Wymagania bezpieczeństwa dla systemów transmisji danych SOWE/EL, WIRE/UR



Podobne dokumenty
OPERATOR SYSTEMU PRZESYŁOWEGO

Procedura podłączania węzła lokalnego Elektrowni do węzła centralnego OSP Systemu Monitorowania Parametrów Pracy JWCD (SMPP)

Energia w dobrych rękach.

Zasady wymiany danych czasu rzeczywistego pomiędzy systemami SCADA OSP i OSD Wersja 1.5

Zdalne logowanie do serwerów

Wymagania bezpieczenstwa dla systemów transmisji danych SOWE/(ODM, EL), WIRE/UR.

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

BRINET Sp. z o. o.

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

Oferta świadczenia pomocy prawnej dla Zdalny dostęp do dokumentów

7. zainstalowane oprogramowanie zarządzane stacje robocze

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

1. Zakres modernizacji Active Directory

Metryka dokumentu. str. 2. Tytuł. CEPiK 2 dostęp VPN. Centralny Ośrodek Informatyki. Zatwierdzający. Wersja Data Kto Opis zmian.

Integral over IP. Integral over IP. SCHRACK SECONET POLSKA K.Kunecki FIRE ALARM

Zakresy prywatnych adresów IPv4: / / /24

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

INFORMACJE DLA STACJI KONTROLI POJAZDÓW

Koncentrator VPN. Konfiguracja OpenVPN. +Sieci hybrydowe. Dotyczy wersji oprogramowania 3.7 Wersja dokumentu: 1.0

Procedura zarządzania uprawnieniami. użytkowników Archiwum SOWE/WIRE

POLITYKA E-BEZPIECZEŃSTWA

1. Instalacja jednostanowiskowa Instalacja sieciowa Instalacja w środowisku rozproszonym Dodatkowe zalecenia...

Wdrożenie infrastruktury klucza publicznego (PKI) dla użytkowników sieci PIONIER

Regulamin korzystania z Systemu Wrota Podlasia

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

PROFFICE/ MultiCash PRO Zmiana parametrów komunikacji VPN do połączenia z Bankiem Pekao S.A.

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Sieci VPN SSL czy IPSec?

Infrastruktura klucza publicznego w sieci PIONIER

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)


System Kancelaris. Zdalny dostęp do danych

CENNIK USŁUG TELEKOMUNIKACYJNYCH

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Tworzenie połączeń VPN.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

11. Autoryzacja użytkowników

Parametr 19: MoŜliwość. podzielenia reguł firewalla na logiczne grupy, pomiędzy którymi występują kaskadowe. połączenia

AGENDA. Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku

Dostęp bezprzewodowy do Uczelnianej Sieci Komputerowej Politechniki Poznańskiej Instrukcja dla studentów Politechniki Poznańskiej

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Bringing privacy back

Projektowanie Bezpieczeństwa Sieci Łukasz Jopek Projektowanie Bezpieczeństwa Sieci - Laboratorium. Konfiguracja NAP Network Access Protection

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

SET (Secure Electronic Transaction)

ZiMSK. Konsola, TELNET, SSH 1

Opis Przedmiotu Zamówienia

Szczegółowy opis przedmiotu zamówienia:

ZAŁOŻENIA PROJEKTOWE I SPECYFIKACJA USŁUG

IP: Maska podsieci: IP: Maska podsieci: Brama domyślna:

MASKI SIECIOWE W IPv4

PLAN KONSPEKT. do przeprowadzenia zajęć z przedmiotu. Wprowadzenie do projektowania sieci LAN

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r.

SPIS TREŚCI Błąd! Nie zdefiniowano zakładki.

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Problemy z bezpieczeństwem w sieci lokalnej

Internet. Bramka 1 Bramka 2. Tunel VPN IPSec

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

MODUŁ: SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

POLSKIE SIECI ELEKTROENERGETYCZNE S. A. RYNKU. Wersja 1.0 (2) Data opracowania: 26 marca 2003 Data zatwierdzenia: 26 marca 2003 Daty aktualizacji:

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Protokół IPsec. Patryk Czarnik

Sieciowa instalacja Sekafi 3 SQL

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Włącz włączenie klienta SysLog, który będzie zbierał dane i kierował je do serwera (lokalnego lub oddalonego np. poprzez Internet czy tunel VPN).

