21 сентября, пятница 15:40
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

ЛВС Банка + Электронные расчеты с ЦБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ЛВС Банка + Электронные расчеты с ЦБ

    Интересен вопрос относительно организации связи АБС и АРМ КБР. Каким образом осуществляется взаимодействие между АРМ КБР и АБС? В текущий момент обмен реализован с помощью промежуточного носителя (дискет). Подключает ли кто-нибудь ЭВМ с АРМом в локальную сеть банка и какие меры предпринимаются с целью обеспечения информационной безопасности такого обмена? А также какого мнение ЦБ на этот факт?

  • #2
    Маслов Д. А. АРМ КБР
    What's this?
    В каждой программе есть по крайней мере одна ошибка

    Комментарий


    • #3
      2 Big_Mike : АРМ КБР(автоматизированное рабочее место клиента банка россии)- это очень удобная и красивая сестричка конвы))).Региональные банки давно уже обкатывают эту технологию.
      2 Маслов Д. А.: Относится ЦБ к данному вопросу вполне лояльно.
      Во всяком случае, ниодна проверка ниразу не выявляла нарушений по этому поводу. Или я ошибаюсь и существуют предписания ЦБ по этому поводу?

      Комментарий


      • #4
        Попадалось на мои глаза предписание относительно организации рабочего места АРМ КБР. Там было сказано, что не допускается использование на компьютере с АРМом средств разработки, средств диасемблирования и т.д. Также необходимо обеспечить изолированность компьютера от сети. Вот только не помню, что за документ.
        Вчера интересовался у сотрудников безопасности ЦБ, насчет этого вопроса. Сказали, что можно спокойно подключать в локальную сеть банка, главное обеспечить изолированность от Интернет.

        Комментарий


        • #5
          4.2. Организация защищенного подключения АРМ КБР в локальную вычис-лительную сеть клиента
          Необходимо организовать защищенное подключение АРМ КБР в локальную вычислитель-ную сеть (ЛВС) клиента, предполагающее отсутствие технической возможности доступа к АРМ КБР из внешних, по отношению к ЛВС клиента, сетей.
          Указанная задача должна решаться в аспектах:
           защиты ЛВС клиента от сетевых атак из внешних сетей путем применения межсетевого экрана, который должен осуществлять фильтрацию сетевого трафика и соответствовать требова-ниям руководящего документа Гостехкомиссии России «Средства вычислительной техники. Меж-сетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищен-ности от несанкционированного доступа к информации» по 4 классу защищенности;
           реализации таких схем конфигурирования ПК АРМ КБР, при которых обеспечивается невозможность вброса данных в обход заданного технологического цикла обработки данных.

          Комментарий


          • #6
            Не подскажите в каком нормативном документе это сказано, что-то никак найти не удается?

            Комментарий


            • #7
              Автоматизированное рабочее место
              клиента Банка России
              Версия 2
              Руководство по обеспечению информационной безопасности
              ЦБРФ.61209-02 93 01

              Комментарий


              • #8
                Спасибо за указание документа. Поискав межсетевой экран соответсвующий 4 классу безопасности я нашел, только Cisco PIX и ISA. Как я полагаю, что ключевым предложением в данной инструкции является:
                "Необходимо организовать защищенное подключение АРМ КБР в локальную вычислитель-ную сеть (ЛВС) клиента, предполагающее отсутствие технической возможности доступа к АРМ КБР из внешних, по отношению к ЛВС клиента, сетей."

                Комментарий


                • #9
                  4 класс
                  http://www.altlinux.ru/products/enterprise/utes-k.html

                  2 класс
                  http://www.altlinux.ru/products/ente...-kolchuga.html

                  Комментарий


                  • #10
                    вынос рабстанции с армом в дмз и все дела.

                    Комментарий


                    • #11
                      Сообщение от DimCh Посмотреть сообщение
                      вынос рабстанции с армом в дмз и все дела.
                      Если честно я не совсем понял задумки выноса АРМ в демилитаризованную зону. Так как АРМ вообще не должен иметь доступ в Интернет и соотвественно необходимо чтобы к нему нельзя было из Интернет достучаться.

                      Комментарий


                      • #12
                        А может просто заюзать VLAN'ы и/или 802.11x?

                        Комментарий


                        • #13
                          DimCh вынос рабстанции с армом в дмз и все дела.

