The current security policy of JINR ________________________ The current JINR local network structure GRID Cluster Network Structure Cluster organized on L2 technology with one broadcast domain. Cluster connect to JINR BackBone by two redundant links Site network security Центральный firewall построен на двух взаиморезервируемых Cisco 6500 FW модулях и Cisco ACL. Firewall ОИЯИ контролируют доступ до каждого из незапрещенных сервисов внутри ОИЯИ. ACL на лабораторных свитчах обеспечивают безопасность локальной сети ОИЯИ. Доступ к сетевому оборудованию обеспечивается TACACS сервером и Cisco ACL (Login, DualUP, VPN). Kerberos V обеспечивает заход на центральный информационно-вычислительный комплекс. Доступ до домашних пользовательских директорий контролируется при помощи AFS token. Accounts policy and system security Все пользовательские пароли сохранены в Kerberos V Домашние директории находятся на AFS Разрешены только безопасные протоколы (SSL, SSH or Kerberos) Каждая лаборатория может иметь собственный Kerberos Server Kerberos V with LDAP backend AFS использует Kerberos V База Kerberos сохранена в LDAP LDAP используется для хранения пользовательск ой информации JINR Network DataBase (IPDB) Monitoring (NMIS) Each cluster element use central logging server. Monitoring for alarms and troubles provided by NMIS. AUDIT Network and System audit based on analyzing logs from central routers, firewalls and local switchboards. IDS (intrusion detect system) build on freeware flow-tools (Cisco NetFlow). In progress development works on own PDS, based on ROOT package. Problem Problems with hardware filtration of hi speed incoming dataflow (more then 1Gb). Deficiency of common account dependent information system which provides information of security options for each node and possibility for tuning this options for each node. Deficiency of hardware dataflow encryption devices, for security data transfer. Near Future Plans Particle replacement Linux “iptable” on Cisco ACL for increase data speed transmission. Installation LDAP authentication instead of /etc/passwd Future modification IDS and PDS system