Metody zabezpieczania transmisji w sieci Ethernet

SYSTEMY ZABEZPIECZEŃ. Poradnik. Wirtualne sieci prywatne - VPN. Wymagania wstępne LAN. Internet VPN

PROCEDURA WPROWADZANIA ZMIAN W


Opis oferowanego przedmiotu zamówienia

Spis treści. Wstęp Rozdział 1. Zasady pracy z komputerem Rozdział 2. Budowa komputera... 20

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Program szkolenia. Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną)

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Opis komunikacji na potrzeby integracji z systemem klienta (12 kwiecień, 2007)

Dostęp bezprzewodowy do Uczelnianej Sieci Komputerowej Politechniki Poznańskiej Instrukcja dla studentów Politechniki Poznańskiej

System anonimowej i poufnej poczty elektronicznej. Jakub Piotrowski

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Automatyczne anulowanie zleceń w wyniku odłączenia od CCG

Serwery LDAP w środowisku produktów w Oracle

4. Podstawowa konfiguracja

1. Wprowadzenie Środowisko multimedialnych sieci IP Schemat H

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

Zasady licencjonowania dostępu (CAL / EC)

CEPiK 2 dostęp VPN v.1.7

Laboratorium nr 4 Sieci VPN

Transkrypt:

Wymagania bezpieczeństwa dla systemów transmisji danych SOWE/EL, WIRE/UR Wersja 8.0 Data opracowania: 07 września 2007 Data zatwierdzenia: 12 września 2007 Data wejścia w życie: 01 października 2007 Daty aktualizacji: Warszawa, 12 wrzesień 2007

Metryka dokumentu Historia dokumentu Autor Nr wersji data Treść zmian Winuel SA, HP Polska 1.0 03-08-2000 Propozycja dokumentu do zaakceptowania Winuel SA, HP Polska 2.0 25-08-2000 Uzupełnienie Winuel SA, HP Polska 3.0 31-08-2000 Wprowadzenia zmian i rozszerzenie zakresu Winuel SA, HP Polska 4.0 1-11-2000 Wprowadzenia zmian i rozszerzenie zakresu Winuel SA, HP Polska 5.0 14-11-2000 Wprowadzenia zmian i rozszerzenie zakresu Winuel SA, HP Polska 6.0 16-11-2000 Wprowadzenia zmian i rozszerzenie zakresu Polskie Sieci Elektroenergetyczne - Info Sp. z o.o. Polskie Sieci Elektroenergetyczne - Info Sp. z o.o. Polskie Sieci Elektroenergetyczne - Info Sp. z o.o. Winuel SA, Polskie Sieci Elektroenergetyczne - Info Sp. z o.o. Dane dotyczące dokumentu tytuł dokumentu : Autor : 7.3 26-07-2002 Wprowadzenia zmian i rozszerzenie zakresu 7.5 25-09-2002 Wprowadzenia zmian i rozszerzenie zakresu 7.5a 30-09-2002 Wprowadzenia zmian i rozszerzenie zakresu 8.0 12-09-2007 Zmiany związane z wprowadzeniem SSL WebSphere MQ Wymagania bezpieczeństwa dla systemów transmisji danych SOWE/ EL, WIRE/UR. Winuel SA, Polskie Sieci Elektroenergetyczne - Info Sp. z o.o. wersja : 8.0 poufność : Do użytku wewnętrznego OSP i Operatorów Rynku Liczba kopii : 1. N/D Data publikacji : 12-09-2007 Termin ważności : Bezterminowa kolejna wersja anuluje obecną nazwa pliku i format : Wymagania bezpieczeństwa dla systemów transmisji danych SOWE_EL, WIRE_UR.pdf Streszczenie : Dokument opisuje wymagania techniczne niezbędne do podłączenia systemu SOWE/EL, WIRE/UR do Systemu OSP. Skróty i definicje użyte w dokumencie: ABOR - Administrator Bezpieczeństwa Operatora Rynku ABOSP - Administrator Bezpieczeństwa OSP CCO - Centrum Certyfikacji OSP AC - Administrator Certyfikatów SRGW - Lokalny wydzielony lan sieci komputerowej w siedzibie OR umożliwiający komunikacje pomiędzy routerami dostępowymi, a gateway OR OR - Operator Rynku posiadający system WIRE/UR Elektrownia - Elektrownia posiadająca system SOWE/EL data: 2007-09-12 Wersja 8.0 z dnia 12-09-2007 Strona 2 z 11

