|
Удаленный пользователь |
| 06 сен 2013 в 16:10 |
|
|
ОТВЕТЫ (38)
|
|
офисный планктон ( Слушатель ) |
| 06 сен 2013 в 16:22 |
- ...
Цитата: DmasiK от 06.09.2013 16:10:12
Радоваться надо! Автоматизация процессов управления\планирования (и наведение порядка в обмене информацией /любой и везде/) - единственный способ уменьшить время принятия решений и вероятность управленческих ошибок, дает возможность осуществлять документирование и авторизацию процессов. Кроме того, выдвигает новые требования к сетям (связистам). Военные ERP и пр. Несвоевременно, херня и попил? Время покажет... В любом случае, говорит о том, что военная система шевелится и думает...
- +0.09 / 6
-
|
|
Ант ( Практикант ) |
| 06 сен 2013 в 16:34 |
- ...
во-во...в NATO уже хз сколько лет функционирует система CALS (сейчас впрочем это название уже скорее атавизм, все больше PLM/LCM). Без ИТ там делать нечего, а пользу такие вещи (управление жизненным циклом, включая стадию эксплуатации+логистика) приносят ощутимую. В том числе и разработчикам-постоянный трафик живой статистики, постоянная обратная связь. да и контракты по жизненному циклу (заметьте, стали появляться первые ласточки у нас) они невозможны без компутаризации, оцифорвки и так далее- а польза от них опять же весомая.
я,конечно, не говорю, что НАТО-это супер организация, но идеи, развиваемые на базе единой NDPM в общем-то здравые. Думаю, у нас тоже давно бы к этму пришли, если бы не пришлось решать вопросы куда более приземленные. так что такое внимание к автоматизации сейчас-это отлично.
чтобы не быть голословным- о последствиях отсутствия внимания к этой теме можно почитать здесь:
Ссылка
На А/У ибо в принципе оффтоп
- +0.36 / 10
-
|
ivan2 ( Слушатель ) |
| 06 сен 2013 в 16:59 |
- ...
Цитата: DmasiK от 06.09.2013 16:10:12
Угу, а потом будете гундеть, что нет ни связи, ни автоматизации..
Ладно. Ради пятницы злоупотреблю вниманием.
Есть много идей по способам обеспечения безопасности информации. Их все можно критиковать, или восхвалять. Я предлагаю абстрагироваться от коммерческой стороны и рассматривать только утилитарную сторону удобности для вооружённых сил.
Поскольку мы в самом начале, нет разницы, с чего начинать.
Начнём с QP + Windows-XP. Если опустить слово Винтдовс, то читается Купи-Икспи. Безобидная фраза, НО. Есть средство Пензенского Атласа, которое называется QP. Есть ОС Windows-XP. Осталось поставить маленький эксперимент - купить икспи.
На поверку Windows-XP больше не продаётся. Купить невозможно.
Касательно подхода Пензенского Атласа по обеспечению безопасности. Они предлагают такую схему. Вы строите своё автоматизированное нечто на Windows, затем приглашаете нас (их). Мы накрываем это Ваше нашим QP для обеспечения выполнения требований по защите информации. С первого разу всё пойдёт враскоряку. Ничего, за пол года поправим, заработает по безопасному.
Есть другие подходы. Но об этом потом.
Правка - Извините, забыл упомянуть о том, что часть эксплуатационной документации на QP секретна. Это значит, что скорее всего ВСЁ ВАШЕ ИЗДЕЛИЕ станет секретным.
- +1.44 / 19
-
|
|
ivan2 ( Слушатель ) |
| 12 сен 2013 в 22:56 |
- ...
Цитата: ivan2 от 06.09.2013 16:59:32
Прошу простить за самоцитирование и за то, что пятница ещё чуть-чуть не наступила.
Тем не менее предлагаю продолжить про подходы к обеспечению безопасности обрабатываемой информации.
В отличии от Пензенцев (Пензяков), Петербужцы (Ленинградцы) предлагают другую идею.
Идея состоит в том, что разработчику автоматизированной системы дают в распоряжение компьютеры с доверенным BIOS-ом. Но не простым, а самописаным, представляющим из себя доверенную виртуальную среду.
Если Пенза предлагает защищать по факту потом, Питерский АльтЭль предлагает защищать входв/выходы из компьютера перед.
У них там довольно заморочистые дела, но смысл в том, что в их виртуальной среде можно запускать любые операционные системы, под которыми можно запускать любое прикладное программное обеспечение. Что бы любое программное обеспечение ни делало, в конечном счете оно полезет к ним за доступом к физическому ресурсу памяти оперативной, или дисковой, полезет в Ethernet, или к USB - портам... Вот там они всё и отловят. Если разрешено, то допустят, если запрещено, то спалят.
