個人デヌタの保護における情報システムの差別化

この蚘事の䞻題は、Cyber​​safe Firewallプログラムを䜿甚しお個人デヌタを保護する際の情報システムの範囲です。 この蚘事では、実際の䌚瀟のPCグルヌプに察するプログラムの展開ずアクセス制埡の䟋を瀺したす。









個人デヌタ情報システムの保護の芁件



ISPDn個人デヌタ情報システム-デヌタベヌスに含たれる個人デヌタず、自動化ツヌルを䜿甚しお、たたはそのようなツヌルを䜿甚せずに個人デヌタを凊理できる情報技術および技術的手段の組み合わせである情報システム。

2013幎2月18日付ロシアFSTECの第21号の呜什によるず、個人デヌタの3぀のレベルの保護を確保するために、以䞋が適甚されたす段萜12b



タむプ2の脅嚁の関連性がある堎合は少なくずもクラス3のファむアりォヌル、たたは情報システムず囜際情報亀換の情報および通信ネットワヌクずの盞互䜜甚の堎合は少なくずもクラス3のファむアりォヌル情報亀換;



この蚘事では、珟圚4番目のセキュリティレベルで認定されおいるが、1か月以内に3番目のセキュリティレベルで認定されるCyber​​safe Firewallプログラムの実際の䜿甚に぀いお怜蚌したす蚌明曞は既にFSTECによっお眲名されおいたす。 察応する蚌明曞は、 Cyber​​Soft Webサむトにありたす。 認定゜フトりェアの状態レゞスタぞのリンクは、蚘事の最埌に蚘茉されおいたす。



問題の声明



最近Cyber​​safe Firewallプログラムを実装した䌚瀟の構造を図に瀺したす。 1。





図 1.䌚瀟の構造



問題の䌚瀟には、5぀の郚門Agro郚門、IT郚門、法務郚門、管理郚門、ISPDn Atlant PDず3぀の支店が含たれおいたす。 リモヌトブランチずの通信はむンタヌネット経由です。 ゲヌトりェむには、ネットワヌク䞊の他のコンピュヌタヌず同様に、Cyber​​safe Firewallプログラムがむンストヌルされおいたす。

この蚘事の埌半では、Active Directoryを䜿甚しおネットワヌク䞊のすべおのコンピュヌタヌにCyber​​safe Firewallプログラムを展開し、グルヌプルヌルを構成する方法に぀いお説明したす。

私たちのタスクは、ISPDグルヌプを倖郚の䞖界぀たり、むンタヌネットアクセスを閉じるおよびロヌカルネットワヌクの残りから保護するこずです。 したがっお、ISPDn内のコンピュヌタヌは、互いにのみ通信できるようになりたす。 この補品は、PCグルヌプぞのアクセスを制限するタスクの可胜な限り最速の゜リュヌションのために特別に䜜成されたものであるこずに泚意しおください。 他の補品では、タスクの解決にはるかに時間がかかるか、たったく䞍可胜ですネットワヌクアドレスの動的配垃システムが䜿甚されおいる堎合。 Active Directoryを䜿甚しおプログラムを展開するのに必芁な時間を考慮しない堎合、コンピュヌタヌのグルヌプのアクセスを数分で別のグルヌプに制限できたす。

このスキヌムは、オリゞナルたたは新芏であるこずを意図しおいたせん。 課題は、耇数のIPを区別するために補品をできる限り䟿利にするか、ロシア連邊の法埋に厳密に埓っお、ロヌカルネットワヌクおよびむンタヌネットの他のセクタヌからの機密情報で1぀のIPを制限するこずでした。





倉換ファむルを䜜成



最初の手順は、倉換ファむルMSTファむルを䜜成しお、同じ蚭定でネットワヌク䞊のすべおのコンピュヌタヌにCyber​​safe Firewallを展開できるようにするこずです。 その埌、ファむアりォヌルを手動で構成する必芁はありたせん。たずえば、プログラムを入力するナヌザヌを䜜成したり、リモヌトサヌバヌのIPアドレス、ポヌトなどを指定したりする必芁はありたせん。

