Книги по разным темам
Pages: | 1 | ... | 11 | 12 | 13 | 14 | 15 | ... | 53 | Исторически, проблему организации надёжного канала для передачи данных решали при помощи прокладки прямого кабеля, физически защищённого от перехвата данных, например за счёт расположения его в труднодоступных местах или установки датчиков объёма, контролирующих доступ к нему. Но стоимость подобных решений была слишком высока даже для соединения близкорасположенных объектов, а в случае соединения объектов из разных частей страны или разных стран стоимость приближалась к астрономическим цифрам. Поэтому такие коммуникации могли себе позволить лишь военные организации и крупные корпорации.
С другой стороны, конец XX века был отмечен лавинообразным распространением Интернета: в геометрической прогрессии росли скорости доступа, охватывались все новые и новые территории, практически между любыми двумя точками в мире можно было установить быструю связь через Вторая ежегодная межрегиональная научно-практическая конференция Инфокоммуникационные технологии в региональном развитии 5-6 февраля 2009 года Интернет. Но передача информации не была безопасной, злоумышленники могли перехватить, украсть, изменить её. В это время стала набирать популярность идея организации надёжного канала, который для связи будет использовать общедоступные коммуникации, но за счёт применения криптографических методов защитит передаваемые данные. Стоимость организации такого канала была во много раз меньше стоимости прокладки и поддержания выделенного физического канала, таким образом организация защищённого канала связи становилась доступной средним и малым предприятиям, и даже частным лицам.
На заре своего развития идея организации частных приватных сетей (VPN) была чрезвычайно популярна, и многие серьёзные участники IT рынка и энтузиасты-любители пытались воплотить абстрактные идеи в реальный программный продукт. Серьёзные компании создали множество решений, обеспечивающих функциональность частных приватных сетей, как на программном, так и на аппаратном уровне. Одним из самых ярких и масштабных стала система VipNet, разработки компании ИнфоТеКС.
В современных условиях трудно представить себе функционирование любой крупной организации без создания локальных вычислительных сетей.
Созданы системы электронного документооборота, необходимость поддержания антивирусных баз в актуальном состоянии, функционирование бухгалтерских систем и правовых баз данных, необходимость выполнения требований Федеральных законов, - все это требует объединение отдельных ПК в общую сеть, в том числе с интеграцией в Интернет. Возможность удаленного доступа к любой системе делает необходимой защиту данной системы как от несанкционированного доступа, так и от непреднамеренной утраты важной информации.
Компания ИнфоТеКС более 10 лет назад выпустила на рынок СКЗИ Домен-К и уделяет очень большое внимание развитию данного продукта. На данный момент вышли такие СКЗИ как Домен-КС2, Домен-КМ.
Средство криптографической защиты информации (СКЗИ) Домен-К - это программный комплекс, разрабатываемый ОАО ИнфоТеКС для российского рынка сертифицированных СКЗИ и представляющий собой реализацию российских стандартов на шифрование, хэширование информации и электронную цифровую подпись: ГОСТ 28147Ц89, ГОСТ P 34.11Ц94, ГОСТ P 34.10Ц94 и ГОСТ P 34.10Ц2001; а также средство управления ключами пользователей и криптографическими функциями. СКЗИ ДоменЦК предназначено для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и имитозащиты данных (файлов и областей памяти), обеспечения целостности и подлинности информации. СКЗИ Домен - К может использоваться в государственных и коммерческих структурах как самостоятельное изделие или путем встраивания в прикладное программное обеспечение (ПО), обеспечивающее хранение и обработку персональных данных, конфиденциальной, служебной, коммерческой и др. информации, не содержащей сведений, составляющих государственную тайну, а также обмен такой информацией.
Вторая ежегодная межрегиональная научно-практическая конференция Инфокоммуникационные технологии в региональном развитии 5-6 февраля 2009 года Пакет программ торговой марки ViPNet в применении к IP - сетям является универсальным программным средством для создания виртуальных защищенных сетей (VPN) любых конфигураций.
Наивысший уровень защиты и полностью безопасная работа обеспечивается при установке соответствующих программных средств на каждый компьютер, участвующий в виртуальной защищенной сети. При этом каждый компьютер полностью персонализируется. Информация, которой данный компьютер обменивается с другими компьютерами, становится недоступной для любых других компьютеров, не участвующих в данном соединении, в том числе и администраторам безопасности. Информация, которая расположена на самом компьютере, недоступна с любого компьютера, не участвующего в VPN. Доступ с компьютеров, участвующих в VPN, определяется наличием соответствующих связей, настройкой фильтров и полностью контролируем администраторами безопасности.