                          эээ
                          если вы имеете ввиду под ДМЗ - некую простую отдельную никуда не подключенную ЛВС - то да... согласен - и все дела., но в классическом понимании термин ДМЗ - это как раз скорее наоборот...

                          ведь если смотреть на взаимодействие
                          "сеть АРМ" - "сеть банка"
                          то направление скорее будет таким:
                          сеть АРМ -> сеть банка

                          а ДМЗ подразумевает как раз с точностью до наоборот
                          сеть ДМЗ - сеть банка

                          исходя из этого... для обеспечения безопасности АРМ как минимум надо включить брандмауэр на самой станции, где установлен АРМ...
                          это уже обеспечит хотя бы то, что станция не будет отвечать на все "непрошенные" соединения...
                          а вот сама станция уже сможет подключаться к нужным ресурсам в сети банка... и осуществлять файловый обмен в виде XML файлов...
                          ресурс, где будут сие файлы располагаться разумеется тоже должен иметь соответствующие правила доступа...


                          можно еще накрутить фильтрацию по IP - только с конкретного IP на этот ресурс и более с других - ни-ни... и т.д.
                          в общем это уже все от фантазии зависит

                          главное обеспечить правильное направление взаимодействия
                          Последний раз редактировалось Dr.Little; 04.03.2008, 18:53.
                          Рад бы в Рай, да... реаниматоры не пускают!

                          Комментарий


                          • #14
                            вобщем... задачка-то тривиальная

                            конечно предвосхищаю возможные гневные восклицания... как это так
                            направление в сторону сети банка
                            ну да... именно так...
                            потому что по сути получается, что по сравнению с сетью АРМ сеть банка "более грязная"
                            и направление взаимодействия
                            "Сеть АРМ" - "Сеть Банка" вообще запрещено в принципе
                            Рад бы в Рай, да... реаниматоры не пускают!

                            Комментарий


                            • #15
                              Понятно, что в идеале необходимо закрыть ЛВС Банка межсетевым экраном 4 класса или для пущей защищенности 2 класса (для защиты от злоумышленников с внешней стороны периметра), закрыть АРМ межсетевым экраном с целью защиты от особо продвинутых (или обученных внешними злоумышленниками) сотрудников банка. Обеспечить стойкую и надежную аутентификацию пользователя, например, с помощью смарт карт(для возможности опредения возможности доступа к АРМа), обеспечить шифрованный канал взаимодействия АРМ КБР с локальной сетью банка, причем обязательно осуществлять аудит всех транзакций взаимодействия(с целью разбора потенциально возможных случаев злоупотребления или ошибочных действий сотрудников) и т.д..
                              Это все в идеале, а в реальности хотелось бы понять, что необходимо сделать, чтобы организовать взаимодействие между АРМом и ЛВС банка(по сути дела с сотрудником отвечающим за корсчет), которое будет удовлетворять следующим условиям:
                              1. Грубо не нарушить рекомендации ЦБ.
                              2. Максимальная простота, скорость и экономическая эффективность решения (просто в случае высокой сложности реализации в связи с маленьким объемом данных можно остановиться на передаче данных из ЛВС в АРМ на дискете или флэшке).
                              3. Простота эксплуатации такого решения.
                              Причем очевидно, что пункты 2, 3 непосредственно вытекают из необходимости выполнения пункта 1.

                              Комментарий


                              • #16
                                Самый простой способ - умный коммутатор с VLANами и VLAN-транкингом . А если коммутатор умеет их назначать только пользователям, прошедшим аутентификацию (а не по портам), так вообще хорошо.
                                XP 802.1x поддерживает, AAA на RADIUS'е (или виндовом IASе).

                                Все упирается только в свич. Дорогие они с таким функционалом.

                                Комментарий


                                • #17
                                  Маслов Д. А.
                                  для обеспечения безопасности АРМ как минимум надо включить брандмауэр на самой станции, где установлен АРМ...
                                  это уже обеспечит хотя бы то, что станция не будет отвечать на все "непрошенные" соединения...
                                  этим Вы защитите АРМ...
                                  теперь подумайте, как Вам обезопасить сеть банка от ЦБ
                                  вот и все...
                                  Рад бы в Рай, да... реаниматоры не пускают!

                                  Комментарий


                                  • #18
                                    продолжая эту тему хочеться уточнить можно ли НЕ ставить -ПО комплекса "Аккорд" на машину с Электронные расчеты с ЦБ?
                                    (а обойтись хэш контролем нужных файлов)

                                    Комментарий


                                    • #19
                                      Насколько я знаю в текущий момент необходимости в установке комплекса Аккорд нет. Хотя раньше действительно такое требование было.

                                      Комментарий


                                      • #20
                                        Сообщение от Маслов Д. А. Посмотреть сообщение
                                        Насколько я знаю в текущий момент необходимости в установке комплекса Аккорд нет. Хотя раньше действительно такое требование было.
                                        как у ВАС? стоит или нет Аккорд? как можно уточнить? не хотим своим ЦБешникам звонить

                                        Комментарий


                                        • #21
                                          подняли договор с ЦБ там написано- должно быть установлено средство от несанкционированного доступа!?

                                          Комментарий


                                          • #22
                                            Сообщение от hannov Посмотреть сообщение
                                            как у ВАС? стоит или нет Аккорд? как можно уточнить? не хотим своим ЦБешникам звонить
                                            У нас Аккорд не установлен.

                                            Комментарий


                                            • #23
                                              СЗИ НСД "Аккорд" должен быть установлен обязательно - это одно из условий договора. (говорю про Нижний Новгород, как в других регионах не знаю). Более того просто установкой и конфигурированием аккорда как АМДЗ (аппаратный модуль доверенной загрузки) тоже необойтись - нужно инсталлить соответствующий аккордовский софт в винде и соответствующим образом конфигурировать.

                                              PS. Кроме СЗИ НСД "Аккорд" можно использовать "Соболь".

                                              Комментарий


                                              • #24
                                                http://forum.ixbt.com/topic.cgi?id=4:93278 плата Аккорд не работает с новыми компами, а из-за неё не хочеться на рабочее место для АРМ КБРа ставить старую машину !?

                                                Комментарий


                                                • #25
                                                  С новыми это какими компами? У меня Аккорд прекрасно работает на Dell Optiplex 755 с CPU Intel Dual Core. К тому же кроме аккорда есть и другие СЗИ НСД.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от sseryi Посмотреть сообщение
                                                    С новыми это какими компами? У меня Аккорд прекрасно работает на Dell Optiplex 755 с CPU Intel Dual Core. К тому же кроме аккорда есть и другие СЗИ НСД.
                                                    с этим не работает-http://forum.ixbt.com/post.cgi?id=attach:4:93278:0:1

                                                    какой у Вас Аккорд?
                                                    что нибуть в биосе компа выставляли для этой платы!?

                                                    Комментарий


                                                    • #27
                                                      Аккорд NT/2000 2.0 rev.2.35 - в составе него плата Accord 5MX. Ничего в биосе выставлять не нужно в процессе загрузки машины аккорд берет управление загрузкой на себя. Пообщайтесь с разработчиками насчет совместимости с конкретным оборудованием - обязательно подскажут.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от sseryi Посмотреть сообщение
                                                        Аккорд NT/2000 2.0 rev.2.35 - в составе него плата Accord 5MX. Ничего в биосе выставлять не нужно в процессе загрузки машины аккорд берет управление загрузкой на себя. Пообщайтесь с разработчиками насчет совместимости с конкретным оборудованием - обязательно подскажут.
                                                        А как насчет совместимости Аккорда с обновлениями Windows? Или ответ как всегда "А зачем вам Windows обновлять?"

                                                        А насчет той конфигурации с форума iXBT - плата требует, чтобы ее расширение BIOS было прочитано и инициализировано, и в процессе инициализации она может начать загрузку. Если при этом расширение BIOS от RAID-контроллера еще не грузилось, массив может разваливаться. Пропробуйте переставить местами платы, чтобы изменился порядок инициализации.

                                                        С интеловскими матерями может быть еще и такой косяк - он инициализирует только первую попавшуюся плату. Например, когда параметр Plug and Play OS включен, инициализируются только системы хранения (IDE/SATA/SCSI) и сетевые карты, если они необходимы для загрузки. Остальное включает операционная система.

                                                        Комментарий

                                                        Пользователи, просматривающие эту тему

                                                        Свернуть

                                                        Присутствует 1. Участников: 0, гостей: 1.

                                                        Обработка...
                                                        X