Подход иной! Такой подход выгоден для тех разработчиков, которые пишут что-то новое, ранее неизвестное. Им выгоднее поморочится с виртуализацией вначале, чтобы не иметь проблем с безопасностью потом. Тут важно понимать разницу. Если кто-то хочет безопасно запустить Оracl, в Пензу господа, в Пензу. Если сами пишете, тогда в Питер...
Есть исключительный подход к безопасности, вырожденный. Об этом позже.
- +0.65 / 13
-
|
|
Zloy_Alex ( Слушатель ) |
| 13 сен 2013 в 01:33 |
- ...
Цитата: ivan2 от 12.09.2013 22:56:58
Все это дело будет крайне медленно и глючно работать, это как минимум.
Или они гении.
- +0.00 / 0
-
|
|
Удаленный пользователь |
| 13 сен 2013 в 11:50 |
- ...
Вы с наличием настроенного фаервола сильно страдаете и у вас комп глючит? Задача отловить несанкционированные поползновения (в том числе и со стороны юзверя) + там еще наверное и криптованием инфы на диске с алгоритмом разрушения данных при не правильном отклике от матери (я бы такую фичу вшил в загрузчик). Ну это я так, фантазируюЦитата: Zloy_Alex от 13.09.2013 01:33:20
- +0.01 / 1
-
|
|
ivan2 ( Слушатель ) |
| 13 сен 2013 в 14:22 |
- ...
Цитата: kisur от 13.09.2013 11:50:01
Нет там ничего подобного. Смысла в этом нет.
Конкретная отдельная государственная тайна стоит немного, а без связи с остальными тайнами вообще ничего не стоит, - информационный шум. Система построена на том, что нет мест где всё централизованно собирается. Но на каждом месте не должно быть незамеченного воровства - обезлички. Соответственно в нашей концепции защиты информации Сноудены и Ассанжи невозможны. У нас не существует мест, где всё собирается в первозданном виде и может быть в таком же виде уворовано на флешке.
С одной стороны это благо.
Для связистов и автоматизаторов - это ад в аду.
- +0.23 / 10
-
|
|
Удаленный пользователь |
| 13 сен 2013 в 14:58 |
- ...
Цитата: ivan2 от 13.09.2013 14:22:16
Мдя уж, суровые у нас робята однако
А если надоть будет поработать в пределах 4-7 коннектов с одновременной обработкой массива (который формируется от БПЛА). Хотя конечно это уже решение из другой области
- +0.00 / 0
-
|
|
ivan2 ( Слушатель ) |
| 13 сен 2013 в 15:10 |
- ...
Цитата: kisur от 13.09.2013 14:58:49
Молимся на Шеннона.
Тактический уровень. ОЧЕНЬ МНОГО ПОТЕНЦИАЛЬНО ВАЖНОЙ НОВОСТИ (не употребляю слова информация). Нужны короткие ТОЛСТЫЕ каналы связи. К моменту, когда вся эта байда будет нанесена на карту стреляющего командира, она превратится в несколько циферок координат и условное графическое обозначение цели. Не имеет значения, бумажная карта, или электронная.
Это действительно из другой области.
- +0.01 / 1
-
|
|
офисный планктон ( Слушатель ) |
| 13 сен 2013 в 15:06 |
- ...
Цитата: ivan2 от 13.09.2013 14:22:16
То, что Вы написали, мне, как связисту, абсолютно не понятно... Я не представляю себе работу (любого) приложения без централизованного программного сервера (и базы данных). Да, серверное ПО может крутиться на виртуальной машине, живущей на распределенном аппаратном кластере. Но. Любой клиент системы будет обращаться к сервису по определенному IP. Значит, для него будет единая точка входа. И все выкрутасы нужны только для повышения отказоустойчивости. А никак не для защиты от Снойдена. Для этого есть нормальные процедуры ААА, VPN и пр. Такая же фигня, как я понимаю, происходит и с вашими тн распределенными BD. Сереверное ПО обращается к BD через конкретную дверь. Если Ассанж найдет эту дверь, подберет к ней ключ и будет знать что он ищет, то для него пофиг распределенный характер ЦОД...
Все это (конечно) дилетантский бред (с моей стороны). Но связисты всегда были любопытны и нахальны...
- +0.00 / 0
-
|
|
Удаленный пользователь |
| 13 сен 2013 в 15:23 |
- ...
