Программа по курсу «Информационные технологии в системе Федерального Казначейства» перечень тем лекционных занятий

Вид материала

Программа

Содержание 2.4. Локальные и виртуальные сети в казначействе России Трафик — это объем информации в сети передачи данных; рабо­чая нагрузка линии связи. Виртуальная сеть (virtual LAN, VLAN) Аутентификация пользователя Gigabit Ethernet Fast Ethernet Группировка портов. Группировка МАС-адресов. MAC (media access control — управление доступом к среде, подуровень MAC) Использование меток в дополнительном поле кадра Стандарты IEEE (institute electrical and electronics engineers - Институт инженеров по электротехнике и радиоэлектронике ИИЭР СШ Использование спецификации LANE. ATM (asynchronous transfer mode) LANE вводит такое понятие, как эмулируемая ло­кальная сеть — ELAN. ELAN строится в сети, состоящей из коммутаторов (коммутаторов ATM); ■ связь между узлами одной и той же ELAN ELAN, даже широковещательный, не выходит за пределы данной ELAN. Использование сетевого протокола. Сетевой адрес IP (IPX) 2.5. Корпоративные и виртуальные частные сети в органах казначейства РФ VPN (virtual private network) VPN позволяет существенно снизить эксплуатацион­ные расходы. Однако использование сетей общего пользования для организации VPN ... Полное содержание

Подобный материал:

• Межрегиональное совещание по теме: «Организация кадровой работы в системе Федерального, 93.64kb.
• Международное уголовное право, 387.4kb.
• Учебный план повышения квалификации по программе " Бюджетный учет и отчетность в системе, 44.1kb.
• Представленные на конкурс работы в количестве 44 штук (перечень работ прилагается)., 231.2kb.
•    Открыл совещание с приветственным словом руководитель Федерального казначейства, 15.63kb.
• Коммерческое право программа предназначена для обучения студентов по курсу «Коммерческое, 188.76kb.
• Рабочая программа по курсу «Логистика и конроллинг» для специальности 230201 «Информационные, 193.18kb.
• «Информационные технологии в многоуровневой системе образования», 221.31kb.
• Программа по курсу «Реинжиниринг бизнес-процессов» для специальности 230201 «Информационные, 204.52kb.
• Российской Федерации Российской Федерации государственный университет высшая школа, 368.8kb.

2.4. Локальные и виртуальные сети в казначействе России


В казначейских органах организованы ЛВС, которые являются важным звеном единой информационно-телекоммуникационной сис­темы Казначейства России и позволяют:

■ объединить автономно распределенные процессы обработки финансовой информации;

■ сформировать информационные ресурсы в единую структуру»

■ объединить территориально разобщенных специалистов казначейской системы;

■ минимизировать финансовые затраты на обработку информации при организации работы казначейских органов;

■ оптимизировать функционирование программных комплексов, используемых в казначействе;

■ предоставить работникам казначейских органов более мощный набор аппаратных и программных средств хранения, обработки и ото­бражения информации;

■ обеспечить преемственность в аппаратных и программных сред­ствах для персональных компьютеров различных поколений;

■ наращивать мощности ЛВС по мере увеличения на нее нагруз­ки и т.д.

Применяемые локальные вычислительные сети казначейских ор­ганов обеспечивают:

■ универсальное сетевое пространство на основе открытых стан­дартов и технологий;

■ функционирование общесистемных служб и сервисов, в том чис­ле файлового доступа, сетевой печати и офисных приложений коллек­тивной работы;

■ функционирование специализированных прикладных про­граммных средств;

■ возможность прозрачной связи между любыми двумя ее узла­ми, а также с существующими сетями;

■ возможность создания замкнутых виртуальных локальных вы­числительных сетей (VLAN) с изолированным трафиком без физиче­ского перемещения рабочих станций;

■ возможность удаленного диагностирования отдельных сегмен­тов и ЛВС в целом;

■ возможность маршрутизации потоков информации между вир­туальными ЛВС.

Трафик — это объем информации в сети передачи данных; рабо­чая нагрузка линии связи.

Виртуальная сеть (virtual LAN, VLAN) — это группа узлов ЛВС, трафик которой на канальном уровне полностью изолирован от дру­гих узлов сети.

В соответствии с требованиями, предъявляемыми к функциони­рованию локальной вычислительной сети, возникает вопрос выбора Обельного оборудования, его физического размещения и монтажа. Качество кабельной системы оказывает большое влияние на надеж­ность и гибкость имеющихся и будущих сетей.

Первое требование к структуре кабельной системы — возможность перемещения оборудования и роста сети. Кадровые и другие изменения внутри казначейского органа приводят к физическому перемещению свыше 50% специалистов и оборудования. Целесообразно, чтобы в случае увеличения количества АРМ внутри групп и численности персонала сеть могла расширяться без повторной прокладки кабеля

Определяющим фактором при организации локальных вычислительных сетей в казначейских органах, где осуществляется распределенная обработка данных на персональных компьютерах специалистов, является простота доступа к информационным ресурсам. В этой связи основой современных технических решений в построении автоматизированной информационной системы казначейских органов яв­ляется архитектура «клиент — сервер».

Важнейшей характеристикой локальных вычислительных сетей органов казначейства является топология, которая определяет конфигурацию сети с четким определением характера, взаимосвязей и ос­новных характеристик ее функциональных элементов.

Локальные вычислительные сети казначейских органов органи­зуются по топологии сдублированных частично связанных «звезд», в центре которых находятся сдублированные коммутаторы ядра, а на периферии — узел доступа.

Узел доступа в ЛВС представляет собой сервер доступа (СД), выполняющий следующие функции:

■ маршрутизацию информационного обмена;

■ барьерную защиту объектов информатизации — ЛВС, отдельныx рабочих станций и серверов;

■ генерацию и сертификацию ключей криптографической защи­ти информации, в том числе сеансовых;

■ криптографическую защиту информационного обмена;

■ аутентификацию участников информационного обмена.

Аутентификация пользователя — проверка принадлежности пользователю предъявленного им идентификатора; подтверждение подлинности в вычислительных сетях.

Блок ядра ЛВС казначейских органов реализован в варианте «сжа­того ядра», т.е. уровни ядра и распределения объединены в пределах одного (группы) устройства.

Коммутаторы ядра (распределения) имеют резервируемые линии связи с коммутаторами уровня доступа. Соединение между ними про­изводится по стандарту Gigabit Ethernet. Применение технологии Gigabit Ethernet для построения блока ядра позволяет эффективно ре­ализовать многопользовательский доступ к разделяемым ресурсам (серверам).