SPIS TREŚCI Spis treści... 3 1 Wstęp... 4 2 Warunki dostępu do systemu SOWE oraz WIRE... 4 2.1 PLATFORMA SPRZĘTOWA I PROGRAMOWA... 4 2.2 WYMAGANIA SIECIOWE... 4 2.3 OCHRONA DOSTĘPU... 4 3 Rodzaje styków sieciowych... 4 3.1 STYK PODSTAWOWY...5 3.2 STYK ZAPASOWY I... 6 3.3 STYK ZAPASOWY II... 6 3.4 KLASYFIKACJA URZĄDZEŃ OR... 6 3.5 ADRESACJA IP... 7 4 Wymagania w zakresie SSL serwera MQ... 7 5 Wymagania w zakresie VPN dla stacji użytkownika... 7 5.1 WYMAGANIA SPRZĘTOWE... 7 5.2 WYMAGANE OPROGRAMOWANIE... 7 5.3 WYMAGANIA SIECIOWE... 8 6 Procedury... 8 6.1 6.2 ZALECENIA ORGANIZACYJNE... 8 PROCEDURA AUTORYZACJI POŁĄCZEŃ... 8 6.3 ZARZĄDZANIE BEZPIECZEŃSTWEM SYSTEMÓW SOWE/WIRE... 10 7 Wymagania techniczne... 11 7.1 SSL... 11 7.2 VPN... 11 7.3 SYNCHRONIZACJA CZASU... 11 7.4 ROUTERY DOSTĘPOWE... 11 data: 2007-09-12 Wersja 8.0 z dnia 12-09-2007 Strona 3 z 11

1 WSTĘP Dokument przedstawia wymagania techniczne i organizacyjne, stawiane systemom Operatorów Rynku tj. WIRE/UR i Elektrowni tj. SOWE/EL, których spełnienie ma na celu zapewnić bezpieczną wymianę informacji z systemami informatycznymi OSP tj. odpowiednio SOWE lub WIRE. Niniejszy dokument nie dotyczy dostępu do Archiwum WIRE przez Internet. 2 WARUNKI DOSTĘPU DO SYSTEMU SOWE ORAZ WIRE 2.1 Platforma sprzętowa i programowa W celu ochrony danych transmitowanych w ramach systemów SOWE/WIRE wykorzystany będzie protokół SSL (Secure Sockets Layer) na poziomie kanałów serwerów WebSphere MQ. SSL będzie wykorzystywany również do autentykacji menedżerów kolejek WebSphere MQ. Zakłada się stosowanie następujących wersji oprogramowania IBM WebSphere MQ: Wersja WebSphere MQ Zestaw poprawek 5.3 Fix Pack 12 6.0 Fix Pack 6.0.1.1 Aktualna lista dostępnych platform sprzętowych umożliwiających uruchomienie oprogramowania IBM WebSphere MQ wraz z protokołem SSL znajduje się na stronach producenta: http://www-1.ibm.com/support/docview.wss?rs=171&uid=swg27006467 Zestaw poprawek aktualizacji oprogramowania znajduje się na stronach producenta: http://www-1.ibm.com/support/docview.wss?rs=171&uid=swg27006037 2.2 Wymagania sieciowe Konfiguracja serwera SOWE/EL, WIRE/UR dla warstwy sieciowej musi spełniać wymagania dot. styku sieciowego: Styk sieciowy - systemy OR lub Elektrowni komunikują się z Systemem OSP wykorzystując następujące drogi transmisji danych: 2 łącza minimum 64 kbit sieci SOWE/WIRE lub awaryjne łącze DialUp w przypadku awarii obu łącz sieci SOWE/WIRE. 2.3 Ochrona dostępu Ochrona dostępu komunikacji serwerów SOWE/EL i WIRE/UR będzie realizowana na poziomie kanału SSL WebSphere MQ. Zakłada się włączenie dwustronnej autentykacji SSL. Do ustanawiania komunikacji poprzez SSL przeznaczone będą certyfikaty cyfrowe podpisane za pomocą aplikacji CCO przez Administratora Certyfikatów. 3 RODZAJE STYKÓW SIECIOWYCH W warstwie połączeń sieciowych wymagane jest zestawienie redundantnego połączenia sieciowego pomiędzy serwerami SOWE/EL, WIRE,UR i serwerami SOWE/OSP, WIRE/OSP. W przypadku awarii któregoś z łącz data: 2007-09-12 Wersja 8.0 z dnia 12-09-2007 Strona 4 z 11

