Академический Документы
Профессиональный Документы
Культура Документы
УТВЕРЖДЕН
ДБАР.4012402.50.001.ТП.0.0.0-ЛУ
ТЕХНИЧЕСКИЙ ПРОЕКТ
ДБАР.4012402.50.001.С1.0.0.0
Москва
2012
Пе
рв.
при
ме Аннотация
нен
. В настоящем документе приведена структурная схема аппаратно-программного
комплекса "Система резервного копирования Главного управления Центрального Банка
Российской Федерации по Новосибирской области" (шифр СРК Новосибирск).
Комплект документации техно-рабочего проекта системы резервного копирования, в
состав которого входит настоящий документ, разработан в соответствии с требованиями
документов ""Система резервного копирования территориального учреждения Банка России.
Техническое задание", шифр "СРК ТУ" от 13.07.2011", "Система резервного копирования
Сп Главного управления Центрального Банка Российской Федерации по Новосибирской области.
рав
.№ Техническое задание/ЗАО "Инфосистемы Джет" - Москва, 2011 -
ДБАР.4012402.50.001.ТЗ.0.0.0", ГОСТ 34 и РД 50-34.698-9.
СРК Новосибирск предназначена для автоматизации процессов подразделений
эксплуатации, обеспечивающих функционирование автоматизированных систем (АС)
средствами создания, хранения, управления жизненным циклом и восстановления резервной
копии данных за время установленное регламентом резервного копирования
(далее - Регламент).
СРК Новосибирск является автономной автоматизированной системой управления
процессами создания, хранения, управления жизненным циклом и восстановления резервной
копии данных автоматизированных систем ГУ Банка России по Новосибирской области за
время установленное Регламентом.
По СРК Новосибирск относится к информационным системам ИТС Банка России и
дпи
сь
создается в ГУ Банка России по Новосибирской области.
и
да
Пользователями СРК Новосибирск являются сотрудники ГУ Банка России по
та Новосибирской области ответственные за эксплуатацию, состав и целостность информации
автоматизированных систем ГУ Банка России по Новосибирской области.
В документе "Схема структурная аппаратно-программного комплекса" приведена
Ин
в.
информация по составу комплекса и связи между его частями и компонентами.
№
дуб
л.
Вза
м.
инв
.№
По
дпи
сь
и
да
та
ДБАР.4012402.50.001.С1.0.0.0
Изм. Лист № докум. Подпись Дата
Ин Разраб. Ганин И.В. Лит. Лист Листов
в. Ошибка!
Провер. Тихонов А.И. Схема структурная аппаратно- 2 22 22
№
Неизвестн
Ошибка! программного комплекса
под Т. контр.
л. оеконтр.
Н. имя
Неизвестн
Ошибка! Горбатко Н.П. Инфосистемы Джет
свойства
ое имя
Неизвестн
Ошибка!
Утв. Демарин А.В.
документа.
свойства
ое
Неизвестн
имя
Ошибка!
документа.
свойства
ное имя
документа.
свойства
документ
а.
