1-расм. Мавжуд тармоқнинг мантиқий чизмаси атб «Қишлоқ қурилиш банк»
Марказлаштирилган аутентификация ва киришни бошқариш тизимига қўйиладиган талаблар
Download 0.73 Mb.
|
техчасть ККБ
4.3.3 Марказлаштирилган аутентификация ва киришни бошқариш тизимига қўйиладиган талабларДастурий таъминот (тизим, функционал) буюртмачига чекланмаган муддатга фойдаланишга берилиши шарт. 1 Платформага бўлган умумий талаблар 1.1 Тизим AAA, NAC, BYOD ва меҳмонларга кириш функцияларини фойдаланувчилар ва уланган қурилмалар, уларнинг ҳолати, тури ва тармоққа кириш сиёсатларининг ягона тўплами доирасидаги бошқа кенгайтирилган маълумотлар ҳақидаги маълумотларга асосланган ҳолда бирлаштирган ягона universal платформа бўлиши керак 1.2 Тизим ҳар бир жисмоний ёки виртуал қурилма учун 5000 та уланган қурилмаларни ўлчаш имкониятига эга бўлиши керак. 1.3 Тизим мавжуд симли, симсиз ёки VPN тармоғи билан ишлашни қўллаб-қувватлаши керак. 1.4 Тизим олдин ўргатилган бўлиши ва VMware виртуализация муҳитида импортга (ОВФ форматида) тайёр бўлиши керак (тизимни ISO файлидан тайёрлашга тўғри келмайди. 1.5 Дастлабки конфигурацияни ва асосий тизимни созлашни амалга ошириш учун CLI ўрами мавжуд бўлиши керак. 1.6 Тизим ички диск ёки файллар учун шифрлашни таъминлаши керак. 1.7 Битта жойлаштиришда виртуал ва аппарат тизим ўрнатишларини аралаштириш ва мослаштириш қобилияти. 1.8 8 Тизим out-of-band бошқарув моделида жойлаштиришни қўллаб-қувватлаши ва N+1 ортиқча кластерлашни қўллаб-қувватлаши керак. 1.9 Тизим кластердаги исталган қурилмада тизимнинг ҳар қандай роли ёки функциясини ишга тушириш имкониятини таъминлаши керак. 1.10 Тизим аппарат билан ҳимояланган қурилма сифатида ҳам, виртуал машина сифатида ҳам фойдаланиш учун мавжуд бўлиши керак. 2 Умумий функционал талаблар 2.1 Тизим замонавий веб-интерфейсга ега бўлиши керак, у конфигурация устаси ва олдиндан созланган андозалар ва сиёсатлар тўплами каби бир нечта унумдорлик воситаларини ўз ичига олиши керак. 2.2 Тизим ҳар қандай турдаги тармоқ қурилмалари (симли қурилмалар, симсиз қурилмалар, VPN қурилмалари) билан ўзаро алоқани бирлаштириши ва қўллаб-қувватлаши ва аутентификациянинг турли усулларини (802.1 Х, МАC аутентификацияси, портал орқали веб-асосли аутентификация) қўллаб-қувватлаши керак. 2.3 Кириш сиёсатини бошқаришдан (роллар асосида) бошлаб, тизимнинг функсионаллигини амалга оширишга босқичма-босқич ёндашувни амалга ошириш мумкин бўлиши керак, кейин еса қўшимча хавфсизлик чораларини киритиш имконияти мавжуд бўлиши керак: охирги нуқталарнинг ҳолати ва созламаларини текшириш (endpoint health), сув ости қурилмалари учун тармоққа киришни бошқариш. 2.4 Тизим ҳисобот бериш, таҳлил қилиш ва муаммоларни бартараф етиш воситаларининг тўлиқ тўпламини ўз ичига олиши керак. Кириш уринишлари ва ҳодисалар маълумотлари графиклар, жадваллар ва ҳисоботларни яратиш учун ишлатиладиган махсус маълумотлар елементларидан фойдаланган ҳолда ташкил етилиши керак. Фойдаланувчи аутентификацияси ва авторизация ҳодисалари ва қурилма уланиши ва аутентификация ҳодисаларининг ўзаро боғлиқлиги қўллаб-қувватланиши керак. 