![]() Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Программный комплекс VIPNET
Назначение: технология ViPNet предназначена для создания целостной системы доверительных отношений и безопасного функционирования технических средств и информационных ресурсов корпоративной сети, взаимодействующей с внешними техническими средствами и информационными ресурсами. Способ: создание в телекоммуникационной инфраструктуре корпоративной сети интегрированной виртуальной защищенной среды, включающей следующие компоненты: -Распределенную систему межсетевых и персональных сетевых экранов, защищающую информационные ресурсы и пользователей как от внешних, так и внутренних сетевых атак. -Распределенную систему межсетевого и персонального шифрования трафика любых приложений и операционной системы, гарантирующую целостность и конфиденциальность информации, как на внешних, так и внутренних коммуникациях, и обеспечивающую разграничение доступа к техническим и информационным ресурсам. -Систему электронной цифровой подписи и шифрования информации на прикладном уровне, обеспечивающую достоверность и юридическую значимость документов и совершаемых действий. -Систему прозрачного для программных приложений шифрования данных при сохранении указанных данных в процессе работы этих приложений на сетевых и локальных жестких дисках, других носителях, обеспечивающую целостность и недоступность информации для несанкционированного использования в процессе ее хранения. -Систему контроля и управления связями, правами и полномочиями защищенных объектов корпоративной сети, обеспечивающую автоматизированное управление политиками безопасности в корпоративной сети. -Комбинированную систему управления ключами, включающую подсистему асимметричного распределения ключей (PKI), обеспечивающую информационную независимость пользователей в рамках заданных политик безопасности от центральной администрации, и подсистему распределения симметричных ключей, гарантирующую высокую надежность и безопасность всех элементов централизованного управления средствами ViPNet. -Систему, обеспечивающую защищенное взаимодействие между разными виртуальными частными сетями ViPNet путем взаимного согласования между администрациями сетей допустимых межобъектных связей и политик безопасности. Основные функции: - Быстрое развертывание корпоративных защищенных решений на базе имеющихся у корпорации локальных сетей, доступных ресурсов глобальных (включая Интернет) и ведомственных телекоммуникационных сетей, телефонных и выделенных каналов связи, средств стационарной, спутниковой и мобильной радиосвязи и др. - Создание внутри распределенной корпоративной сети информационно-независимых виртуальных защищенных контуров, включающих как отдельные компьютеры, так и сегменты сетей, для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач. -Защита локальных сетей в целом, их сегментов или отдельных компьютеров и другого оборудования от несанкционированного доступа и различных атак, как из внешних, так и из внутренних сетей. -Поддержка защищенной работы мобильных и удаленных пользователей корпоративной сети. -Организацию безопасного для локальных сетей подключения отдельных рабочих станций этих сетей к открытым ресурсам сети Интернет и исключение риска атаки из Интернет на всю локальную сеть через подключенные к открытым ресурсам компьютеры локальной сети. -Защита (конфиденциальность, подлинность и целостность) любого вида трафика, передаваемого между любыми компонентами сети: рабочими станциями (мобильная, удаленная, локальная), серверами, сетевыми устройствами и узлами. При этом становится недоступной для перехвата из сети, в том числе для участников VPN, и любая парольная информация различных приложений, баз данных, почтовых серверов и др., что существенно повышает безопасность этих прикладных систем. -Защита управляющего трафика для систем и средств удаленного управления объектами сети: маршрутизаторами, межсетевыми экранами, серверами и пр., а также самих средств удаленного управления от возможных атак из глобальной или корпоративной сети. -Контроль доступа к любому узлу (рабочая станция, сервер, маршрутизатор и т.