Если в локальной сети организационно возможно выделение групп компьютеров и участков сети, где не может быть неконтролируемого пребывания посторонних лиц, то эти группы компьютеров могут защищаться с использованием ПО ViPNet [Координатор], реализующего защищенные туннели и устанавливаемого на маршрутизаторах, работающих под управлением операционных систем MS Windows NT/2000/2003/XP и отделяющих группы компьютеров от основной сети.
Компьютеры, входящие в VPN, могут располагаться внутри сетей любого типа (Ethernet 10/100/1000 Мбит), поддерживающих IP- протокол, находиться за МЭ, иметь реальные или частные адреса, подключаться через общедоступные сети путем выделенных или коммутируемых соединений.
Внутри больших локальных или распределенных сетей могут быть созданы информационно независимые и взаимно недоступные VPN-подсети.
Специальные технологии позволяют участнику виртуальной сети одновременно с защищенными соединениями иметь односторонний инициативный доступ к открытым информационным ресурсам локальной или глобальной сети, а также обеспечивать фильтрацию открытого трафика в соответствии с заданной политикой безопасности.
Программные средства VPN позволяют подсоединить компьютеры, включенные в VPN, к общедоступным сетям только для защищенных соединений, при этом полностью исключить доступ к компьютерам, не оснащенным средствами защиты.
При невозможности установки программных средств на какие-то компьютеры локальной сети, защиту информационного обмена этих компьютеров с удаленными компьютерами можно обеспечить с помощью туннеля.
Основой VPN является драйвер ViPNet, контролирующий входящий и исходящий информационные потоки компьютера между канальным и сетевым уровнями модели OSI, что обеспечивает независимость от операционной системы и недокументированных возможностей в ней.
Драйвер ViPNet обрабатывает IP-пакеты до того, как они передаются Вторая ежегодная межрегиональная научно-практическая конференция Инфокоммуникационные технологии в региональном развитии 5-6 февраля 2009 года стандартному стеку TCP/IP, что исключает возможность взлома или завешивания, как самого компьютера, так и приложений и служб, функционирующих на прикладном уровне. Драйвер контролирует не только отправителя и получателя IP-пакетов, но и структуру IP-пакетов, что исключает возможность любых DoS (Denial of Service - отказ в обслуживании) атак.
При взаимодействии в сети с другими компьютерами, оснащенными этим же ПО, драйвер VIPNET обеспечивает установление между такими компьютерами защищенных соединений. При этом осуществляется полное преобразование всего информационного обмена между двумя компьютерами в нечитаемые форматы по алгоритму, рекомендованному ГОСТ 28147-89, что делает недоступным эту информацию для любых других компьютеров, в том числе имеющих такое же ПО, но не входящие в данную виртуальную сеть.
Одновременно производится инкапсуляция всех типов IP-пакетов в единый тип, что полностью скрывает структуру информационного обмена.
Преобразование информационного потока осуществляется на ключах длиной 256 бит.
Ключи между каждой парой абонентов зависят как от информации, формируемой Ключевым Центром безопасности (симметричная схема распределения ключей), так и от информации, формируемой каждым компьютером (асимметричная схема распределения ключей).
Такая ключевая структура позволяет строить корпоративные виртуальные частные сети на базе ПО ViPNet, с одной стороны надежно управляемые из Центра, а с другой стороны полностью информационно недоступные для Центра в части пользовательской информации.
ПО ViPNet включает в себя следующие программные модули:
VipNet[Администратор] - предназначен для формирования и модификации логической структуры VPN, формирования ключевой и адресной информации и определения полномочий для конечных пользователей;
VipNet[Координатор] - многофункциональный модуль, выполняющий функции МЭ, сервера-маршрутизатора для почтовой и управляющей информации, сервера IP-адресов, туннеля и прокси-сервера защищенных соединений, сервера Открытого Интернета. С помощью этого модуля для каждого сетевого интерфейса компьютера можно установить свою политику безопасности;
VipNet[Клиент] - предназначен для установки на рабочие станции, включает в себя персональный сетевой экран, защищенную почтовую службу и ряд служебных функций (защищённый чат, видео-, аудио- и текстовые конференции и т.д.).
Компьютеры могут иметь реальные или частные IP-адреса, как статические, так и динамические (VipNet[Координатор] должен иметь статические IP адреса).
