Программа по курсу «Информационные технологии в системе Федерального Казначейства» перечень тем лекционных занятий
Вид материала | Программа |
- Межрегиональное совещание по теме: «Организация кадровой работы в системе Федерального, 93.64kb.
- Международное уголовное право, 387.4kb.
- Учебный план повышения квалификации по программе " Бюджетный учет и отчетность в системе, 44.1kb.
- Представленные на конкурс работы в количестве 44 штук (перечень работ прилагается)., 231.2kb.
- Открыл совещание с приветственным словом руководитель Федерального казначейства, 15.63kb.
- Коммерческое право программа предназначена для обучения студентов по курсу «Коммерческое, 188.76kb.
- Рабочая программа по курсу «Логистика и конроллинг» для специальности 230201 «Информационные, 193.18kb.
- «Информационные технологии в многоуровневой системе образования», 221.31kb.
- Программа по курсу «Реинжиниринг бизнес-процессов» для специальности 230201 «Информационные, 204.52kb.
- Российской Федерации Российской Федерации государственный университет высшая школа, 368.8kb.
2.4. Локальные и виртуальные сети в казначействе России
В казначейских органах организованы ЛВС, которые являются важным звеном единой информационно-телекоммуникационной системы Казначейства России и позволяют:
■ объединить автономно распределенные процессы обработки финансовой информации;
■ сформировать информационные ресурсы в единую структуру»
■ объединить территориально разобщенных специалистов казначейской системы;
■ минимизировать финансовые затраты на обработку информации при организации работы казначейских органов;
■ оптимизировать функционирование программных комплексов, используемых в казначействе;
■ предоставить работникам казначейских органов более мощный набор аппаратных и программных средств хранения, обработки и отображения информации;
■ обеспечить преемственность в аппаратных и программных средствах для персональных компьютеров различных поколений;
■ наращивать мощности ЛВС по мере увеличения на нее нагрузки и т.д.
Применяемые локальные вычислительные сети казначейских органов обеспечивают:
■ универсальное сетевое пространство на основе открытых стандартов и технологий;
■ функционирование общесистемных служб и сервисов, в том числе файлового доступа, сетевой печати и офисных приложений коллективной работы;
■ функционирование специализированных прикладных программных средств;
■ возможность прозрачной связи между любыми двумя ее узлами, а также с существующими сетями;
■ возможность создания замкнутых виртуальных локальных вычислительных сетей (VLAN) с изолированным трафиком без физического перемещения рабочих станций;
■ возможность удаленного диагностирования отдельных сегментов и ЛВС в целом;
■ возможность маршрутизации потоков информации между виртуальными ЛВС.
Трафик — это объем информации в сети передачи данных; рабочая нагрузка линии связи.
Виртуальная сеть (virtual LAN, VLAN) — это группа узлов ЛВС, трафик которой на канальном уровне полностью изолирован от других узлов сети.
В соответствии с требованиями, предъявляемыми к функционированию локальной вычислительной сети, возникает вопрос выбора Обельного оборудования, его физического размещения и монтажа. Качество кабельной системы оказывает большое влияние на надежность и гибкость имеющихся и будущих сетей.
Первое требование к структуре кабельной системы — возможность перемещения оборудования и роста сети. Кадровые и другие изменения внутри казначейского органа приводят к физическому перемещению свыше 50% специалистов и оборудования. Целесообразно, чтобы в случае увеличения количества АРМ внутри групп и численности персонала сеть могла расширяться без повторной прокладки кабеля
Определяющим фактором при организации локальных вычислительных сетей в казначейских органах, где осуществляется распределенная обработка данных на персональных компьютерах специалистов, является простота доступа к информационным ресурсам. В этой связи основой современных технических решений в построении автоматизированной информационной системы казначейских органов является архитектура «клиент — сервер».
Важнейшей характеристикой локальных вычислительных сетей органов казначейства является топология, которая определяет конфигурацию сети с четким определением характера, взаимосвязей и основных характеристик ее функциональных элементов.
Локальные вычислительные сети казначейских органов организуются по топологии сдублированных частично связанных «звезд», в центре которых находятся сдублированные коммутаторы ядра, а на периферии — узел доступа.
Узел доступа в ЛВС представляет собой сервер доступа (СД), выполняющий следующие функции:
■ маршрутизацию информационного обмена;
■ барьерную защиту объектов информатизации — ЛВС, отдельныx рабочих станций и серверов;
■ генерацию и сертификацию ключей криптографической защити информации, в том числе сеансовых;
■ криптографическую защиту информационного обмена;
■ аутентификацию участников информационного обмена.
Аутентификация пользователя — проверка принадлежности пользователю предъявленного им идентификатора; подтверждение подлинности в вычислительных сетях.
Блок ядра ЛВС казначейских органов реализован в варианте «сжатого ядра», т.е. уровни ядра и распределения объединены в пределах одного (группы) устройства.
Коммутаторы ядра (распределения) имеют резервируемые линии связи с коммутаторами уровня доступа. Соединение между ними производится по стандарту Gigabit Ethernet. Применение технологии Gigabit Ethernet для построения блока ядра позволяет эффективно реализовать многопользовательский доступ к разделяемым ресурсам (серверам).
Gigabit Ethernet — разновидность (эволюция) технологии Ethernet, позволяющая передавать данные в сети со скоростью 1000 Мбит/сек.
Коммутаторы уровня доступа обеспечивают подключение оборудования пользователей по стандарту Fast Ethernet, управление доступом, регистрацию в виртуальных сетях и фильтрацию трафика.
Fast Ethernet — разновидность (эволюция) технологии Ethernet, позволяющая передавать данные в сети со скоростью 100 Мбит/сек.
На этих коммутаторах можно терминировать виртуальные сети, вследствие чего они могут образовывать границу домена широковещательного трафика, осуществлять коммутацию трафика на втором уровне внутри виртуальных сетей и передачу трафика на уровень ядра.
При этом передача кадров между разными виртуальными сегментами ЛВС на основании адреса канального уровня невозможна независимо от типа адреса — уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передай по технологии коммутации, т.е. только на тот порт, который связан с адресом назначения кадра.