Ситуация. Имеем расшаренный принтер, который подключен к компу. Есть юзверь, который имеет доступ к документам и у него настроен этот принтер, но он не имеет к нему доступа. Есть админ, который имеет права на настройку принтера, но он не имеет доступа ни к докм ни к принтеру. В плане администрирования ОООПППАА. Как-то так
ЗЫ судя по переживаниям, Сноуден имел доступ ко всей структуре.
- +0.01 / 2
-
|
|
офисный планктон ( Слушатель ) |
| 13 сен 2013 в 15:41 |
- ...
Цитата: kisur от 13.09.2013 15:23:33
Разделение прав - никакая не новахава. В традиционном сетевом клиент-серверном сервисе доступ к документам (или, например, альтернатива - к коммуникационному VoIP серверу для получения услуги управления вызовом) производится при помощи нормального ААА, RADIUS/802.1x и криптографии...
PS Сеть может (в разных местах) иметь возможности использовать MAC Access Control List и IP Access Control List. Но это из другой оперы...
- +0.00 / 0
-
|
|
ivan2 ( Слушатель ) |
| 13 сен 2013 в 15:56 |
- ...
Цитата: kisur от 13.09.2013 15:23:33
Вы очень правильно про принтер написали.
Одни содержат принтер, заряжают его расходниками. Руками и авторучкой учитывают распечатки.
Другие настраивают доступ к принтеру, регулярно читают логи печати документов.
Третьи отправляют на печать секретные документы, потом идут к держателю принтера за дугументиком, а потом идут гасить заявку к тому, который следит за принтером, типа это я, я свой, я размножил секретные документы в количестве одной, двух,.. копий.
А иначе никак. Никакой обезлички. Иначе Сноуден.
- +0.01 / 1
-
|
|
k0t0b0i ( Слушатель ) |
| 13 сен 2013 в 16:32 |
- ...
Цитата: kisur от 13.09.2013 15:23:33
Тоже мне, бином Ньютона. Давайте лучше обсуждать такие вопросы в какой-нибудь профессиональной ветке - здесь это совсем не в тему.
Есть расшаренный принтер с адресом А. Я - админ, у моей машины адрес Б. Настраиваем: принтеру - адрес В, моей машине - адрес А, и поднимаем на ней программный принт-сервер, перенаправляющий документы на адрес В. Классический "человек посередине", используемый не только на сетевом уровне, но и межпроцессном взаимодействии ОС.
Отныне все документы, которые все пользователи будут отправлять на принтер, будут заодно складываться ко мне на диск.
К сожалению, на сегодняшний день простых и одновременно надежных решений для защиты критических систем не существует - только изоляция.
- +0.01 / 1
-
|
|
ivan2 ( Слушатель ) |
| 13 сен 2013 в 16:48 |
- ...
Цитата: k0t0b0i от 13.09.2013 16:32:20
Пардон муа, А ТЫ КТО ТАКОЙ, ЧТОБЫ Я СВОИ СЕКРЕТНЫЕ ДОКУМЕНТЫ ТЕБЕ ВЫКЛАДЫВАЛ? Админ? Так админь, а в секреты не лезь.
Вот сразу видно общее непонимание системы и проблем обработки секретной информации.
Отсюда и всяческие чудачества. Включая нежелание обсуждать тему.
Примечание к наезду на k0t0b0i - Гриф секретности документа в Россиии, как и в СССР определяет исполнитель документа. Я, как исполнитель не собираюсь уведомлять какого-то там админа сети о содержании моих документов.
Будьте любезны устроить корпоративную сеть так, чтобы админ не мог получить доступ к содержанию моих документов.
- +0.02 / 6
-
|
|
ivan2 ( Слушатель ) |
| 13 сен 2013 в 15:49 |
- ...
Начнём от печки.
Война в "автономке" без централизованного программного сервера Вами уже успешно отменена, "сдаёмсу, сервера у насальника упала".
Сразу скажу грубо, не годится Ваше понимание системы клиент-сервер.
На самом деле каждая организационная единица в армии должна иметь свои серверы. Всё своё ношу с собой. Чисто для внутренних нужд. Начиная с отделения. Другое дело, что в отделении это должна быть носимая "пачка сигарет", а под землёй в Москве и в уральской горе по имени яма это может быть несколько серверных стоек. НО ИМЕННО НЕСКОЛЬКО. Не ряды до горизонта подземного хода.