Содержание
1 Схема структурная АПК СРК.............................................................................................................5
1.1 Структура комплекса технических средств...............................................................................5
1.1.1 Система резервного копирования сегмента УОС в здании РЦИ.....................................7
1.1.2 Система резервного копирования сегмента ЗС в здании РЦИ.........................................7
1.1.3 Система резервного копирования сегмента ИС в здании РЦИ........................................8
1.1.4 Система резервного копирования сегмента ЗС в здании ГУ............................................9
1.1.5 Система резервного копирования сегмента ИС в здании ГУ...........................................9
1.1.6 Централизованная система управления СРК...................................................................10
1.2 Структура программного обеспечения....................................................................................11
2 Схема потоков информации при работе СРК Новосибирск..........................................................13
3 Схема структурная АПК ПИБ СРК..................................................................................................16
4 Схема разграничения прав доступа пользователей на уровне хранилища данных СРК............18
5 Перечень принятых сокращений......................................................................................................21
Лист
ДБАР.4012402.50.001.С1.0.0.0
3
Изм. Лист № докум. Подпись Дата
Перечень рисунков
Рисунок 1 - Схема структурная АПК СРК Новосибирск..........................................................................6
Рисунок 2 - Схема потоков информации при работе СРК в РЦИ............................................................14
Рисунок 3 - Схема потоков информации при работе СРК в ГУ..............................................................15
Рисунок 4 - Схема структурная АПК ПИБ СРК Новосибирск................................................................17
Рисунок 5 - Схема разграничения прав доступа пользователей на уровне дискового массива...............20
Лист
ДБАР.4012402.50.001.С1.0.0.0
4
Изм. Лист № докум. Подпись Дата
1 Схема структурная АПК СРК
1.1 Структура комплекса технических средств
Структура СРК Новосибирск определяется исходной структурой размещения
вычислительных систем ГУ Банка России по Новосибирской области и требованиями
информационной безопасности. Наличие данных условий приводит к необходимости
ограничения передачи резервных копий данных и выделения в СРК следующих отдельных
сегментов, основой которых являются медиа-серверы СРК:
1) Здание РЦИ:
– УОС;
– ИС и РЗ ИСУ ТИР;
– ЗС.
1) Здание ГУ:
– ИС;
– ЗС.
Структурная схема АПК СРК приведена на рисунке Рисунок 1 .
Лист
ДБАР.4012402.50.001.С1.0.0.0
5
Изм. Лист № докум. Подпись Дата
Доп. инв. №
Подпись и дата
Лист
ДБАР.4012402.50.001.С1.0.0.0
6
Изм. Лист № докум. Подп. Дата
1.1.1 Система резервного копирования сегмента УОС в здании РЦИ
Сегмент УОС СРК состоит из медиа-сервера СРК и клиентских систем сегмента ЛВС
УОС расположенных в здании РЦИ. Клиентские системы сегмента ЛВС УОС подключаются к
медиа-серверу СРК с использованием возможностей ЛВС. В качестве хранилища резервных
копий используется:
– медиа-сервер СРК сегмента УОС с внутренней дисковой подсистемой;
– существующая ленточная библиотека HP MSL 2024, оснащенной устройством LTO-
3 Ultrium 960.
Применение внутренней дисковой подсистемы в качестве хранилища резервных копий
обеспечивает восстановление работоспособности высоко-критичных информационных систем
ГУ Банка России по Новосибирской области в заданные сроки в соответствии с требованиями
пункта 4.1.2.8 ТЗ "ДБАР.4012402.50.001.ТЗ.0.0.0".
Обмен управляющей информацией между медиа-сервером и центральным сервером
управления выполняется через существующие в ГУ Банка России по Новосибирской области
средства межсетевого экранирования, расположенные в этом же здании.
Лист
ДБАР.4012402.50.001.С1.0.0.0
13
Изм. Лист № докум. Подпись Дата
отдельно друг от друга с обеспечением требований по информационной безопасности (схема
разграничения прав доступа на уровне хранилища данных приведена на рисунке Рисунок 5 ).
Подключение компонентов системы в данном сегменте выполняется по следующей
схеме:
– Хранилище резервных копий подключается к медиа-серверу СРК с помощью
фабрики оптических коммутаторов, что обеспечивает дополнительную надёжность
предлагаемому техническому решению.
– Медиа-сервер и клиентские системы подключаются к ЛВС сегмента.
– Обмен управляющей информацией между медиа-сервером и центральным сервером
управления выполняется через существующие в ГУ Банка России по Новосибирской области
средства межсетевого экранирования, расположенные в этом же здании.
– Управляющие порты фабрики оптических коммутаторов и хранилища резервных
копий подключаются к сети управления (на схеме не показано).
Лист
ДБАР.4012402.50.001.С1.0.0.0
13
Изм. Лист № докум. Подпись Дата
1.1.4 Система резервного копирования сегмента ЗС в здании ГУ
Сегмент СРК ЗС, расположенный в здании ГУ, состоит из следующих элементов:
– медиа-сервер СРК сегмента ЗС;
– клиентских систем сегмента ЛВС ЗС;
– хранилища резервных копий, разделяемого с сегментом СРК ЗС здания ГУ;
– фабрики оптических коммутаторов.
