19 януари софтуерен пакет VIPnet

Фиг. 56. Структурата на пълните инструменти за обработка защита на корпоративната мрежа

19.1. VipNet на софтуерен пакет

Назначаване. VipNet технология е предназначена за създаване на съгласувана система от отношения на доверие и сигурно функциониране на техническите средства за информация и ресурси за корпоративни мрежи, взаимодействие с външни технически ресурси и информационни ресурси.

Метод. създаването на мрежа от компании телекомуникационна инфраструктура интегриран защитена виртуална среда. включващ следните компоненти:

-Разпределени системи защитни стени и лични защитни стени, защитаващи информационни ресурси и потребители от двете външни и вътрешни атаки на мрежата.

-Разпределени система защитна стена и криптиране на лични трафик всяко приложение и операционна система, което гарантира целостта и поверителността на информацията, както на външните и вътрешните комуникации, както и осигуряване на едновременен достъп до техническите и информационни ресурси.

-Система на цифров подпис и криптиране на информацията за ниво приложение осигурява автентичност и правна стойност на документи и сериозни действия.

-Системата е прозрачен за заявленията за криптиране на данните на програмата, като се поддържа, каза данни в тези приложения в мрежата и локалния твърд диск, други средства за съхранение и липсата на предоставяне на информация за целостта на неразрешено използване по време на съхранение.

-комуникации система за мониторинг и контрол, правата и правомощията на охранявания обект корпоративната мрежа, която осигурява автоматизирано управление на политиките за сигурност в корпоративна мрежа.

- Създаване на корпоративни мрежови информационни независими виртуални частни схеми, включително и двете отделни компютри и мрежи сегменти, за работата в един телекомуникационната среда на различни практики за поверителност или целта на информационни проблеми.

-Защита на локални мрежи като цяло, техните сегменти или отделни компютри и друго оборудване от неоторизиран достъп и различни атаки, както от външните и вътрешните мрежи.

-Подкрепа за сигурна експлоатация на мобилни и отдалечени потребители на корпоративната мрежа.

-Организацията за сигурност LAN връзката на отделните работни станции на тези мрежи за интернет и отворени ресурси, за да се елиминира риска от нападение от интернет на цялата локална мрежа компютри чрез локална мрежа, свързана с публичните ресурси.

-Защита (конфиденциалност, автентичност и цялост) на всякакъв вид трафик да бъдат прехвърлени между някой от компонентите на мрежата: работни станции (мобилни, отдалечени, местни), сървъри, мрежови устройства и възли. След това тя става достъпна за пикап от мрежата, включително и членове на VPN, както и всяка от парола информация от различни приложения, бази данни, сървъри за електронна поща и т.н. което значително повишава безопасността на приложни системи.

-трафик контрол защита на системи за дистанционно управление на мрежата и предмети :. рутери, защитни стени, сървъри и т.н., както и дистанционно управление самата означава, срещу евентуални атаки от глобалната или корпоративна мрежа.

-Контрол на достъпа до всеки възел (работна станция, сървър, рутер и т.н.) и сегмент на мрежата (локална мрежа LAN сегмент, на групата сегменти на мрежата и т.н.), включително и филтриране на трафика за всеки възел поотделно с набор от стандартни и индивидуални настройки.

-Защита срещу неоторизиран достъп информационните ресурси на корпоративна мрежа, съхранени на работни станции (мобилни, отдалечени и локални), сървъри (WWW, FTP, SMTP, SQL, файлови сървъри и т.н.) и други достъп група за съхранение.

-Организиране на безопасна експлоатация на членовете VPN със съвместна информационна група и / или корпоративни информационни ресурси.

-Идентифициране на потребителите и мрежовите съоръжения като VPN чрез използване на симетричен ключ система и чрез използването на инфраструктура с публичен ключ (PKI) и стандарт X.509 сертификата.

-Оперативното управление на разпределени VPN-мрежа (включително система от защитни стени, разпределени) и политиката на сигурността на информацията в мрежата от едно централно място, с възможност за делегиране на правомощията на местните администратори.

