Обеспечение интегральной безопасности информационных систем

Наряду с системной и функциональной интеграцией ИС в последнее время стала активно развиваться интегральная информационная безопасность (ИИБ), под которой понимается такое состояние условий функционирования человека, объектов, технических средств и систем, при котором они надежно защищены от всех возможных видов угроз в ходе непрерывного процесса подготовки, хранения, передачи и обработки информации.

Интегральная безопасность информационных систем включает в себя следующие составляющие:

  • o физическая безопасность (защита зданий, помещений, подвижных средств, людей, а также аппаратных средств - компьютеров, носителей информации, сетевого оборудования, кабельного хозяйства, поддерживающей инфраструктуры);
  • o безопасность сетей и телекоммуникационных устройств (защита каналов связи от воздействий любого рода);
  • o безопасность ПО (защита от вирусов, логических бомб, несанкционированного изменения конфигурации и программного кода);
  • o безопасность данных (обеспечение конфиденциальности, целостности и доступности данных).

Задача обеспечения ИБ появилась вместе с проблемой передачи и хранения информации. На современном этане можно выделить три подхода к ее решению:

  • 1) частный - основывается на решении частных задач обеспечения ИБ. Этот подход является малоэффективным, но достаточно часто используется, так как не требует больших финансовых и интеллектуальных затрат;
  • 2) комплексный - реализуется решением совокупности частных задач по единой программе. Этот подход в настоящее время применяется наиболее часто;
  • 3) интегральный - основан на объединении различных вычислительных подсистем ИС, подсистем связи, подсистем обеспечения безопасности в единую информационную систему с общими техническими средствами, каналами связи, ПО и базами данных.

Третий подход направлен на достижение ИИБ, что предполагает обязательную непрерывность процесса обеспечения безопасности как во времени (в течение всей "жизни" ИС), так и в пространстве (но всему технологическому циклу деятельности) с обязательным учетом всех возможных видов угроз (несанкционированный доступ, съем информации, терроризм, пожар, стихийные бедствия и т.п.). В какой бы форме ни применялся интегральный подход, он связан с решением ряда сложных разноплановых частных задач в их тесной взаимосвязи. Наиболее очевидными из них являются задачи разграничения доступа к информации, ее технического и криптографического "закрытия", устранение паразитных излучений технических средств, технической и физической укрепленности объектов, охраны и оснащения их тревожной сигнализацией.

На рис. 20.2 представлена блок-схема интегрального комплекса физической защиты объекта, обеспечивающего функционирование всех рассмотренных выше систем, а на рис 20.3 - соотношение эффективности современных электронных средств контроля физического доступа.

Стандартный набор средств защиты информации в составе современной ИС обычно содержит следующие компоненты:

  • o средства обеспечения надежного хранения информации с использованием технологии защиты на файловом уровне (File Encryption System - FES);
  • o средства авторизации и разграничения доступа к информационным ресурсам, а также защита от несанкционированного доступа к информации с использованием технологии токенов (смарт-карты, touch-memory, ключи для USB-портов и т.п.);
  • o средства защиты от внешних угроз при подключении к общедоступным сетям связи (Интернет), а также средства управления доступом из Интернета с использованием технологии межсетевых экранов (FireWall) и содержательной фильтрации (Content Inspection);
  • o средства защиты от вирусов с использованием специализированных комплексов антивирусной профилактики;
  • o средства обеспечения конфиденциальности, целостности, доступности и подлинности информации, передаваемой по открытым каналам связи с использованием технологии защищенных виртуальных частных сетей (Virtual Private Net - VPN);
  • o средства обеспечения активного исследования защищенности информационных ресурсов с использованием технологии обнаружения атак (Intrusion Detection);
  • o средства обеспечения централизованного управления системой ИБ в соответствии с согласованной и утвержденной политикой безопасности.

Защита информации на файловом уровне. Эти технологии позволяют скрыть конфиденциальную информацию пользователя на жестком диске компьютера или сетевых дисках путем кодирования содержимого файлов, каталогов и дисков. Доступ к данной информации осуществляется по предъявлению ключа, который может вводиться с клавиатуры, храниться и предоставляться со смарт-карты, HASP-ключей или USB-ключей и прочих токенов. Помимо перечисленных выше функций указанные средства позволяют мгновенно "уничтожить" информацию при подаче сигнала "тревога" и при "входе под принуждением", а также блокировать компьютер в перерывах между сеансами работы.