Gigabit Ethernet — разновидность (эволюция) технологии Ethernet, позволяющая передавать данные в сети со скоростью 1000 Мбит/сек.

Коммутаторы уровня доступа обеспечивают подключение обору­дования пользователей по стандарту Fast Ethernet, управление досту­пом, регистрацию в виртуальных сетях и фильтрацию трафика.

Fast Ethernet — разновидность (эволюция) технологии Ethernet, позволяющая передавать данные в сети со скоростью 100 Мбит/сек.

На этих коммутаторах можно терминировать виртуальные сети, вследствие чего они могут образовывать границу домена широковещательного трафика, осуществлять коммутацию трафика на втором уровне внутри виртуальных сетей и передачу трафика на уровень ядра.

При этом передача кадров между разными виртуальными сегментами ЛВС на основании адреса канального уровня невозможна независимо от типа адреса — уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передай по технологии коммутации, т.е. только на тот порт, который связан с адресом назначения кадра.

В целом организация виртуальных ЛВС в казначейских органах основывается на использовании свойств современной коммуникационной аппаратуры, прежде всего коммутаторов и маршрутизаторов, позволяющих реальную ЛВС структурного подразделения казначейского органа разделять на виртуальные подсети для различных групп пользователей. Этим обеспечивается разделение информационных ресурсов между группами пользователей и усиленная защита конфиденциальных ресурсов от несанкционированного доступа.

Кроме того, технология виртуальных локальных вычислительных сетей позволяет упростить процесс создания независимых сетей, ко­торые затем должны связываться с помощью протоколов сетевого уровня.

При использовании технологии виртуальных сетей в коммутато­рах одновременно решаются две задачи:

■ повышение производительности в каждой из виртуальных се­тей, так как коммутатор передает кадры в такой сети только узлу на­значения;

■ изоляция сетей друг от друга для управления правами доступа пользователей и создания защитных барьеров.

Для связи виртуальных сетей требуется привлечение сетевого уровня, который может быть реализован в отдельном маршрутизато­ре, а может работать и в составе программного обеспечения коммута­тора.

Существуют несколько способов построения виртуальных локальных вычислительных сетей: группировка портов, группировка МАС-адресов, использование меток в дополнительном поле кадра, использование специфики LANE, использование сетевого протокола.

Группировка портов. При создании виртуальных сетей на основе одного коммутатора обычно используется механизм группирования в виртуальные сети портов коммутатора, так как виртуальных сетей, построенных на основе одного коммутатора, не может быть больше, чем портов.

Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы — достаточно каждый порт приписать к нескольким заранее поименованным виртуальным сетям. Обычно такая операция выполняется администратором на уровне программного интерфейса путем перемещения гра­фических символов портов на графические символы сетей.

Группировка МАС-адресов. При существовании в сети большого количества узлов этот способ требует выполнения большого количества ручных операций от администратора. Однако он оказывается более гибким при построении виртуальных сетей на основе нескольких коммутаторов, чем способ группирования портов.

MAC (media access control — управление доступом к среде, подуровень MAC) — второй из двух подуровней, на которые делят уровень канала стандарты IEEE 802. Обеспечивает доступ к сети и обна­ружение конфликтов.

Группирование МАС-адресов в сеть на каждом коммутаторе избавляет от необходимости их связи несколькими портами, однако требует выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети.

Использование меток в дополнительном поле кадра – стандарты IEEE 802.1 Q/p и фирменные решения.

Описанные выше два подхода основаны только на добавлении дополнительной информации к адресным таблицам моста и не используют

возможности встраивания информации о принадлежности кадра к виртуальной сети в передаваемый кадр. Остальные подходы используют имеющиеся или дополнительные поля кадра для сохранения информации и принадлежности кадра при его перемещениях между коммутаторами сети. При этом нет необходимости запоминать в каждом коммутаторе принадлежность всех МАС-адресов интерсети виртуальным сетям.

Если используется дополнительное поле с пометкой о номере виртуальной сети, то оно используется только тогда, когда кадр передается от коммутатора к коммутатору, а при передаче кадра конечному узлу оно удаляется. При этом модифицируется протокол взаимодействия «коммутатор — коммутатор», а программное и аппаратное обеспечение конечных узлов остается неизменным. Примеров таких фирменных протоколов много, но общий недостаток у них один - они не поддерживаются другими производителями.

Новый стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети

Стандарты IEEE (institute electrical and electronics engineers - Институт инженеров по электротехнике и радиоэлектронике ИИЭР США) — стандарты на электронную технику, включая компьютерные сети и их элементы. Например, IEEE 802 регламентирует техно­логию сетей Ethernet.

Спецификация IEEE 802.1р, создаваемая в рамках процесса стан­дартизации 802.1Q, определяет метод передачи информации о приори­тете сетевого трафика. Стандарт 802.1р специфицирует алгоритм из­менения порядка расположения пакетов в очередях, с помощью которого обеспечивается своевременная доставка чувствительного к временным задержкам трафика.

Использование спецификации LANE. Существует два способа построения виртуальных сетей, которые используют уже имеющиеся поля для маркировки принадлежности кадра виртуальной сети, одна­ко эти поля принадлежат не кадрам канальных протоколов, а ячейкам технологии ATM или пакетам сетевого уровня.

ATM (asynchronous transfer mode) — это стандарт и сервис, ко­торый способен передавать данные, голос и видеоизображение одно­временно, используя один и тот же канал связи.

Спецификация LANE вводит такое понятие, как эмулируемая ло­кальная сеть — ELAN.

Эмуляция — точное выполнение вычислительной машиной программы или ее части, записанной в системе команд другой ЭВМ. При этом на обеих ЭВМ при одинаковых входных данных результаты должны быть одинаковыми.

Эмуляция при этом осуществляется с помощью эмуляторов специальных программ или микросхем, выполняющих каждую команду исходной программы посредством одной или нескольких команд ЭВМ, на которой происходит эмуляция. С помощью программной эмуляции можно имитировать отсутствующие в вычислительной системе аппаратные средства.

Таким образом, понятие эмулированных ЛВС имеет много общего с понятием виртуальной сети:

■ ELAN строится в сети, состоящей из коммутаторов (коммутаторов ATM);

■ связь между узлами одной и той же ELAN осуществляется на основе МАС-адресов без привлечения сетевого протокола;

■ трафик, генерируемый каким-либо узлом определенной ELAN, даже широковещательный, не выходит за пределы данной ELAN.

Кадры различных ELAN не смешиваются друг с другом внутри сети коммутаторов ATM, так как они передаются по различным виртуаль­ным соединениям, и номер виртуального соединения является тем же ярлыком, который помечает кадр определенной VLAN в стандарте 802.1Q и аналогичных фирменных решениях.