-С изключение на възможността за използване на недекларирани възможности на операционни системи и приложения за извършване на фишинг атаки, кражба на секретни ключове и мрежови пароли.

Софтуер комплекс:

-VipNet-шофьор, който е в пряко взаимодействие с драйвера на мрежовия интерфейс и да се гарантира независимостта на програмата от операционната система и нейните приложения. монитори Шофьор всички IP трафик, идващи към и от компютъра и изпълнява филтриране си по множество параметри и ако е необходимо - криптиране и капсулиране.

-Криптографски ядро ​​"домейн-К", криптира всички IP трафик между компютри с помощта на препоръчания от ГОСТ 28147-89 алгоритъм, както и, ако е необходимо, с други алгоритми (DES, 3DES, RC6). В същото време прави капсулирането на всички видове IP-пакети в един-единствен вид UDP-формат, който напълно скрива структурата на обмена на информация.

VipNet [Администратор] - създава логическа инфраструктура на виртуалната политика за мрежова сигурност я определя, мониторинг и управление на мрежата обекти. Генерира симетричен ключ информация и информацията за парола за първичните съоръжения на мрежата, произвежда публично-ключови сертификати за мрежови образувания. Тя включва програми:

-Център за управление на мрежата (NCC) - център за регистрация и е предназначен за конфигуриране и управление на виртуална мрежа, решава следните проблеми.

-Задава мрежовите възли, потребителски групи и потребителите в тях.

-Той определя стандарт на политиката за сигурност и разпределението на валиден орган на потребители и администратори на местните по конкретни възли да се промени политиката за сигурност за тези единици.

-Той определя достъпа на определени компютри в локалната мрежа към Интернет публични средства и други външни мрежи. В този случай, по специална технология позволява по време на достъп до трафика на външната мрежа блокира някой от тези компютри с всички ресурси на локалната мрежа и виртуални мрежови обекти.

-В съответствие с определени работи и политиката на сигурност представлява подходящ достъп до сайтове директории и насочва валидни връзки към ключови центрове.

-Осигурява автоматично сигурна доставка и доставка контрол за разгърнати единици модифицирани директории за достъп, ключова информация от КС (симетрични ключове, потребителски сертификати, удостоверения, съобщения, получени от действията на основните центрове на удостоверения и други VipNet мрежи и др ..).

-Осигурява комуникация с TsUSami други виртуални мрежови VipNet списъци на обектите на техните мрежи, които трябва да си взаимодействат един с друг. Тя произвежда взаимно съгласие с тези TsUSami допустим междусистемните връзки между мрежови обекти. Тя предвижда сертификатите за обмен коренът на тези мрежи, в списъка на сертификати, получени от действието.

-Извършва автоматична актуализация VipNet софтуер на мрежови обекти от разстояние.

-формиране и автоматична актуализация чрез мрежа за контрол центъра на симетричен ключ информация и парола информация за основните обекти и потребителите на мрежата;

-в качеството на сертификати за електронен подпис сертифициращ орган.

VipNet [координатор] - пренасянето на пощата и управление на мрежи сигурни съобщения във взаимодействието на обекти между тях и VipNet [Администратор].

-изпълнява тунелиране на пакети обслужвани VipNet [координатора] групи незащитен компютърна мрежа за предаване на трафик от тях към други обекти в VPN е криптирана от обществения Интернет / интранет;

-Тя филтрира трафика от източници, които не са част от VPN, в съответствие с политиката на определения за сигурност (защитна стена);

-Това дава възможност да се произведение, защитено от компютърна мрежа VipNet технология през защитни стени и прокси сървъри от други производители.

-Mail Server - осигурява маршрутизация пликове, както и за контрол на TsUSa съобщения в мрежата на взаимодействие на обектите един до друг.

