** Схема подключения сети ЕСПД к сети Оптиком ** {{ :image001.jpg?direct |}} Настройка оборудования ESR-10 для интеграции с сетью ЕСПД и сетью Оптиком (ESR-20) Для подготовки файла конфигурации для ESR-10 необходимо взять исходный файл конфигурации ESR-10 для соответствующего объекта ЦОС. Инструкция с примером конфигурации: [[https://ashabalin.com/download/esr-espd-r054-s0939.docx|Исходный конфиг ESR-10 с комментариями под интеграцию с Оптиком]] [[https://ashabalin.com/download/Приложение_№1_233_школы_с_кодами_РТК.xlsx|Файл соответствие школ Оптиком с кодами ЕСПД]] [[https://ashabalin.com/download/Школы+ИК_IP_план_2022-06-10.xlsx|IP-план школ ЕСПД]] [[https://ashabalin.com/download/esr-espd-r054-s0939.cfg|Итоговый файл конфигурации ESR-10 для интеграции с сетью Оптиком]] ** После того, как будет сконфигурирован ESR-10 под школы Оптиком назначения портов следующие: ** interface gigabitethernet 1/0/1 Порт №1 в сторону оборудования Оптиком (ESR-20) interface gigabitethernet 1/0/2 Порт №2 в сторону оборудования ЦОС interface gigabitethernet 1/0/3 Порт №3 в сторону оборудования ЦОС interface gigabitethernet 1/0/4 Порт №4 в сторону оборудования КШ interface gigabitethernet 1/0/5 Порт №5 оптический в сторону оборудования ЦОС interface gigabitethernet 1/0/6 Порт №6 оптический в сторону оборудования ЦОС Если на объекте подрядчиком построена инфраструктура ЦОС, то необходимо проложить кабель UTP от шкафа, где размещается оборудование ESR-10 до оборудования Облцит/Оптиком ESR-20. [[https://ashabalin.com/download/Инструкция_по_подключению_АРМ_СЗО_к_сети_ЕСПД_v.25.docx|Инструкция по настройке АРМ под сеть ЕСПД]] **ЕСПД и ЦОС.** ЕСПД – это виртуальная частная сеть обеспечивающая доступ социально-значимых объектов к информационным системам и к сети Интернет, а также передачу данных при предоставлении доступа к информационным системам и к сети Интернет, развернутая в соответствии с проектом в части Модели угроз безопасности информации с федеральными органами, уполномоченными в области безопасности и защиты информации. Простым языком ЕСПД – это сеть для обеспечения доступа в Интернет. К сети ЕСПД в СОШ подключаются: 1. АРМ (стационарные ПК, ноутбуки), расположенных в учебных классах и участвующих в образовательном процессе с доступом к ним учеников образовательного учреждения через криптомаршрутизатор установленный в учреждении. АРМ расположенные в учебных классах функционируют с компонентом «контент-фильтрации». 2. АРМ административно-хозяйственного и педагогического состава без компонента «контент-фильтрации». 3. АРМ – закрытого сегмента для работы с персональными данными. В ЕСПД (классической) используется статическая IP-адресация, где за каждым АРМ закреплен постоянный IP-адрес. На всех АРМ подключенных к сети ЕСПД должен быть настроен строго статический IP-адрес из выделенного диапазона открытого сегмента. Чтобы открыть доступ к необходимым заблокированным ресурсам на АРМ/устройств СЗО, со стороны СЗО необходимо направить заявку в техническую поддержку ЕСПД на электронную почту оперативного дежурного СЦ Министерства цифрового развития mcszo@digital.gov.ru. В заявке требуется указать: адрес СЗО, IP-адреса ресурсов, протоколы и порты назначения, до которых должен быть предоставлен доступ без контент-фильтрации. **Важно!** В соответствии с ГК, в рамках предоставления услуги ЕСПД, не предусматривается открытие свободного доступа из сети Интернет к ресурсам СЗО, в связи с чем возможны случаи, когда работа тех или иных систем через сеть ЕСПД невозможна (например: СКУД). ЦОС (Ростелеком)= ИТ-инфраструктура (Минцифра НСО) – это услуга по обеспечению функционирования Оборудования ранее сформированной ИТ-инфраструктуры в государственных и муниципальных общеобразовательных организациях, реализующих программы общего образования. Простым языком – ЦОС - это сеть Wi-Fi (авторизация ЕСИА) + камеры на входные группы, с хранением данных на локальный носитель(регистратор). ЦОС является дальнейшим развитием проекта ЕСПД. В рамках ЦОС обеспечивается создание в образовательных учреждениях инфраструктуры из Wi-Fi точек доступа с авторизацией пользователей через портал [[https://esia.gosuslugi.ru/login/|Гос. услуг (ЕСИА)]] и системы видеонаблюдения входных групп. При этом для передачи данных используются каналы ЕСПД. Указанные сервисы полностью совместимы, т.