д.) и сегменту сети (локальная сеть, сегмент локальной сети, группа сегментов сети и т.д.), включая фильтрацию трафика для каждого узла отдельно с помощью набора стандартных и индивидуальных настроек. -Защита от НСД информационных ресурсов корпоративной сети, хранимых на рабочих станциях (мобильных, удаленных и локальных), серверах (WWW, FTP, SMTP, SQL, файл-серверах и т.д.) и других хранилищах группового доступа. -Организация безопасной работы участников VPN с совместным информационным групповым и/или корпоративным информационным ресурсом. -Аутентификация пользователей и сетевых объектов VPN как на основе использования системы симметричных ключей, так и на основе использования инфраструктуры открытых ключей (PKI) и сертификатов стандарта X.509. -Оперативное управление распределенной VPN-сетью (включая систему распределенных сетевых экранов) и политикой информационной безопасности на сети из одного центра с возможностью делегирования части полномочий локальным администраторам. -Исключение возможности использования недекларированных возможностей операционных систем и приложений для совершения информационных атак, кражи секретных ключей и сетевых паролей. Состав программного комплекса: Компоненты: -ViPNet-драйвер, взаимодействующий непосредственно с драйвером сетевого интерфейса и позволяющий обеспечить независимость программы от операционной системы и ее приложений. Драйвер контролирует весь IP-трафик, поступающий и исходящий из компьютера, и выполняет его фильтрацию по многочисленным параметрам и при необходимости - шифрование и инкапсуляцию. -Криптографическое ядро " Домен-К", обеспечивающее шифрование всего IP-трафика между компьютерами по алгоритму, рекомендованному ГОСТ 28147-89, а также, при необходимости, по другим алгоритмам (DES, 3DES, RC6). Одновременно производится инкапсуляция всех типов IP-пакетов в единый тип UDP-формата, что полностью скрывает структуру информационного обмена. Модули: ViPNet [Администратор] - создает логическую инфраструктуру виртуальной сети, определяет политики безопасности в ней, осуществляет мониторинг и управление объектами сети. Формирует симметричную ключевую информацию и первичную парольную информацию для объектов сети, выпускает сертификаты открытых ключей для объектов сети. Включает в себя программы: -Центр Управления Сетью (ЦУС) - является регистрационным центром и предназначен для конфигурации и управления виртуальной сетью, решает следующие основные задачи. -Задает узлы сети, группы пользователей и пользователей в них. -Задает допустимые связи между группами пользователей и, соответственно, между узлами, что определяет наличие необходимых ключей разного уровня на узлах и содержимое адресных книг программ управления виртуальной средой и прикладных программ ViPNet. -Определяет типовые политики безопасности и распределение допустимых полномочий пользователей и локальных администраторов на конкретных узлах по изменению политик безопасности для этих узлов. -Определяет возможность доступа конкретных компьютеров локальной сети к открытым ресурсам Интернет и других внешних сетей. При этом специальная технология обеспечивает во время доступа во внешнюю сеть блокировку любого трафика этих компьютеров со всеми ресурсами локальной сети и объектами виртуальной сети. -В соответствии с заданными связями и политиками безопасности формирует соответствующие справочники доступа для узлов и справочники допустимых связей для Ключевого центра. -Обеспечивает автоматическую защищенную доставку и контроль доставки на развернутые узлы измененных справочников доступа, ключевой информации из КЦ (симметричные ключи, сертификаты пользователей, списки сертификатов, выведенных из действия, сертификаты ключевых центров других сетей ViPNet и др.). -Обеспечивает обмен с ЦУСами других виртуальных ViPNet-сетей списками объектов своих сетей, которые должны взаимодействовать между собой. Производит взаимное согласование с этими ЦУСами допустимых межсетевых связей между объектами