-Тя ви позволява да се организира защитата на трафика между локални мрежи, и се използва, когато няма необходимост от контрол на достъпа във всеки от локалните мрежи, принадлежащи към виртуалната мрежа. Позволява също шифроване на трафика между компютри група незащитени аудио LAN и групата незащитени компютри друга локална мрежа, в случай, когато не е необходимо да се защити трафик от всички компютри в мрежата за пренос на отворена глобална мрежа;

-Тя осигурява тунелиране от целия трафик между IP-мрежата от защитени от защитена връзка между VipNet [координатори] от UDP протокол;

-гарантира сигурно управление на мрежата рутери (Cisco и др.) чрез използване на технология обратна тунел.

-Firewall - осигурява филтриране на IP трафик от всички източници, извън виртуалната частна мрежа и източниците на трафик, който се прокарват тунел, в съответствие с дадена политика на сигурност; ако имате няколко мрежови интерфейси, тя дава възможност за всеки един от тях има свой собствен набор от правила за филтриране, така че можете да използвате VipNet [координатор] multiinterface като защитна стена за разделяне на локалната мрежа на множество сегменти с различни начини за сигурност.

- Сървър "отворен Интернет" - в този режим VipNet [координатор] е зададен в точката на свързване на локалната мрежа към Интернет, и осигурява филтриране и тунели (криптиране) отворен трафик за доставка на компютърна мрежа с монтиран компонент по него VipNet [Client]. В резултат на това "потенциално опасни" открит трафик, както и работа с компютъра ще бъде "изолиран" от други компютри в локалната мрежа.

Функционалност VipNet [Координира] определя от центъра за управление на мрежата и да ги директории и таблици за маршрутизация формира.

множество VIPnet [координаторите] може да бъде разположен в виртуална мрежа, взаимодействащи помежду си. В този случай, те могат да бъдат организирани с излишък да се подобри надеждността разгърнати VPN мрежа.

VipNet [Client] - предпазва данни по време на предаването на мрежата, както и защита срещу достъп до компютърни ресурси и атаки от локални и глобални мрежи.

Така VipNet [Client] може да се настрои към работната станция (мобилен, дистанционно, местно) и на различни видове сървъри (бази данни, файлови сървъри, WWW, FTP, SMTP, SQL, и т.н.) За да се осигури безопасно начини на употреба.

-Personal Firewall - помага за предпазване на компютъра от неупълномощен достъп, както от общата и локалната мрежа:

-контрол на достъпа до компютърни данни от LAN или WAN;

-предоставяне на режим на свързаност с други отворени възли LAN или WAN само стартираното от потребителя, в което компютъра на потребителя е "невидим" за откритите възли на локални и глобални мрежи (Stealth технологии), което премахва възможността за изготвяне по инициатива на външната страна на всички възможни програма "шпиони";

-образуват "черен" и "бели" списъци на отворени възли на мрежата, които могат да бъдат съответно "забранено" или "позволено";

-изпълнява филтриране трафик по вид услуги и протоколи, свързани с даден възел към други възли защитени;

-мониторинг на дейността на мрежови приложения на компютъра, където сте инсталирали VipNet [Client], което позволява време за откриване и блокиране на дейността на незаконно монтирани и работещи в момента програми "шпионски", която може да предава на атакуващите информация за обработваната информация на компютъра (пароли, кредитни данни карти, документи за самоличност за достъп до корпоративни бази данни и др ..).

Подсистема за създаване сигурни връзки между компютри, оборудвани VipNet [Client] позволява:

-блок шифрованите пакети в нарушение на тяхната цялост, превишаване допустимата разлика между изпращане време и текущото време (защита на повторения) или, когато е невъзможно за удостоверяване на пакета;

-организиране на схема за сигурността при използването на всички видове уеб-базирани приложения, включително уеб-търговия, уеб-поръчка, уеб-хостинг, уеб-излъчване и т.н. с достъп до уеб-платформа, на която VipNet [Client], само определен списък на участниците VPN;

- използването на евтини и широко достъпни мрежови дялове отворена мрежа за предаване на поверителна информация.

-предаване на електронни съобщения, за да отворите канали за комуникация със защита на всички маршрута от подателя до получателя, със стандартен SMTP / POP3 сървър може да се използва като открит канал;

-заедно с самото съобщение за защита на файловете, свързани с него;

-организиран от установените правила защитени avtoprotsessing стандартни документи "родени" от други приложения и системи за управление на бизнеса (счетоводство, банково дело, управление, и т.н.);

-за търсене на документа в базата данни на поща за най-различни документи, настройки (подател, получател, тема, дата, час, контекст и т.н.);

-проверка на самоличността на подателя, като се използва електронен подпис, вграден в системата на обща сигурност;

-За да изпратите съобщение само за тези получатели, за които е предназначен, и автоматично да изпрати копие от съобщения на компонентите, описани в НЗК, ако е необходимо;

-потвърди получаването и използването на съобщенията, както и датата и часът на получаването и на получателите на личността;

-да извърши преброяване на съобщения.

Технически характеристики на комплекса:

- Броят на обекти, които могат да бъдат регистрирани в една и съща мрежа, практически неограничен (до 65000 координатори за 65 000 абонати сайтове в един-единствен координатор).

-Изпълнение на движението за защита на шофьорите, в зависимост от операционната система и компютърна мощност - от 6 до 32 Mbit / сек.

-За да се разтоварят процесори мрежа сървър за увеличаване на капацитета до 60-96 Mbit / сек в тях може да бъде инсталирана PCI борда VipNet-Turbo 100.

19.2. Комплексни решения компания "Сигнал-COM"

На компанията продукти "Сигнал-COM" включва широк спектър от хардуер и софтуер и инструменти за разработване на защитени информационни системи и създаването на VPN (Virtual Private Network):

-Сертифицирани прилагане на електронен подпис алгоритъм, съответстващ на Федералния закон "За електронен цифров подпис";

-криптографска библиотека в подкрепа на българските и международни криптографски стандарти;

-Сертифициране на Център за администриране на връстници и йерархични системи с отворен разпределение на криптографски ключове, базирани на цифрови сертификати X.509;

-софтуерен пакет за сигурни електронни системи за управление на документи, уеб-базирани приложения и електронна поща;

-защитни стени с функции на криптографска защита на трафика, базирани на протокола SOCKS, SSL / TLS, IPsec.

Основният компонент на всички комплекс (специализиран) фирма прави библиотека от криптографска трансформация "Крипто-COM 3.0". Не се доставя като краен продукт независима, и се използва като заверено kriptoyadra вграден в криптографска библиотека на високо ниво ( "Message-ПРО", "SSL-ПРО", "PKI-ПРО") защита и приложен софтуер на данни ( "Интер- ПРО "," Mail-ПРО "," Нотариус-ПРО "," Офис-PRO "и т.н.).

Crypto-COM 3.0 - средства за криптографска защита на информацията

Средства за криптографска защита на информацията (CIPF) "Крипто-COM 3.0" е предназначена да осигури гарантирана защита на информацията при нейното съхранение, обработка и предаване чрез отворени канали за комуникация.

CIPF "Крипто-COM 3.0" има сертификати FAGCI СФ / 124-0476 и SF / 124-0477 на 06.10.01, доказващи, че ЦПС отговаря на изискванията на българските държавни стандарти в областта на криптографска защита на информацията, ГОСТ 28147-89, ГОСТ Р 34.10-94 ГОСТ Р 34.11-94, изискванията за устойчивост FAGCI CIPF и могат да бъдат използвани за предоставяне на информация ниво на сигурност KC1 и КС2 не съдържа данни, съставляващи държавна тайна.

Съставът на CIPF "Crypto-COM 3.0" включва:

-Хардуерно софтуер комплекс (ПАК) Kriptomenedzher - служи като център за управление на ключове система (CMC), като част от Стратегията за партньорство; Тя осигурява формирането, регистрация, подновяване, регистрирането и съхраняването на основните потребители на документи; за генериране на ключовата информация, използвайки защитения хардуер генератор на случайни числа (RNG) от устройството за криптографска защита (UKZD) "Криптон-4K / 16" на фирма "ANKAD" или повече негови последните модификации FAGCI сертифицирани.