к. являются частью единого технического решения. 1. АРМ (стационарные ПК, ноутбуки), расположенных в учебных классах и участвующих в образовательном процессе с доступом к ним учеников образовательного учреждения через криптомаршрутизатор установленный в учреждении. АРМ расположенные в учебных классах функционируют с компонентом «контент-фильтрации». В сети ЦОС при настройке АРМ настраивается статический IP адрес из подсети LAN открытого сегмента, орг.технике и устройствах не поддерживающих получение IP-адресов по DHCP. Если устройства поддерживают получение IP-адреса, устройства могут быть настроены автоматически от сервера DHCP. Сервер DHCP должен быть единственным в сети СОШ. 2. АРМ административно-хозяйственного и педагогического состава без компонента «контент-фильтрации». В сети ЦОС при настройке АРМ административно-хозяйственного и педагогического состава, настраивается статический IP адрес из подсети LAN открытого сегмента, орг.технике и устройствах не поддерживающих получение IP-адресов по DHCP. Обязательная авторизоваться через ЕСИА. При открытии браузера пользователя перенаправляет на сайт [[https://esia.gosuslugi.ru/login/|ЕСИА]], где ему необходимо ввести свои данные учётной записи. Учётная запись должна быть верифицирована (должна быть подтверждена и привязана в ЕСИА к ОО через ОГРН ОО), в противном случае пользователь получит ошибку. Чтобы открыть (получить) доступ к необходимым заблокированным ресурсам на АРМ/устройств СЗО, со стороны СЗО необходимо направить заявку в техническую поддержку ЕСПД на электронную почту оперативного дежурного СЦ Министерства цифрового развития mcszo@digital.gov.ru . В заявке требуется указать: адрес СЗО, IP-адреса ресурсов, протоколы и порты назначения, до которых должен быть предоставлен доступ без контент-фильтрации. **Важно!** В соответствии с ГК, в рамках предоставления услуги ЕСПД, не предусматривается открытие свободного доступа из сети Интернет к ресурсам СЗО, в связи с чем возможны случаи, когда работа тех или иных систем через сеть ЕСПД невозможна (например: СКУД). 3. АРМ – закрытого сегмента для работы с персональными данными, аналогично работе в сети ЕСПД. ** Схема подключения СЗО к ЕСПД (без ЦОС) ** {{ :image003.png?direct |}} ** Схема подключения СОШ к ЕСПД (с ЦОС) ** {{ :image008.png?direct |}} ** Закрытый сегмент ЕСПД ** Согласно технического решения по созданию закрытого сегмента сети ЕСПД (аттестованного сертификатами ФСБ/ФСТЭК) смешивать в одном коммутаторе закрытый и открытый сегмент нельзя. Сети закрытого и открытого сегмента должны быть физически разделены. Схема подключения АРМ закрытого сегмента представлена на схеме. Для подключения более одного АРМ к закрытому сегменту сети ЕСПД требуется установка отдельно коммутатора, который подключается к закрытому сегменту. {{ :image007.png?direct |}} ** Ресурсы закрытого сегмента ЕСПД ** Ресурсы на площадке МинЦифры НСО: ^ Имя ресурса ^ IP-адрес ^ |upu.nso.espd. A | 10.236.128.65 | |detsad.nso.espd. A | 10.236.128.70| |sadik.nso.espd. A |10.236.128.71| |regsadik.nso.espd. A |10.236.128.72| |school.nso.espd. A |10.236.128.80| |regschool.nso.espd. A |10.236.128.81| |mais2.nso.espd. A |10.236.128.90| |ris-gmp.nso.espd. A |10.236.128.100| |mis.egisz.nso.espd. A |10.236.128.110| |sedd.nso.espd. A |10.236.128.120| |sedd-cm.nso.espd. A |10.236.128.121| ** Назначение VLAN в сети ЕСПД ** {{ :image015.png?direct |}} ** Вопросы ответа: ** Вопрос: Можно один АРМ с двумя сетевыми картами подключить к открытому и закрытому сегментам сети ЕСПД. Ответ: Нет нельзя, это нарушение модели угроз. АРМ под закрытый сегмент должен быть отдельно выделенный. Вопрос: Имеется ли доступ к ФИС ГИА и ФИС ФРДО из закрытого сегмента ЕСПД. Ответ: Эти системы используются во всех существующих школ. Работает в настоящее время через «открытый» сегмент с использованием программных клиентов VipNet. Перевод в «закрытый» сегмент находится в работе с Рособрнадзором и Минцифрой РФ. Срок решения не определен, решение будет за Минцифрой РФ и МинОбр РФ. Система в данный момент полностью работоспособна в открытом сегменте ЕСПД через программные VipNetы обслуживаемые Рособрнадзором самостоятельно.