В целом организация виртуальных ЛВС в казначейских органах основывается на использовании свойств современной коммуникационной аппаратуры, прежде всего коммутаторов и маршрутизаторов, позволяющих реальную ЛВС структурного подразделения казначейского органа разделять на виртуальные подсети для различных групп пользователей. Этим обеспечивается разделение информационных ресурсов между группами пользователей и усиленная защита конфиденциальных ресурсов от несанкционированного доступа.
Кроме того, технология виртуальных локальных вычислительных сетей позволяет упростить процесс создания независимых сетей, которые затем должны связываться с помощью протоколов сетевого уровня.
При использовании технологии виртуальных сетей в коммутаторах одновременно решаются две задачи:
■ повышение производительности в каждой из виртуальных сетей, так как коммутатор передает кадры в такой сети только узлу назначения;
■ изоляция сетей друг от друга для управления правами доступа пользователей и создания защитных барьеров.
Для связи виртуальных сетей требуется привлечение сетевого уровня, который может быть реализован в отдельном маршрутизаторе, а может работать и в составе программного обеспечения коммутатора.
Существуют несколько способов построения виртуальных локальных вычислительных сетей: группировка портов, группировка МАС-адресов, использование меток в дополнительном поле кадра, использование специфики LANE, использование сетевого протокола.
Группировка портов. При создании виртуальных сетей на основе одного коммутатора обычно используется механизм группирования в виртуальные сети портов коммутатора, так как виртуальных сетей, построенных на основе одного коммутатора, не может быть больше, чем портов.
Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы — достаточно каждый порт приписать к нескольким заранее поименованным виртуальным сетям. Обычно такая операция выполняется администратором на уровне программного интерфейса путем перемещения графических символов портов на графические символы сетей.
Группировка МАС-адресов. При существовании в сети большого количества узлов этот способ требует выполнения большого количества ручных операций от администратора. Однако он оказывается более гибким при построении виртуальных сетей на основе нескольких коммутаторов, чем способ группирования портов.
MAC (media access control — управление доступом к среде, подуровень MAC) — второй из двух подуровней, на которые делят уровень канала стандарты IEEE 802. Обеспечивает доступ к сети и обнаружение конфликтов.
Группирование МАС-адресов в сеть на каждом коммутаторе избавляет от необходимости их связи несколькими портами, однако требует выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети.
Использование меток в дополнительном поле кадра – стандарты IEEE 802.1 Q/p и фирменные решения.
Описанные выше два подхода основаны только на добавлении дополнительной информации к адресным таблицам моста и не используют
возможности встраивания информации о принадлежности кадра к виртуальной сети в передаваемый кадр. Остальные подходы используют имеющиеся или дополнительные поля кадра для сохранения информации и принадлежности кадра при его перемещениях между коммутаторами сети. При этом нет необходимости запоминать в каждом коммутаторе принадлежность всех МАС-адресов интерсети виртуальным сетям.
Если используется дополнительное поле с пометкой о номере виртуальной сети, то оно используется только тогда, когда кадр передается от коммутатора к коммутатору, а при передаче кадра конечному узлу оно удаляется. При этом модифицируется протокол взаимодействия «коммутатор — коммутатор», а программное и аппаратное обеспечение конечных узлов остается неизменным. Примеров таких фирменных протоколов много, но общий недостаток у них один - они не поддерживаются другими производителями.
Новый стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети
Стандарты IEEE (institute electrical and electronics engineers - Институт инженеров по электротехнике и радиоэлектронике ИИЭР США) — стандарты на электронную технику, включая компьютерные сети и их элементы. Например, IEEE 802 регламентирует технологию сетей Ethernet.
Спецификация IEEE 802.1р, создаваемая в рамках процесса стандартизации 802.1Q, определяет метод передачи информации о приоритете сетевого трафика. Стандарт 802.1р специфицирует алгоритм изменения порядка расположения пакетов в очередях, с помощью которого обеспечивается своевременная доставка чувствительного к временным задержкам трафика.
Использование спецификации LANE. Существует два способа построения виртуальных сетей, которые используют уже имеющиеся поля для маркировки принадлежности кадра виртуальной сети, однако эти поля принадлежат не кадрам канальных протоколов, а ячейкам технологии ATM или пакетам сетевого уровня.
ATM (asynchronous transfer mode) — это стандарт и сервис, который способен передавать данные, голос и видеоизображение одновременно, используя один и тот же канал связи.
Спецификация LANE вводит такое понятие, как эмулируемая локальная сеть — ELAN.
Эмуляция — точное выполнение вычислительной машиной программы или ее части, записанной в системе команд другой ЭВМ. При этом на обеих ЭВМ при одинаковых входных данных результаты должны быть одинаковыми.
Эмуляция при этом осуществляется с помощью эмуляторов специальных программ или микросхем, выполняющих каждую команду исходной программы посредством одной или нескольких команд ЭВМ, на которой происходит эмуляция. С помощью программной эмуляции можно имитировать отсутствующие в вычислительной системе аппаратные средства.
Таким образом, понятие эмулированных ЛВС имеет много общего с понятием виртуальной сети:
■ ELAN строится в сети, состоящей из коммутаторов (коммутаторов ATM);
■ связь между узлами одной и той же ELAN осуществляется на основе МАС-адресов без привлечения сетевого протокола;
■ трафик, генерируемый каким-либо узлом определенной ELAN, даже широковещательный, не выходит за пределы данной ELAN.
Кадры различных ELAN не смешиваются друг с другом внутри сети коммутаторов ATM, так как они передаются по различным виртуальным соединениям, и номер виртуального соединения является тем же ярлыком, который помечает кадр определенной VLAN в стандарте 802.1Q и аналогичных фирменных решениях.
Использование сетевого протокола. При использовании этого подхода коммутаторы должны для образования виртуальной сети понимать какой-либо сетевой протокол. Такие коммутаторы называют коммутаторами третьего уровня, так как они совмещают функции коммутации и маршрутизации. Каждая виртуальная сеть получает определенный сетевой адрес — как правило, IP или IPX.
