Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
Скачать 7.28 Mb.
|
Удаленное управление Удаленное управление изделиями защиты осуществляет обслуживающий персонал специального узла связи, имеющего в составе ЗСПД статус Центра удаленного администрирования (далее – ЦУА). Администрацией ЗСПД может быть организовано несколько узлов связи, осуществляющих функции ЦУА (например, основной и резервные ЦУА). Обслуживающий персонал ЦУА осуществляет удаленное управление изделиями с помощью оборудования специализированных телекоммуникационных управляющих средств, подключаемых по мере необходимости к управляемым изделиям через сети передачи данных по защищенным каналам связи. В качестве технических средств удаленного управления применяются изделия нового поколения, переведенные в режим Администратор сети (см. раздел 11, с. 204). При этом система удаленного управления изделиями имеет ту же архитектуру и включает те же функциональные элементы управляющих и управляемых изделий, что и при организации локального управления изделиями. Конфигурирование управляемых изделий − основная задача удаленного управления. Применение средств удаленного управления для изменения значений параметров конфигураторов управляемых изделий предполагает удаленное сетевое взаимодействие между управляющим и управляемыми изделиями в составе ЗСПД по защищенным каналам связи. Основным вариантом удаленного конфигурирования является вариант, при котором персонал управляющего изделия удаленно (по защищенному каналу управления) получает на своем рабочем месте копию объединенной базы параметров БпО управляемого изделия, редактирует ее и передает обновленный конфигуратор на управляемое изделие для корректировки режима его работы. Если бы удаленное управление изделием выполнялось по той же схеме, что и локальное (см. раздел 1.3.2, с. 10), то потребовалось бы присутствие рядом с управляемым изделием его локального администратора, который должен был бы всякий раз при удаленном редактировании конфигуратора персоналом ЦУА вручную подтверждать на управляемом изделии разрешение на запись обновляемых параметров в БпО управляемого изделия. Во избежание этого неудобства для организации удаленного конфигурирования изделия применяется алгоритм, отличающийся от алгоритма локального управления. Иллюстрирует работу алгоритма представленная ниже (Рис. 1.6) схема взаимодействия элементов системы управления при удаленном конфигурировании изделия. Наружный маршрутизатор Внутренний маршрутизатор Аппаратура ЛКУ КуН Внутренний маршрутизатор АуВ БпО Сети общего пользования ЖсН Управляющее изделие Шифратор Шифратор Управляемое изделие Файлы обновленного конфигуратора управляемого изделия Контейнер Шифратор Контейнер Файлы обновленного конфигуратора управляемого изделия КуН АуН Наружный маршрутизатор Рис. 1.6 Схема взаимодействия элементов системы управления при удаленном конфигурировании изделия 1. Персонал управляющего изделия, подключив средства ЛКУ к БНМ, устанавливает соединение с наружным агентом управления управляемого изделия и, используя сетевой протокол управления DCP (подробнее см. раздел 5.1, с. 152), считывает конфигуратор управляемого изделия из его БпО. 2. Персонал управляющего изделия в локальном режиме управления редактирует значения параметров, формируя требуемый конфигуратор управляемого изделия. 3. Чтобы исключить необходимость на управляемом изделии вручную подтверждать разрешение на запись обновленного конфигуратора в БпО (как это делается при локальном управлении), для передачи Глава 1. Введение 13 конфигуратора на управляемое изделие шифратор управляющего изделия помещает обновленный конфигуратор управляемого изделия в контейнер, зашифровывает контейнер и передает его БНМ своего изделия для отправки на управляемое изделие. 4. БНМ управляемого изделия получает контейнер и отправляет его прямо шифратору (БНМ управляемого изделия при этом выполняет только роль маршрутизатора). Шифратор извлекает обновленный конфигуратор из контейнера и без подтверждения персоналом записывает конфигуратор в объединенную базу параметров БпО, после чего посылает на БНМ сигнал об изменении конфигуратора изделия. 