Система защиты информации подразумевает создание VPN на базе существующих телекоммуникаций и, в рамках единого технологического решения, обеспечивает:
Вторая ежегодная межрегиональная научно-практическая конференция Инфокоммуникационные технологии в региональном развитии 5-6 февраля 2009 года развитую систему межсетевого взаимодействия автономных подсетей между собой;
централизованное управление многоуровневой политикой безопасности виртуальной сети:
регистрацию рабочих станций, серверов корпоративной сети как объектов абонентских пунктов (АП) защищенной сети;
регистрацию коллективов пользователей и конкретных пользователей на АП сети;
установление допустимых связей между АП, коллективами пользователей, задание полномочий и прав доступа к различным службам и приложениям;
формирование и автоматическое защищенное обновление на АП в заданное время адресных справочников, ключевой информации и программного обеспечения;
формирование и модификацию ключевой и парольной информации для внутрисетевого и межсетевого взаимодействия в соответствии с изменениями в конфигурации сети;
сертификацию электронно-цифровой подписи абонентов;
защищенный мониторинг и управление объектами сети, сбор и анализ журналов разного уровня;
контроль целостности установленного программного обеспечения системы защиты, адресных справочников и ключевой информации;
строгую авторизацию пользователей;
систему защиты информационных потоков как между отдельными рабочими станциями и серверами сети, так и между сегментами IP-сетей от НСД как изнутри локальной сети, так и из внешних сетей, организацию защищенных соединений, фильтрацию IP-трафика в соответствии с заданной политикой безопасности в режиме реального времени.
Система защиты характерна тем, что:
обеспечивает прозрачную защиту для любых одновременно работающих приложений (WWW, FTP, TELNET, SQL, аудио-, видеоконференции и др.);
обеспечивает нормальную работу в условиях динамически изменяющихся IPадресов, а также множественности IP-адресов одной рабочей станции;
позволяет легко масштабировать систему защиты информации, обеспечивая поэтапное ее внедрение при вводе в эксплуатацию;
устанавливается непосредственно на рабочих станциях, файловых серверах, серверах приложений, маршрутизаторах под управлением ОС Windows NT/2000/2003/XP и Linux, серверах удаленного доступа и др. В зависимости от места установки выполняет следующие функции:
на рабочих станциях, файловых серверах и серверах приложений осуществляется:
полное преобразование поля данных IP-пакетов в не подлежащие анализу форматы с добавлением в IP-пакеты служебной информации для обеспечения целостности, контроля времени доставки, идентификации;
Вторая ежегодная межрегиональная научно-практическая конференция Инфокоммуникационные технологии в региональном развитии 5-6 февраля 2009 года блокировка пакетов, целостность которых нарушена или истекло допустимое время доставки;
блокировка защищенных пакетов пользователей VPN, предназначенных для приложений и служб, доступ к которым для этих пользователей запрещен;
блокировка запрещенных типов открытых IP-пакетов;
возможность, при необходимости, регистрировать и разрешать прохождение открытых IP-пакетов только заданного типа;
на маршрутизаторах под управлением ОС Windows 2000/2003/XP, Linux и серверах удаленного доступа осуществляется подмена IP-адреса источника для сокрытия внутренней структуры сети;
имеет службы, позволяющие любому компьютеру VPN всегда иметь оперативную информацию о доступности связанных с ним компьютеров, их адресах;
предоставляет пользовательский интерфейс для установки настроек и режимов безопасности в зависимости от полномочий;
установление защищенных соединений между компьютерами, входящими в VPN, происходит для любых сетевых приложений;
функции персонального МЭ могут выполняться для каждого компьютера в VPN;
обладает встроенным сервисом защищенных почтовых услуг, характеризующихся:
работой через любые стандартные средства телекоммуникаций;
автоматической системой ведения учетной нумерации отправленных сообщений;
развитой системой подтверждений доставки и использования полученной документации с фиксацией событий: кто и когда отправил, кто и когда получил, кто и когда использовал, кто и когда удалил документ;
системой хранения и поиска документов по различным критериям;
системой идентификации документов и привязкой их к конкретным лицам, в том числе с использованием электронно-цифровой подписи;
реализованы механизмы, предоставляющие высокую степень надежности и достоверности доставки информации (альтернативные способы передачи информации, квитирование на разных уровнях, подтверждения доставки и использования информации на прикладном уровне, невозможность получения искаженной информации и др.).
Pages: | 1 | ... | 11 | 12 | 13 | 14 | 15 | ... | 53 | Книги по разным темам