Использование сетевого протокола. При использовании этого подхода коммутаторы должны для образования виртуальной сети по­нимать какой-либо сетевой протокол. Такие коммутаторы называют коммутаторами третьего уровня, так как они совмещают функции ком­мутации и маршрутизации. Каждая виртуальная сеть получает опре­деленный сетевой адрес — как правило, IP или IPX.

Сетевой адрес IP (IPX) — уникальный адрес, идентифициру­ющий узлы или компьютеры в сети, управляемой протоколом TCP/ IP (IPX/SPX). В сети, представляющей собой объединение несколь­ких подсетей, указывает информацию маршрутизации.

Тесная интеграция коммутации и маршрутизации очень удобна для построения виртуальных сетей, так как в этом случае не требуется введения дополнительных полей в кадры, к тому же администратор только однократно определяет сети, а не повторяет эту работу на ка­нальном и сетевом уровнях.

Принадлежность конечного узла к той или иной виртуальной сети в этом случае задается традиционным способом — с помощью задания сетевого адреса. Порты коммутатора также получают сетевые адреса, причем могут поддерживаться нестандартные для классических маршрутизаторов ситуации, когда один порт может иметь несколько сетевых адресов, если через него проходит трафик нескольких виртуаль­ных сетей, либо несколько портов имеют один и тот же адрес сети, если они обслуживают одну и ту же виртуальную сеть.

При передаче кадров в пределах одной и той же виртуальной сети, коммутаторы третьего уровня работают как классические коммутаторы второго уровня, а при необходимости передачи кадра из одной виртуальной сети в другую — как маршрутизаторы. Решение о маршрутизации обычно принимается традиционным способом — его делает конечный узел, когда видит на основании сетевых адресов источника и назначения, что кадр нужно отослать в другую сеть.

Однако использование сетевого протокола для построения виртуальных сетей ограничивает область их применения только ком­мутаторами третьего уровня и узлами, поддерживающими сетевой протокол. Обычные коммутаторы не смогут поддерживать такие вир­туальные сети, и это является большим недостатком. Невозможно так­же использовать сети на основе немаршрутизируемых протоколов.

По этим причинам наиболее гибкий подход — комбинирование виртуальных сетей на основе стандартов 802.1 Q/p с последующим их отображением на «традиционные сети» в коммутаторах третьего уров­ня или маршрутизаторах. Для этого коммутаторы третьего уровня и маршрутизаторы должны понимать метки стандарта 802.1 Q.


2.5. Корпоративные и виртуальные частные сети в органах казначейства РФ

Исходя из необходимости объединения автономно распределен­ных процессов обработки данных, формируемых и используемых ин­формационных ресурсов в единую структуру, территориальной разоб­щенности пользователей, минимизации финансовых затрат, а также возможности использования имеющихся технических средств, АС ФК базируется на объединении ЛВС в единую корпоративную сеть казна­чейской системы, которая является транспортной основой ЕИТКС для построения общего информационного пространства.

Корпоративная вычислительная сеть казначейской системы осу­ществляет объединение различных вычислительных платформ и по­зволяет интегрировать все организации и структурные подразделения, участвующие в управлении исполнением бюджета Российской Феде­рации.

Организация интегрированной корпоративной вычислительной сети с четко организованными информационными связями между структурными подразделениями и организациями, участвующим¹¹ в казначейском исполнении бюджета, повышает уровень управляемо­сти, адекватно отражает решение всех функциональных финансовых задач и позволяет сформировать полную, многосистемную картину состояния казначейской системы.

В настоящее время современный уровень развития сетевых тех-логий сделал возможным появление и широкое распространение виртуальных частных сетей (virtual private network — VPN), которые внедряются и в казначейской системе.

VPN (virtual private network) — это объединенные ЛВС, их сегментов или отдельных компьютеров в единую защищенную вирту­альную сеть на базе сетей общего пользования.

Переход от распределенной корпоративной сети на базе выделен­ных каналов к VPN позволяет существенно снизить эксплуатацион­ные расходы. Однако использование сетей общего пользования для организации VPN предъявляет дополнительные требования к обеспе­чению надежной защиты информационных ресурсов казначейских органов от несанкционированного доступа.

Основная задача организации VPN — обеспечение условий для создания распределенных государственных и иных баз данных на ос­нове гарантированного обеспечения целостности и достоверности хра­нимой информации.

Система защищенных виртуальных сетей позволяет создавать и эволюционно развивать виртуальные комплексы казначейских ор­ганов и всех участников бюджетного процесса, обеспечивает создание автоматизированных систем всех участников бюджетного процесса, способных эффективно и безопасно взаимодействовать между собой, гарантированно обеспечивая различные организации своевременной, непротиворечивой и достоверной информацией в соответствии с при­нятыми законами, нормативами и стандартами.

Задачи построения и эксплуатации виртуальных частных сетей подразделяются на две группы.

К задачам первой группы относятся:

■ построение ядра защищенной телекоммуникационной системы на основе стандартов распределенных баз данных, их взаимодействия и работы с распределенными данными (стандарты защищенных вир­туальных сетей);

■ эксплуатация и эволюционное развитие этого ядра. К задачам второй группы относятся:

■ создание прикладных распределенных информационных ком­плексов на основе обязательного применения стандартов защищенных виртуальных сетей;

■ эксплуатация и эволюционное развитие этих комплексов.

Решение задач по построению и эксплуатации виртуальных част­ых сетей, позволяющих повысить эффективность и надежность передачи информации между всеми участниками бюджетного процесса основывается на следующих принципах:

■ применение всеми участниками бюджетного процесса, организующими VPN, единых стандартов на средства защиты, использование электронно-цифровой подписи (ЭЦП), единых методов созданы распределенных баз данных, интерфейсов и правил информационно го обмена данными;

■ использование при создании VPN единой системы центров сертификации электронно-цифровой подписи;

■ признание всеми участниками VPN правовой силы электронных документов, подписанных электронной подписью, сертифицирован­ной единой системой центров сертификации ЭЦП, в том числе право­вой силы результатов арбитражных споров по электронному докумен­ту, проведенного этими центрами сертификации.

Технологическое функционирование VPN основывается на прин­ципах выделения и закрепления за VPN определенных IP-адресов и ор­ганизации защищенных криптотуннелей между этими адресами.

Криптотуннель — это механизм формирования зашифрованного канала данных для передачи конфиденциальной информации в VPN-сетях.

В настоящее время это центральная технология, обеспечивающая достаточный уровень защиты информации при ее передаче но вирту­альным частным сетям в казначейской системе.

Контроль IP-адресов в VPN осуществляется при помощи соответ­ствующих настроек межсетевых экранов, которые предназначены для защиты внутренней сети от несанкционированного вторжения извне.

Межсетевой экран (брандмауэр) — программный и (или) аппа­ратный барьер между двумя сетями, позволяющий устанавливать только авторизованные межсетевые соединения. Межсетевой экран защищает соединяемые с Интернетом корпоративные и VTW-сети от проникновения извне и исключает возможность доступа к конфи­денциальной информации.

Примерный набор функций защиты, обеспечиваемый межсетевы­ми экранами, включает:

■ фильтрацию сетевых пакетов в соответствии с задаваемыми администраторами правилами на основе IP-адресов отправителя и по­лучателя, времени и даты передачи пакета, разрешенных портов aбонентов (для TCP/UDP-пакетов), а также пар адресов абонентов, для которых разрешено соединение;

■ осуществление передачи IP-пакетов через комплекс по принципу «запрещено все, что не разрешено», что защищает от нападений, основанных на новых, незнакомых или неясных IP-сервисах, а также ошибок конфигурации;

■ возможность организации множественных криптотуннелей между защищаемыми участками сети (при наличии встроенных криптог­рафических средств);

■ трансляцию сетевых адресов отправителя и получателя в криптотуннеле, скрывающую внутренние адреса субъекта и объекта пере­дачи;

■ сокрытие прикладных функций защищаемой сети и используе­мых ими сетевых протоколов;

■ возможность сокрытия топологии сети и факта функциониро­вания комплекса как средства защиты с фильтрующими возможнос­тями;

■ специфическую обработку IP-опций, способствующую предох­ранению от раскрытия топологии сети извне;

■ защиту каналов управления и мониторинга пограничных марш­рутизаторов, принадлежащих к сетевым ресурсам на принципе туннелирования этих каналов из защищенных областей;

■ учет и регистрацию всех активных действий администраторов и различных параметров работы абонентов;

■ функционирование комплекса с использованием собственной защищенной операционной среды для исключения несанкционирован­ной модификации и внедрения разрушающих программных воздей­ствий;

■ автоматический контроль целостности исполняемых модулей;

■ возможность удаленного управления работой комплексов — мониторинг состояния, изменение правил фильтрации и др.

Организация криптотуннелей обеспечивается использованием криптографических средств шифрования информации — шифраторов трафика сети.

Таким образом, VPN-компоненты обеспечивают выполнение следующих функций: идентификацию и аутентификацию пользователей и сетевых объектов, управление политикой сетевой безопасности, контроль доступа в защищаемый периметр сети, защиту передаваемой по сети информации.

Идентификация пользователя — опознание пользователя \^по фамилии, паролю и т.д.) для определения его полномочий — права на доступ к данным и режима их использования.

При правильной организации сеть управляется администраторов из центрального офиса, там же создается ключевая информация. Администратор создает инфраструктуру сети согласно выбранной политике безопасности, управляет работой объектов сети, изменяя ее по необходимости. Это позволяет организовывать защищенные виртуальные сети гибкой конфигурации в пределах конечного числа компонентов, входящих в предлагаемые модификации компонентов VPN.

В общем случае компоненты VPN позволяют обеспечивать:

■ маршрутизацию защищенных пакетов при взаимодействии объектов сети между собой;

■ регистрацию и предоставление информации о состоянии объектов сети;

■ работу защищенных компьютеров локальной сети в WW от имени одного адреса;

■ туннелирование пакетов от заданных незащищенных компьютеров локальной сети;

■ фильтрацию открытых пакетов в соответствии с заданной политикой безопасности;

■ мониторинг и управление объектами сети.

Для выполнения указанных функций в состав программного об печения VPN, как правило, входят следующие модули: администратор, координатор, клиент.

Администратор — модуль, создающий инфраструктуру сети, осу- ществляющий мониторинг и управление объектами сети. Он также формирует первичную ключевую и парольную информацию для объектов сети, сертифицирует ключевую информацию, сформировав объектами сети.

Координатор — модуль, осуществляющий следующие функции:

■ маршрутизацию защищенных пакетов при взаимодействии объектов сети между собой;

■ регистрацию и предоставление информации о состоянии объектов сети;

■ работу защищенных компьютеров локальной сети в VPN от имени одного адреса;

■ туннелирование пакетов от заданных незащищенных компьютеров локальной сети;

■ фильтрацию открытых пакетов в соответствии с заданной политикой безопасности;

■ возможность работы защищенных компьютеров локальной сети через сетевые экраны других производителей.

Клиент — модуль, обеспечивающий защиту информации при ее передаче по открытым каналам сетей общего пользования, а также защиту от доступа к ресурсам компьютера из сетей общего пользования.


2.6. Защита информации в казначействе России


Проведение электронных платежей с использованием телекоммуникационной системы казначейских органов невозможно без организации надежной системы защиты пересылаемой по сети информации,

которая, как правило, организуется на двух уровнях.

Для организации защиты первого уровня, как правило, применяются

специализированные программы, предназначенные для предоставления пользователю возможности постановки ЭЦП на любой интересующий его файл посредством стандартного графического интерфейса среды MS Windows.

Программа устанавливается на рабочих станциях конечных пользователей. Каждый пользователь, обладающий правом постанов­ки ЭЦП, должен создать и зарегистрировать сертификат, на основа­нии которого ему будет позволено осуществлять процедуру постанов­ки ЭЦП. При этом происходит проверка подлинности его подписи.

Сертификат — цифровой документ, содержащий определенную, цифровым образом подписанную информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название доверенного центра сертификации и т.д.

Центр сертификации развертывается на платформе Windows Server с криптопровайдером на базе средств криптографической за­щиты информации (СКЗИ).

При успешной регистрации сертификат помещается в хранилище сертификатов и устанавливается как применяемый для создания ЭЦП-Затем производится генерация ключевой информации пользователя.

Для организации защиты второго уровня применяются средства криптографической защиты, в качестве которых используются программные продукты и аппаратные комплексы, имеющие сертификаты Службы специальной связи и информации (Спецсвязь России), что позволяет их внедрять для организации защиты каналов связи гос)" дарственных учреждений.

Одно из используемых средств криптографической защиты — программно-аппаратный комплекс шифрования передачи данных «Континент», основное назначение которого — защита информации, передаваемой по каналам связи VPN, а также защита сегментов VPN от проникновения извне.

Комплекс «Континент» предназначен для работы в сетях, использующих для передачи данных протоколы семейства TCP/IP, и обес­печивает:

■ шифрование и имитозащиту данных, передаваемых по откры­тым каналам связи между защищенными сегментами сети;

■ защиту внутренних сегментов сети от несанкционированного доступа извне;

■ скрытие внутренней структуры защищаемых сегментов сети;

■ централизованное управление защитой сети.