Медиа-сервер СРК является ключевым элементом СРК для данного сегмента и
позволяет обеспечивать контроль и управление клиентскими системами, расположенными в
данном сегменте и хранилищем резервных копий.
В качестве хранилища резервных копий используется:
– внешняя дисковая система на базе дискового массива
HP StorageWorks MSA p2000G3;
– ленточная библиотека HP MSL 2024, оснащенная устройствами LTO-5 Ultrium 3000.
Применение дискового массива в качестве хранилища резервных копий 1-го уровня
обеспечивает восстановление работоспособности информационных систем в заданные сроки в
соответствии с требованиями пункта 4.1.2.8 ТЗ.
Использование ленточной библиотеки в качестве хранилища резервных копий 2-го
уровня позволяет снизить стоимость решения и обеспечить возможность изъятия носителей
информации для надежного хранения. Функционал данных моделей дискового массива
позволяет обеспечить хранение резервных копий сразу двух сегментов СРК - ИС и ЗС -
отдельно друг от друга с обеспечением требований по информационной безопасности (схема
разграничения прав доступа на уровне хранилища данных приведена на рисунке Рисунок 5 ).
Подключение компонентов системы в данном сегменте выполняется по следующей
схеме:
– Хранилище резервных копий подключается к медиа-серверу СРК с помощью
фабрики оптических коммутаторов, что обеспечивает дополнительную надёжность
предлагаемому техническому решению.
– Медиа-сервер и клиентские системы подключаются к ЛВС сегмента.
– Обмен управляющей информацией между медиа-сервером и центральным сервером
управления выполняется через существующие в ГУ Банка России по Новосибирской области
средства межсетевого экранирования, расположенные в этом же здании.
– Управляющие порты фабрики оптических коммутаторов и хранилища резервных
копий подключаются к сети управления (на схеме не показано).
– Фабрика оптических коммутаторов подключается к SAN здания ГУ, для
обеспечения доступа к данным СКСД.
Лист
ДБАР.4012402.50.001.С1.0.0.0
13
Изм. Лист № докум. Подпись Дата
– клиентских систем сегмента ЛВС ИС.
Медиа-сервер СРК сегмента ИС является ключевым элементом СРК для данного
сегмента и позволяет обеспечивать контроль и управление клиентскими системами,
расположенными в данном сегменте и хранилищем резервных копий.
Клиентские системы данного сегмента, в отличии от аналогичного сегмента в здании
РЦИ, дополнительно включают клиентские системы СКСД, которые подключены к сети
хранения данных ГУ Банка России по Новосибирской области для обеспечения высокой
скорости передачи больших объёмов данных.
Подключение компонентов системы в данном сегменте выполняется по следующей
схеме:
– Медиа-сервер подключается к фабрикам оптических коммутаторов, что
обеспечивает высокоскоростное соединение с хранилищем резервных копий, разделяемым с
сегментом СРК ЗС, расположенным в этом же здании.
– Медиа-сервер и клиентские системы подключаются к ЛВС сегмента.
– Обмен управляющей информацией между медиа-сервером и центральным сервером
управления выполняется через существующие в ГУ Банка России по Новосибирской области
средства межсетевого экранирования, расположенные в этом же здании.
Лист
ДБАР.4012402.50.001.С1.0.0.0
13
Изм. Лист № докум. Подпись Дата
В случае отказа центрального сервера управления выполнение функций по созданию
резервных копий и их восстановлению будет невозможна. Для обеспечения быстрого
восстановления работоспособности центрального сервера проектными решениями
предусмотрено выделение отдельного резервного центрального сервера управления.
Резервный центральный сервер управления СРК (на схеме вынесен отдельно и
размещается рядом с центральным сервером) функционирует на базе отдельного сервера
HP Proliant DL380G5 из состава существующих средств предоставляемых ГУ. При штатной
работе центрального сервера управления СРК резервный сервер находится в выключенном
состоянии.