Блок-схема интегрального комплекса физической защиты ИС

Рис. 20.2. Блок-схема интегрального комплекса физической защиты ИС

Сравнение эффективности современных электронных средств контроля доступа

Рис. 20.3. Сравнение эффективности современных электронных средств контроля доступа

Технологии токенов (смарт-карты, touch-memory, ключи для USB-иортов). Электронные ключи-жетоны (Token) являются средством повышения надежности защиты данных на основе гарантированной идентификации пользователя. Токены являются "контейнерами" для хранения персональных данных пользователя системы и некоторых его паролей. Основное преимущество токена заключается в том, что персональная информация всегда находится на носителе (смарт-карте, ключе и т.д.) и предъявляется только во время доступа к системе или компьютеру. Эта система находит все новых и новых приверженцев, гак как позволяет унифицировать правила доступа и поместить на одном персональном электронном носителе систему паролей для доступа на различные устройства и системы кодирования и декодирования информации. В настоящее время получают распространение токены с системой персональной аутентификации на базе биометрической информации, которая считывается с руки пользователя. Таким "ключом" может воспользоваться только тот пользователь, на которого настроен этот ключ.

Межсетевые экраны. Использование технологии межсетевых экранов предлагается для решения таких задач, как:

  • o безопасное взаимодействие пользователей и информационных ресурсов, расположенных в экстранет- и интранет-сетях, с внешними сетями;
  • o создание технологически единого комплекса мер защиты для распределенных и сегментированных локальных сетей подразделений предприятия;
  • o построение иерархической системы защиты, предоставляющей адекватные средства обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети.

В зависимости от масштабов организации и установленной политики безопасности рекомендуются межсетевые экраны (FireWall), отличающиеся по степени функциональности и по стоимости [межсетевые экраны Checkpoint FireWall-1, Private Internet Exchange (PIX) компании "Cisco" и др.]. Устройства содержательной фильтрации (Content Inspection) устанавливаются, как правило, на входы почтовых серверов для отсечения большого объема неопасной, но практически бесполезной информации, обычно рекламного характера (Spam), принудительно рассылаемой большому числу абонентов электронной почты.

Межсетевой экран (МЭ) (брандмауэр) - программно-аппаратная система межсетевой защиты, которая отделяет одну часть сети от другой и реализует набор правил для прохождения данных из одной части в другую. Границей является раздел между корпоративной локальной сетью и внешними интернет-сетями или различными частями локальной распределенной сети. Экран фильтрует текущий трафик, пропуская одни пакеты информации и отсеивая другие. Межсетевой экран является одним из основных компонентов защиты сетей. Наряду с интернет-протоколом межсетевого обмена (Internet Security Protocol - IPSec) МЭ является одним из важнейших средств защиты, осуществляя надежную аутентификацию пользователей и защиту от несанкционированного доступа (НСД). Отметим, что большая часть проблем с информационной безопасностью сетей связана с "прародительской" зависимостью коммуникационных решений от ОС UNIX - особенности открытой платформы и среды программирования UNIX сказались на реализации протоколов обмена данными и политики информационной безопасности. Вследствие этого ряд интернет-служб и совокупность сетевых протоколов (Transmission Control Protocol/Internet Protocol - TCP/IP) имеет "бреши" в защите. К числу таких служб и протоколов относятся:

  • o служба сетевых имен (Domain Name Server - DNS);
  • o доступ к Всемирной паутине WWW;
  • o программа электронной почты Send Mail;
  • o служба эмуляции удаленного терминала Telnet;
  • o простой протокол передачи электронной почты (Simple Mail Transfer Protocol - SMTP);
  • o протокол передачи файлов (File Transfer Protocol);
  • o графическая оконная система X Windows.

Настройки МЭ, т.е. решение пропускать или отсеивать пакеты информации, зависят от топологии распределенной сети и принятой политики информационной безопасности. В связи с этим политика реализации межсетевых экранов определяет правила доступа к ресурсам внутренней сети. Эти правила базируются на двух общих принципах - запрещать все, что не разрешено в явной форме, и разрешать все, что не запрещено в явной форме. Использование первого принципа дает меньше возможностей пользователям и охватывает жестко очерченную область сетевого взаимодействия. Политика, основанная на втором принципе, является более мягкой, но во многих случаях она менее желательна, так как предоставляет пользователям больше возможностей "обойти" МЭ и использовать запрещенные сервисы через нестандартные порты (User Data Protocol - UDP), которые не запрещены политикой безопасности.

Функциональные возможности МЭ охватывают следующие разделы реализации информационной безопасности:

  • o настройка правил фильтрации;
  • o администрирование доступа во внутренние сети;
  • o фильтрация на сетевом уровне;
  • o фильтрация на прикладном уровне;
  • o средства сетевой аутентификации;
  • o ведение журналов и учет.

Программно-аппаратные компоненты МЭ можно отнести к одной из трех категорий: фильтрующие маршрутизаторы, шлюзы сеансового уровня и шлюзы уровня приложений. Эти компоненты МЭ, каждый отдельно и в различных комбинациях, отражают базовые возможности МЭ и отличают их один от другого.

Фильтрующий маршрутизатор (Filter Router - FR). Он фильтрует IP-пакеты по параметрам полей заголовка пакета: IР-адрес отправителя, IP-адрес адресата, TCP/UDP-норт отправителя и ТСР/ UDP-порт адресата. Фильтрация направлена на безусловное блокирование соединений с определенными хостами и (или) портами - в этом случае реализуется политика первого типа. Формирование правил фильтрации является достаточно сложным делом, к тому же обычно отсутствуют стандартизированные средства тестирования правил и корректности их исполнения. Возможности FR по реализации эффективной защиты ограничены, так как на сетевом уровне эталонной модели OSI обычно он проверяет только IP-заголовки пакетов. К достоинствам применения FR можно отнести невысокую стоимость, гибкость формирования правил, незначительную задержку при передаче пакетов. Недостатки FR достаточно серьезны, о них следует сказать более подробно:

  • o отсутствует аутентификация конкретного пользователя;
  • o указанную выше аутентификацию по IP-адресу можно "обойти" путем замещения информации пользователя информацией злоумышленника, использующего нужный IР-адрес;
  • o внутренняя сеть "видна" из внешней;
  • o правила фильтрации сложны в описании и верификации, они требуют высокой квалификации администратора и хорошего знания протоколов TCP/UDP;
  • o нарушение работы ФМ приводит к полной незащищенности всех компьютеров, которые находятся за этим МЭ.

Шлюз сеансового уровня (Session Level Gateway - SLG). Это активный транслятор TCP-соединения. Шлюз принимает запрос авторизованного клиента на предоставление услуг, проверяет допустимость запрошенного сеанса (Handshaking), устанавливает нужное соединение с адресом назначения внешней сети и формирует статистику по данному сеансу связи. После установления факта, что доверенный клиент и внешний хост являются "законными" (авторизованными) участниками сеанса, шлюз транслирует пакеты в обоих направлениях без фильтрации. При этом часто пункт назначения оговаривается заранее, а источников информации может быть много (соединение "один-ко-многим") - это, например, типичный случай использования внешнего web-pecypca. Используя различные порты, можно создавать различные конфигурации соединений, обслуживая одновременно всех пользователей, имеющих право на доступ к ресурсам сети. Существенным недостатком SLG является то, что после установления связи пакеты фильтруются только на сеансовом уровне модели OSI без проверки их содержимого на уровне прикладных программ. Авторизованный злоумышленник может спокойно транслировать вредоносные программы через такой шлюз. Таким образом, реализация защиты осуществляется в основном на уровне квитирования (Handshaking).

Шлюз уровня приложений (Application Layer Gateway - ALG). Для компенсации недостатков FR и SLG шлюзов в МЭ встраивают прикладные программы для фильтрации пакетов при соединениях с такими сервисами, как Telnet и FTP и пр. Эти приложения называются Ргоху-службами, а устройство (хост), на котором работает служба, называется шлюзом уровня приложений. Шлюз исключает прямое взаимодействие между авторизованным пользователем и внешним хостом. Зафиксировав сетевой сеанс, шлюз останавливает его и вызывает уполномоченное приложение для реализации запрашиваемой услуги - Telnet, FTP, WWW или E-mail. Внешний пользователь, который хочет получить услугу соединения в сети, соединяется вначале с ALG, а затем, пройдя предусмотренные политикой безопасности процедуры, получает доступ к нужному внутреннему узлу (хосту). Отметим явные преимущества такой технологии:

  • o уполномоченные приложения вызывают только те службы, которые прописаны в сфере их действия, исключая все остальные, которые не отвечают требованиям информационной безопасности в контексте запрашиваемой услуги;
  • o уполномоченные приложения обеспечивают фильтрацию протокола, например, некоторые ALG могут быть настроены на фильтрацию FTP-соединения и запрещают при этом выполнение команды FTP put, что однозначно не позволяет передавать информацию на анонимный FTP-сервер;
  • o шлюзы прикладного уровня, как правило, фиксируют в специальном журнале выполняемые сервером действия и в случае необходимости сообщают сетевому администратору о возможных коллизиях и попытках проникновения;
  • o структура внутренней сети не видна из интернет-сети, шлюз осуществляет надежную аутентификацию и регистрацию, правила фильтрации просты, так как экран пропускает прикладной трафик, предназначенный только для шлюза прикладного уровня, блокируя весь остальной.

Как показывает практика, защита на уровне приложений позволяет дополнительно осуществлять другие проверки в системе защиты информации - а это снижает опасность "взлома" системы, имеющей "прорехи" в системе безопасности.

Межсетевые экраны можно разделить по следующим основным признакам:

  • o по исполнению - программный и программно-аппаратный;
  • o по используемой технологии - контроль состояния протокола (Stateful Inspection Protocol) или с использованием модулей посредников (Proxy Server);
  • o по функционированию на уровнях эталонной модели Open System Interconnection - шлюзы экспертного, прикладного, сеансового уровней, пакетный фильтр;
  • o по схеме подключения - схема единой защиты сети; схема с закрытым и не защищаемым открытым сегментами сети; схема с раздельной защитой закрытого и открытого сегментов сети.

На рис. 20.4 показан вариант защиты локальной сети на базе программно-аппаратного решения - межсетевого экрана Cisko 2610 & PIX Firewall 520 компании "Cisco Systems".

Использование комплекса "маршрутизатор-файервол" в системах защиты информации при подключении к сети Интернет

Рис. 20.4. Использование комплекса "маршрутизатор-файервол" в системах защиты информации при подключении к сети Интернет

Отличительной особенностью этой модели является специальная ОС реального времени, а высокая производительность реализуется на базе алгоритма адаптивной безопасности (Adaptive Security Algorithm - ASA). Приведенное решение имеет несомненные достоинства: высокая производительность и пропускная способность до 4 Гб/с; возможность поддержки до 256 тыс. одновременных сессий; объединение преимуществ пакетного и прикладного шлюзов, простота и надежность в установке и эксплуатации, возможность сертификации в Государственной технической комиссии.

Отметим, что МЭ, естественно, не решают всех вопросов информационной безопасности распределенных КИС и локальных сетей - существует ряд ограничений на их применение и ряд угроз, от которых МЭ не могут защитить. Отсюда следует, что технологии МЭ следует применять комплексно - с другими технологиями и средствами защиты.

Антивирусные средства. Лавинообразное распространением вирусов ("червей", "троянских коней") действительно стало большой проблемой для большинства компаний и государственных учреждений. В настоящее время известно более 45 000 компьютерных вирусов и каждый месяц появляется более 300 новых разновидностей. При этом считается, что основной путь "заражения" компьютеров - через Интернет, поэтому наилучшее решение, по мнению многих руководителей, - отключить корпоративную сеть от Интернета. Часто говорят: "Есть Интернет - есть проблемы, нет Интернета - нет проблем". При этом не учитывается, что существует множество других путей проникновения вирусов на конкретный компьютер, например при использовании чужих дискет и дисков, пиратское программное обеспечение или персональные компьютеры "общего пользования" (например, опасность представляют домашние или студенческие компьютеры, если на них работает более одного человека). Системное применение лицензионных антивирусных средств (например, Лаборатории Касперского) существенно уменьшает опасность вирусного заражения.