сетей. Обеспечивает обмен корневыми сертификатами этих сетей, списками сертификатов, выведенных из действия. -Осуществляет автоматическое обновление программного обеспечения ViPNet на объектах сети в удаленном режиме. -Обеспечивает удаленный просмотр и анализ журналов событий для компонент ViPNet [Клиент] и ViPNet [Координатор], контроль успешности высланных ЦУСом обновлений ключей, справочников и программного обеспечения. -Ключевой Центр (КЦ) - предназначен для обеспечения ключевой информацией всех участников VPN и выполнения функций удостоверяющего центра. При этом первичные клиентские ключевые наборы могут быть записаны на дискеты, смарт-карты, touch memory, e-token и прочее для передачи участникам VPN. Последующее обновление ключевой информации осуществляется автоматически по защищенным каналам VPN. Функции КЦ: -формирование и автоматическое обновление через ЦУС симметричной ключевой информации и первичной парольной информации для объектов и пользователей сети; -выполнение функций удостоверяющего центра сертификатов цифровых подписей. Для установки ViPNet [Администратор] необходим IBM-совместимый компьютер с операционной системой Windows 95/98/Me/NT/2000/XP и не менее 100 Мбайт свободного места на жестком диске. Характеристики компьютера определяются размерностью сети. ViPNet[Координатор] - выполняет маршрутизацию почтовых и управляющих защищенных сообщений при взаимодействии объектов сети между собой и ViPNet [Администратором]. -в реальном времени осуществляет регистрацию и предоставление информации о состоянии объектов сети, их местоположении, значении их IP-адресов и др.; -обеспечивает работу защищенных компьютеров локальной сети в VPN от имени одного адреса (функция proxy); -осуществляет туннелирование пакетов от обслуживаемой ViPNet [Координатором] группы незащищенных компьютеров локальной сети для передачи трафика от них к другим объектам VPN в зашифрованном виде по открытым каналам Интернет/Интранет; -фильтрует трафик от источников, не входящих в состав VPN, в соответствии с заданной политикой безопасности (функция межсетевого экрана); -обеспечивает возможность работы защищенных по технологии ViPNet компьютеров локальной сети через сетевые экраны и прокси-сервера других производителей. Подсистемы: -Сервер IP-адресов - обеспечивает работу с динамическими IP-адресами, ведет в реальном времени базу IP-адресов всех подключенных к VPN в данный момент времени клиентов (рабочих станций, серверов, мобильных и удаленных пользователей и т.д.). -Почтовый сервер - обеспечивает маршрутизацию почтовых конвертов, а также управляющих сообщений ЦУСа при взаимодействии объектов сети между собой. -Proxy-сервер защищенных соединений - обеспечивает работу абонентских пунктов защищенной сети от имени одного адреса. -Сервер-туннель -позволяет организовать защиту трафика между локальными сетями, и используется тогда, когда нет необходимости разграничения доступа внутри каждой из локальных сетей, входящих в виртуальную сеть. Позволяет также зашифровать трафик между группой незащищенных компьютеров одной локальной сети и группой незащищенных компьютеров другой локальной сети, в том случае, когда не требуется защищать трафик от всех компьютеров локальной сети для передачи его по открытой глобальной сети; -обеспечивает туннелирование всего IP-трафика между защищаемыми сетями в защищенное соединение между ViPNet [Координаторами] по UDP-протоколу; -позволяет обеспечить защищенное управление маршрутизаторами сети (Cisco и др.) за счет использования технологии обратного туннеля. -Межсетевой экран - обеспечивает фильтрацию IP-трафика от всех источников вне VPN и источников, трафик от которых туннелируется, в соответствии с заданной политикой защиты; при наличии нескольких сетевых интерфейсов позволяет по каждому из них определить собственный набор правил фильтрации, что позволяет использовать ViPNet [Координатор] как мультиинтерфейсный сетевой экран для разделения локальной сети на несколько сегментов с разными режимами безопасности. - Сервер " открытый Интернет" - в этом режиме