リモヌトCyber​​Safeファむアりォヌルサヌバヌずしお䜿甚され、ネットワヌク党䜓のファむアりォヌルを管理するために䜿甚するコンピュヌタヌにプログラムをむンストヌルしたす。 自分のコンピュヌタヌにプログラムをむンストヌルするか、ゲヌトりェむにプログラムを盎接むンストヌルしお、他のコンピュヌタヌがむンタヌネットにアクセスできるようにしたす。

次の手順を実行しお、展開スクリプトを䜜成したす。







図 2.展開スクリプトを䜜成する





図 3.展開スクリプトを保存する



Cyber​​Safe Remote Serverプログラムの詳现は、Cyber​​Safe Firewallプログラムマニュアルhttp://cybersafesoft.com/eng/products/cybersafe-firewall/に蚘茉されおいたす。

組織でActive Directoryを䜿甚しおいない堎合は、Cyber​​safe Remote Serverプログラムを䜿甚しお、バッチファむル* .batを䜜成できたす。 ネットワヌク䞊のすべおのコンピュヌタヌにプログラムを展開するには、プログラムむンストヌラヌMSIファむルずずもに各コンピュヌタヌにプログラムをコピヌし、実行バッチファむルするだけで十分です。 各コンピュヌタヌで䞀意のナヌザヌが必芁な堎合は、各コンピュヌタヌでプログラムむンストヌラヌMSIファむルを手動で実行できたすが、倉換ファむルやバッチファむルは必芁ありたせん。



Active Directoryを䜿甚したCyber​​safe Firewallの展開



次に、ActiveDirectoryを䜿甚しおサむバヌセヌフファむアりォヌルを展開するプロセスを芋おみたしょう。 このセクションのすべおの図はMicrosoft Windows Server 2012 R2で䜜成されたしたが、蚘茉されおいるすべおの手順は叀いバヌゞョンMicrosoft Windows Server 2003/2008で機胜したす。図は若干異なる堎合がありたす。

最初のステップは、゜フトりェア展開甚のフォルダヌを䜜成するこずです。 展開する必芁のあるすべおのMSIパッケヌゞが含たれたすCyber​​safe Firewallプログラム甚に別のフォルダヌを䜜成する必芁はありたせん。

C\ Installフォルダにしたす。 このフォルダヌに、CSFirewallのサブフォルダヌを䜜成したす。 前のセクションで䜜成したcsfirewall.msiむンストヌルファむルずcsfirewall.mst倉換ファむルを配眮する必芁がありたす。

C\ Installフォルダヌは共有する必芁がありたす。 これを行うには、フォルダヌを右クリックし、[ プロパティ]コマンドを遞択したす 。 [ アクセス ]タブで、[ 共有 ]ボタンをクリックし、管理者に他のすべおのネットワヌクナヌザヌに察する読み取りおよび曞き蟌みアクセスず読み取り専甚アクセスを蚱可したす。

次に、gpmc.mscグルヌプポリシヌ゚ディタヌを実行したす。 ネットワヌク䞊のすべおのコンピュヌタヌにCyber​​safe Firewallプログラムをむンストヌルする必芁があるず想定しおいたす。 したがっお、ドメむンを右クリックし、[このドメむンにGPOを䜜成 ]を遞択しおリンクしたす図4。





図 4.グルヌプポリシヌ゚ディタヌ



新しいGPOにCS_Firewallずいう名前を付けたす図5。 [ セキュリティフィルタヌ]セクションで 、 Authenticated Usersグルヌプを削陀し、このGPOの蚭定が適甚されるコンピュヌタヌ、グルヌプ、およびナヌザヌを远加したす図6。 ぀たり、プログラムをむンストヌルするコンピュヌタヌを远加したす。





図 5.新しいGPOの䜜成





図 6.䜜成されたGPO



新しく䜜成されたGPOCS Firewallを右クリックし、[ 倉曎]を遞択したす。 [ナヌザヌの構成] 、 [ポリシヌ] 、 [゜フトりェアの構成]、および[゜フトりェアのむンストヌル]セクションに移動したす図7。





図 7.セクションナヌザヌ蚭定、ポリシヌ、゜フトりェア蚭定、゜フトりェアむンストヌル



「 プログラムのむンストヌル」セクションを右クリックしお、 「新芏」、「パッケヌゞ 」を遞択したす。 衚瀺されるりィンドりで、プログラムのMSIファむルぞのパスを遞択する必芁がありたす。 ナヌザヌはネットワヌク経由でパッケヌゞにアクセスするため、ロヌカルパスではなくネットワヌクパスを入力する必芁があるこずに泚意しおください。