Для обеспечения восстановления работоспособности медиа-серверов предусмотрен
резервный медиа-сервер (на схеме вынесен отдельно) на базе существующего
HP Proliant ML370G4 предоставляемого ГУ. В случае аварийного выхода из строя любого из
медиа-серверов выполняется его замена на резервный сервер и восстановление
работоспособности.
Лист
ДБАР.4012402.50.001.С1.0.0.0
13
Изм. Лист № докум. Подпись Дата
– консоль управления СРК (графический интерфейс);
– ПП в соответствии с требованиями ПИБ.
4) ПП клиентских систем, подключаемых к СРК:
– ПП HP Storage Data Protector Disk Agent;
– ПП HP Storage Data Protector Integration Agent (при необходимости).
Лист
ДБАР.4012402.50.001.С1.0.0.0
13
Изм. Лист № докум. Подпись Дата
2 Схема потоков информации при работе СРК Новосибирск
Схема информационных потоков при работе СРК приведена на рисунке Рисунок 2 ,
Рисунок 3 .
При проведении автоматизированных операций по созданию резервных копий
возникают потоки данных, передающиеся по следующим каналам связи:
– клиентские системы, расположенные в сегменте УОС - по каналам локальной
вычислительной сети;
– клиентские системы СКСД, расположенные в сегменте ИС - по каналам сети
хранения данных, при создании резервной копии данных, расположенных на дисковом массиве,
и локальной вычислительной сети, при создании резервной копии данных с помощью агента
резервного копирования, работающего в виртуальной машине VMware;
– высоко-критичные клиентские системы, расположенные в сегментах ИС и ЗС - по
каналам локальной вычислительной сети;
– клиентские системы СРК, расположенные в сегменте РЗ ИСУ ТИР, включая
центральный сервер управления СРК - по каналам локальной вычислительной сети.
Средства межсетевого экранирования настраиваются так, чтобы пропускать команды
управления (управляющий трафик) между серверами резервного копирования и медиа-
агентами, расположенными в защищаемых сегментах ограниченного доступа (УОС, ЗС).
Копирование данных сегментов ограниченного доступа ведётся напрямую с объектов
РК на выделенные внутри данного сегмента устройства хранения. Таким образом, при
выполнении СРК операций резервного копирования и восстановления данных, данные
резервного копирования информации сегментов, содержащих информацию ограниченного
доступа, не покидают сегмент их размещения и исключается возможность передачи
копируемой информации ограниченного доступа в прочие сегменты ЛВС.
Лист
ДБАР.4012402.50.001.С1.0.0.0
13
Изм. Лист № докум. Подпись Дата
Доп. инв. №
Подпись и дата
Лист
ДБАР.4012402.50.001.С1.0.0.0
15
Изм. Лист № докум. Подп. Дата
Доп. инв. №
Подпись и дата
Лист
ДБАР.4012402.50.001.С1.0.0.0
15
Изм. Лист № докум. Подп. Дата
3 Схема структурная АПК ПИБ СРК
Применяемые в СРК Новосибирск технические и программные средства защиты
информации (далее – СЗИ) от несанкционированного доступа (далее – НСД) включают:
– средства межсетевого экранирования, далее по тексту МЭ;
– средства защиты от несанкционированного доступа (СЗИ от НСД);
– средства защиты от воздействия вредоносного кода (СЗ от ВВК).
МЭ представляет собой два устройства Cisco ASA, установленные в зданиях ГУ и РЦИ.
Управление МЭ не входит в обязанности Администратора ИБ. Администратор ИБ формирует
требования и транслирует их администраторам МЭ.
СЗИ от НСД представляет собой программно-аппаратный комплекс, установленный на
каждую ЭВМ СРК. Управление СЗИ от НСД на каждом защищаемом объекте осуществляется
по отдельности.
Средство защиты от воздействия вредоносного кода представляет собой программу,
установленную на каждую ЭВМ СРК и включённую в систему защиты от воздействия
вредоносного кода ГУ Банка России по Новосибирской области.
Выполнение функций защиты информации ограниченного доступа в СРК
обеспечивается комплексом встроенных механизмов защиты электронных вычислительных
машин (ЭВМ), ОС, СУБД, прикладных ПП, а также сертифицированных средств защиты
информации.