По поводу клиентов, обращающихся к сервису по IP. Опять мимо. Любой клиент - полное ничтожество в военной сети. Его там вообще не должно быть. В сети должны общаться только серверы. Серверы представляют своих клиентов перед другими серверами (старшими, младшими, соседними). Если нужна связь клиент - клиент, будьте любезны через два сервера, свой и корреспондента. Они проверят права, полномочия и почую шнягу. А то, ишь привыкли, разгулялись тут по интернетам.
Касательно IP. Один пункт управления - один IP. Ничего другого (на самом деле технически не получается, но это технические детали). Лично никто в сеть не ходит. Пожалуйте на свой сервер, который через пару свой НАТ-прокси - НАТ-прокси корреспондента, обратится к серверу вызываемого корреспондента. А там уж как результат проверки прав и полномочий даст. Либо даст, либо нарушение.
Остального не очень понял. Тем не менее повторю, что все доступы пишутся в журналы, которые не может почистить даже root. Более того, в наших системах учетная запись root убивается в момент передачи в эксплуатацию. Если Сноуден имел права root, которые не были убиты в ихней американской системе, что я могу сказать, продвинутые люди имеют альтернативный головной мозг.
В наших системах двери, к которым можно ключи подбирать не то, что на дороге не валяются. Их вообще нет.
- +0.20 / 8
-
|
|
офисный планктон ( Слушатель ) |
| 13 сен 2013 в 16:01 |
- ...
Цитата: ivan2 от 13.09.2013 15:49:10
То, что Вы написали - типичный сервис сети из нескольких IP PBX (УПАТС).Там VoIP коммуникационные сервера (IP PBX) связывают своих клиентов (IP телефоны) между собой. Есть еще UC услуги телеком сетей. Там похоже, но абонентами являются программные UC клиентские приложения. НАТ-прокси и прочее проходится при помощи специальных Session Border Controllers...
- +0.00 / 0
-
|
|
rororo ( Слушатель ) |
| 13 сен 2013 в 16:07 |
- ...
Цитата: Брянский от 13.09.2013 15:40:12
Цитата: ivan2 от 13.09.2013 15:56:40
Нифига не понял...
Мужики, вы хоть флажком махните: вы сретесь или просто беседуете? 
- +0.11 / 8
-
|
|
ivan2 ( Слушатель ) |
| 13 сен 2013 в 16:17 |
- ...
Вы мгновенно подметили причину и изъян архитектуры с центральным сервером, дерево.
Т.е. Вы понимаете, что ныне существующая система древовидной связи ни в дугу, и ни в тую. Достаточно убить корень (узел в Москве), как страна развалится на несколько несвязанных между собой веток.
ТО, что мы обсуждаем, это не аларм. Если чё, то никто другой ни до чего другого пока не дотумкал. Так у всех на земном шаре.
- +0.01 / 1
-
|
|
прозаик ( Слушатель ) |
| 13 сен 2013 в 16:13 |
- ...
Не понял, как Вы сами то в систему залазите, если в ней придется что то изменить, или у вас есть какой то сверхroot?Цитата: ivan2 от 13.09.2013 15:49:10
- +0.00 / 0
-
|
|
ivan2 ( Слушатель ) |
| 13 сен 2013 в 16:22 |
- ...
Цитата: прозаик от 13.09.2013 16:13:19
Никак. Ничего изменять нельзя. Сертифицировано.
Неудобства и недоработки заказчику придётся терпеть. Можно заказать новую ОКР. Для этого надо в ГОЗ заложить деньги,... В общем бюджетный процесс запустить.
Вот потому оно так редко и ТАК дорого.
Ещё раз подчёркиваю, в сертифицированных системах учётная запись root недоступна. За этим ФСБ, или МО проследило.
- +0.00 / 0
-
|
|
прозаик ( Слушатель ) |
| 13 сен 2013 в 18:37 |
- ...
Хорошо,охотно верю. Но вот появилась новая программа или улучшили систему безопасности,все это сертифицировали,осталось встроить в систему и что будите устанавливать все снова? А по мне так Вы где то хитрую дырку оставили в системе, что бы знающие смогли востановить запись root, сделать все необходимое,подчистить логи и снова снести запись root.Цитата: ivan2 от 13.09.2013 16:22:14
- +0.02 / 3
-
|
Брянский ( Слушатель ) |
| 13 сен 2013 в 18:52 |
- ...
Цитата: прозаик от 13.09.2013 18:37:13
да фигня новое.. а вот если что где надо будет поднять/восстановить без потери данных... как без root то?
- +0.00 / 0
-
|
|
ivan2 ( Слушатель ) |
| 13 сен 2013 в 19:21 |
- ...