2.5 Ечим Microsoft NAP-ни тўлиқ интеграциялашган қўллаб-қувватлашга ега бўлиши керак, унинг ёрдамида фойдаланувчи қурилмалари корпоратив хавфсизлик сиёсатига (қурилма тури, ОТ версияси, патчлар, антивирус ва хавфсизлик деворининг мавжудлиги, энг сўнгги тегишли хавфсизлик янгиланишларини мавжудлиги) фойдаланувчи қурилмаларига эҳтиёж сезмасдан агентини ўрнатиш. 2.6 Тизим томонидан тақдим етилган барча ташқи интерфейслар дастурлаштириладиган бўлиши керак, АПИ-лар тизимни кенгайтириш учун мавжуд бўлиши ва аутентификация қилишнинг турли хил янги протоколлари, аутентификация ва маълумотлар дўконларига кириш, сўнгги нуқта хавфсизлик сиёсатига мувофиқлик механизмлари ва заифликларни сканерлаш механизмларини қўшиш имкониятига ега бўлиши керак. 2.7 NAC (Network Admission Control) функцияси агент ва агентсиз текшириш усулларини қўллаб-қувватлаши керак, охирги нуқта сиёсатига мувофиқлик агентлари Windows, Linux ва Маc ОС учун мавжуд бўлиши керак. Фойдаланувчиларни аутентификация қилишдан ташқари, тизим охирги қурилма ҳақида қўшимча маълумот тўплаши, Windows платформаларида (ишлайдиган хизматлар, жараёнлар, peer-to-peer иловалари, рўйхатга олиш китоби калитлари, USB қурилмаларидан фойдаланиш, Windows-да ўрнатилган тезкор тузатишлар ва ямоқлар) қўшимча мувофиқликни текширишлари керак. шунингдек, Linux ва Маc платформаларида (антивирус, жосусларга қарши дастур ва хавфсизлик девори) стандарт ишлашни текширишни амалга оширинг. 2.8 Ечим аппарат платформаси ва виртуал машина сифатида ўрнатилиши осон бўлиши, тармоққа хавфсиз киришни таъминлаш учун идентификатор ва кенгайтирилган фойдаланувчи маълумотларига асосланган сиёсатларни қўллаб-қувватлаши ва ягона платформалар ичида интеграцияланган функциялар тўпламини ўз ичига олиши керак: 2.8.1 Тўла ҳуқуқли ААА Сервер-RADIUS ва TACACS+; 2.8.2 Қурилмани профиллаш механизми; 2.8.3 Ўрнатилган меҳмонлар қурилмасини бошқариш, қурилмани рўйхатдан ўтказиш; 2.8.4 Ягона бошқарув панели билан веб-га асосланган тизим бошқарув интерфейси (бошқарув панели) 2.8.5 Шахсий фильтрларни қўллаб-қувватлаш билан ҳисобот ва таҳлилларни тақдим этиш; 2.8.6 Фойдаланувчилар, қурилмалар, воқеалар ҳақидаги маълумотлар ва бошқалар ҳақидаги маълумотлар учун маълумотлар омбори; 2.8.7 Фойдаланувчилар, қурилмалар, уларнинг характеристикалари ва киришнинг бошқа елементлари ҳақидаги маълумотлардан фойдаланган ҳолда киришни бошқаришнинг бой сиёсатлари; 2.8.8 Автоматик жойлаштириш ва ўрнатиш воситалари. 2.9 Керакли функцияларга асосланган мослашувчан лицензиялаш модели қўллаб-қувватланиши керак ((Onboard, Posture, Guest Access). 2.10 Тизим носозликларни бартараф этиш, ҳодисаларни кузатиш ва бошқаларни осонлаштириш учун фойдаланувчи маълумотлари, қурилма маълумотлари ва аутентификация ҳодисаси маълумотларининг корреляциясини қўллаб-қувватлаши керак. 2.11 ААА функсионаллиги аутентификация ва авторизация манбаларини тўлиқ ажратишни таъминлаши керак. Масалан, Active Directory орқали аутентификация қўллаб-қувватланиши керак ва ташқи SQL маълумотлар базаси орқали авторизация. 2.12 LDAP, AD, Kerberos, Token серверлари, SQL маълумотлар базалари томонидан аутентификация ёки авторизация қўллаб-қувватланиши керак. 