Схема структуры ПИБ СРК Новосибирск приведена на рисунке Рисунок 4 .
Лист
ДБАР.4012402.50.001.С1.0.0.0
16
Изм. Лист № докум. Подпись Дата
Доп. инв. №
Подпись и дата
Лист
ДБАР.4012402.50.001.С1.0.0.0
17
Изм. Лист № докум. Подп. Дата
4 Схема разграничения прав доступа пользователей на уровне
хранилища данных СРК
Функционал модели дискового массива HP StorageWorks MSA p2000G3, предлагаемой
в качестве хранилища резервных копий, позволяет обеспечить их хранение для сразу двух
сегментов СРК - ИС и ЗС - отдельно друг от друга с обеспечением требований по
информационной безопасности.
Обеспечение разделение с соблюдением требований по ИБ обеспечивается
следующими решениями:
– Разделение SAN на отдельные не зависимые сегменты с использованием
технологии зонирования.
– Разделение дисковых ресурсов с использованием функции LUN Security.
– Разделение данных по отдельным физическим дисковым устройствам.
Распределение функций обслуживающего персонала при эксплуатации дискового
массива в составе СРК приведено в таблице Таблица 1 .
Схема разграничения прав доступа пользователей СРК Новосибирск на уровне массива
приведена на рисунке Рисунок 5 .
Лист
ДБАР.4012402.50.001.С1.0.0.0
18
Изм. Лист № докум. Подпись Дата
Таблица 1 Функции персонала СРК при разграничении прав доступа
пользователей ГУ Банка России по Новосибирской области на уровне дискового
массива
Номер Описание технического Результат действий для Результат действий для
п/п решения Администратора СРК Администратора ИБ СРК
1 Разделение SAN на Обеспечивается изоляция Контроль целостности конфигурации
отдельные не зависимые потоков данных и обеспечивается:
сегменты с использованием предотвращение доступа к – возможностью анализа событий,
технологии зонирования данным с других серверов происходящих в среде ОС
коммутаторов SAN, в журнальном
файле Syslog;
– разграничением прав доступа
пользователей на коммутаторах.
2 Разделение дисковых Привязка WWN сервера к Контроль целостности конфигурации
ресурсов с использованием требуемому LUN массива хранилища данных обеспечиваются:
функции LUN Security – возможностью анализа событий,
происходящих в среде ОС хранилища
данных, в журнальных файлах;
– разграничением прав доступа
пользователей на дисковом массиве
3 Разделение данных по Резервные копии Отсутствует
отдельным физическим распределены на отдельные
дисковым устройствам изолированные дисковые
устройства или их группы
Лист
ДБАР.4012402.50.001.С1.0.0.0
19
Изм. Лист № докум. Подпись Дата
Доп. инв. №
Лист
ДБАР.4012402.50.001.С1.0.0.0
20
Изм. Лист № докум. Подп. Дата
5 Перечень принятых сокращений
В настоящем документе приняты следующие сокращения:
FC Fibre Channel
LUN Logical Unit Number. Логическое дисковое устройство, создаваемое на базе
RAID-группы, которому присваивается уникальный номер в пределах одного
SCSI Target ID
SAN Storage Area Network
АПК Аппаратно-программный комплекс
АРМ Автоматизированное рабочее место
БД База данных
ГУ Главное управление
ИС Информационные системы
ЗС Защищённые системы
ИОД Информация ограниченного доступа
ЛВС Локальная вычислительная сеть
МЭ Средство межсетевого экранирования
ОС Операционная система
ПИБ Подсистема информационной безопасности
ПО Программное обеспечение
РД Руководящий документ
РЗ ИСУ ТИР Региональное звено ИСУ ТИР
РКЦ Расчетно-кассовый центр
СЗИ Средства защиты информации
Лист
ДБАР.4012402.50.001.С1.0.0.0
21
Изм. Лист № докум. Подпись Дата
ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
Лист
ДБАР.4012402.50.001.С1.0.0.0
22
Изм. Лист № докум. Подпись Дата