|
- Назначение системы
- Состав
- Реализуемые функции
- Функциональный профиль комплекса средств защиты системы
- Требования к техническим и программным средствам
Назначение системы
Система «Защищенная электронная почта «Бриз» (далее – почта «Бриз») предназначена для обеспечения автоматизации обмена сообщениями между пользователями почты или удаленными компонентами информационных систем (например, компонентами систем электронного документооборота различных предприятий) с использованием распределенных сетей передачи данных произвольного типа, в которых поддерживается стек протоколов TCP/IP, а также обработки сообщений, содержащих как открытую информацию, требующую защиты (открытую информацию, не являющуюся собственностью государства, и открытую информацию, являющуюся собственностью государства), так и информацию с ограниченным доступом (персональные данные, конфиденциальную информацию, не являющуюся собственностью государства, и конфиденциальную информацию, являющуюся собственностью государства), с обеспечением непрерывной защиты обрабатываемых и сохраненных на рабочих станциях (РС) клиентов сообщений.
Состав
В состав программных средств почты «Бриз» в общем случае входят:
- программные средства серверов центрального и региональных узлов (доменов) почты, функционирующие на серверах центрального или региональных узлов и взаимодействующие между собой по каналам распределенной сети передачи данных;
- программные средства автоматизированных рабочих мест (АРМ) администраторов узлов почты, функционирующие на РС администраторов узлов и взаимодействующие с программными средствами серверов узлов почты по каналам локальных вычислительных сетей;
- программные средства АРМ клиентов почты, функционирующие на РС клиентов и взаимодействующие с программными средствами серверов узлов по каналам локальных вычислительных сетей или каналам распределенной сети передачи данных.
Реализуемые функции
С целью обеспечения надежного обмена сообщениями между пользователями (клиентами) почты или удаленными компонентами информационных систем, а также для обеспечения эффективной работы клиентов почты и в системе «Бриз» реализованы:
- возможность создания в АРМ администратора/ клиента и передачи сообщений в виде совокупности текстовой части (объемом до 64 Кбайт) и присоединенных файлов произвольного типа (до 256 файлов в одном сообщении);
- возможность передачи сообщений из АРМ администраторов/ клиентов в электронную почту Internet и возможность приема в АРМ администраторов/ клиентов сообщений из почты Internet (шлюзование сообщений выполняется на сервере узла почты);
- приоритезация отправки сообщений из АРМ администраторов/ клиентов (поддерживается пять уровней приоритетов, сообщения с максимальным приоритетом передаются в первую очередь);
- ведение архивов всех обработанных в АРМ администратора/ клиента сообщений с возможностью поиска и просмотра соответствующих сообщений;
- гибкая возможность группирования отправленных/ принятых сообщений в реестрах сообщений АРМ администратора/ клиента с возможностью сортировки и поиска сообщений по их реквизитам;
- возможность передачи сообщений из АРМ администратора/ клиента как одному получателю, так и группе получателей по сформированному и сохраненному в специальном справочнике списку рассылки;
- возможность формирования списков рассылки как непосредственно в АРМ соответствующего клиента, так и в АРМ администратора узла почты с дальнейшей пересылкой в АРМ клиента;
- оповещение отправителя о факте доставки/ недоставки сообщения получателю путем автоматического формирования и доставки отправителю соответствующей квитанции при обработке сообщения в АРМ клиента - получателя;
- возможность ведения администратором узла почты общей и индивидуальных адресных книг пользователей узла с автоматической рассылкой измененных адресных книг на сервер узла почты и в АРМ клиентов;
- возможность удаленного управления администратором узла почты параметрами конфигурации АРМ клиентов узла (разрешение самостоятельной настройки параметров защиты, выполнение только защищенной передачи сообщений, использование адресов получателей только из адресной книги и т.п.);
- возможность автоматического архивирования передаваемых из АРМ администратора/ клиента сообщений, что существенно понижает нагрузку на используемые каналы передачи данных и сокращает время передачи/ приема сообщений;
- автоматическое обнаружение в АРМ администратора/ клиента фактов дублирования принятых сообщений с целью защиты от повторного приема и обработки таких сообщений;
- автоматическая (по гибко настраиваемым правилам) передача между АРМ клиентов сообщений, представленных в виде файлов произвольного типа, что позволяет без вмешательства операторов осуществлять обмен данными между компонентами распределенных информационных систем;
- автоматическое восстановление передачи данных в случае обрыва соединения с «докачкой» данных с точки обрыва, что снижает требования к качеству используемых каналов передачи данных и позволяет передавать сообщения большого размера (сотни мегабайт);
- управление передачей служебных сообщений инфраструктуры открытых ключей (запросов на получение сертификатов, запросов на блокировку/отзыв/возобновление сертификатов, запросов о статусе сертификатов), а также приемом и обработкой ответов на них;
- приоритезация обработки (маршрутизации) сообщений на серверах узлов почты (поддерживается пять уровней приоритетов, сообщения с максимальным приоритетом маршрутизируются получателям в первую очередь);
- ведение архивов всех обработанных сервером узла почты сообщений с возможностью выполнения администратором узла ЗЭП поиска сообщений в архиве и повторной отправки сообщений получателям;
- возможность удаленного управления администратором узла почты параметрами конфигурации сервера узла (временными параметрами циклов маршрутизации сообщений с различным приоритетом, временными параметрами контроля работоспособности сервера, параметрами управления взаимодействием с серверами других узлов почты, параметрами взаимодействия с серверами электронной почты Internet и т.п.);
- протоколирование всех событий, касающихся обработки сообщений на сервере узла почты и в АРМ администратора/ клиента с возможностью просмотра и анализа соответствующих протоколов администратором узла почты или уполномоченными пользователями;
- автоматический контроль (в соответствии с заданными администраторам узла почты параметрами) работоспособности сервера узла с перезапуском утративших работоспособность модулей сервера или полным перезапуском сервера в случае его нарушения работоспособности.