次のステップは、展開方法を遞択するこずです。 倉換ファむルCyber​​Safe Remote Serverプログラムによっお䜜成された.mstファむルを提䟛するため、特別な展開方法を遞択する必芁がありたす図8。 これにより、展開パッケヌゞの構成りィンドりが開きたす図9。 次に、[ 倉曎 ]タブに移動し、[ 远加 ]ボタンをクリックしお、倉換ファむル.mstファむルを遞択したす。図 10。





図 8.展開方法の遞択





図 9.展開パッケヌゞのセットアップ





図 10.倉換ファむルを指定する



OKをクリックしたす。



ご泚意 [ OK ]をクリックするず、パッケヌゞず倉換ファむルそれぞれ.msiおよび.mstファむルがキャッシュされたす。 パッケヌゞの䜜成埌に倉換ファむルを倉曎する必芁がある堎合は、展開パッケヌゞを再床䜜成する必芁がありたす。



これで、グルヌプポリシヌ゚ディタヌでの䜜業が完了したした。 すべおのりィンドりを閉じお、コマンドプロンプトを開きたたは、Win + Rを抌しお少なくずもRunを実行 、コマンドを入力したす。



gpupdate /force
      
      





以䞊です。 プログラムは、再起動埌、ログむンりィンドりが衚瀺される前にコンピュヌタヌに自動的にむンストヌルされたす。 ナヌザヌは䜕にも圱響を䞎えたり、䜕かに間違えられたりするこずはできたせん。

プログラムが自動的にむンストヌルされない堎合がありたす。 ほずんどの堎合、この問題はWindows XPを実行しおいるワヌクステヌションで発生したす。 むンストヌルするには、gpupdate / forceコマンドを手動で入力する必芁がありたす。



ファむアりォヌルルヌルを構成する



Cyber​​safe管理パネルファむアりォヌルを䜿甚しお、ネットワヌクにむンストヌルされおいるすべおのCyber​​safeファむアりォヌルにグロヌバルルヌルずグルヌプルヌルを蚭定できたす。 グロヌバルルヌルは、Cyber​​safeファむアりォヌルがむンストヌルされおいるすべおのコンピュヌタヌに適甚され、グルヌプルヌルは特定のコンピュヌタヌグルヌプにむンストヌルされたCyber​​safeファむアりォヌルの動䜜を決定したす。

グロヌバルルヌルずグルヌプルヌルを蚭定する前に、ナヌザヌを管理者ずしお指定する必芁がありたす。 これは、Cyber​​Safe Remote Serverプログラムを䜿甚しおのみ実行できたす。

管理者は、管理パネルを䜿甚しおリモヌトファむアりォヌルを管理できたす。 そのため、Cyber​​safe Remote Serverプログラムで、[ ナヌザヌ]ノヌドを展開し、管理者にするナヌザヌを遞択し、 管理者スむッチを有効にしたす図11。





図 11.ナヌザヌを管理者ずしお割り圓おる



それでは、問題の解決に取りかかりたしょう。 むンタヌネットおよびネットワヌク䞊の他のコンピュヌタヌからISTD Atlantのコンピュヌタヌぞのアクセスを犁止する必芁があるこずを思い出させおください。

Cyber​​safe Firewallプログラムに入り、メニュヌコマンドFirewall、Administration Panelを遞択したす。

ネットワヌク䞊の郚門に察応するコンピュヌタヌの異なるグルヌプを䜜成したす図1を参照。 グルヌプを䜜成するには、ワヌクスペヌスを右クリックしお[ グルヌプの远加 ]を遞択したす。 たた、コンピュヌタヌをグルヌプに远加するには、そのアむコンをグルヌプアむコンにドラッグしたす。 最終結果を図に瀺したす。 12.䜜成されたグルヌプをプログラムが「蚘憶」するように、必ず「 適甚」ボタンをクリックしおください。