Технологии обнаружения атак (Intrusion Detection). Постоянное изменение сети (появление новых рабочих станций, реконфигурация программных средств и т.п.) может привести к появлению новых уязвимых мест, угроз и возможностей атак на ИР и саму систему защиты. В связи с этим особенно важно своевременное их выявление и внесение изменений в соответствующие настройки информационного комплекса и его подсистем, и в том числе в подсистему защиты. Это означает, что рабочее место администратора системы должно быть укомплектовано специализированными программными средствами обследования сетей и выявления уязвимых мест (наличия "дыр") для проведения атак "извне" и "снаружи", а также комплексной оценки степени защищенности от атак нарушителей. Например, в состав продуктов ЭЛВИС+, Net Pro VPN входят наиболее мощные среди обширного семейства коммерческих пакетов продукты компании "Internet Security Systems" (Internet Scanner и System Security Scanner), а также продукты компании "Cisco": система обнаружения несанкционированного доступа NetRanger и сканер уязвимости системы безопасности NetSonar.

Инфраструктура открытых ключей (Public Key Infrastruture - PKI). Основными функциями PKI являются поддержка жизненного цикла цифровых ключей и сертификатов (т.е. их генерация, распределение, отзыв и пр.), поддержка процесса идентификации и аутентификации пользователей и реализация механизма интеграции существующих приложений и всех компонент подсистемы безопасности. Несмотря на существующие международные стандарты, определяющие функционирование системы PKI и способствующие ее взаимодействию с различными средствами защиты информации, к сожалению, не каждое средство информационной защиты, даже если его производитель декларирует соответствие стандартам, может работать с любой системой РК1. В нашей стране только начинают появляться компании, предоставляющие услуги по анализу, просктированию и разработке инфраструктуры открытых ключей. Поскольку при возрастающих масштабах ведомственных и корпоративных сетей VPN-продукты не смогут работать без PKI, только у разработчиков и поставщиков VPN есть опыт работы в этой области.

Защищенные виртуальные частные сети (Virtual Private Net - VPN). Для защиты информации, передаваемой по открытым каналам связи, поддерживающим протоколы TCP/IP, существует ряд технологий и программных продуктов, предназначенных для построения VPN на основе международных стандартов IPSec. Виртуальные сети создаются чаще всего на базе арендуемых и коммутируемых каналов связи в сетях общего пользования (Интернет). Для небольших и средних компаний они являются хорошей альтернативой изолированным корпоративным сетям, так как обладают очевидными преимуществами: высокая гарантированная надежность, изменяемая топология, простота конфигурирования, легкость масштабирования, контроль всех событий и действий в сети, относительно невысокая стоимость аренды каналов и коммуникационного оборудования.

При выходе локальной сети в открытое интернет-пространство возникают угрозы двух основных типов: НСД к данным в процессе их передачи по открытой сети и НСД к внутренним ресурсам КИС. Информационная защита при передаче данных по открытым каналам реализуется следующими мерами: взаимная аутентификация сторон, прямое и обратное криптографическое преобразование данных, проверка достоверности и целостности полученных данных.

Организация защиты с использованием технологии виртуальных частных сетей подразумевает формирование защищенного "виртуального туннеля" между узлами открытой сети, доступ в который невозможен потенциальному злоумышленнику. Преимущества этой технологии очевидны: аппаратная реализация довольно проста, нет необходимости создавать или арендовать дорогие выделенные физические сети, можно использовать открытый дешевый Интернет, скорость передачи данных по туннелю такая же, как по выделенному каналу.

В настоящее время существуют четыре вида архитектуры организации защиты информации на базе применения технологии VPN.

  • 1. Локальная сеть VPN (Local Area Network-VPN). Обеспечивает защиту потоков данных и информации от НСД внутри сети компании, И Б на уровне разграничения доступа, системных и персональных паролей, безопасности функционирования ОС, ведение журнала коллизий, шифрование конфиденциальной информации.
  • 2. Внутрикорпоративная сеть VTW(Intranet-VPN). Обеспечивает безопасные соединения между внутренними подразделениями распределенной компании. Для такой сети подразумевается:
    • o использование мощных криптографических средств шифрования данных;
    • o обеспечение надежности работы критически важных транзакционных приложений, СУБД, электронной почты, Telnet, FTP;
    • o скорость и производительность передачи, приема и использования данных;
    • o гибкость управления средствами подключения новых пользователей и приложений.
  • 3. Сети VPN с удаленным доступом (Internet-VPN). Обеспечивают защищенный удаленный доступ удаленных подразделений распределенной компании и мобильных сотрудников, и отделов через открытое пространство Интернета. Такая сеть организует: адекватную систему идентификации и аутентификации удаленных и мобильных пользователей; эффективную систему управления ресурсами защиты, находящимися в географически распределенной ИС.
  • 4. Межкорпоративная сеть VPN (Extranet-VPN). Обеспечивает эффективный защищенный обмен информацией с поставщиками, партнерами, филиалами корпорации в других странах. Предусматривает использование стандартизированных и надежных VPN-продуктов, работающих в открытых гетерогенных средах и обеспечивающих максимальную защищенность конфиденциального трафика, включающего в себя аудио- и видеопотоки информации - конфиденциальные телефонные переговоры и телеконференции с клиентами.