С целью обеспечения надежной защиты передаваемых между пользователями (клиентами) почты или хранящихся в реестрах АРМ администраторов/ клиентов сообщений в системе «Бриз» реализованы:
- идентификация и аутентификация пользователей АРМ администратора/ клиента на основании атрибутов, получаемых от операционной системы, при запуске соответствующего АРМ, что позволяет заблокировать возможность использования АРМ администратора/ клиента посторонним лицом, а также опознать конкретного легального пользователя и в дальнейшем реагировать на запросы этого пользователя в соответствии с его полномочиями;
- зашифрование/ расшифрование передаваемых/ принимаемых сообщений по алгоритму гаммирования с обратной связью, установленному ГОСТ 28147-89, что обеспечивает защиту от несанкционированного ознакомления с содержанием сообщений на всем пути следования их от отправителя к получателю (криптографические преобразования реализуются с использованием библиотеки процедур криптографической защиты информации «Тайфун-PKI PKCS#11»);
- выработка/ проверка электронной цифровой подписи (ЭЦП) передаваемых/ принимаемых/ сохраненных в реестрах АРМ администратора/ клиента сообщений по алгоритмам, установленным ДСТУ 4145-89 и ГОСТ 34.310-95, что обеспечивает обнаружение фактов нарушения целостности сообщений, а также подтверждение причастности (аутентификацию) отправителей – авторов сообщений сообщений (криптографические преобразования реализуются с использованием библиотеки процедур криптографической защиты информации «Тайфун-PKI PKCS#11»);
- выработка/ проверка ЭЦП передаваемых/ принимаемых/ сохраненных в реестрах АРМ администратора/ клиента квитанций о получении сообщений, что обеспечивает обнаружение фактов нарушения целостности квитанций, а также подтверждение причастности (аутентификацию) получателей сообщений;
- возможность использования для хранения личных ключей пользователей системы как незащищенных (дискета, flash-drive и т.п), так и защищенных (устройства eToken, SecureToken, смарт-карты и т.п.) носителей.
Для генерации личных ключей пользователей системы «Бриз», а также для управления сертификатами открытых ключей пользователей системы используются компоненты комплекса реализации инфраструктуры открытых ключей «Тайфун-PKI» .
Функциональный профиль комплекса средств защиты системы
Согласно экспертному заключению № 139 от 31.07.2008 г., зарегистрированному Администрацией Государственной службы специальной связи и защиты информации Украины, в система ЗЭП «Бриз» реализует (в терминах НД ТЗИ 2.5-004-99 «Критерии оценки защищенности компьютерных систем от несанкционированного доступа») следующий функциональный профиль защищенности:
{КВ-2, ЦВ-2, ДС-1, ДЗ-1, ДВ-1, НР-2, НИ-1, НО-2, НЦ-1, НТ-2, НА-2, НП-2}.
Указанный функциональный профиль защищенности реализован в соответствии с требованиями к уровню гарантий Г-4 корректности реализации функциональных услуг безопасности, установленному НД ТЗИ 2.5-004-99.
Требования к техническим и программным средствам
Программные средства почты «Бриз» обеспечивают передачу сообщений через сети передачи данных произвольного типа, в которых поддерживается стек протоколов TCP/IP. Настройки используемого в сети передачи данных активного сетевого оборудования должны разрешать возможность передачи данных между АРМ администраторов/клиентов и серверами узлов почты, а также между серверами узлов почты с использованием протокола FTP.
Программные средства АРМ клиента/администратора функционируют на IBM-совместимых компьютерах под управлением ОС MS Windows 2000/ XP/ Vista.
Программные средства сервера узла почты функционируют на IBM-совместимых компьютерах под управлением ОС Windows 2000/ 2003/ 2008.
Минимальные требования к конфигурации компьютеров для обеспечения устойчивой работы системы определяются требованиями соответствующих ОС, а также наличием жестких дисков, объем которых достаточен для сохранения архивов сервера узла почты и/или АРМ администратора/ клиента почты.
|
|
|