グルヌプに含たれるコンピュヌタヌのIPアドレスが倉曎されおも、䜜成されたグルヌプの構成は倉曎されないこずに泚意しおください。 したがっお、組織でDHCPサヌバヌを䜿甚する堎合、グルヌプの構成に぀いお心配する必芁はありたせん。





図 12.䜜成されたグルヌプ



ISPD「Atlant PD」を匷調衚瀺しお 、 ルヌルの蚭定ボタンを抌したす。 したがっお、グルヌプルヌルを蚭定できたす。 グロヌバルルヌルを蚭定するには、[ すべお ]ノヌドを遞択し、[ ルヌルの蚭定 ]ボタンをクリックしたす。

そのため、 ISPDnグルヌプ「Atlant PD」のルヌルを確立したす。 衚瀺されるりィンドりで、[ セキュリティルヌル ]セクションに移動し、[ 远加 ]ボタンをクリックしたす図13。





図 13.安党ルヌルただ蚭定されおいたせん



[ 党般 ]タブ図14で、ルヌルの説明-「グルヌプ<グルヌプ名>ずのデヌタ亀換の犁止」を指定したす。

ルヌルタむプを蚭定- パケットを拒吊、パケットの方向を遞択- すべおのパケットずプロトコル- 任意 。





図 14. 䞀般タブ



゜ヌスずしおISPD "Atlant PD"を指定し、受信者ずしお-IT郚門などの䌁業のグルヌプの1぀を指定したす。 OKをクリックしたす。

このルヌルは䜕をしたすか ISTDコンピュヌタヌ「Atlant PD」がIT郚門グルヌプにパケットを転送するこずを犁止したす。 IT郚門グルヌプの䞀郚のコンピュヌタヌがISPDnグルヌプ「Atlant PD」のコンピュヌタヌずの接続を確立しようずしおも、 ISPDnグルヌプ「Atlant PD」のコンピュヌタヌはルヌルで犁止されおいるため、ただ応答できたせん。





図 15. ゜ヌスタブ





図 16. [ 受信者 ]タブ



ネットワヌク䞊の残りのグルヌプに察しお手順を繰り返したす。 図に瀺す䞀連のルヌルを取埗する必芁がありたす。 17。





図 17. ISPDnグルヌプ「Atlant PD」のルヌルを䜜成したした



むンタヌネットぞのアクセスを犁止するこずは残っおいたす。 これを行うには、ゲヌトりェむずのデヌタ亀換を単に犁止したす。 これを行うために、ISPD「Atlant PD」の別の安党ルヌルを䜜成したす。 [党般]タブで、次のようにパラメヌタヌを蚭定したす。

  1. 説明-むンタヌネットぞのアクセスを拒吊する
  2. ルヌルタむプ-パケットの拒吊
  3. パケットの方向-すべおのパッケヌゞ甚
  4. プロトコル-任意




[ ゜ヌス ]タブで、 ISPDの゜ヌスずしおAtlant PDを遞択したす図15。 [ 受信者 ]タブで、サヌバヌのIPアドレス内郚、たずえば192.168.1.1を蚭定したす図18。





図 18.むンタヌネットアクセスの犁止



OKをクリックしたす。 デフォルトでは、すべおのルヌルが無効になっおいたす。 それらを有効にするには、各ルヌルを右クリックしお、[ 有効化]コマンドを遞択したす。 ルヌルの最終バヌゞョンを図に瀺したす。 19.ルヌルのステヌタス- 有効に泚意しおください。





図 19.ルヌルの最終バヌゞョン



セキュリティルヌルを線集するためのりィンドりを閉じ、 管理パネルりィンドりで[ 適甚 ]ボタンをクリックしおから、りィンドり自䜓を閉じたす。



おわりに



この問題は解決され、 ISPDn Atlant PDグルヌプのコンピュヌタヌはロヌカルネットワヌク䞊の他のコンピュヌタヌず察話できなくなり、むンタヌネットにアクセスできなくなりたした。 Cyber​​safe Firewallプログラムにより、個人デヌタ情報システムはネットワヌクの他の郚分から完党に隔離されたした。



参照資料



Cyber​​Soft LLC

サむバヌセヌフファむアりォヌルプログラム

ロシアFSTEC第21号の呜什

認定情報セキュリティツヌルの州登録



All Articles