Сетевой адрес IP (IPX) — уникальный адрес, идентифицирующий узлы или компьютеры в сети, управляемой протоколом TCP/ IP (IPX/SPX). В сети, представляющей собой объединение нескольких подсетей, указывает информацию маршрутизации.
Тесная интеграция коммутации и маршрутизации очень удобна для построения виртуальных сетей, так как в этом случае не требуется введения дополнительных полей в кадры, к тому же администратор только однократно определяет сети, а не повторяет эту работу на канальном и сетевом уровнях.
Принадлежность конечного узла к той или иной виртуальной сети в этом случае задается традиционным способом — с помощью задания сетевого адреса. Порты коммутатора также получают сетевые адреса, причем могут поддерживаться нестандартные для классических маршрутизаторов ситуации, когда один порт может иметь несколько сетевых адресов, если через него проходит трафик нескольких виртуальных сетей, либо несколько портов имеют один и тот же адрес сети, если они обслуживают одну и ту же виртуальную сеть.
При передаче кадров в пределах одной и той же виртуальной сети, коммутаторы третьего уровня работают как классические коммутаторы второго уровня, а при необходимости передачи кадра из одной виртуальной сети в другую — как маршрутизаторы. Решение о маршрутизации обычно принимается традиционным способом — его делает конечный узел, когда видит на основании сетевых адресов источника и назначения, что кадр нужно отослать в другую сеть.
Однако использование сетевого протокола для построения виртуальных сетей ограничивает область их применения только коммутаторами третьего уровня и узлами, поддерживающими сетевой протокол. Обычные коммутаторы не смогут поддерживать такие виртуальные сети, и это является большим недостатком. Невозможно также использовать сети на основе немаршрутизируемых протоколов.
По этим причинам наиболее гибкий подход — комбинирование виртуальных сетей на основе стандартов 802.1 Q/p с последующим их отображением на «традиционные сети» в коммутаторах третьего уровня или маршрутизаторах. Для этого коммутаторы третьего уровня и маршрутизаторы должны понимать метки стандарта 802.1 Q.
2.5. Корпоративные и виртуальные частные сети в органах казначейства РФ
Исходя из необходимости объединения автономно распределенных процессов обработки данных, формируемых и используемых информационных ресурсов в единую структуру, территориальной разобщенности пользователей, минимизации финансовых затрат, а также возможности использования имеющихся технических средств, АС ФК базируется на объединении ЛВС в единую корпоративную сеть казначейской системы, которая является транспортной основой ЕИТКС для построения общего информационного пространства.
Корпоративная вычислительная сеть казначейской системы осуществляет объединение различных вычислительных платформ и позволяет интегрировать все организации и структурные подразделения, участвующие в управлении исполнением бюджета Российской Федерации.
Организация интегрированной корпоративной вычислительной сети с четко организованными информационными связями между структурными подразделениями и организациями, участвующим11 в казначейском исполнении бюджета, повышает уровень управляемости, адекватно отражает решение всех функциональных финансовых задач и позволяет сформировать полную, многосистемную картину состояния казначейской системы.
В настоящее время современный уровень развития сетевых тех-логий сделал возможным появление и широкое распространение виртуальных частных сетей (virtual private network — VPN), которые внедряются и в казначейской системе.
VPN (virtual private network) — это объединенные ЛВС, их сегментов или отдельных компьютеров в единую защищенную виртуальную сеть на базе сетей общего пользования.
Переход от распределенной корпоративной сети на базе выделенных каналов к VPN позволяет существенно снизить эксплуатационные расходы. Однако использование сетей общего пользования для организации VPN предъявляет дополнительные требования к обеспечению надежной защиты информационных ресурсов казначейских органов от несанкционированного доступа.
Основная задача организации VPN — обеспечение условий для создания распределенных государственных и иных баз данных на основе гарантированного обеспечения целостности и достоверности хранимой информации.
Система защищенных виртуальных сетей позволяет создавать и эволюционно развивать виртуальные комплексы казначейских органов и всех участников бюджетного процесса, обеспечивает создание автоматизированных систем всех участников бюджетного процесса, способных эффективно и безопасно взаимодействовать между собой, гарантированно обеспечивая различные организации своевременной, непротиворечивой и достоверной информацией в соответствии с принятыми законами, нормативами и стандартами.
Задачи построения и эксплуатации виртуальных частных сетей подразделяются на две группы.
К задачам первой группы относятся:
■ построение ядра защищенной телекоммуникационной системы на основе стандартов распределенных баз данных, их взаимодействия и работы с распределенными данными (стандарты защищенных виртуальных сетей);
■ эксплуатация и эволюционное развитие этого ядра. К задачам второй группы относятся:
■ создание прикладных распределенных информационных комплексов на основе обязательного применения стандартов защищенных виртуальных сетей;
■ эксплуатация и эволюционное развитие этих комплексов.
Решение задач по построению и эксплуатации виртуальных частых сетей, позволяющих повысить эффективность и надежность передачи информации между всеми участниками бюджетного процесса основывается на следующих принципах:
■ применение всеми участниками бюджетного процесса, организующими VPN, единых стандартов на средства защиты, использование электронно-цифровой подписи (ЭЦП), единых методов созданы распределенных баз данных, интерфейсов и правил информационно го обмена данными;
■ использование при создании VPN единой системы центров сертификации электронно-цифровой подписи;
■ признание всеми участниками VPN правовой силы электронных документов, подписанных электронной подписью, сертифицированной единой системой центров сертификации ЭЦП, в том числе правовой силы результатов арбитражных споров по электронному документу, проведенного этими центрами сертификации.
Технологическое функционирование VPN основывается на принципах выделения и закрепления за VPN определенных IP-адресов и организации защищенных криптотуннелей между этими адресами.
Криптотуннель — это механизм формирования зашифрованного канала данных для передачи конфиденциальной информации в VPN-сетях.
В настоящее время это центральная технология, обеспечивающая достаточный уровень защиты информации при ее передаче но виртуальным частным сетям в казначейской системе.
Контроль IP-адресов в VPN осуществляется при помощи соответствующих настроек межсетевых экранов, которые предназначены для защиты внутренней сети от несанкционированного вторжения извне.
Межсетевой экран (брандмауэр) — программный и (или) аппаратный барьер между двумя сетями, позволяющий устанавливать только авторизованные межсетевые соединения. Межсетевой экран защищает соединяемые с Интернетом корпоративные и VTW-сети от проникновения извне и исключает возможность доступа к конфиденциальной информации.
Примерный набор функций защиты, обеспечиваемый межсетевыми экранами, включает:
■ фильтрацию сетевых пакетов в соответствии с задаваемыми администраторами правилами на основе IP-адресов отправителя и получателя, времени и даты передачи пакета, разрешенных портов aбонентов (для TCP/UDP-пакетов), а также пар адресов абонентов, для которых разрешено соединение;
■ осуществление передачи IP-пакетов через комплекс по принципу «запрещено все, что не разрешено», что защищает от нападений, основанных на новых, незнакомых или неясных IP-сервисах, а также ошибок конфигурации;
■ возможность организации множественных криптотуннелей между защищаемыми участками сети (при наличии встроенных криптографических средств);
■ трансляцию сетевых адресов отправителя и получателя в криптотуннеле, скрывающую внутренние адреса субъекта и объекта передачи;
■ сокрытие прикладных функций защищаемой сети и используемых ими сетевых протоколов;
■ возможность сокрытия топологии сети и факта функционирования комплекса как средства защиты с фильтрующими возможностями;
■ специфическую обработку IP-опций, способствующую предохранению от раскрытия топологии сети извне;
■ защиту каналов управления и мониторинга пограничных маршрутизаторов, принадлежащих к сетевым ресурсам на принципе туннелирования этих каналов из защищенных областей;
■ учет и регистрацию всех активных действий администраторов и различных параметров работы абонентов;
■ функционирование комплекса с использованием собственной защищенной операционной среды для исключения несанкционированной модификации и внедрения разрушающих программных воздействий;
■ автоматический контроль целостности исполняемых модулей;
■ возможность удаленного управления работой комплексов — мониторинг состояния, изменение правил фильтрации и др.
Организация криптотуннелей обеспечивается использованием криптографических средств шифрования информации — шифраторов трафика сети.
Таким образом, VPN-компоненты обеспечивают выполнение следующих функций: идентификацию и аутентификацию пользователей и сетевых объектов, управление политикой сетевой безопасности, контроль доступа в защищаемый периметр сети, защиту передаваемой по сети информации.
Идентификация пользователя — опознание пользователя \по фамилии, паролю и т.д.) для определения его полномочий — права на доступ к данным и режима их использования.
При правильной организации сеть управляется администраторов из центрального офиса, там же создается ключевая информация. Администратор создает инфраструктуру сети согласно выбранной политике безопасности, управляет работой объектов сети, изменяя ее по необходимости. Это позволяет организовывать защищенные виртуальные сети гибкой конфигурации в пределах конечного числа компонентов, входящих в предлагаемые модификации компонентов VPN.
В общем случае компоненты VPN позволяют обеспечивать:
■ маршрутизацию защищенных пакетов при взаимодействии объектов сети между собой;
■ регистрацию и предоставление информации о состоянии объектов сети;
■ работу защищенных компьютеров локальной сети в WW от имени одного адреса;
■ туннелирование пакетов от заданных незащищенных компьютеров локальной сети;
■ фильтрацию открытых пакетов в соответствии с заданной политикой безопасности;
■ мониторинг и управление объектами сети.
Для выполнения указанных функций в состав программного об печения VPN, как правило, входят следующие модули: администратор, координатор, клиент.
Администратор — модуль, создающий инфраструктуру сети, осу- ществляющий мониторинг и управление объектами сети. Он также формирует первичную ключевую и парольную информацию для объектов сети, сертифицирует ключевую информацию, сформировав объектами сети.
Координатор — модуль, осуществляющий следующие функции:
■ маршрутизацию защищенных пакетов при взаимодействии объектов сети между собой;
■ регистрацию и предоставление информации о состоянии объектов сети;
■ работу защищенных компьютеров локальной сети в VPN от имени одного адреса;
■ туннелирование пакетов от заданных незащищенных компьютеров локальной сети;
■ фильтрацию открытых пакетов в соответствии с заданной политикой безопасности;
■ возможность работы защищенных компьютеров локальной сети через сетевые экраны других производителей.
Клиент — модуль, обеспечивающий защиту информации при ее передаче по открытым каналам сетей общего пользования, а также защиту от доступа к ресурсам компьютера из сетей общего пользования.
2.6. Защита информации в казначействе России
Проведение электронных платежей с использованием телекоммуникационной системы казначейских органов невозможно без организации надежной системы защиты пересылаемой по сети информации,
которая, как правило, организуется на двух уровнях.
Для организации защиты первого уровня, как правило, применяются
специализированные программы, предназначенные для предоставления пользователю возможности постановки ЭЦП на любой интересующий его файл посредством стандартного графического интерфейса среды MS Windows.
Программа устанавливается на рабочих станциях конечных пользователей. Каждый пользователь, обладающий правом постановки ЭЦП, должен создать и зарегистрировать сертификат, на основании которого ему будет позволено осуществлять процедуру постановки ЭЦП. При этом происходит проверка подлинности его подписи.
Сертификат — цифровой документ, содержащий определенную, цифровым образом подписанную информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название доверенного центра сертификации и т.д.
Центр сертификации развертывается на платформе Windows Server с криптопровайдером на базе средств криптографической защиты информации (СКЗИ).
При успешной регистрации сертификат помещается в хранилище сертификатов и устанавливается как применяемый для создания ЭЦП-Затем производится генерация ключевой информации пользователя.
Для организации защиты второго уровня применяются средства криптографической защиты, в качестве которых используются программные продукты и аппаратные комплексы, имеющие сертификаты Службы специальной связи и информации (Спецсвязь России), что позволяет их внедрять для организации защиты каналов связи гос)" дарственных учреждений.
Одно из используемых средств криптографической защиты — программно-аппаратный комплекс шифрования передачи данных «Континент», основное назначение которого — защита информации, передаваемой по каналам связи VPN, а также защита сегментов VPN от проникновения извне.
Комплекс «Континент» предназначен для работы в сетях, использующих для передачи данных протоколы семейства TCP/IP, и обеспечивает:
■ шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети;
■ защиту внутренних сегментов сети от несанкционированного доступа извне;
■ скрытие внутренней структуры защищаемых сегментов сети;
■ централизованное управление защитой сети.
В состав комплекса «Континент» входят следующие компоненты:
- центр управления сетью криптографических шлюзов;
- криптографический шлюз «Континент-К»;
-агент управления сетью криптографических шлюзов;
-программа управления сетью криптографических шлюзов
Криптографический шлюз (далее — КШ) предназначен для криптографической защиты информации при ее передаче по открытым каналам сетей общего пользования и для защиты внутренних сегментов VPN от проникновения извне.
Криптошлюз — это устройство со специализированным программным обеспечением или специализированное программное обеспечение, выполняющее функции защиты путем шифрования и дешифрования передаваемого сообщения.
Криптографический шлюз обеспечивает:
■ прием и передачу IP-пакетов по протоколам семейства TCP/IP;
■ фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации;
■ криптографическое преобразование передаваемых и принимаемых IP-пакетов;
■ имитозащиту IP-пакетов, циркулирующих в VPN;
■ сжатие передаваемых IP-пакетов;
■ скрытие внутренней структуры защищаемого сегмента сети-
■ оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реально времени;
■ регистрацию событий, связанных с работой криптографического шлюза;
■ идентификацию и аутентификацию администратора при запуске криптографического шлюза;
■ контроль целостности программного обеспечения криптошлюза;
■ поддержку режима оперативного резервирования.
Криптографический шлюз в стандартной поставке оборудуется сетевыми интерфейсами (платами) стандарта Ethernet, а также платой «Электронный замок», обеспечивающей локальную идентификацию и аутентификацию администратора криптошлюза и контроль целостности программного обеспечения. Количество поддерживаемых сетевых интерфейсов ограничивается только возможностями операционной системы.
Центр управления сетью криптографических шлюзов (ЦУС)
представляет собой программное обеспечение, устанавливаемое на одном из криптошлюзов комплекса. Основная функция ЦУС — централизованное управление работой всех КШ, входящих в состав комплекса.
ЦУС обеспечивает:
■ аутентификацию криптошлюза, программы управления и агента;
■ контроль текущего состояния всех криптографических шлюзов комплекса;
■ хранение информации о состоянии комплекса;
■ восстановление информации о состоянии комплекса из резервной копии;
■ централизованное управление криптографическими ключами;
■ взаимодействие с программой управления;
■ регистрацию событий, связанных с управлением криптошлюзом;
■ получение и временное хранение журналов регистрации КШ;
■ оповещение программы управления о событиях, требующих oперативного вмешательства администратора комплекса в режиме реального времени.
Программа управления сетью криптографических шлюзов (ПУ) устанавливается на одном или нескольких компьютерах сегмента, защищаемого КШ с установленным ЦУС. Программа управления предназначена для централизованного управления настройками и оперативного контроля состояния всех криптошлюзов, входящих в состав комплекса.
Программа управления обеспечивает:
■ установление защищенного соединения и обмен данными с ЦУС и агентом;
■ получение от ЦУС и отображение информации о состоянии и настройках всех КШ, входящих в состав комплекса;
■ изменение настроек криптошлюза в диалоговом режиме и передачу новых значений настроек ЦУС;
■ резервное копирование базы данных ЦУС;
■ получение от агента и отображение содержимого журналов регистрации КШ комплекса;
■ принудительную смену криптографических ключей на любом из КШ комплекса.
Агент управления сетью криптографических шлюзов устанавливается на одном из компьютеров сегмента сети, защищаемого КШ с установленным центром управления сетью криптографических шлюзов. Агент обеспечивает:
■ установление защищенного соединения и обмен данными с ЦУС и программой управления;
■ получение от ЦУС содержимого журналов регистрации в соответствии с установленным расписанием;
■ хранение содержимого журналов регистрации;
■ передачу содержимого журналов регистрации программе управления при получении от нее запроса;
■ получение от ЦУС оперативной информации о работе комплекса. Программно-аппаратный комплекс шифрования «Континент-К», кроме вышеуказанных модулей, также включает в свой состав компоненты, обеспечивающие удаленный доступ пользователей (клиентов) I ресурсам защищенной корпоративной сети с компьютеров, не входящих в защищаемые сегменты сети. На этих компьютерах (абонентских пунктах) устанавливается программный комплекс «Континент-АП», который для передачи данных соединяется с сервером доступа, проверяющим полномочия и разрешающим доступ к ресурсам защищенной сети.
Абонентский пункт — терминал, персональный компьютер или рабочая станция, подключенные к вычислительной сети или сети компьютерной связи.
Абонентский пункт (АП) подключается к серверу доступа (СД) и позволяет осуществить:
■ поддержку динамического распределения IP-адресов — возможность удаленного доступа мобильных пользователей;
■ удаленный доступ к ресурсам защищаемой сети по шифрованному каналу;
■ доступ как по выделенным, так и по коммутируемым каналам связи;
■ связь с сетью, защищаемой «Континент-К», через сервер доступа практически без снижения производительности соединения;
■ идентификацию и аутентификацию пользователя.
АП может функционировать в одном из трех режимов:
■ режим ожидания команды пользователя. В данном режиме никакого преобразования трафика не происходит, и пользователь может взаимодействовать с любым внешним узлом;
■ инициализация соединения с сервером доступа и криптографическим шлюзом «Континент-К»;
■ активный режим функционирования. После установления соединения с СД и получения разрешения на доступ в защищаемую сеть весь трафик шифруется. При этом АП может либо запрещать все незащищенные соединения (например, с сетью Интернет), либо разрешать.
После запроса на соединение сервер доступа проводит идентификацию и аутентификацию удаленного пользователя, определяет его уровень доступа, устанавливаемый администратором «Континент-К». На основании этой информации осуществляется подключение абонента к ресурсам сети. СД позволяет осуществить практически неограниченное количество одновременных сеансов связи с удаленными пользователями. В системе используется аутентификация пользователей при помощи сертификатов открытых ключей.