2.13 Фойдаланувчилар ва қурилмаларни идентификациялаш ва профиллашнинг бир неча усулларини қўллаб-қувватлаш керак: 2.13.1 SNMP, DHCP, HTTP, AD, ActiveSync ёрдамида интеграцияланган тармоққа асосланған қурилма профилини яратиш 2.13.2 Nessus ёки Nmap Scanning ёрдамида якуний нуқталарни текшириш 2.14 Сиёсатларни яратиш учун қуйидаги воситаларни қўллаб-қувватлаш: 2.14.1 Олдиндан тузилган андозалар 2.14.2 Ўрнатиш устаси 2.14.3 LDAP браузер для быстрого просмотра атрибутов AD 2.14.4 Моделлаштириш ва сиёсатнинг яхлитлигини текшириш учун сиёсат симулятори 2.15 Қуйидаги сиёсатни амалга ошириш усулларини қўллаб-қувватлаш 2.15.1 RADIUS IETF атрибутлари ва VSA ёрдамида VLAN тайинлаш 2.15.2 SNMP орқали VLAN ни тайинлаш ва портни созлаш 2.15.3 Киришни бошқариш рўйхатлари - қурилмада статик равишда аниқланган ва ID рақами бўйича қўлланиладиган, шунингдек динамик юкланган ACLлар. 2.15.4 Тармоқ қурилмаси томонидан қўллаб-қувватланадиган роллар ёки бошқа сотувчига хос RADIUS атрибутлари. 2.15.5 Агент ёрдамида сиёсатларни қўллаш - интерфейсларни созлаш ва махсус хабарларни юбориш. 2.16 802.1 х PEAP аутентификацияси учун бир нечта Active Directory доменлари қўллаб-қувватланиши керак. 2.17 Агар TLS аутентификацияси бир нечта CА ишонч занжирларидан мижоз сертификатини текширишни талаб қилса, PKI кенг қамровли ўрнатилиши қўллаб-қувватланиши керак. Ички PKI имзоланган мижоз сертификатларини текшириш учун ташқи CА имзоланган ААА server сертификатига эга бўлишингиз керак. 2.18 Тизим фойдаланувчининг дастлабки 802.1 Х ҳисоб маълумотларини ушлаши ва улардан фойдаланувчини SAML ёқилган иловаларига автоматик равишда кириш учун ишлатадиган Automatic Sign On (ASO) қўллаб-қувватлаши. 2.19 Тизимга фойдаланувчилар учун идентификация провайдери (IDP) сифатида ишлаш имконини берувчи SAML функцияларини қўллаб-қувватлаш. 2.20 Профилни яратиш функцияси тизимнинг асосий лицензиясига киритилиши керак. 2.21 Асосий лицензия остида етакчи MDM провайдерлари билан ишлаш учун RESTful API-ни қўллаб-қувватлаш. 2.22 Тизим бир вақтнинг ўзида бир нечта АД domain ва АД forest сўровларни қўллаб-қувватлаши керак. 3 Ишончлилик ва носозликларга чидамлилик талаблари 3.1 Киришни бошқариш қуйи тизимининг аппарат ва дастурий таъминоти LAN ва WAN уланишлари орқали ҳар қандай комбинацияда кластерлашни қўллаб-қувватлаши керак, бу еса чексиз ўлчов, ортиқча ва юк балансини таъминлайди 3.2 Платформа тармоқдан ташқари интерфейслардан фойдаланган ҳолда кластерлашни қўллаб-қувватлаши ва N+1 ортиқча моделини тақдим этиши керак. 3.3 Бирламчи тугуннинг ишламай қолиши тизимнинг абонентларга хизмат кўрсатишни давом эттириш қобилиятига таъсир қилмаслиги керак. 3.4 Тизим марказлаштирилган, тақсимланган ёки гибридни ўз ичига олган бир нечта жойлаштириш режимларини қўллаб-қувватлаши керак. 3.5 Маҳсулот ўрнатиш базасига ега бўлиши ва бозорда камида 4 йил давомида сотилиши керак. 3.6 Тизим 1 миллион ноёб авторизация сўнгги нуқталаригача кенгайтира олиши керак. 4 Меҳмонларга киришни таъминлаш функционаллигига қўйиладиган талаблар 4.1 Тизим "ҳомийлик қилинган" меҳмонларга кириш ва портал орқали абонентни ўз-ўзидан рўйхатдан ўтказиш имкониятини тақдим этиши керак 4.2 Меҳмон веб-портали интерфейсни созлаши ва озгартириши, шунингдек, турли экран ўлчамлари (планшетлар, смартфонлар ва бошқалар) учун автоматик конфигурацияни қўллаб-қувватлаши керак. 4.3 Меҳмон ҳисоб маълумотларини автоматик равишда SMS ёки электрон почта орқали юбориш имконияти. 