В состав комплекса «Континент» входят следующие компоненты:

- центр управления сетью криптографических шлюзов;

- криптографический шлюз «Континент-К»;

-агент управления сетью криптографических шлюзов;

-программа управления сетью криптографических шлюзов

Криптографический шлюз (далее — КШ) предназначен для крип­тографической защиты информации при ее передаче по открытым ка­налам сетей общего пользования и для защиты внутренних сегментов VPN от проникновения извне.

Криптошлюз — это устройство со специализированным про­граммным обеспечением или специализированное программное обес­печение, выполняющее функции защиты путем шифрования и де­шифрования передаваемого сообщения.

Криптографический шлюз обеспечивает:

■ прием и передачу IP-пакетов по протоколам семейства TCP/IP;

■ фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации;

■ криптографическое преобразование передаваемых и принимаемых IP-пакетов;

■ имитозащиту IP-пакетов, циркулирующих в VPN;

■ сжатие передаваемых IP-пакетов;

■ скрытие внутренней структуры защищаемого сегмента сети-

■ оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реально времени;

■ регистрацию событий, связанных с работой криптографического шлюза;

■ идентификацию и аутентификацию администратора при запус­ке криптографического шлюза;

■ контроль целостности программного обеспечения криптошлюза;

■ поддержку режима оперативного резервирования.

Криптографический шлюз в стандартной поставке оборудуется сетевыми интерфейсами (платами) стандарта Ethernet, а также пла­той «Электронный замок», обеспечивающей локальную идентифика­цию и аутентификацию администратора криптошлюза и контроль це­лостности программного обеспечения. Количество поддерживаемых сетевых интерфейсов ограничивается только возможностями опера­ционной системы.

Центр управления сетью криптографических шлюзов (ЦУС)

представляет собой программное обеспечение, устанавливаемое на одном из криптошлюзов комплекса. Основная функция ЦУС — цент­рализованное управление работой всех КШ, входящих в состав ком­плекса.

ЦУС обеспечивает:

■ аутентификацию криптошлюза, программы управления и агента;

■ контроль текущего состояния всех криптографических шлюзов комплекса;

■ хранение информации о состоянии комплекса;

■ восстановление информации о состоянии комплекса из резерв­ной копии;

■ централизованное управление криптографическими ключами;

■ взаимодействие с программой управления;

■ регистрацию событий, связанных с управлением криптошлюзом;

■ получение и временное хранение журналов регистрации КШ;

■ оповещение программы управления о событиях, требующих oперативного вмешательства администратора комплекса в режиме реального времени.

Программа управления сетью криптографических шлюзов (ПУ) устанавливается на одном или нескольких компьютерах сегмента, защищаемого КШ с установленным ЦУС. Программа управления предназначена для централизованного управления настройками и оперативного контроля состояния всех криптошлюзов, входящих в состав комплекса.

Программа управления обеспечивает:

■ установление защищенного соединения и обмен данными с ЦУС _и агентом;

■ получение от ЦУС и отображение информации о состоянии и на­стройках всех КШ, входящих в состав комплекса;

■ изменение настроек криптошлюза в диалоговом режиме и пере­дачу новых значений настроек ЦУС;

■ резервное копирование базы данных ЦУС;

■ получение от агента и отображение содержимого журналов ре­гистрации КШ комплекса;

■ принудительную смену криптографических ключей на любом из КШ комплекса.

Агент управления сетью криптографических шлюзов устанавли­вается на одном из компьютеров сегмента сети, защищаемого КШ с установленным центром управления сетью криптографических шлю­зов. Агент обеспечивает:

■ установление защищенного соединения и обмен данными с ЦУС и программой управления;

■ получение от ЦУС содержимого журналов регистрации в соот­ветствии с установленным расписанием;

■ хранение содержимого журналов регистрации;

■ передачу содержимого журналов регистрации программе управ­ления при получении от нее запроса;

■ получение от ЦУС оперативной информации о работе комплекса. Программно-аппаратный комплекс шифрования «Континент-К», кроме вышеуказанных модулей, также включает в свой состав компо­ненты, обеспечивающие удаленный доступ пользователей (клиентов) I ресурсам защищенной корпоративной сети с компьютеров, не вхо­дящих в защищаемые сегменты сети. На этих компьютерах (абонент­ских пунктах) устанавливается программный комплекс «Континент-АП», который для передачи данных соединяется с сервером доступа, проверяющим полномочия и разрешающим доступ к ресурсам защи­щенной сети.

Абонентский пункт — терминал, персональный компьютер или рабочая станция, подключенные к вычислительной сети или сети ком­пьютерной связи.

Абонентский пункт (АП) подключается к серверу доступа (СД) и позволяет осуществить:

■ поддержку динамического распределения IP-адресов — возможность удаленного доступа мобильных пользователей;

■ удаленный доступ к ресурсам защищаемой сети по шифрованному каналу;

■ доступ как по выделенным, так и по коммутируемым каналам связи;

■ связь с сетью, защищаемой «Континент-К», через сервер доступа практически без снижения производительности соединения;

■ идентификацию и аутентификацию пользователя.

АП может функционировать в одном из трех режимов:

■ режим ожидания команды пользователя. В данном режиме никакого преобразования трафика не происходит, и пользователь может взаимодействовать с любым внешним узлом;

■ инициализация соединения с сервером доступа и криптографическим шлюзом «Континент-К»;

■ активный режим функционирования. После установления соединения с СД и получения разрешения на доступ в защищаемую сеть весь трафик шифруется. При этом АП может либо запрещать все незащищенные соединения (например, с сетью Интернет), либо разрешать.

После запроса на соединение сервер доступа проводит идентификацию и аутентификацию удаленного пользователя, определяет его уровень доступа, устанавливаемый администратором «Континент-К». На основании этой информации осуществляется подключение абонента к ресурсам сети. СД позволяет осуществить практически неограниченное количество одновременных сеансов связи с удаленными пользователями. В системе используется аутентификация пользователей при помощи сертификатов открытых ключей.

Личный сертификат пользователя создается администратором безопасности с помощью программы управления сервера доступа. Личный сертификат пользователя экспортируется в файл в зашифрованном виде и выдается администратором СД пользователю. Также пользователю выдается сертификат сервера доступа. Имеется возможность создания запроса на получение сертификата и ключей посредством самого абонентского пункта с последующей выдачей сертификата администратором сервера доступа.

Связь между ЛВС УФК и АП клиента осуществляется по каналам связи сети Интернет. К сети Интернет ЛВС УФК подключена через криптографический шлюз, что обеспечивает сокрытие внутренней структуры защищаемого сегмента сети. При этом IP-адреса компьютеров УФК должны быть уникальными только в рамках ЛВС управления. Криптографический шлюз может содержать несколько сетевых интерфейсов, к которым можно подключить несколько независимых локальных сетей.

Криптографический шлюз осуществляет маршрутизацию проходящего через него трафика IP-пакетов, наличие дополнительного маршрутизатора в общем случае не требуется.

Также криптографический шлюз осуществляет обработку входящих и исходящих IP-пакетов: фильтрацию и криптографическое преобразование данных, передаваемых по открытым каналам связи.

Автоматическое управление криптографическим шлюзом осуществляет ЦУС, размещающийся на криптографическом шлюзе УФК.

Таким образом специалистами отделов обеспечения безопасности

информации и информационных технологий организуется надежная система защиты информации, передаваемой по внешним каналам связи УФК, удовлетворяющая всем требованиям Спецсвязи России, предъявляемым к системам такого уровня.


2.7. Принципы организации и обеспечению информационной безопасности в органах казначейства


В конце 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799 «Управление информационной безопасностью».

Документ содержит практические рекомендации но управлению информационной безопасностью для организаций, использующих ав­томатизированные системы. В соответствии с этим документом разра­батываются корпоративные правила совместного использования за­щищаемых ресурсов, и Служба безопасности, IT-отдел, руководство организации начинают работать согласно общему регламенту. В насто­ящее время этот стандарт поддерживается более чем в 27 странах мира.

В России нет руководящего документа, регламентирующего прак­тические правила управления информационной безопасностью. При этом ISO/IEC 17799 не противоречит ни одному из руководящих до­кументов Федеральной службы по техническому и экспортному конт­ролю (ФСТЭК) России и Службы специальной связи и информации при Федеральной службе охраны Российской Федерации (Спецсвязь России). Таким образом, за основу организации системы защиты в АС ФК берется международный стандарт менеджмента безопасности, ис­пользование которого позволяет разработать корпоративные правила и политики безопасности в автоматизированных системах казначейс­ких органов и внедрить имеющийся международный опыт.

Система зашиты информации в АС ФК - это совокупность мер и способов защиты циркулирующей в АС информации и поддержи­вающих ее подсистем от случайных или преднамеренных воздействии естественного или искусственного характера, влекущих за собой на­несение ущерба владельцам или пользователям информации и под­держивающих подсистем.

Основная цель организации защиты информации в АС ФК — пре­дотвращение ущерба национальным и экономическим интересам Российской Федерации, наносимого в результате хищения, разглашений' утечки, утраты или искажения информации, циркулирующей в орга­нах Казначейства России.

К другим целям системы защиты информации относятся:

■ обеспечение сохранности сведений, составляющих государствен­ную тайну, и сведений конфиденциального характера;

■ эффективное управление, обеспечение сохранности и защита государственных информационных ресурсов;

■ обеспечение правового режима использования документов, ин­формационных массивов, баз данных, обеспечение полноты, целост­ности, достоверности информации в системах обработки.

Основные задачи системы защиты информации органов Казначей­ства России:

■ оптимальное с экономической точки зрения отнесение инфор­мации, циркулирующей в органах Казначейства России, к категории

ограниченного доступа;

■ создание необходимых условий для надежного и безопасного функционирования органов Казначейства России, а также разработка Механизмов оперативного реагирования на угрозы объектам обеспе­чения информационной безопасности;

■ внедрение защищенных систем обработки, хранения и передачи Информации, а также безопасных автоматизированных систем для обеспечения деятельности органов Казначейства России:

■ предотвращение утечки информации по техническим каналам;

■ предотвращение несанкционированного уничтожения, искаже­ния, копирования, блокирования информации в АС ФК;

■ разработка и принятие в пределах компетенции организациионно-распорядительных документов по информационной безопасности органов Казначейства России.

Система защиты информации должна действовать непрерывно, обеспечивая безопасность защищаемых сведений, циркулирующих в органах Казначейства России, независимо от методов и средств, используемых при их обработке, хранении или передаче. Комплекс за­щитных мер должен быть направлен как на предупреждение угроз бе­зопасности информации, так и на обеспечение возможности выявления и пресечения противоправных устремлений в отношении охраняемых сведений.

В организационной структуре системы защиты информации ор­ганов Казначейства России общее руководство осуществляет руководитель Казначейства России. Ответственность за организацию работ по защите информации в органах Казначейства России несут их руко­водители, а в структурных подразделениях — их начальники/

Организационная структура системы защиты информации состо­ит из коллегиальных органов, подразделений и специалистов по обес­печению информационной безопасности органов Казначейства России и включает в себя:

■ специализированные подразделения органов Казначейства России, к которым относятся отдел обеспечения безопасности информа­ции Казначейства России и отделы (сектора) обеспечения безопасно­сти информации органов Казначейства России;

■ межрегиональные (технические) центры защиты информации в составе ряда УФК;

■ постоянно действующая техническая комиссия по защите ин­формации в УФК;

■ работников, отвечающих за обеспечение безопасности инфор­мации (при необходимости отделы) в ОФК;

■ работников подразделений органов Казначейства России, назна­ченных ответственными за соблюдение требований информационной безопасности на рабочих местах;

■ учебные центры повышения квалификации специалистов п| защите информации;

■ подразделения охраны органов Казначейства России.

При этом учитывается, что АС ФК обладает следующими основ­ными признаками:

■ наличие информации различной степени конфиденциальности;

■ необходимость криптографической защиты информации различ­ной степени конфиденциальности при передаче данных между различ­ными подразделениями или уровнями управления;

■ иерархичность полномочий субъектов доступа и программ к АРМ специалистов, каналам связи, информационным ресурсам необходимость оперативного изменения этих полномочий;

■ организация обработки финансовой информации в интерактивном (диалоговом) режиме, в режиме разделения времени между пользователями и в режиме реального времени.

■ обязательное управление потоками информации как в локальных вычислительных сетях, так и при передаче данных на большие расстояния;

■ необходимость регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать;

■ обязательное обеспечение целостности программного обеспечения и информации в автоматизированных системах;

■ наличие средств восстановления системы защиты информации:

■ обязательный учет машинных носителей информации;

■ учет возможности проникновения на охраняемый объект представителей информаторов, связанных с преступными группировками, зарубежными спецподразделениями;

■ наличие физической охраны средств вычислительной техники и машинных носителей информации.

