешенийдействующимнор­мамиправилам

Предлагаемые проектные решения соответствуют действующим нормам Правил тех­ники безопасности при эксплуатации электроустановок ППБ-1-93 и требованиям СНиП 21-0197.

Технический проект разработан в соответствии с комплексом стандартов и руково­дящих документов на автоматизированные системы:

- ГОСТ 34.201-90. Информационная технология. Виды, комплектность и обозна­чение документов при создании автоматизированных систем;

- ГОСТ 34.602-90. Информационная технология. Автоматизированные системы. Стадии создания;

- РД    50-680-88.    Методические    указания.    Автоматизированные    системы. Основные положения;

- РД 50-34.698-90. Методические указания. Информационная технология. Авто­матизированные системы. Требования к содержанию документов;

- ГОСТ 34.003-90. Информационная технология. Автоматизированные системы. Термины и определения.

1.5  Сведенияобиспользованииприпроектированиинорма­тивно-техническихдокументов

При разработке настоящего технического проекта использовались следующие нор­мативно-технические и информационные материалы:

- Общее Техническое задание.

- Результаты обследования объекта.

- Исходные данные по составу объектов автоматизации.

- Исходные данные по размещению оборудования ЛВС.

- Технологические наработки ЗАО «КРОК инкорпорейтед».

- ГОСТ 24.104-85. Единая система стандартов автоматизированных систем управ­ления. Автоматизированные системы управления. Общие требования.

- ГОСТ   34.201-89.   Информационная   технология.   Комплекс   стандартов   на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.

- ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.

- ГОСТ   34.601-90.    Информационная   технология.   Комплекс   стандартов   на автоматизированные системы. Автоматизированные системы. Стадии создания.

- Фирменные материалы компании CISCO Systems: Руководство по разработке решения   интегрированной   сетевой   безопасности   (Cisco   Integrated   Network Security Solutions)

- Фирменные материалы компании CISCO Systems: Информационные материалы по разработке решения и внедрения сетевой безопасности (Cisco SAFE)

- Фирменные материалы компании CISCO Systems: Руководство по разработке комплексных сетей (Internetworking Design Guide)

1.6 Назначение

Обеспечение информационной безопасности при подключении корпоративной сети ТУЭС ЯНФЭ ОАО «Уралсвязьинформ» к сети Интернет и обеспечение безопасного об­мена данными между ТУЭС через Виртуальную Частную Сеть (Virtual Private Network, в дальнейшем VPN).

1.7 Требованияксистеме

Решение по информационной безопасности должно обеспечить:

- эффективный, надежный и защищенный доступ пользователей в сеть Интернет;

- надежную  защищенную  среду  взаимодействия  территориально  разделенных подразделений ЯНФЭ ОАО «Уралсвязьинформ» через сеть Интернет;

- безопасную публикацию информационных ресурсов в сети Интернет и контроль доступа к ним;

- централизованную систему управления и мониторинга оборудования обеспече­ния безопасности.

Создаваемая система безопасности корпоративной сети ЯНФЭ ОАО «Уралсвязьин-форм» должна соответствовать санитарно-эпидемиологическим, экологическим, пожар­ным, строительным нормам и правилам и государственным стандартам.

Разрабатываемая система предусматривают комплекс мер безопасности организаци­онно-технического характера. Обеспечение защиты объектов сети реализуется организа­цией:

- безопасности периметра;

- безопасности активного сетевого оборудования узлов ТУЭС;

- дополнительных мер безопасности серверов, рабочих станций, системы управ­ления.

1.8 Требованияктехнологическомупроцессу

эксплуатации

- Должен обеспечиваться централизованный процесс управления системой защи­ты информации сети.

- Управление системой должно быть иерархически-распределенным. Подсисте­мы, входящие в состав сети, должны иметь собственные центры управления, ко­торые должны координировать управление с одноуровневыми и вышестоящими системами.

- Процесс управления системой безопасности должен исключать несанкциониро­ванные изменения политики безопасности компонент системы конечным поль­зователем.

2   Исходныеданныедляпроектирования

Основные исходные данные для данного проекта указаны в Техническом задании, либо получены в результате предпроектного обследования.

2.1   Логическаясхемавзаимодействиятерриториальнораз­несенныхузлов

Согласно Техническому Заданию ТУЭС разделяются на иерархические группы, верхнего уровня и нижнего. Группа узлов верхнего иерархического уровня связана по ти­пу «каждый с каждым», каждый узел нижней группы подсоединяются ко всем узлам верхней группы.

К узлам верхнего иерархического уровня относятся:

 - Салехардский ТУЭС;

 - Надымский ТУЭС;

 - Новоуренгойский ТУЭС;

 - Ноябрьский ТУЭС.

К узлам нижнего иерархического уровня относятся:

 - Муравленковский цех Ноябрьского ТУЭС;

 - Красноселькупский ТУЭС;

 - Тазовский ТУЭС;

 - Губкинский ТУЭС;

 - Пуровский ТУЭС;

 - Ямальский ТУЭС;

 - Шурышкарский ТУЭС.

Устройства узлов верхнего уровня имеют отказоустойчивую конфигурацию межсе­тевых экранов, укомплектованы сетевым сенсором обнаружения атак (за исключением ТУЭС Надымский).

VPN туннели организованы на основе протокола шифрования DES с ключом 56 бит и алгоритма хеширования MD5.

2.2  IPадресациявкорпоративнойсетиЯНФЭОАО«Урал-связьинформ»

Сведения о IP адресация корпоративной сети ЯНФЭ ОАО «Уралсвязьинформ» полу­чены в приложении к Техническому заданию, приведены в Таблице 2.1.