5. Получив сигнал шифратора об изменении конфигуратора, БНМ считывает и загружает в свою оперативную базу БпН обновленные значения параметров, после чего посылает сигнал на БВМ об изменении содержимого БпО. В ответ БВМ также считывает новые значения параметров из объединенной базы БпО и загружает их в свою оперативную базу БпВ. 6. В зависимости от характера обновлений конфигуратора обоими маршрутизаторами управляемого изделия может быть выполнен перезапуск отдельных вычислительных процессов с учетом нового состояния БпН и БпВ (рестарт сетевых интерфейсов, открытие криптотуннелей и пр.). При таком алгоритме удаленного управления подтверждения разрешения на запись в объединенную базу параметров БпО не требуется. Примечание. Удаленное конфигурирование управляемого изделия возможно во вспомогательном варианте, предусматривающем подключение БНМ управляющего изделия к БНМ управляемого изделия в режиме удаленной консоли (подробнее см. раздел 4.1.4, с. 134). При этом персонал ЦУА, используя консоль БНМ управляющего изделия, получает доступ к БНМ управляемого изделия, включая и управление настройкой его конфигуратора. Неудобством этого варианта конфигурирования является необходимость синхронного с действиями персонала ЦУА ручного подтверждения персоналом управляемых изделий разрешения на запись конфигуратора в БпО управляемого изделия. Наблюдение за изделием – вторая задача управления. Для ее решения нельзя воспользоваться рассмотренным выше алгоритмом, т.к. наблюдение за работой управляемого изделия должно выполняться оперативно, в режиме реального времени. Для решения задачи наблюдения следует использовать реализованную в изделиях возможность контроля функционирования управляемого изделия в режиме удаленной консоли. В этом режиме обслуживающий персонал управляющего изделия может подключиться по сети общего пользования к управляемому изделию и получить на своей наружной или внутренней консоли доступ к соответствующей консоли управляемого изделия – удаленную консоль. Схема организации удаленного доступа к наружной консоли управляемого изделия представлена на Рис. 1.7. Наружный маршрутизатор Шифратор Внутренний маршрутизатор Аппаратура ЛКУ КуН Шифратор Внутренний маршрутизатор АуН КуН ЖсН Сети общего пользования Наружный маршрутизатор Управляющее изделие Управляемое изделие Рис. 1.7 Схема организации удаленного доступа к консоли БНМ управляемого изделия На управляющем изделии средства ЛКУ подключаются персоналом ЦУА к БНМ и обеспечивается сессия доступа аппаратуры локальной консоли к наружной консоли управления. Через сеть устанавливается соединение с наружным агентом управления управляемого изделия (используется сетевой протокол управления DCP), и оперативный доступ к консоли наружного маршрутизатора управляемого изделия появляется на 14 Глава 1. Введение управляющем изделии. При установлении соединения между наружными маршрутизаторами управляющего и управляемого изделий организуется криптографически защищенный канал управления. В этом режиме можно проконтролировать работу и все настройки БНМ управляемого изделия, организовать трассировку его работы и оперативную наладку, проанализировать статистику функционирования БНМ, а также получить доступ к конфигурированию управляемого изделия. Схема организации удаленного доступа к внутренней консоли управляемого изделия представлена на Рис. 1.8. Наружный маршрутизатор Шифратор Внутренний маршрутизатор Аппаратура ЛКУ КуВ Наружный маршрутизатор Шифратор АуВ КуВ ЖсВ Сети общего пользования Внутренний маршрутизатор Управляющее изделие Управляемое изделие Рис. 1.8 Схема организации удаленного доступа к консоли БВМ управляемого изделия На управляющем изделии средства ЛКУ подключаются персоналом ЦУА к БВМ и обеспечивается сессия доступа аппаратуры локальной консоли к консоли управления БВМ управляющего изделия. Для организации доступа используется штатная функция шифраторов управляющего и управляемого изделий – криптографический туннель, обеспечивающий защиту канала данных; специального защищенного канала управления в этом случае не требуется. По штатному криптографическому