Режим разделения времени — режим функционирования процессора, при котором процессорное время последовательно предоставляется для решения различных задач.

Режим реального времени — режим обработки данных, при котором обеспечивается взаимодействие вычислительной системы с внешними по отношению к ней процессами в темпе, соизмеримом со скоростью протекания этих процессов.

Построение системы обеспечения защиты информации в АС ФК и ее функционирование должны осуществляться в соответствии со следующими основными принципами.

Законность предполагает осуществление защитных мероприятие

и разработку системы безопасности информации в соответствии с действующим законодательством в области информации, информатизации и защиты информации и других нормативных актов по безопасности информации. Пользователи и обслуживающий персонал АС ФК должны знать об ответственности за правонарушения в области АС.

Системность означает, что при создании системы защиты должны учитываться все слабые и наиболее уязвимые места АС ФК, а также характер, возможные объекты и направления атак на систему со стороны нарушителей, пути проникновения в распределенные системы и несанкционированный доступ к информации, а также возможности появления принципиально новых путей реализации угроз безопасности.

Комплексность предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

Непрерывность означает принятие соответствующих мер на всех этапах жизненного цикла АС ФК, начиная со стадии проектирования и на всех стадиях эксплуатации. При этом перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.

Преемственность и развитие предполагают постоянное совершенствование мер и средств защиты информации на основе преемственен организационных и технических решений, кадрового состава, анализа функционирования АС и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

Экономическая целесообразность означает, что уровень затрат на обеспечение безопасности информации и ценности информационных ресурсов должен соответствовать величине возможного ущерб от их разглашения, утраты, утечки, уничтожения и искажения (за исключением информации, содержащей сведения, составляющие госу­дарственную тайну).

Персональная ответственность предполагает возложение ответ­ственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соот­ветствии с этим принципом распределение прав и обязанностей со­трудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

Разделение и минимизация полномочий означает предоставле­ние пользователям минимальных прав доступа- в соответствии с про­изводственной необходимостью. Доступ к информации должен пре­доставляться только в том случае и объеме, в каком это необходимо сотруднику для выполнения его должностных обязанностей.

«Прозрачность» механизмов защиты означает, что защита не дол­жна обеспечиваться только за счет секретности структурной органи­зации и алгоритмов функционирования ее подсистем. Знание алгорит­мов работы системы защиты не должно давать возможность ее преодоления (даже авторам). Однако это не означает, что информа­ция о конкретной системе защиты может быть общедоступна.

Обязательность контроля предполагает обязательность и своев­ременность выявления и пресечения попыток нарушения установлен­ных правил обеспечения безопасности информации на основе исполь­зуемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств. Контроль должен осуществляться на основе применения средств опе­ративного контроля и регистрации и должен охватывать как несанк­ционированные, так и санкционированные действия пользователей.

Для достижения основной цели защиты информации и системы ее обработки система безопасности АС ФК должна обеспечивать ре­шение следующих задач:

- защита от вмешательства в процесс функционирования АС ФК посторонних лиц, т.е. возможность использования АС и доступ к ее ресурс должны иметь только зарегистрированные пользователи;

- разграничение доступа зарегистрированных пользователей к аппарат­ным, программным и информационным ресурсам АС ФК (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям АС ФК для выполнения своих служебных обязанностей);

- защита от несанкционированного доступа:

■ к информации, циркулирующей в АС ФК;

■ средствам вычислительной техники АС ФК;

■ аппаратным, программным и криптографическим средствам защиты,

используемым в АС ФК;

- регистрация действий пользователей при использовании защищаемых ресурсов АС ФК в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений безопасности;

- контроль целостности программ и их восстановление в случае нарушения;

- защита от несанкционированной модификации используемого в АС ФК программного обеспечения;

- защита АС ФК от внедрения несанкционированных программ, включая компьютерные вирусы;

- защита информации ограниченного доступа, хранимой, обрабатывае­мой и передаваемой по каналам связи, от несанкционированного раз­глашения или искажения и ее восстановление;

- своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересован­ным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции; - создание условий для минимизации и локализации наносимого ущерба неправомерными действиями злоумышленников, ослабление негатив­ного влияния и ликвидация последствий нарушения безопасности информации

Организация и внедрение системы защиты информации в АС ФК включает пять основных организационных комплексных мероприятий

Создание в Казначействе России организационно-правовой "азы безопасности информации (нормативные документы, работа с персоналом, делопроизводство). Организационно-правовые мероприятия предусматривают создание и поддержание правовой базы бе­зопасности информации и разработку (введение в действие) норма­тивных и организационно-распорядительных документов, к которым относятся соответствующие положения, приказы и распоряжения, инструкции и функциональные обязанности сотрудников казначей­ских органов.

Выполнение организационно-технических мероприятий по за­щите информации ограниченного распространения от утечки по тех­ническим каналам предусматривает:

■ комплекс мер и соответствующих технических средств, ослаб­ляющих утечку речевой и сигнальной информации, — пассивная за­щита (защита);

■ комплекс мер и соответствующих технических средств, создающих помехи при съеме информации, — активная защита (противо­действие);

■ комплекс мер и соответствующих технических средств, позволяющих выявлять каналы утечки информации, — поиск (обнаружение).

Физическая охрана объектов информатизации (компонентов автоматизированных систем) включает:

■ организацию системы охранно-пропускного режима и системы контроля допуска на территорию казначейских органов;

■ введение дополнительных ограничений по доступу в помеще­ния, предназначенные для хранения закрытой информации (кодовые, электронные замки и электронные ключи, электронные карты допус­ка и т.д.);

■ визуальный и технический контроль контролируемой зоны объекта защиты;

■ применение систем охранной и пожарной сигнализации и т.д. Организация мероприятий по контролю функционирования средств и систем защиты информации ограниченного доступа после случайных или преднамеренных несанкционированных воздействий предусматривает:

■ разграничение допуска к информации ограниченного распро­странения;

■ разграничение допуска к программно-аппаратным средствам АСФК;

■ ведение учета ознакомления сотрудников с информационными ресурсами ограниченного распространения;

■ включение в функциональные обязанности сотрудников обяза­тельства о неразглашении и сохранности сведений ограниченного рас­пространения;

■ организация уничтожения информационных отходов (бумаж­ных, машинных носителей информации и т.д.);

■ оборудование служебных помещений сейфами, шкафами для хранения бумажных и машинных носителей информации и т.д.

Организация мероприятий технического контроля включает:

■ контроль за проведением технического обслуживания и ремон­та вычислительной техники;

■ проверки поступающего оборудования, предназначенного для обработки закрытой информации, на наличие специально внедренных закладных устройств;

■ инструментальный контроль технических средств на наличие побочных электромагнитных излучений и наводок;

■ оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи;

■ защита выделенных помещений при проведении закрытых (секретных) работ (переговоров), создание помех для затруднения съема информации;

■ постоянное обновление технических и программных средств защиты от несанкционированного доступа к информационным ресурсам.

Таким образом, организация создания системы защиты информации в казначейской системе включает в себя два взаимодополняющи направления:

■ разработка системы защиты информации (ее синтез);

■ оценка разработанной системы защиты информации путем анализа ее технических характеристик с целью установления, удовлетворяет ли система защиты информации комплексу требований к таким системам.

Второе направление является направлением классификации, которое в настоящее время решается практически исключительно экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.

Защита конфиденциальной информации от несанкционированного доступа и модификации призвана обеспечить решение одной из наиболее важных задач — защиту хранимой и обрабатываемой в вычислительной технике финансовой информации казначейской системы от всевозможных злоумышленных покушений, которые могут нанеси существенный экономический и другой материальный и нематериальный ущерб. Основная цель этого вида защиты — обеспечение конфиденциальности, целостности и доступности информации.

С точки зрения защиты информации несанкционированный доступ может иметь следующие последствия: утечка конфиденциальной обрабатываемой информации, а также ее искажение или разрушение в результате умышленного нарушения работоспособности АС ФК.

В части технической реализации защита от несанкционированного доступа в казначейских органах сводится к задаче разграничения функциональных полномочий и доступа к данным с целью не только использования информационных ресурсов, но и их модификации.

Защита информации в каналах связи направлена на предотвращение возможности несанкционированного доступа к конфиденциальной информации, циркулирующей по каналам связи различных видов между различными уровнями управления казначейской системы или внешними органами. Этот вид защиты преследует достижение тех же целей: обеспечение конфиденциальности и целостности информации. Наиболее эффективным средством защиты финансовой информации Ъ неконтролируемых каналах связи является применение криптографии и специальных связных протоколов.

Защита юридической значимости электронных документов оказывается необходимой при использовании систем и сетей для обработки, хранения и передачи информационных объектов, содержащих в себе приказы, платежные поручения и другие распорядительные, договорные, финансовые документы. Их общая особенность заключается в том, что в случае возникновения споров (в том числе и судебных) должна быть обеспечена возможность доказательства истинности факта того, что автор действительно фиксировал акт своего волеизъявления в отчуждаемом электронном документе. Для решения этой проблемы используются современные криптографические методы проверки подлинности информационных объектов, связанные с применением электронных подписей (цифровых подписей). На практике вопросы защиты значимости электронных документов решаются совместно с вопросами защиты автоматизированной системы казначейских органов.

Защита финансовой информации от утечки по каналам побочных электромагнитных излучений и наводок является важным аспектом защиты конфиденциальной и секретной информации в вычислительной технике от несанкционированного доступа со стороны посторонних лиц. Этот вид защиты направлен на предотвращение возможности утечки информативных электромагнитных сигналов за пределы охраняемой территории казначейских органов. При этом предполагается, что внутри охраняемой территории применяются эффективные режимные меры, исключающие возможность бесконтрольного использования специальной аппаратуры перехвата, регистрации и ото­бражения электромагнитных сигналов. Для защиты от побочных элект­ромагнитных излучений и наводок широко применяется экрани­рование помещений, предназначенных для размещения средств вычислительной техники, а также технические меры, позволяющие снизить интенсивность информативных излучений самого оборудова­ния и каналов связи.

В некоторых ответственных случаях может быть необходима до­полнительная проверка вычислительной техники на предмет возмож­ного выявления специальных закладных устройств финансового шпи­онажа, которые могут быть внедрены туда с целью регистрации или записи информативных излучений персонального компьютера, а так­же речевых и других несущих уязвимую информацию сигналов.

Защита от несанкционированного копирования и распростране­ния программ и ценной компьютерной информации — самостоятель­ный вид защиты прав, ориентированный на проблему охраны интел­лектуальной собственности, воплощенной в виде программ и ценных баз данных. Такая защита обычно осуществляется с помощью специ­альных программных средств, подвергающих защищаемые програм­мы и базы данных предварительной обработке (вставка парольной за­щиты, проверок по обращениям к устройствам хранения ключа и ключевым дискетам, блокировка отладочных прерываний, проверка рабочего персонального компьютера по его уникальным характерис­тикам и т.д.), которая приводит исполнимый код защищаемой програм­мы и базы данных в состояние, препятствующее его выполнению на «чужих» ПК.

Общим свойством средств защиты программ и баз данных в ор­ганах Казначейства России от несанкционированного копирования является ограниченная стойкость такой защиты, так как в конечном случае исполнимый код программы поступает на выполнение в цент­ральный процессор в открытом виде и может быть прослежен с помо­щью аппаратных отладчиков. Однако это обстоятельство не снижает потребительских свойств средств защиты до минимума, так как основ­ная цель их применения — в максимальной степени затруднить хотя бы временно возможность несанкционированного копирования ценной информации,

Защита информации от компьютерных вирусов и других опас­ных воздействий по каналам распространения программ и файлов. АС ФК включает в себя сотни рабочих станций, десятки серверов, активное и пассивное телекоммуникационное оборудование и имеет сложную структуру. Стоимость обслуживания АС ФК постоянно рас­тет с ростом числа подключенных рабочих станций. С ростом количе­ства элементов сети АС ФК растет и вероятность возможности ее за­ражения компьютерными вирусами. Поэтому если не предпринимать адекватных мер по организации антивирусной защиты, стоимость лик­видации последствий вирусных воздействий в таких сетях может пре­высить все допустимые, разумные пределы.

Подсистема антивирусной защиты должна обеспечивать выпол­нение следующих функций:

■ централизованное управление сканированием, удалением виру-сок и протоколированием вирусной активности на АРМ;

■ возможность управления несколькими серверами с одной кон­соли управления;

■ централизованную автоматическую инсталляцию клиентского программного обеспечения на АРМ пользователей;

■ централизованное автоматическое обновление вирусных сигна­тур на АРМ пользователей;

■ возможность обнаружения и удаления вирусов в режиме реаль­ного времени при работе с информационными ресурсами серверов;

■ возможность выявления вирусной активности в режиме реаль­ного времени при осуществлении связи с сетями общего пользования;

■ ведение журналов вирусной активности в АС ФК;

■ автоматическое уведомление администратора по электронной почте о вирусной активности в АС ФК;

■ возможность объединения зарегистрированных пользователей в антивирусные группы с возможностью управления группами АРМ как одним доменом;

■ взаимодействие с межсетевыми экранами.