redundantnych routery dostępowe znajdujące się u Operatora Rynku/Elektrowni powinny automatycznie przełączyć ruch na działające łącze, a w przypadku awarii obu łącz, na połączenie Dial-Up. W przypadku jednoczesnego realizowania połączeń pomiędzy systemami SOWE/EL i SOWE/OSP oraz WIRE/UR i WIRE/OSP na routerach dostępowych znajdujących się u Operatora Rynku/Elektrowni w strefie SRGW powinny zostać skonfigurowane dwa routery wirtualne (jeden dla ruchu SOWE, drugi dla ruchu WIRE), na które powinien być skierowany odpowiedni routing z gateway a Elektrowni/OR. Wymagana jest synchronizacja czasu serwerów SOWE/EL, WIRE/UR z siecią SOWE/WIRE. Powinno to następować przy użyciu protokołu NTP; serwerami czasu są routery dostępowe sieci SOWE/WIRE dołączone do SRGW danego Elektrowni/OR. dostępowy OR (R1) WAN OSP OSP (R1) LAN OR LAN SRGW dostępowy OR (R2) OSP (R2) LAN OSP LAN OSP PSTN Access Server OR (ISDN) Access Server Rys. Rodzaje styków sieciowych 3.1 Styk Podstawowy Styk Podstawowy realizuje połaczenia IP na potrzeby transmisji danych pomiędzy serwerami SOWE/EL, WIRE/UR i serwerami SOWE/OSP, WIRE/OSP (menadżerami WebSphere MQ SOWE i WIRE) oraz VPN. SSL - łącze logiczne LAN OR dostępowy OR (R1) WAN OSP OSP LAN OSP VPN (Tunel Mode) - łącze logiczne PC Strona OR STYK VPN Strona OSP Rys. Styk podstawowy data: 2007-09-12 Wersja 8.0 z dnia 12-09-2007 Strona 5 z 11

3.2 Styk Zapasowy I Styk Zapasowy I odpowiada funkcjonalnie stykowi podstawowemu. Styk ten jest wykorzystywany w sytuacjach awaryjnych, w przypadku braku dostępności styku podstawowego. Schemat rozwiązania przedstawiony został poniżej. SSL - łącze logiczne LAN OR dostępowy OR (R2) WAN OSP OSP LAN OSP VPN (Tunel Mode) - łącze logiczne PC Strona OR STYK VPN Strona OSP Rys. Styk zapasowy I 3.3 Styk Zapasowy II Styk Zapasowy II odpowiada funkcjonalnie stykowi zapasowemu I, z tą różnicą, że wykorzystywane są połączenia komutowane ISDN. Ponadto jest to styk wykorzystywany w sytuacjach awaryjnych, przy braku dostępności Styku Podstawowego oraz Styku Zapasowego I. Schemat rozwiązania przedstawiony został poniżej. SSL - łącze logiczne LAN OR dostępowy OR (ISDN) PSTN Access Server LAN OSP VPN (Tunel Mode) - łącze logiczne PC Strona OR STYK VPN Strona OSP Rys. Styk zapasowy II 3.4 Klasyfikacja urządzeń OR Gateway znajdujący się w obszarze administracji Elektrowni/Operatora Rynku może być urządzeniem typu: Firewall (np. Checkpoint, PIX) zaleca się ze względów bezpieczeństwa Elektrowni/Operatora Rynku. data: 2007-09-12 Wersja 8.0 z dnia 12-09-2007 Strona 6 z 11