Можно выделить два основных способа технической реализации виртуальных туннелей:

  • 1) построение совокупности соединений (Frame Relay или Asynchronous Transfer Mode) между двумя нужными точками единой сетевой инфраструктуры, надежно изолированной от других пользователей механизмом организации встроенных виртуальных каналов;
  • 2) построение виртуального IP-туннеля между двумя узлами сети на базе использования технологии туннелирования, когда каждый пакет информации шифруется и "вкладывается" в поле нового пакета специального вида (конверт), который и передается по IP-туннелю - при этом пакет протокола более низкого уровня помещается в поле данных пакета более высокого уровня.

Туннель VPN обладает всеми свойствами защищенной выделенной линии, проходящей через открытое пространство Интернета. Особенность технологии туннелирования состоит в том, что она позволяет зашифровать не только поле данных, а весь исходный пакет, включая заголовки. Это важная деталь, так как из заголовка исходного пакета злоумышленник может извлечь данные о внутренней структуре сети, например информацию о числе локальных сетей и узлов и их IP-адресов. Зашифрованный пакет инкапсулируется в другой пакет с открытым заголовком, который транспортируется по соответствующему туннелю. При достижении конечной точки туннеля из внешнего пакета извлекается внутренний, расшифровывается, и его заголовок используется для дальнейшей передачи во внутренней сети или подключенному к локальной сети мобильному пользователю (рис. 20.5).

Туннелирование предназначено не только для обеспечения конфиденциальности внутреннего пакета данных, но и для его целостности и аутентичности. Механизм туннелирования часто применяется в различных протоколах формирования защищенного канала связи. Технология позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. Таким образом, можно реализовать взаимодействие нескольких разнотипных сетей, преодолевая несоответствие внешних протоколов и схем адресации.

Туннельная схема организации VPN-сети

Рис. 20.5. Туннельная схема организации VPN-сети

Средства построения защищенной VPN достаточно разнообразны - они могут включать в себя маршрутизаторы с механизмом фильтрации пакетов (Filtering Router), многофункциональные МЭ (Multifunction Firewall), промежуточные устройства доступа в сеть (Proxy Server), программно-аппаратные шифраторы (Firmware Cryptograph). По технической реализации можно выделить следующие основные виды средств формирования VPN:

  • o специализированные программные решения, дополняющие стандартную ОС функциями VPN;
  • o программно-аппаратное устройство на базе специализированной ОС реального времени, имеющее два или несколько сетевых интерфейсов и аппаратную криптографическую поддержку;
  • o средства VPN, встроенные в стандартный маршрутизатор или коммутатор;
  • o расширение охвата защищаемой зоны канала передачи и приема данных за счет дополнительных функций МЭ.

Туннели VPN создаются для различных типов конечных пользователей: это может быть локальная сеть (Local Area Network - LAN) со шлюзом безопасности (Security Gateway) или отдельные компьютеры удаленных или мобильных пользователей с сетевым программным обеспечением для шифрования и аутентификации трафика - клиенты VPN. Через шлюз безопасности проходит весь трафик для внутренней корпоративной сети. Адрес шлюза VPN указывается как внешний адрес входящего туннелируемого пакета, а расшифрованный внутренний адрес пакета является адресом конкретного хоста за шлюзом.

Наиболее простым и относительно недорогим способом организации VPN-канала является схема, в соответствии с которой защищенный туннель прокладывается только в открытой сети для транспортировки зашифрованных пакетов. В качестве конечных точек туннеля выступают провайдеры интернет-сети или пограничные МЭ (маршрутизаторы) локальной сети. Защищенный туннель формируется компонентами виртуальной сети, функционирующими на узлах, между которыми он создается. В настоящее время активно функционирует рынок VPN-средств. Приведем некоторые примеры популярных и широко используемых решений для каждого класса продуктов.

VPN на базе сетевых ОС. Для формирования виртуальных защищенных туннелей в IP сетях сетевая ОС Windows NT использует протокол РРТР (Point-to-Point Transfer Protocol). Туннелирование информационных пакетов производится инкапсулированием и шифрованием (криптоалгоритм RSA RC4) стандартных блоков данных фиксированного формата (РРР Data Frames) в IP-дейтаграммы, которые и передаются в открытых IP-сетях. Данное решение является недорогим, и его можно эффективно использовать для формирования VPN-каналов внутри локальных сетей, домена Windows NT или с целью построения Internet- и Extranet-VPN для небольших компаний малого и среднего бизнеса для защиты не критичных приложений.

VPN на базе маршрутизаторов. В России лидером на рынке VPN-продуктов является компания "Cisko Systems". Построение каналов VPN на базе маршрутизаторов Cisko осуществляется средствами ОС версии Cisko IOS 12.x. Для организации туннеля маршрутизаторы Cisko используют протокол L2TP канального уровня эталонной модели OSI, разработанного на базе "фирменных" протоколов Cisko L2F и Microsoft РРТР, и протокол сетевого уровня IPSec, созданного ассоциацией "Проблемная группа проектирования Internet (Internet Engineering Task Force - IETF). Эффективно применяется Cisko VPN Client, который предназначен для создания защищенных соединений Point-to-Point между удаленными рабочими станциями и маршрутизаторами Cisko - это позволяет построить практически все виды VPN-соединений в сетях.

VPN на базе МЭ. Эта технология считается наиболее сбалансированной и оптимальной с точки обеспечения комплексной безопасности КИС и ее защиты от атак из внешней открытой сети. В России нашел широкое применение программный продукт Check Point Firewall-1/VPN-1 компании "Check Point Software Technologies". Это решение позволяет построить глубоко комплексную эшелонированную систему защиты КИС. В состав продукта входят: Check Point Firewall-1, набор средств для формирования корпоративной виртуальной частной сети Check Point VPN-1, средства обнаружения атак и вторжений Real Secure, средства управления полосой пропускания информационных пакетов Flood Gate, средства VPN-1 Secure Remote, VPN-1 Appliance и VPN-1 Secure Client для построения Localnet/Intranet/Internet/Extranet VPN-каналов. Весь набор продуктов Check Point VPN-1 построен на базе открытых стандартов IPSec, имеет развитую систему идентификации и аутентификации пользователей, взаимодействует с внешней системой распределения открытых ключей PKI, поддерживает централизованную систему управления и аудита.

На российском рынке можно указать два продукта, получивших достаточно широкую известность, - это криптографический комплекс "Шифратор IP-пакетов" производства объединения МО ПН ИЭИ ( security.ru ) и ряд программных продуктов ЗАСТАВА компании "ЭЛВИС+" ( elvis.ru ). Самым быстрорастущим сегментом рынка систем информационной безопасности по исследованиям "ШС", "Price Waterhouse Cooper" и "Gartner Group" являются системы блокировки корпоративных каналов связи. Быстрее всего растут продажи систем защиты от утечек внутренней информации (Intrusion Detection and Prevention - IDP), которые позволяют контролировать трафик электронной почты и доступ к внешним интернет-ресурсам.

Программные продукты обеспечивают:

  • o защиту (конфиденциальность, подлинность и целостность) передаваемой по сетям информации;
  • o контроль доступа в защищаемый периметр сети;
  • o идентификацию и аутентификацию пользователей сетевых объектов;
  • o централизованное управление политикой корпоративной сетевой безопасности.

Системы шифрования с открытым криптографическим интерфейсом позволяют использовать различные реализации криптоалгорит

  • 9. В чем состоит суть методологии анализа защищенности ИС?
  • 10. Перечислите требования к архитектуре И С для обеспечения безопасности ее функционирования.
  • 11. Какие этапы построения системы безопасности ИС вы знаете?
  • 12. Как осуществляется стандартизация подходов к обеспечению ИБ?
  • 13. Каким образом обеспечивается интегральная безопасность ИС?
  • 14. Какими основными функциями "нагружена" инфраструктура открытых ключей (РК1)?
  • 15. Что такое виртуальные частные сети? Какие виды таких сетей вы знаете?
 
< Пред   СОДЕРЖАНИЕ