Личный сертификат пользователя создается администратором безопасности с помощью программы управления сервера доступа. Личный сертификат пользователя экспортируется в файл в зашифрованном виде и выдается администратором СД пользователю. Также пользователю выдается сертификат сервера доступа. Имеется возможность создания запроса на получение сертификата и ключей посредством самого абонентского пункта с последующей выдачей сертификата администратором сервера доступа.
Связь между ЛВС УФК и АП клиента осуществляется по каналам связи сети Интернет. К сети Интернет ЛВС УФК подключена через криптографический шлюз, что обеспечивает сокрытие внутренней структуры защищаемого сегмента сети. При этом IP-адреса компьютеров УФК должны быть уникальными только в рамках ЛВС управления. Криптографический шлюз может содержать несколько сетевых интерфейсов, к которым можно подключить несколько независимых локальных сетей.
Криптографический шлюз осуществляет маршрутизацию проходящего через него трафика IP-пакетов, наличие дополнительного маршрутизатора в общем случае не требуется.
Также криптографический шлюз осуществляет обработку входящих и исходящих IP-пакетов: фильтрацию и криптографическое преобразование данных, передаваемых по открытым каналам связи.
Автоматическое управление криптографическим шлюзом осуществляет ЦУС, размещающийся на криптографическом шлюзе УФК.
Таким образом специалистами отделов обеспечения безопасности
информации и информационных технологий организуется надежная система защиты информации, передаваемой по внешним каналам связи УФК, удовлетворяющая всем требованиям Спецсвязи России, предъявляемым к системам такого уровня.
2.7. Принципы организации и обеспечению информационной безопасности в органах казначейства
В конце 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799 «Управление информационной безопасностью».
Документ содержит практические рекомендации но управлению информационной безопасностью для организаций, использующих автоматизированные системы. В соответствии с этим документом разрабатываются корпоративные правила совместного использования защищаемых ресурсов, и Служба безопасности, IT-отдел, руководство организации начинают работать согласно общему регламенту. В настоящее время этот стандарт поддерживается более чем в 27 странах мира.
В России нет руководящего документа, регламентирующего практические правила управления информационной безопасностью. При этом ISO/IEC 17799 не противоречит ни одному из руководящих документов Федеральной службы по техническому и экспортному контролю (ФСТЭК) России и Службы специальной связи и информации при Федеральной службе охраны Российской Федерации (Спецсвязь России). Таким образом, за основу организации системы защиты в АС ФК берется международный стандарт менеджмента безопасности, использование которого позволяет разработать корпоративные правила и политики безопасности в автоматизированных системах казначейских органов и внедрить имеющийся международный опыт.
Система зашиты информации в АС ФК - это совокупность мер и способов защиты циркулирующей в АС информации и поддерживающих ее подсистем от случайных или преднамеренных воздействии естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации и поддерживающих подсистем.
Основная цель организации защиты информации в АС ФК — предотвращение ущерба национальным и экономическим интересам Российской Федерации, наносимого в результате хищения, разглашений' утечки, утраты или искажения информации, циркулирующей в органах Казначейства России.
К другим целям системы защиты информации относятся:
■ обеспечение сохранности сведений, составляющих государственную тайну, и сведений конфиденциального характера;
■ эффективное управление, обеспечение сохранности и защита государственных информационных ресурсов;
■ обеспечение правового режима использования документов, информационных массивов, баз данных, обеспечение полноты, целостности, достоверности информации в системах обработки.
Основные задачи системы защиты информации органов Казначейства России:
■ оптимальное с экономической точки зрения отнесение информации, циркулирующей в органах Казначейства России, к категории
ограниченного доступа;
■ создание необходимых условий для надежного и безопасного функционирования органов Казначейства России, а также разработка Механизмов оперативного реагирования на угрозы объектам обеспечения информационной безопасности;
■ внедрение защищенных систем обработки, хранения и передачи Информации, а также безопасных автоматизированных систем для обеспечения деятельности органов Казначейства России:
■ предотвращение утечки информации по техническим каналам;
■ предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в АС ФК;
■ разработка и принятие в пределах компетенции организациионно-распорядительных документов по информационной безопасности органов Казначейства России.
Система защиты информации должна действовать непрерывно, обеспечивая безопасность защищаемых сведений, циркулирующих в органах Казначейства России, независимо от методов и средств, используемых при их обработке, хранении или передаче. Комплекс защитных мер должен быть направлен как на предупреждение угроз безопасности информации, так и на обеспечение возможности выявления и пресечения противоправных устремлений в отношении охраняемых сведений.
В организационной структуре системы защиты информации органов Казначейства России общее руководство осуществляет руководитель Казначейства России. Ответственность за организацию работ по защите информации в органах Казначейства России несут их руководители, а в структурных подразделениях — их начальники/
Организационная структура системы защиты информации состоит из коллегиальных органов, подразделений и специалистов по обеспечению информационной безопасности органов Казначейства России и включает в себя:
■ специализированные подразделения органов Казначейства России, к которым относятся отдел обеспечения безопасности информации Казначейства России и отделы (сектора) обеспечения безопасности информации органов Казначейства России;
■ межрегиональные (технические) центры защиты информации в составе ряда УФК;
■ постоянно действующая техническая комиссия по защите информации в УФК;
■ работников, отвечающих за обеспечение безопасности информации (при необходимости отделы) в ОФК;
■ работников подразделений органов Казначейства России, назначенных ответственными за соблюдение требований информационной безопасности на рабочих местах;
■ учебные центры повышения квалификации специалистов п| защите информации;
■ подразделения охраны органов Казначейства России.
При этом учитывается, что АС ФК обладает следующими основными признаками:
■ наличие информации различной степени конфиденциальности;
■ необходимость криптографической защиты информации различной степени конфиденциальности при передаче данных между различными подразделениями или уровнями управления;
■ иерархичность полномочий субъектов доступа и программ к АРМ специалистов, каналам связи, информационным ресурсам необходимость оперативного изменения этих полномочий;
■ организация обработки финансовой информации в интерактивном (диалоговом) режиме, в режиме разделения времени между пользователями и в режиме реального времени.
■ обязательное управление потоками информации как в локальных вычислительных сетях, так и при передаче данных на большие расстояния;
■ необходимость регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать;
■ обязательное обеспечение целостности программного обеспечения и информации в автоматизированных системах;
■ наличие средств восстановления системы защиты информации:
■ обязательный учет машинных носителей информации;
■ учет возможности проникновения на охраняемый объект представителей информаторов, связанных с преступными группировками, зарубежными спецподразделениями;
■ наличие физической охраны средств вычислительной техники и машинных носителей информации.
Режим разделения времени — режим функционирования процессора, при котором процессорное время последовательно предоставляется для решения различных задач.
Режим реального времени — режим обработки данных, при котором обеспечивается взаимодействие вычислительной системы с внешними по отношению к ней процессами в темпе, соизмеримом со скоростью протекания этих процессов.
Построение системы обеспечения защиты информации в АС ФК и ее функционирование должны осуществляться в соответствии со следующими основными принципами.
Законность предполагает осуществление защитных мероприятие
и разработку системы безопасности информации в соответствии с действующим законодательством в области информации, информатизации и защиты информации и других нормативных актов по безопасности информации. Пользователи и обслуживающий персонал АС ФК должны знать об ответственности за правонарушения в области АС.
Системность означает, что при создании системы защиты должны учитываться все слабые и наиболее уязвимые места АС ФК, а также характер, возможные объекты и направления атак на систему со стороны нарушителей, пути проникновения в распределенные системы и несанкционированный доступ к информации, а также возможности появления принципиально новых путей реализации угроз безопасности.
Комплексность предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
Непрерывность означает принятие соответствующих мер на всех этапах жизненного цикла АС ФК, начиная со стадии проектирования и на всех стадиях эксплуатации. При этом перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.
Преемственность и развитие предполагают постоянное совершенствование мер и средств защиты информации на основе преемственен организационных и технических решений, кадрового состава, анализа функционирования АС и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
Экономическая целесообразность означает, что уровень затрат на обеспечение безопасности информации и ценности информационных ресурсов должен соответствовать величине возможного ущерб от их разглашения, утраты, утечки, уничтожения и искажения (за исключением информации, содержащей сведения, составляющие государственную тайну).
Персональная ответственность предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.
Разделение и минимизация полномочий означает предоставление пользователям минимальных прав доступа- в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, в каком это необходимо сотруднику для выполнения его должностных обязанностей.
«Прозрачность» механизмов защиты означает, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможность ее преодоления (даже авторам). Однако это не означает, что информация о конкретной системе защиты может быть общедоступна.
Обязательность контроля предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств. Контроль должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.
Для достижения основной цели защиты информации и системы ее обработки система безопасности АС ФК должна обеспечивать решение следующих задач:
- защита от вмешательства в процесс функционирования АС ФК посторонних лиц, т.е. возможность использования АС и доступ к ее ресурс должны иметь только зарегистрированные пользователи;
- разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС ФК (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям АС ФК для выполнения своих служебных обязанностей);
- защита от несанкционированного доступа:
■ к информации, циркулирующей в АС ФК;
■ средствам вычислительной техники АС ФК;
■ аппаратным, программным и криптографическим средствам защиты,
используемым в АС ФК;
- регистрация действий пользователей при использовании защищаемых ресурсов АС ФК в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений безопасности;
- контроль целостности программ и их восстановление в случае нарушения;
- защита от несанкционированной модификации используемого в АС ФК программного обеспечения;
- защита АС ФК от внедрения несанкционированных программ, включая компьютерные вирусы;
- защита информации ограниченного доступа, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения и ее восстановление;
- своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции; - создание условий для минимизации и локализации наносимого ущерба неправомерными действиями злоумышленников, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации
Организация и внедрение системы защиты информации в АС ФК включает пять основных организационных комплексных мероприятий
Создание в Казначействе России организационно-правовой "азы безопасности информации (нормативные документы, работа с персоналом, делопроизводство). Организационно-правовые мероприятия предусматривают создание и поддержание правовой базы безопасности информации и разработку (введение в действие) нормативных и организационно-распорядительных документов, к которым относятся соответствующие положения, приказы и распоряжения, инструкции и функциональные обязанности сотрудников казначейских органов.
Выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам предусматривает:
■ комплекс мер и соответствующих технических средств, ослабляющих утечку речевой и сигнальной информации, — пассивная защита (защита);
■ комплекс мер и соответствующих технических средств, создающих помехи при съеме информации, — активная защита (противодействие);
■ комплекс мер и соответствующих технических средств, позволяющих выявлять каналы утечки информации, — поиск (обнаружение).
Физическая охрана объектов информатизации (компонентов автоматизированных систем) включает:
■ организацию системы охранно-пропускного режима и системы контроля допуска на территорию казначейских органов;
■ введение дополнительных ограничений по доступу в помещения, предназначенные для хранения закрытой информации (кодовые, электронные замки и электронные ключи, электронные карты допуска и т.д.);
■ визуальный и технический контроль контролируемой зоны объекта защиты;
■ применение систем охранной и пожарной сигнализации и т.д. Организация мероприятий по контролю функционирования средств и систем защиты информации ограниченного доступа после случайных или преднамеренных несанкционированных воздействий предусматривает:
■ разграничение допуска к информации ограниченного распространения;
■ разграничение допуска к программно-аппаратным средствам АСФК;
■ ведение учета ознакомления сотрудников с информационными ресурсами ограниченного распространения;
■ включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранности сведений ограниченного распространения;
■ организация уничтожения информационных отходов (бумажных, машинных носителей информации и т.д.);
■ оборудование служебных помещений сейфами, шкафами для хранения бумажных и машинных носителей информации и т.д.
Организация мероприятий технического контроля включает:
■ контроль за проведением технического обслуживания и ремонта вычислительной техники;
■ проверки поступающего оборудования, предназначенного для обработки закрытой информации, на наличие специально внедренных закладных устройств;
■ инструментальный контроль технических средств на наличие побочных электромагнитных излучений и наводок;
■ оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи;
■ защита выделенных помещений при проведении закрытых (секретных) работ (переговоров), создание помех для затруднения съема информации;
■ постоянное обновление технических и программных средств защиты от несанкционированного доступа к информационным ресурсам.
Таким образом, организация создания системы защиты информации в казначейской системе включает в себя два взаимодополняющи направления:
■ разработка системы защиты информации (ее синтез);
■ оценка разработанной системы защиты информации путем анализа ее технических характеристик с целью установления, удовлетворяет ли система защиты информации комплексу требований к таким системам.
Второе направление является направлением классификации, которое в настоящее время решается практически исключительно экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.
Защита конфиденциальной информации от несанкционированного доступа и модификации призвана обеспечить решение одной из наиболее важных задач — защиту хранимой и обрабатываемой в вычислительной технике финансовой информации казначейской системы от всевозможных злоумышленных покушений, которые могут нанеси существенный экономический и другой материальный и нематериальный ущерб. Основная цель этого вида защиты — обеспечение конфиденциальности, целостности и доступности информации.
С точки зрения защиты информации несанкционированный доступ может иметь следующие последствия: утечка конфиденциальной обрабатываемой информации, а также ее искажение или разрушение в результате умышленного нарушения работоспособности АС ФК.
В части технической реализации защита от несанкционированного доступа в казначейских органах сводится к задаче разграничения функциональных полномочий и доступа к данным с целью не только использования информационных ресурсов, но и их модификации.
Защита информации в каналах связи направлена на предотвращение возможности несанкционированного доступа к конфиденциальной информации, циркулирующей по каналам связи различных видов между различными уровнями управления казначейской системы или внешними органами. Этот вид защиты преследует достижение тех же целей: обеспечение конфиденциальности и целостности информации. Наиболее эффективным средством защиты финансовой информации Ъ неконтролируемых каналах связи является применение криптографии и специальных связных протоколов.
Защита юридической значимости электронных документов оказывается необходимой при использовании систем и сетей для обработки, хранения и передачи информационных объектов, содержащих в себе приказы, платежные поручения и другие распорядительные, договорные, финансовые документы. Их общая особенность заключается в том, что в случае возникновения споров (в том числе и судебных) должна быть обеспечена возможность доказательства истинности факта того, что автор действительно фиксировал акт своего волеизъявления в отчуждаемом электронном документе. Для решения этой проблемы используются современные криптографические методы проверки подлинности информационных объектов, связанные с применением электронных подписей (цифровых подписей). На практике вопросы защиты значимости электронных документов решаются совместно с вопросами защиты автоматизированной системы казначейских органов.
Защита финансовой информации от утечки по каналам побочных электромагнитных излучений и наводок является важным аспектом защиты конфиденциальной и секретной информации в вычислительной технике от несанкционированного доступа со стороны посторонних лиц. Этот вид защиты направлен на предотвращение возможности утечки информативных электромагнитных сигналов за пределы охраняемой территории казначейских органов. При этом предполагается, что внутри охраняемой территории применяются эффективные режимные меры, исключающие возможность бесконтрольного использования специальной аппаратуры перехвата, регистрации и отображения электромагнитных сигналов. Для защиты от побочных электромагнитных излучений и наводок широко применяется экранирование помещений, предназначенных для размещения средств вычислительной техники, а также технические меры, позволяющие снизить интенсивность информативных излучений самого оборудования и каналов связи.
В некоторых ответственных случаях может быть необходима дополнительная проверка вычислительной техники на предмет возможного выявления специальных закладных устройств финансового шпионажа, которые могут быть внедрены туда с целью регистрации или записи информативных излучений персонального компьютера, а также речевых и других несущих уязвимую информацию сигналов.
Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации — самостоятельный вид защиты прав, ориентированный на проблему охраны интеллектуальной собственности, воплощенной в виде программ и ценных баз данных. Такая защита обычно осуществляется с помощью специальных программных средств, подвергающих защищаемые программы и базы данных предварительной обработке (вставка парольной защиты, проверок по обращениям к устройствам хранения ключа и ключевым дискетам, блокировка отладочных прерываний, проверка рабочего персонального компьютера по его уникальным характеристикам и т.д.), которая приводит исполнимый код защищаемой программы и базы данных в состояние, препятствующее его выполнению на «чужих» ПК.
Общим свойством средств защиты программ и баз данных в органах Казначейства России от несанкционированного копирования является ограниченная стойкость такой защиты, так как в конечном случае исполнимый код программы поступает на выполнение в центральный процессор в открытом виде и может быть прослежен с помощью аппаратных отладчиков. Однако это обстоятельство не снижает потребительских свойств средств защиты до минимума, так как основная цель их применения — в максимальной степени затруднить хотя бы временно возможность несанкционированного копирования ценной информации,
Защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ и файлов. АС ФК включает в себя сотни рабочих станций, десятки серверов, активное и пассивное телекоммуникационное оборудование и имеет сложную структуру. Стоимость обслуживания АС ФК постоянно растет с ростом числа подключенных рабочих станций. С ростом количества элементов сети АС ФК растет и вероятность возможности ее заражения компьютерными вирусами. Поэтому если не предпринимать адекватных мер по организации антивирусной защиты, стоимость ликвидации последствий вирусных воздействий в таких сетях может превысить все допустимые, разумные пределы.
Подсистема антивирусной защиты должна обеспечивать выполнение следующих функций:
■ централизованное управление сканированием, удалением виру-сок и протоколированием вирусной активности на АРМ;
■ возможность управления несколькими серверами с одной консоли управления;
■ централизованную автоматическую инсталляцию клиентского программного обеспечения на АРМ пользователей;
■ централизованное автоматическое обновление вирусных сигнатур на АРМ пользователей;
■ возможность обнаружения и удаления вирусов в режиме реального времени при работе с информационными ресурсами серверов;
■ возможность выявления вирусной активности в режиме реального времени при осуществлении связи с сетями общего пользования;
■ ведение журналов вирусной активности в АС ФК;
■ автоматическое уведомление администратора по электронной почте о вирусной активности в АС ФК;
■ возможность объединения зарегистрированных пользователей в антивирусные группы с возможностью управления группами АРМ как одним доменом;
■ взаимодействие с межсетевыми экранами.