3.5. Инструмент выбора оптимального технического решения

В качестве инструмента выбора оптимального технического решения используется автоматизированная система стоимостного анализа политик безопасности объектов информатизации (АС “САПБ-ОИ”) [8] , см. рис. 3.3.

Рис. 3.3

АС “САПБ-ОИ” состоит из двух подсистем: подсистемы визуального ввода формальной модели безопасности объекта информатизации (ОИ) и подсистемы синтеза оптимальной политики безопасности.

Подсистема визуального ввода моделей реализована на базе пакета Microsoft Visio 2002, что обеспечивает более тесную интеграцию АС с другими офисными пакетами и XML-службами. Подсистема обеспечивает визуальный ввод моделей в двух формах: в виде графа развернутой формы игры и в виде сети Петри, удовлетворяющей условиям теоремы о сводимости игры, порождаемой сетью Петри, к игре в развернутой форме Подсистема синтеза оптимальной политики безопасности реализована на VBA Microsoft Excel 2000. Она обеспечивает решение следующих задач: 1) синтез оптимальной политики безопасности для заданной модели в классической постановке; 2) синтез оптимальной политики для заданной модели с учетом указания метки текущего состояния ОИ; 3) формирование развернутого текстового отчета по результатам синтеза оптимальной политики; 4) реэкспорт результатов оптимизации в один из дескрипторов модели. Последняя возможность доступна, если модель была сохранена в репозитарии. Сохранение результатов оптимизации в репозитарии позволяет организовать быстрый и удобный просмотр описаний задач и вариантов их решений. Это особенно удобно при сравнительном анализе стратегий развития систем безопасности, в частности при независимой экспертизе проектов.

3.6. Детализация выбранного технического решения

Сложное равновесие (см. рис. 3.4) состоит из следующих шагов банка по построению ЗИС:

1) Создание VPN (PPoE) на базе технологий Microsoft

2) Создание коммутируемой сети

3) Создание VPN (GRE, IPSEC) на базе оборудования Cisco

Соответствующий этому оптимальному сценарию проект защищенной ЛВС приведен в Приложении 11, перечень оборудования приведен в таблице …

Создание VPN на базе технологий Microsoft предполагает настройку на каждой рабочей станции банка PpoE-клиента компании Microsoft с последующим терминированием соединений на сервере приложений. Непосредственно к теме курсового проекта этот шаг создания ЗИС не относится.

Создание коммутируемой сети является одним из основных шагов по созданию ЗИС на уровне ЛВС и предполагает создание полностью коммутируемой сети на базе коммутаторов Cisco Catalyst 2950G-12 и Cisco Catalyst 2950G-48-EI, которые обеспечивают мултисервисную среду, см. Приложение 6.

Создание VPN по технологии туннелирования протокола IPSEC в протокол GRE на базе оборудования Cisco обеспечивает необходимую криптографическую защиту траффика наряду с защитой периметра в целом. Также см. Приложение 6.

Рис. 3.4. Оптимальный путь на графе достижимости (оптимальная стратегия создания ЗИС)