4.4 Ҳисоб маълумотларини, шу жумладан ҳисоб фаол бўлган вақт оралиғини, тармоқли кенглиги созламаларини ва бошқаларни созлаш қобилияти. 4.5 Ечим реклама хизматларини тақдим эта олиши керак. 4.6 Тизим меҳмон ва корпоратив фойдаланувчилар учун алоҳида маълумотлар базаларидан фойдаланиши керак. 4.7 Кейинги меҳмон уланишларида қайта аутентификация қилиш заруратининг олдини олиш учун МАC манзилини кешлашни қўллаб-қувватланиши керак. 4.8 Меҳмон абонентларининг автоматик уланишини қўллаб-қувватлаш (SMS ёки электрон почта орқали ҳисоб маълумотларини юбормасдан). 4.9 Фойдаланувчи интерфейсига эга бўлмаган ва ўз-ўзидан рўйхатдан ўтишни қўллаб-қувватламайдиган қурилмалар учун автоматик равишда аутентификация қилиш ва кириш сиёсатини қўллаш имконияти. 4.10 Бир марталик парол тизимларини қўллаб-қувватлаш. 4.11 Ҳисоб маълумотларини электрон почта орқали юбориш имконияти билан меҳмон ҳисобларини импорт қилишни қўллаб-қувватлаш. 4.12 Кенг миқёсда жойлаштириш учун NAS қурилмаларини импорт қилишни қўллаб-қувватлаш. 4.13 Меҳмон абонентининг ўзини ўзи рўйхатдан ўтказгандан сўнг "ҳомийлик" тасдиқлаш режимини қўллаб-қувватлаш. 4.14 Корпоратив абонент қурилмалари ёрдамида ходимларнинг меҳмон тармоғига киришини тақиқлаш имконияти. 4.15 Кириш саҳифасини сессия статистикаси билан кўрсатишни қўллаб-қувватлаш (рухсат етилган ва истеъмол қилинган трафик миқдори). 4.16 Фойдаланувчилар тизимга киргандан сўнг дастлаб сўралган веб-саҳифага киришлари учун URL манзилини сақлашни қўллаб-қувватлаш. 4.17 Фойдаланувчининг тармоққа уланганлигига қараб веб-порталнинг турли саҳифаларини кўрсатишни қўллаб-қувватлаш. 4.18 Тизим турли тармоқ ускуналари ишлаб чиқарувчилари билан ишлашни қўллаб-қувватлаши керак. 4.19 Очиладиган рўйхатлар, вариантни танлаш (check list, radio button) каби фойдаланувчи интерфейси бошқарувлари билан тўлиқ мослаштирилган ўз-ўзини рўйхатга олиш портали. 4.20 Ишончли мижозларни (ҳамкорлар ва бошқаларни) ўз-ўзини рўйхатдан ўтказишни қўллаб-қувватлаш. 4.21 Меҳмон ҳисобларини бошқариш учун API дастурлаш интерфейсини қўллаб-қувватлаш. 4.22 Меҳмон обуначиларни ижтимоий тармоқлар орқали аутентификация қилиш имконияти. 5 Қўшимча функцияларга қўйиладиган талаблар 5.1 Ўз-ўзига хизмат кўрсатиш сертификатини ўрнатиш (BYOD) жараёни билан шахсий қурилмаларни улашни қўллаб-қувватлаш. 5.2 Порталнинг қурилма турига қараб ноёб саҳифалари - IOS, Android.У. 5.3 Сертификатни бекор қилишни қўллаб-қувватлаш. 5.4 Муаммоларни бартараф этишни осонлаштириш учун фойдаланувчи, қурилма ва аутентификация маълумотларининг ўзаро боғлиқлиги. 5.5 сўровчиларининг хавфсиз киришини ва 802.1 х конфигурациясини таъминлаш учун фойдаланувчи қурилмаларини автоматлаштирилган рўйхатга олиш. 5.6 Фойдаланувчи идентификацияси ва/ёки қурилма атрибутлари билан Active Directory билан интеграция қилиш имконияти. 5.7 BYOD ечими BYO қурилмалари учун алоҳида маълумотлар базасидан фойдаланиши керак. Ечим тизимга камида 1000 доимий қурилмани тизимга улашни ва камида 1000 фойдаланувчи қурилмаларини улашни кузатиш ва бошқаришни қўллаб-қувватлаши керак. Қурилмаларни симсиз тармоққа улашда фойдаланувчини рўйхатдан ўтказиш саҳифасининг интерфейси АТБ «Қишлоқ қурилиш банк» корпоратив услубига мувофиқ ишлаб чиқилиши керак. Download 0.73 Mb. Do'stlaringiz bilan baham: 
|