Oba typy urządzeń mogą posiadać mechanizm NAT dla translacji adresów stacji roboczych VPN z lokalnych adresów IP do adresów przydzielonych przez OSP. y dostępowe znajdujące się w obszarze administracji OSP stanowią integralną część sieci OSP. Zapewnienie routerów dostępowych oraz zestawienie i utrzymanie połączenia do routerów ch sieci WAN OSP leży w gestii Elektrowni/Operatora Rynku. Specyfikacja techniczna tych urządzeń okreslana jest w ramach Procedury autoryzacji połączeń. 3.5 Adresacja IP Serwery SOWE/EL i WIRE/UR muszą stosować osobne, przyznane przez OSP adresy IP. Wszystkie pakiety IP wychodzące z serwera SOWE/EL muszą mieć adres źródłowy IP dla SOWE/EL przyznany przez ABOSP. Analogicznie dotyczy to serwerów WIRE/UR. Każdy serwer SOWE/WIRE powinien posiadać skonfigurowaną drogę odpowiednio do serwera SOWE OSP lub WIRE OSP. 4 WYMAGANIA W ZAKRESIE SSL SERWERA MQ Do celów autoryzacji i identyfikacji serwerów WebSphere MQ SOWE/EL i WIRE/UR przy zestawianiu kanału SSL stosowana jest para kluczy dla serwera WebSphere MQ, generowana przez ABOR i certyfikowana w Centrum Certyfikacji OSP przez AC. Dla klucza serwera WebSphere MQ wymagane są następujące dane (w nawiasach podano obowiązujące wartości): Kraj - COUNTRY (C=PL) Organizacja - Organization (O=PSE-Operator) Jednostka Organizacyjna Organization Unit (OU=CCO-WIRE) lub (OU=CCO-SOWE) Kod węzła - Common Name (CN=[Kod węzła]) Wniosek o podpisanie certyfikatu generowany jest przy użyciu narzędzi WebSphere MQ lub innych narzędzi tworzących żądania certyfikatów zgodnych ze standardem X.509 w formacie DER lub PEM i wysyłany jest do podpisania do OSP poprzez aplikację webową CCO Centrum Certyfikacji OSP. 5 WYMAGANIA W ZAKRESIE VPN DLA STACJI UŻYTKOWNIKA Aplikacje Archiwum SOWE, Archiwum WIRE oraz WIRE/RP po stronie systemów OSP są udostępniane z wykorzystaniem bezpiecznego serwera WWW. Dostęp do bezpiecznego serwera WWW będzie realizowany ze stacji roboczych klasy PC. Bezpieczeństwo wymiany informacji jest uzyskiwane poprzez szyfrowanie danych za pomocą technologii VPN (AppGate) oraz autoryzację poprzez narzędzia RSA SecurID. 5.1 Wymagania sprzętowe Stacja kliencka użytkownika, umożliwiająca uruchomienie oprogramowania VPN. Token SecurID firmy RSA Security Inc. 5.2 Wymagane oprogramowanie System operacyjny stacji roboczej - Windows 2000/2003, Windows XP data: 2007-09-12 Wersja 8.0 z dnia 12-09-2007 Strona 7 z 11

