поиск по сайту

Если у вас возникли вопросы, или вам что-то не нравится, вы можете пожаловаться

Работа госслужащих с Интернет по Указу № 351

Работа госслужащих с сетью Интернет по Указу Президента РФ № 351

Защищенная работа госслужащих с сетью Интернет регламентируется Указом Президента Российской Федерации № 351 от 17 марта 2008 года (прочитать указ).

Коротко, предписания этого Указа сводятся к тому, что подключение компьютеров, на которых обрабатывается информация, содержащая сведения, составляющие государственную тайну либо принадлежащая государственным органам и содержащая служебную тайну, к сети Интернет не допускается, либо допускается только с применением специально предназначенных для этого СЗИ, в том числе криптографических, сертифицированных ФСТЭК и ФСБ.

В связи с этим напрашивается две разные стратегии:

1) добиться в достаточной степени защищенного подключения к Интернет.

2) физически разграничить СВТ, обрабатывающие сведения ограниченного распространения, входящие в область действия данного Указа, и СВТ, подключенные к Интернет.

Именно последняя модель и реализовывалась до сих пор. Реализовывалась она, как мы знаем, следующим образом - были отдельные ПК для обработки данных ограниченного распространения, и отдельные ПК, подключенные к Интернет, - то есть по 2 компьютера на 1 пользователя! Недостатки такой модели - как с точки зрения экономичности, так и с точки зрения защищенности - очевидны и не нуждаются в дополнительном рассмотрении. ОКБ САПР предложена другая реализация этой стратегии: разделение не на уровне ПК, а на уровне жестких дисков.

Два изолированных один от другого жестких диска в одном ПК

марш

Итак, на одном и том же ПК должны быть установлены два независимых друг от друга жестких диска, с которых загружаются разные операционные системы. Один из дисков предназначен для обработки сведений ограниченного распространения, а другой - нет. Соответственно, для первого жесткого диска подключение к Интернет исключено, а для другого - разрешено. Хорошо понятно, что защищенность в такой модели может быть обеспечена на должном уровне только в одном случае - если доступ к этим дискам строго разграничен, и у них нет общих ресурсов, через которые могла бы произойти утечка информации. То есть это по сути должны быть два разные компьютера в одном корпусе.

Как же это реально можно осуществить? Хорошо понятно, что программными средствами - нельзя. Но и не любыми аппаратными средствами можно обеспечить разграничение доступа на уровне не приложений, ОС или внешних устройств типа принтера или сканера, а на уровне разграничения доступа к дисковым устройствам.

ОКБ САПР разработано и поставляется устройство блокировки и коммутации SATA-устройств, которым может комплектоваться любой контроллер  Аккорд. С помощью этого коммутатора доступ к тому или иному жесткому диску блокируется на аппаратном уровне, и эту блокировку невозможно обойти в принципе. Единственный общий ресурс в этом решении - это оперативная память. Во избежание утечек через оперативную память - ее очистка обеспечивается механизмами Аккорда.

Итак, в целом, решение выглядит следующим образом: ПК с двумя изолированными один от другого жесткими дисками, в который установлен контроллер Аккорд-5.5 c USB-хостом, оснащенный SATA-блокиратором. В зависимости от того, подключена ли в момент подачи питания к USB-хосту контроллера ПСКЗИ ШИПКА, зарегистрированная в контроллере как принадлежащая лицу с необходимым уровнем доступа, коммутируется один или другой жесткий диск и после контрольных процедур АМДЗ загружается соответствующая ОС, в каждой из которых установлено ПО Аккорд-NT/2000 - Подсистема разграничения доступа, в соответствии с правилами которой ведется работа каждым легальным пользователем.

Соответственно, в случае работы на жестком диске, предназначенном для обработки информации, подпадающей под действие Указа, второй жесткий диск - с ОС с подключением к Интернет будет недоступен (физически - просто отключен от контроллера на материнской плате), а случае же работы на жестком диске с ОС, имеющей подключение к Интернет, недоступен будет жесткий диск с данными ограниченного распространения.

Причем, поскольку на разных жестких дисках одного ПК в описываемой модели работа ведется под управлением разных ОС, то с помощью настроек сети или специального ПО либо аппаратных решений несколько таких компьютеров можно объединить в локальную сеть на уровне ресурсов одного контура (уровня доступа), и для этой сети ресурсов другого уровня доступа вообще не будет существовать. Или они могут быть объединены параллельно в две изолированные друг от друга локальные сети.

Такая модель на сегодняшний день не только разработана, но и реализована, внедрена и успешно функционирует.


Для участников ВЭДДля участников ВЭД
декларирующих товары и услуги в электронной форме
ЦеныЦены
Прайс-лист
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них