ViPNet [Координатор] устанавливается в точке присоединения локальной сети к Интернет и обеспечивает фильтрацию и туннелирование (шифрование) открытого трафика при доставке его к компьютеру локальной сети с установленной на нем компонентой ViPNet[Клиент]. В результате, потенциально " опасный" открытый трафик, равно как и работающий с ним компьютер, будут " изолированы" от остальных компьютеров локальной сети. Функциональность ViPNet [Координатора] определяется Центром управления сетью и формируемыми им справочниками и маршрутными таблицами. В виртуальной сети может быть установлено множество ViPNet [Координаторов], взаимодействующих между собой. При этом может быть организовано их взаимное резервирование для повышения надежности развернутой VPN-сети. Для установки ViPNet [Координатора] необходим IBM-совместимый компьютер с операционной системой Windows NT/2000/XP или Linux, а также не менее 100 Мбайт свободного места на жестком диске. Характеристики компьютера определяются размерностью сети и производительностью каналов связи. ViPNet[Клиент]- обеспечивает защиту информации при ее передаче в сеть, а также защиту от доступа к ресурсам компьютера и атак на него из локальных и глобальных сетей. При этом ViPNet [Клиент] может быть установлен как на рабочую станцию (мобильную, удаленную, локальную), так и на всевозможные типы серверов (баз данных, файл-серверов, WWW, FTP, SMTP, SQL и пр.) с целью обеспечения безопасных режимов их использования. Подсистемы: -Персональный межсетевой экран - позволяет защитить компьютер от попыток несанкционированного доступа как из глобальной, так и из локальной сети: -управлять доступом к данным компьютера из локальной или глобальной сети; -определять адреса злоумышленников, пытающихся получить доступ к информации в компьютере; -обеспечивать режим установления соединений с другими открытыми узлами локальной или глобальной сети только по инициативе пользователя, при этом компьютер пользователя остается " невидимым" для открытых узлов локальной и глобальной сетей (технология Stealth), что исключает возможность запуска по инициативе извне всевозможных программ " шпионов"; -формировать " черные" и " белые" списки узлов открытой сети, соединение с которыми соответственно " запрещено" или " разрешено"; -осуществлять фильтрацию трафика по типам сервисов для данного адреса открытой сети или диапазона адресов, что позволяет в случае необходимости ограничить использование " опасных" сервисов на " сомнительных" узлах открытой сети; -осуществлять фильтрацию трафика по типам сервисов и протоколов для связанных с данным узлом других защищенных узлов; -контролировать активность сетевых приложений на данном компьютере, где установлен ViPNet [Клиент], что позволяет вовремя обнаружить и заблокировать активность несанкционированно установленных и запущенных программ " шпионов", которые могут передавать злоумышленникам сведения об информации, обрабатываемой на данном компьютере (пароли доступа, данные о кредитных картах, идентификаторы для доступа в корпоративные базы данных и др.). Подсистема установления защищенных соединений между компьютерами, оснащенными ViPNet[Клиентом] позволяет: -шифровать IP-пакеты с добавлением в них информации для обеспечения целостности, контроля времени, идентификации (авторизации) и скрытия первоначальной структуры пакета; -блокировать шифрованные пакеты при нарушении их целостности, превышении допустимой разницы между временем отправки и текущим временем (защита от переповторов) или при невозможности аутентифицировать пакет; -организовать схему защищенного использования всевозможных Web-приложений, в том числе Web-trading, Web-ordering, Web-хостинга, Web-вещания и т.д., с доступом к Web-платформе, на которой установлен ViPNet [Клиент], только определенному списку участников VPN; - защитить и дополнительно авторизовать все соединения между локальными, мобильными и удаленными пользователями, оснащенными ViPNet [Клиентом], и корпоративными серверами приложений, баз данных, SQL-серверами, также оснащенными ViPNet [Клиентом]; - использовать недорогие и общедоступные сетевые ресурсы открытой сети для передачи конфиденциальной информации. “Деловая почта” позволяет: -передавать электронные сообщения по открытым каналам связи с защитой на всем маршруте следования от отправителя до получателя, при этом в качестве открытого канала могут быть использованы стандартные сервера SMTP/POP3; -одновременно с самим сообщением защитить прикрепленные к нему файлы; -организовать по установленным правилам защищенный автопроцессинг стандартных документов, " рождаемых" другими приложениями и системами управления бизнесом (бухгалтерскими, банковскими, управленческими и пр.); -осуществлять поиск документа в почтовой базе документов по множеству параметров (отправитель, получатель, тема, дата, период, контекст и т.п.); -подтверждать личность отправителя, используя электронную подпись, встроенную в общую систему безопасности; -передать сообщение только тем получателям, для которых оно предназначалось, а также при необходимости автоматически отправить копии сообщений на заданные в ЦУСе узлы; -подтвердить получение и использование сообщений, а также дату, время получения и личности получателей; -вести учетную нумерацию сообщений. Для установки ViPNet [Клиента] необходим IBM-совместимый компьютер с операционной системой Windows 95/98/ME/NT/2000/XP c модемом или сетевой картой и не менее 20 Мбайт свободного места на жестком диске. Для того чтобы компьютеры, включенные в виртуальную защищенную сеть, увидели друг друга в глобальной сети, на одном или нескольких компьютерах, имеющих постоянный IP-адрес, должны быть установлены программы ViPNet [Координатор]. Каждый компьютер с ViPNet [Клиентом] будет посылать на ViPNet [Координатор] информацию о своем включении и об изменении IP-адреса, получать с него информацию о других связанных с ним компьютерах. Если ViPNet [Координаторов] несколько, то они обмениваются между собой необходимой информацией о подключении и отключении абонентов, а также информацией о подключении/отключении друг друга, осуществляют взаимное резервирование. Технические характеристики комплекса: - Количество объектов, которое может быть зарегистрировано в одной сети, практически не ограничено (до 65000 координаторов, до 65000 абонентских узлов на одном координаторе). -ПО функционирует в операционных средах Windows 95/98/ME/NT/2000/XP, Linux. -Производительность работы Драйвера защиты трафика в зависимости от операционной системы и мощности компьютера - от 6 до 32 Мбит/сек. -Для разгрузки процессоров серверов сети и увеличения пропускной способности до 60-96 Мбит/сек в них может быть установлена PCI-плата ViPNet-Turbo 100.
19.2. Комплексные решения компании “Сигнал-Ком” Продукция компании " Сигнал-КОМ" включает широкий спектр программно-аппаратных и инструментальных средств для разработки защищенных информационных систем и создания VPN (Virtual Private Network): -сертифицированные реализации алгоритма ЭЦП, соответствующие Федеральному закону " Об электронной цифровой подписи"; -криптографические библиотеки, поддерживающие российские и международные криптографические стандарты; -Удостоверяющий Центр для администрирования одноранговых и иерархических систем с открытым распределением криптографических ключей на базе цифровых сертификатов X.509; -программные комплексы для организации защищенных систем электронного документооборота на базе Web-приложений и электронной почты; -межсетевые экраны с функциями криптографической защиты трафика на базе протоколов SOCKS, SSL/TLS, IPSec. Основным компонентом всех комплексных (специализированных) решений фирмы является библиотека криптографических преобразований " Крипто-КОМ 3.0". Она не поставляется в виде конечного самостоятельного продукта, а используется в качестве сертифицированного криптоядра, встроенного в высокоуровневые криптографические библиотеки (" Message-PRO", " SSL-PRO", " PKI-PRO") и прикладные программные средства защиты информации (" Inter-PRO", " Mail-PRO", " Notary-PRO", " Office-PRO" и др.). Крипто-КОМ 3.0 - средство криптографической защиты информации Средство криптографической защиты информации (СКЗИ) " Крипто-КОМ 3.0" предназначено для обеспечения гарантированной защиты информации при её хранении, обработке и передаче по открытым каналам связи. СКЗИ " Крипто-КОМ 3.0" имеет сертификаты ФАПСИ СФ/124-0476 и СФ/124-0477 от 10.06.01, удостоверяющие, что СКЗИ соответствует требованиям российских государственных стандартов в области криптографической защиты информации ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, требованиям ФАПСИ к стойкости СКЗИ и может использоваться для обеспечения безопасности информации уровня КС1 и КС2, не содержащей сведений, составляющих государственной тайны. В состав СКЗИ " Крипто-КОМ 3.0" входит: -Низкоуровневая библиотека криптографических преобразований " Крипто-КОМ 3.0" - реализует российские криптографические стандарты на шифрование (ГОСТ 28147-89), электронную цифровую подпись (ГОСТ Р 34.10-94), вычисление хэш-функции (ГОСТ Р 34.11-94; функционирует на компьютерах с архитектурой Intel x86 в операционных средах MS DOS, MS Windows 95/98/NT/2000, SCO UNIX, Linux, FreeBSD, HP-UX (сертификаты соответствия ФАПСИ распространяются на версии для MS DOS и MS Windows 95/98/NT/2000; для остальных версий имеется положительное заключение Центра сертификационных исследований, аттестованного ФАПСИ). -Программно-аппаратный комплекс (ПАК) Криптоменеджер - выполняет функции центра управления ключевой системой (ЦУКС) в составе СКЗИ; обеспечивает формирование, регистрацию, обновление, учет и хранение ключевых документов пользователей; для формирования ключевой информации использует надежный аппаратный датчик случайных чисел (ДСЧ) из состава устройства криптографической защиты данных (УКЗД) " КРИПТОН-4К/16" фирмы " АНКАД" или его более поздних модификаций, сертифицированных ФАПСИ. -Программа автономной генерации пар ключей " GenPair" - предназначена для самостоятельного формирования пользователями СКЗИ собственных криптографических ключей; для генерации ключей использует инициализационный ключевой носитель (дискету или электронную таблетку Touch Memory), содержащий файл инициализации для программного ДСЧ; инициализационные ключевые носители формируются администратором безопасности с помощью ПАК " Криптоменеджер" и выдаются пользователям при первичной регистрации в сети конфиденциальной связи. СКЗИ " Крипто-КОМ 3.0" является асимметричной криптосистемой с открытым распределением ключей, ориентированной на совместное использование одноключевых и двухключевых алгоритмов. В зависимости от требований политики безопасности эксплуатирующей организации, СКЗИ " Крипто-КОМ 3.0" допускает два режима формирования криптографических ключей пользователей: -централизованный - ключи формируются на рабочем месте администратора безопасности с помощью ПАК " Криптоменеджер"; -децентрализованный - ключи формируются самими пользователями на своих рабочих местах с помощью программы автономной генерации ключей " GenPair" и инициализационного ключевого носителя, полученного от администратора ПАК " Криптоменеджер". В криптосистемах, построенных на базе СКЗИ " Крипто-КОМ 3.0", открытые ключи пользователей существуют в виде цифровых сертификатов, которые должны заверяться в Сертификационном Центре " Notary-PRO 2.0" разработки " Сигнал-КОМ". Notary-PRO - Сертификационный Центр Сертификационный Центр " Notary-PRO" предназначен для администрирования одноранговых и иерархических систем распределения ключевой информации в сетях конфиденциальной связи, построенных на базе двухключевых криптографических процедур. Сертификационный Центр " Notary-PRO" функционирует в операционных средах Microsoft Windows 2000/NT, выполняя все необходимые функции по управлению цифровыми сертификатами открытых ключей в соответствии с Рекомендациями ITU-T X.509: -формирование ключей и сертификатов администратора Сертификационного Центра (Certification Authority - CA); -регистрацию запросов на сертификацию открытых ключей пользователей; -формирование сертификатов открытых ключей на основе запросов; -формирование и выпуск списков отозванных (скомпрометированных) сертификатов (certificate revocation lists - CRL); -поддержание базы данных по пользователям системы; -формирование запросов на сертификацию ключей администратора в вышестоящем Сертификационном Центре и создание сертификатов администраторов нижестоящих Сертификационных Центров для организации иерархических систем сертификации. Цифровая подпись администратора Сертификационного Центра в составе сертификата обеспечивает достоверность и однозначность соответствия открытого ключа и его владельца. IPSafe-PRO - IP-шифратор для организации VPN с функциями межсетевого экрана Криптографический комплекс " IPSafe-PRO" предназначен для построения защищенных виртуальных частных IP-сетей (Virtual Private Network - VPN), создаваемых на базе сетей общего пользования (в том числе, Интернет). " IPSafe-PRO" представляет собой программно-аппаратный комплекс, реализующий функции межсетевого экрана и криптографического маршрутизатора, обеспечивающего защиту конфиденциальной информации путем организации защищенных туннелей между территориально удаленными IP-сетями корпоративных информационно-вычислительных систем. Базовая конфигурация криптографического комплекса " IPSafe-PRO" представляет собой устройство с двумя Ethernet-интерфейсами, выполненное на основе IBM PC-совместимого персонального компьютера (размера BookSize). " IPSafe-PRO" устанавливается на выходе из локальной сети и выполняет фильтрацию и криптографическую обработку входящих и исходящих IP-пакетов в соответствии с заданными правилами. Для защиты данных в " IPSafe-PRO" используется протокол ESP (Encapsulated Security Payload, RFC 2406) в туннельном режиме, предоставляющий следующие необходимые услуги безопасности: -конфиденциальность данных; -аутентификацию источника данных; -целостность данных; -сокрытие топологии защищаемых локальных корпоративных сетей; -защиту от анализа трафика. Выбор алгоритмов криптообработки в комплексе " IPSafe-PRO" осуществляется в соответствии с требованиями политики безопасности защищаемой сети: Net-PRO – система защиты информации в сетях TCP/IP (Интернет/Интранет) Система " Net-PRO" предназначена для организации защищенных виртуальных частных IP-сетей (Virtual Private Network - VPN) на базе Интернет/Интранет, обеспечивающих аутентификацию взаимодействующих сторон и надежную защиту (шифрование и контроль целостности) потоков данных, передаваемых по открытым каналам связи. " Net-PRO" обеспечивает защиту потоков данных в различных вариантах: -в пределах корпоративной локальной сети; -при взаимодействии объединенных локальных сетей; -при взаимодействии с удаленными ресурсами через сети общего пользования (включая Интернет); -при необходимости организации безопасной работы удаленного компьютера с корпоративной сетью и др. " Net-PRO" позволяет: -скрывать реальную топологию защищаемой локальной сети; -обеспечивать аутентифицированный доступ в защищаемую локальную сеть для удаленных пользователей с динамически выделяемыми адресами; -контролировать доступ к открытым ресурсам внешних сетей. " Net-PRO" обеспечивает надежную аутентификацию пользователей, основанную на двухключевых крипто-алгоритмах и сертификатах, не требующих от пользователя запоминания и ввода пароля. Для аутентификации и защиты потоков данных в " Net-PRO" используется модернизированный протокол SSL (Secure Socket Layer), свободный от экспортных ограничений, касающихся длины криптографических ключей. Пользователям предоставляется целый набор методов шифрования (включая отечественный ГОСТ 28147-89); предусмотрено 3 режима аутентификации (двусторонняя, односторонняя и без аутентификации); аутентификация осуществляется на основе применения цифровых сертификатов в формате Х.509. В системе " Net-PRO" реализован инструментарий управления политикой безопасности, обеспечивающий легкую и быструю настройку и оперативную корректировку: -параметров аутентификации пользователей; -алгоритмов крипто-обработки; -правил разграничения доступа аутентифицированных пользователей к ресурсам внешней или локальной сети, компьютерам или отдельным приложениям; -типов разрешенных приложений и др. " Net-PRO" осуществляет контроль и протоколирование событий и внештатных ситуаций. Система " Net-PRO" включает: -" Net-PRO VPN Server" - серверный модуль, поддерживающий взаимодействие с клиентскими модулями " Net-PRO VPN Client" и/или с аналогичными серверными модулями " Net-PRO VPN Server"; " Net-PRO VPN Server" устанавливается на входе в защищаемую локальную сеть в виде выносного устройства; реализует протокол SOCKS и используется для защиты рабочих станций и серверов, выступая в роли межсетевого экрана (FireWall), выполняющего процедуры аутентификации и шифрования потока данных, фильтрацию приложений, защиту от " спуфинга" и др.; -" Net-PRO VPN Client" - клиентский модуль, обеспечивающий защищенное взаимодействие с серверным модулем " Net-PRO VPN Server"; " Net-PRO VPN Client" устанавливается на компьютерах локальной сети, защищаемой с помощью " Net-PRO VPN Server", или на удаленном компьютере, доступ с которого в защищаемую сеть осуществляется через сеть общего пользования (например, Интернет) в режиме прямого или коммутируемого подключения. Inter-PRO – система защиты WWW-приложений в Интернет/Интранет Предназначен для защиты HTTP-трафика на базе " расширенных" протоколов SSL/TLS, дополненных российскими криптографическими алгоритмами и возможностью формирования и проверки в режиме on-line электронной цифровой подписи (ЭЦП) под электронной HTML-формой, заполняемой пользователем в процессе взаимодействия с Web-сервером. Proxy-технология, реализованная в " Inter-PRO", обеспечивает его независимость от используемого типа Web-клиента и Web-сервера, защищенное взаимодействие между которыми устанавливается через посредничество программных модулей " Inter-PRO Client" и " Inter-PRO Server", располагаемых, соответственно, на стороне клиента и на стороне сервера. Наиболее эффективно использование " Inter-PRO" в электронных платежных системах типа " Банк-Клиент", базирующихся на Web-технологиях и ориентированных на дистанционное обслуживание клиентов через Интернет, или в любых других системах, где необходимо авторизованное подтверждение запроса на обслуживание (в системах электронной торговли, электронного страхования, платного информационного обслуживания и т.д.). При интеграции с такого рода системами " Inter-PRO" обеспечивает: -строгую взаимную аутентификацию клиентов и банковского сервера на базе цифровых сертификатов X.509; -конфиденциальность и целостность информации, передаваемой по протоколу HTTP; -формирование и проверку в режиме on-line цифровой подписи под платежными документами в виде HTML-форм; -фильтрацию трафика и разграничение доступа к Web-компоненте банковского сервера на основе цифровых сертификатов X.509. Открытые и секретные ключи формируются самими пользователями " Inter-PRO" с помощью вcтроенной процедуры генерации ключей. В качестве сертификационного центра выпускающего сертификаты открытых ключей для WWW-серверов и браузеров. может выступать любой сертификационный центр, поддерживающий стандарт X.509, или Сертификационный Центр " Notary-PRO", разработки " Сигнал-КОМ". В " Inter-PRO" предусмотрена возможность хранения ключевой информации и цифровых сертификатов на дискетах, eToken и Touch Memory. Основные характеристики: -защита передаваемых данных на базе расширенных протоколов SSL v.2, SSL v.3 и TLS v.1. -формирование ЭЦП под электронными документами в виде HTML-форм (POST/GET) на стороне клиента и автоматическая проверка ЭЦП на стороне сервера. -широкий набор поддерживаемых российских и зарубежных криптографических алгоритмов; -аутентификация пользователей на стороне сервера с использованием цифровых сертификатов формата Х.509 v.3; -фильтрация трафика и разграничение доступа пользователей к ресурсам Web-сервера; -передача приложениям Web-серверов атрибутов аутентификации клиента (параметров сертификата); -обслуживание одним модулем " Inter-PRO" нескольких Web-серверов; -широкий набор поддерживаемых операционных систем; -широкий набор поддерживаемых Web-серверов и клиентского ПО.
|