Oprogramowanie AppGate Client wersja 8. 5.3 Wymagania sieciowe Każda stacja robocza użytkowników Archiwum SOWE/WIRE lub WIRE/RP powinna posiadać skonfigurowane połaczenie sieciowe do odpowiedniego serwera WWW OSP, wykorzystując połączenia sieciowe dla serwerów SOWE/EL, WIRE/UR opisanych w Rozdz. 3. Adresy IP dla stacji roboczych użytkowników, stosowane w sieci SOWE/WIRE przez Operatorów Rynku, przydziela Administrator Bezpieczeństwa OSP. Są one przydzielane w momencie rejestracji nowego użytkownika Archiwum SOWE/WIRE. 6 PROCEDURY Bezpieczeństwo systemów SOWE/WIRE jest uzależnione od wszystkich elementów tego systemu, w tym także od podłączonych systemów i aplikacji Elektrowni/Operatorów Rynku. W celu ograniczenia potencjalnych punktów zagrożeń, bezpieczeństwo całości podzielono na następujące aspekty: Organizacyjne określające procedury i wymagania organizacyjne podłączania i uruchamiania systemów Elektrowni/Operatorów Rynku Techniczne określające narzędzia i mechanizmy ochrony danych - poufność, autoryzacja i niezaprzeczalność transakcji. 6.1 Zalecenia Organizacyjne Zalecenia organizacyjne specyfikują zasady podłączania systemów SOWE/EL, WIRE/UR do systemu OSP oraz procedury kontroli i dystrybucji informacji niezbędnych do podłączenia systemów SOWE/WIRE Operatorów Rynku. Podstawowe elementy zaleceń organizacyjnych to procedury: 1. Procedura autoryzacji połączeń 2. Zarządzanie bezpieczeństwem systemów SOWE/WIRE 6.2 Procedura autoryzacji połączeń Procedura określa proces składania wniosku o podłączenie systemu SOWE/WIRE Elektrowni/Operatora Rynku do systemu OSP, rozpatrywanie wniosku pod względem formalnym i technicznym, wymagania dotyczące personelu zarządzającego bezpieczeństwem. W procedurze są stosowane następujące formularze: Wniosek o rejestrację systemu informatycznego WIRE/UR lub SOWE/EL Decyzja o rejestracji systemu informatycznego WIRE/UR lub SOWE/EL Decyzja o odrzuceniu wniosku o rejestracji systemu informatycznego WIRE/UR lub SOWE/EL data: 2007-09-12 Wersja 8.0 z dnia 12-09-2007 Strona 8 z 11

Procedura autoryzacji połączeń Wypełnia ABOR Wypełnienie i w ysł anie W nio sku do Adm insitratora Bezpieczeń stwa system u OSP W n io se k o reje stra cję systemu informatycznego WIRE/UR lub SOWE/EL ABOSP Uzupełninie W eryfikacja W niosku pod wzglę dem formalny m i technicznym Decyzja Zatwierdzenia W niosku Odrzucenie Decyzja o odrzuceniu wniosku o rejestrację systemu informatycznego WIRE/UR lub SOW E/EL ABOSP Tak Koniec Wysłanie Decyzji Decyzja o o rejestracji systemu informatycznego WIRE/UR lub SOW E/EL Koniec data: 2007-09-12 Wersja 8.0 z dnia 12-09-2007 Strona 9 z 11

6.3 Zarządzanie bezpieczeństwem systemów SOWE/WIRE W ramach zarządzania bezpieczeństwem systemów SOWE/WIRE realizowane są następujące zasady: Poufność Transakcji komunikacja użytkowników i aplikacji działających w ramach współpracy z system OSP jest szyfrowana przy użyciu SSL. Identyfikacja i Autoryzacja Elementów Systemu Operatora Rynku i OSP elementy będą jednoznacznie identyfikowane na następujących warstwach: o Aplikacji Websphere MQ wszystkie serwery będą jednoznacznie identyfikowane na podstawie certyfikatu elektronicznego zgodnego z normą X.509v 3 używanego w kanałach SSL WebSphere MQ. o Sesji zestawianie sesji będzie możliwe tylko dla wskazanych portów TCP/UDP, po identyfikacji i autoryzacji przez warstwę Użytkownika i warstwę Aplikacji. o Sieci zestawianie połączeń sieciowych będzie identyfikowane na podstawie adresów IP. Osobą odpowiedzialną za nadzorowanie wymagań bezpieczeństwa Systemu OSP jest Administrator Bezpieczeństwa ABOSP. W szczególności odpowiada on za: o Określanie zasad bezpiecznego przechowywania kluczy prywatnych oraz kluczy identyfikacyjnych w OSP. o Określanie parametrów technicznych niezbędnych do podłączenia nowych węzłów SOWE/EL i WIRE/UR do węzła centralnego OSP. o Zarządzanie konfiguracją w zakresie systemu bezpiecznego dostępu AppGate. Osobą odpowiedzialną za dystrybucje certyfikatów do komunikacji SSL serwerów WebSphere MQ poprzez CCO tj. obsługę pozyskiwania, odnawiania i anulowania certyfikatów jest Administrator Certyfikatów AC. Dla wszystkich styków odpowiedzialność ABOSP za bezpieczeństwo kończy się na urządzeniach aktywnych sieci SOWE/WIRE znajdujących się u Operatora Rynku/Elektrowni Operator Rynku wnioskujący o przyłączenie do systemu OSP wyznaczy osobę pełniącą funkcję Administratora Bezpieczeństwa Operatora Rynku - ABOR.: Podłączenie do systemu OSP realizowane jest po rozpatrzeniu Wniosku o rejestrację systemu informatycznego WIRE/UR lub SOWE/EL oraz uzyskaniu przez OR Decyzji o rejestracji systemu informatycznego WIRE/UR lub SOWE/EL. Administrator Bezpieczeństwa Operatora Rynku odpowiedzialny jest za: o Przekazywanie informacji niezbędnych do prawidłowego skonfigurowania konta w systemie VPN AppGate. o Zarządzanie certyfikatami Operatora Rynku do komunikacji SSL WebSphere MQ o Określanie zasad bezpiecznego przechowywania kluczy prywatnych oraz kluczy identyfikacyjnych Podłączenie do Systemu OSP realizowane jest po rozpatrzeniu Wniosku o rejestrację systemu informatycznego WIRE/UR lub SOWE/EL oraz uzyskaniu przez OR/EL Decyzji o rejestracji systemu informatycznego WIRE/UR lub SOWE/EL. Operatorzy Rynku po przejściu procedury Autoryzacji połączeń uzyskują dostęp do informacji o sposobie zamawiania i uzyskiwania niezbędnego oprogramowania, kluczy i certyfikatów w tym dostęp do aplikacji CCO data: 2007-09-12 Wersja 8.0 z dnia 12-09-2007 Strona 10 z 11