Цитата: Брянский от 13.09.2013 18:52:30
Как это делается в Astra Linux пока не знаю (но обязательно делается, поскольку без этого сертификат не дают). Касателно МСВС, курите КСЗИ СВАС - Комплекс средств защиты информации от случайных воздействий и аварийных ситуаций. Вполне без рута делается.
- -0.16 / 3
-
|
|
ivan2 ( Слушатель ) |
| 13 сен 2013 в 19:08 |
- ...
Цитата: прозаик от 13.09.2013 18:37:13
Вы не поняли. Мы себе никаких дырок не оставляем. По эксплуатационным документам заказчик должен сам убивать root-та. Делает ли он это, забота заказчик.
Про фантазии относительно новой программы, или каких-то улучшений.
Испытать надо? Надо! Повторную сертификацию, или инспекционный контроль выполнить надо? Надо. В каком виде, учитывая полный официоз и бюджет? Открываем либо новую ОКР, либо ОКР по доработке. Никак иначе никакая программная приблуда в ранее сертифицированных комплексах появиться не может. В принципе!
- +0.02 / 4
-
|
|
прозаик ( Слушатель ) |
| 13 сен 2013 в 20:19 |
- ...
Так бы и писали, а то наводите тень на плетень, заказчик если не дурак то никогда его не убьет, ибо ему придется работать с этой системой,да админят такие системы проверенные люди с допусками бог знает какого уровня.Цитата: ivan2 от 13.09.2013 19:08:48
- -0.10 / 3
-
|
|
прозаик ( Слушатель ) |
| 13 сен 2013 в 20:43 |
- ...
А какие формы допуска бывают? Или со времен СССР в этом деле что то изменилось?
- +0.00 / 0
-
|
|
D9ID9I ALT2 ( Практикант ) |
| 13 сен 2013 в 20:55 |
- ...
Цитата: прозаик от 13.09.2013 20:43:19
Так вот и я удивился про бог знает какого... Ну, мож какие литеры имелись в виду...
- +0.00 / 0
-
|
part_ya ( Практикант ) |
| 14 сен 2013 в 08:49 |
- ...
Цитата: прозаик от 13.09.2013 18:37:13
Эй вологжани! Не будИте сисадмина! и он не будЕт вам козни строить
- +0.17 / 2
-
|
|
прозаик ( Слушатель ) |
| 14 сен 2013 в 12:07 |
- ...
Больше сказать нечего, знаток русского языка? Тогда прочти внимательнее что написал.Цитата: part_ya от 14.09.2013 08:49:04
- +0.00 / 0
-
|
|
rororo ( Слушатель ) |
| 13 сен 2013 в 13:11 |
- ...
Комрад! Само собой, что тематика IT имеет непосредственное отношение с СРВС, но, может все-таки луче продолжить обсуждение в компьютерной ветке?Цитата: ivan2 от 13.09.2013 12:19:32
- +0.13 / 5
-
|
|
Удаленный пользователь |
| 13 сен 2013 в 13:13 |
Сообщение удалено
DmasiK
02 окт 2015 в 02:57
DmasiK
02 окт 2015 в 02:57
Отредактировано: DmasiK - 02 окт 2015 в 02:57
|
|
Брянский ( Слушатель ) |
| 13 сен 2013 в 15:40 |
- ...
Цитата: ivan2 от 12.09.2013 22:56:58
Хм .. то что вы здесь назвали называется - logical partitions....
Насколько мне известно, это реализовано только на мэйнфремах, и некоторых серверах класса энтерпрайз.....(на например на IBM System z и им подобных)
О реализации подобного на стандартной платформе x86 я че то не слыхивал......
Что касается самописанного BIOS.... гх-м....
То есть ребята берут к примеру мать ASUS и переписывают ей BIOS?
Или проще - у них контрактные материнки? (любой тайване-китайский вендор при заказе от 1000 шт. cделает почти любой каприз за ваши деньги.. и от себя жучков добавит...)
- +0.01 / 1
-
|
|
ivan2 ( Слушатель ) |
| 13 сен 2013 в 16:06 |
- ...
Цитата: Брянский от 13.09.2013 15:40:12
Я не ожидал, что тема станет так интересна. Это просто один из наших поставщиков со своеобразной технологией.
Переписывают BIOS опираясь на договоры с разработчиками чипсетов,... Естественно им не со всеми удаётся договориться. Поэтому не всё железо могут поддержать. Увы, вот так оно в жисти бывает...
- +0.01 / 1
-