туннелю устанавливается соединение через сеть с внутренним агентом управления управляемого изделия (используется сетевой протокол управления DCP), и персонал ЦУА получает на консоли БВМ управляющего изделия оперативный доступ к консоли БВМ управляемого изделия для контроля за настройками и работой БВМ управляемого изделия. В этом режиме можно проконтролировать работу и все настройки БВМ, организовать трассировку его работы и оперативную наладку, проанализировать статистику функционирования БВМ управляемого изделия. Работа с журналами – третья задача удаленного управления – решается также отдельно для каждого из маршрутизаторов изделия. На управляющем изделии обеспечивается сессия доступа аппаратуры локальной консоли к наружной или к внутренней консоли управления; через сеть устанавливается соединение соответственно с наружным или с внутренним агентом управления управляемого изделия (АуН или АуВ) по той же схеме, что и при получении доступа к соответствующей консоли удаленного управляемого изделия (удаленной консоли). После установления соединения на управляющем изделии можно получить по сети журналы результатов работы БНМ или БВМ управляемого изделия. 1.3.4. Общие вопросы управления работой изделия Управление работой изделия осуществляется с помощью программы управления функционированием изделия, состоящей из независимых компонентов, каждый из которых загружается в соответствующий блок изделия БКО, БВМ, БНМ. При запуске изделия после включения электропитания в блоки БВМ и БНМ загружается т.н. общее программное обеспечение – ОПО, управляющее функционированием обоих маршрутизаторов изделия. В блок БКО загружается специальное программное обеспечение – СПО, управляющее работой шифратора. Порядок работы обслуживающего персонала в процессе диалога с СПО, функционирующим в составе БКО, рассмотрен в РЭ на конкретное изделие. Порядок выполнения обслуживающим персоналом настройки ОПО и управления работой изделия в процессе диалога с соответствующим ОПО, функционирующим в составе БНМ или БВМ, приведен в настоящем РНУ. . Диалог между обслуживающим персоналом и программой управления изделием осуществляется с применением технических средств ЛКУ и поддерживается с помощью иерархической системы меню, отображаемой на видеомониторе ЛКУ. Глава 1. Введение 15 Персонал, допущенный к эксплуатации изделий, по уровню доступа к управлению изделиями подразделяется на три категории: - операторы, выполняющие при эксплуатации изделий на узлах ЗСПД регламентные операции и контроль функционирования изделий в условиях неизменной среды окружения, не требующей перенастройки изделий; - администраторы узла, обеспечивающие на штатных узлах ЗСПД по исходным данным Администрации ЗСПД настройку изделия при вводе его в эксплуатацию и перенастройку при дальнейшей его эксплуатации на объекте в условиях изменяющейся среды окружения; - администраторы сети, использующие изделия (как правило, в составе выделенных узлов ЗСПД, осуществляющих функции Центров удаленного администрирования ЗСПД) как средства для удаленной (по защищенным каналам связи) настройки, контроля функционирования и управления работой других аналогичных изделий защиты в составе штатных узлов ЗСПД. В соответствии с этим программа управления функционированием изделия поддерживает три приведенных ниже режима доступа обслуживающего персонала к управлению изделиями (процедура включения требуемого режима доступа к управлению изделием приведена в разделе 8.4, с. 183). Режим Оператор − доступен сразу после включения электропитания и выполнения изделием необходимых подготовительных операций; в этом режиме обслуживающему персоналу доступен ограниченный набор функций изделия. При условии ввода соответствующих паролей обслуживающий персонал изделия может перевести его в привилегированные режимы Администратор_узла'>Администратор узла или Администратор сети. Режим Администратор узла обеспечивает возможность применения полного набора функций для локального управления изделием. Примечание. Программа управления функционированием поддерживает работу с несколькими администраторами узла, каждый из которых может иметь индивидуальный настраиваемый набор прав доступа к функциям управления изделием (подробнее см. раздел 6.4, с. 171). Режим Администратор сети предоставляет возможность применения полного набора функций удаленного управления аналогичными изделиями защиты в составе ЗСПД (подробнее см. раздел 11, с. 204). Для управления блоками наружной и внутренней маршрутизации обслуживающий персонал изделий может использовать как штатные технические средства ЛКУ изделия, так и дополнительные технические средства ЛКУ) * – клавиатуру и видеомонитор. Штатные технические средства ЛКУ встроены в моноблок изделия или выполнены в виде отдельного конструктива, подключенного к моноблоку изделия постоянно или подключаемого к нему только на время, необходимое для выполнения настройки, контроля функционирования или управления изделием. Дополнительные технические средства ЛКУ – стационарные клавиатура и видеомонитор – могут быть подключены к моноблоку изделия в качестве внешних устройств. Использование дополнительных средств ЛКУ может быть продиктовано необходимостью длительной, регулярной работы персонала по настройке и управлению изделием (например, при пуско-наладочных работах, при использовании изделия в составе ЦУА ЗСПД в качестве средства удаленного управления). Встроенный в моноблок переключатель технических средств локальной консоли управления обеспечивает возможность подключения средств ЛКУ – штатных или дополнительных – к блоку наружного или к блоку внутреннего маршрутизатора (при этом информационное взаимодействие блоков маршрутизации через переключатель исключается). Для подключения технических средств ЛКУ к требуемому маршрутизатору следует: а) при работе со штатными техническими средствами ЛКУ: - для подключения средств ЛКУ к БНМ – нажать одновременно клавишу-модификатор - для подключения средств ЛКУ к БВМ – нажать одновременно клавишу-модификатор - для подключения средств ЛКУ к БНМ – нажать функциональную клавишу - для подключения средств ЛКУ к БВМ – нажать функциональную клавишу * К дополнительным техническим средствам ЛКУ предъявляются специальные требования, укзанные в документах, регламентирующих порядок использования изделий (см. комплект эксплуатационной документации на изделие). 16 Глава 1. Введение Изделием поддерживается три различных регистра раскладки клавиатуры (три набора раскладки символов по клавишам клавиатуры): набор латинских символов и два набора символов кириллицы – ЯВЕРТЫ или ЙЦУКЕН. При этом: - нажатие клавиши - нажатие клавиши - нажатие комбинации клавиш Примечание. Клавиши для переключения между раскладками клавиатуры в регистре кириллицы ( На этапе подготовки изделия к работе следует подключить к моноблоку изделия (при необходимости) средства ЛКУ и включить электропитание. По окончании процесса запуска на видеомонитор ЛКУ будет выдан экран Главного меню программы управления функционированием БНМ, аналогичное представленному на Рис. 1.9. Рис. 1.9 Экран Главного меню программы управления функционированием БНМ В верхнюю строку экрана в самую левую позицию выводится индикатор раскладки клавиатуры и затем − Главное меню (меню первого уровня) программы управления функционированием маршрутизатора (далее ГМ), включающее альтернативы: Консоль, Интерфейсы, Диагностика, Настройка, Сервис. Средняя часть экрана обрамлена рамкой и отображает строки внесенных в основной журнал изделия записей последних сообщений программы управления о событиях, возникавших при работе изделия. Динамика и объем выдаваемой на экран информации зависит от интенсивности сетевой нагрузки на изделие, а также от установленной при настройке изделия степени детализации информации, необходимой для контроля и диагностики работы изделия. Полностью основной журнал изделия сохраняется в файле LOG.EMA, который всегда можно просмотреть с помощью альтернативы ГМ: Консоль Журналы, описанной в разделе 8.2, с. 181. В левом верхнем углу рамки указан текущий уровень доступа персонала к управлению изделием: Оператор, Адм.узла или Адм.сети. В правом верхнем углу рамки указан маршрутизатор, к которому в настоящий момент подключены технические средства ЛКУ (указатель |