Każdy użytkownik systemu SOWE/WIRE ma przydzielone uprawnienia i zasoby wg. zasady każdemu wyłącznie to co niezbędne. Nie dopuszcza się możliwości udostępniania pełnego dostępu do poszczególnych serwerów, łączy, urządzeń czy zespołów elementów, każdy użytkownik korzysta wyłącznie z indywidualnego konta z indywidualnie przydzielonymi uprawnieniami wynikającymi z funkcji jakie pełni w systemie SOWE/WIRE lub jakie wynikają z zaleceń ABOSP. Każda zmiana konfiguracji systemów OSP lub OR wymaga weryfikacji pod względem zgodności z polityką bezpieczeństwa. Nie spełnienie norm polityki bezpieczeństwa systemów SOWE/WIRE powoduje fizyczne odłączenie systemu SOWE/WIRE od sieci OSP Decyzję o dołączeniu lub odłączeniu systemu SOWE/WIRE podejmują osoby upoważnione przez OSP. Osoby odpowiedzialne ze strony OSP zatwierdzają wszystkie wnioski i dokumenty określone w procedurze Autoryzacji połączeń. Podstawowym mechanizmem autoryzacji i identyfikacji użytkowników systemu OSP jest RSA SecureID.- każdy użytkownik posiada narzędzie RSA SecurID. 7 WYMAGANIA TECHNICZNE Podstawowe elementy ochrony transakcji są następujące: 7.1 SSL Długość klucza prywatnego oraz publicznego w standardzie DSS nie mniejsza niż 512bitów. Mechanizm autoryzacji i szyfrowania komunikacji sieciowej serwer-serwer systemów SOWE/WIRE przy użyciu kanałów SSL WebSphere MQ, w szczególności obsługujący: o SHA-1- algorytm skrótu o 3DES lub DES jako algorytm szyfrowania Certyfikaty Elektroniczne zgodne ze standardem X.509 wersja 3. 7.2 VPN Mechanizm identyfikacji użytkownika zgodny ze standardem stosowanym w systemie OSP. 7.3 Synchronizacja czasu Protokół synchronizacja czasu zgodny ze standardem NTP. 7.4 y dostępowe Powinny zapewniać routing pakietów zgodnie z protokołami RIP, OSPF, EIGRP oraz możliwość szyfrowania DES, 3DES, AES. data: 2007-09-12 Wersja 8.0 z dnia 12-09-2007 Strona 11 z 11

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres