19 ianuarie pachetul software VipNet

Fig. 56. Structura instrumentelor complete de prelucrare a proteja rețeaua corporativă

19.1. Pachetul de software VIPnet

Numirea. Tehnologia VipNet este destinat să creeze un sistem coerent de relații de încredere și funcționare sigură a mijloacelor tehnice de informare și resurse pentru rețelele corporative, care interacționează cu resurse tehnice externe și a resurselor informaționale.

Metoda. crearea unei rețele de companie de infrastructură integrate de telecomunicații protejate mediu virtual. care cuprinde următoarele componente:

-firewall-uri distribuite de sistem și firewall-uri personale, protejarea resurselor de informații și utilizatorii din ambele atacuri de rețea externe și interne.

-Distribuit firewall de sistem și de criptare a traficului personal orice sistem de operare și aplicații, care garantează integritatea și confidențialitatea informațiilor, atât pe comunicațiile interne și externe, precum și asigurarea accesului concurent la resurse tehnice și informaționale.

-Sistemul de semnătură digitală și criptare la informații referitoare la nivelul de aplicare asigură autenticitatea și valoarea juridică a documentelor și acțiunea angajată.

-Sistemul este transparent pentru aplicațiile de criptare a datelor de program menținând în același timp datele menționate în aceste aplicații de pe rețea și hard disk-ul local, alte medii de stocare și lipsa furnizării informației de integritate pentru utilizarea neautorizată în timpul depozitării acestuia.

-monitorizarea comunicațiilor și a sistemului de control, drepturile și puterile protejate se opune rețelei corporative, oferind gestionare automată a politicilor de securitate într-o rețea corporativă.

- Stabilirea distribuite-informații independente de rețea corporativă circuite virtuale private, inclusiv ambele computere individuale și segmente de rețele, pentru operarea într-un singur mediu de telecomunicații practicile de confidențialitate diferite sau în scopul problemelor de informare.

-Protecția rețelelor locale în general, segmentele lor sau computere individuale și alte echipamente de la accesul neautorizat și diverse atacuri, atât din rețelele interne și extern.

-Suport pentru operarea în siguranță a utilizatorilor de telefonie mobilă și de la distanță de pe rețeaua corporației.

-Organizația pentru Securitate LAN stațiilor de lucru individuale ale acestor rețele la Internet și resursele deschise pentru a elimina riscul de atac de pe Internet la întreaga calculatoarele din rețea locală printr-o rețea locală conectată la resursele publice.

-Protecția (confidențialitatea, autenticitatea și integritatea) de orice tip de trafic care urmează să fie transferate între oricare dintre componentele rețelei: stații de lucru (mobil, de la distanță, locale), servere, dispozitive de rețea și noduri. Apoi devine disponibil pentru preluare de la rețea, inclusiv membri VPN, precum și orice informații de parole de diferite aplicații, baze de date, servere de mail, etc., care crește în mod semnificativ siguranța sistemelor de aplicare.

-Traficul de control de protecție pentru sistemele de rețea de la distanță de management și obiecte :. Routere, firewall-uri, servere, etc., precum și de control de la distanță în sine înseamnă împotriva posibilelor atacuri din rețeaua globală sau corporate.

-Controlul accesului la orice nod (stație de lucru, server, router, etc.) și segmentul de rețea (rețea locală LAN segment, segmentele de bandă ale rețelei, etc.), inclusiv traficul de filtrare pentru fiecare nod separat, cu un set standard și setări individuale.

-Protecția împotriva resurselor neautorizate de informații de acces ale unei rețele corporative, stocate pe stațiile de lucru (mobil, de la distanță și locale), servere (WWW, FTP, SMTP, SQL, servere de fișiere, etc.) și alte tipuri de acces la grupul de stocare.

-Organizarea de funcționare în condiții de siguranță a membrilor VPN cu grupul comun de informații și / sau a resurselor informaționale corporative.

-Autentificarea utilizatorului și facilități de rețea ca VPN prin utilizarea unui sistem cu cheie simetrică și prin utilizarea infrastructurii de chei publice (PKI) și standardul de certificat X.509.

-Gestionarea operațională a VPN-rețelei distribuite (inclusiv un sistem de firewall-uri distribuite) și politica de securitate a informațiilor în rețea dintr-o locație centrală, cu posibilitatea de a delega competențele administratorilor locali.

-Excluderea posibilității utilizării capacităților nedeclarate ale sistemelor de operare și aplicații pentru a efectua atacuri de tip phishing, furtul cheilor secrete și parole de rețea.

Software-ul complex:

-ViPNet-conducător auto, care interacționează direct cu driverul de interfață de rețea și pentru a asigura independența programului de sistemul de operare și aplicațiile sale. Monitoarele pilotului toate IP-trafic care vine în și în afara computerului și efectuează filtrarea acestuia asupra mai multor parametri și, dacă este necesar - criptarea și încapsulare.

-core criptografic „domeniu de-K“, criptează toate de trafic IP între calculatoare folosind algoritmul recomandat de GOST 28147-89, precum și, dacă este necesar, de către alți algoritmi (DES, 3DES, RC6). În același timp, a făcut încapsularea tuturor tipurilor de IP-pachete într-un singur tip de UDP-format, care ascunde complet structura schimbului de informații.

ViPNet [Administrator] - creează o infrastructură logică a politicii de securitate a rețelei virtuale îl definește, monitorizează și gestionează obiecte de rețea. Generează o informație cheie simetrică și informațiile parolei pentru instalațiile rețelei primare, produce certificate publice-cheie pentru entitățile de rețea. Acesta include programe:

-Centrul de Control Network (NCC) - un centru de înregistrare și este proiectat pentru a configura și administra o rețea virtuală, rezolvă următoarele probleme.

-Specifică nodurile de rețea, grupurile de utilizatori și utilizatorilor în ele.

-Acesta definește politica de securitate standard și distribuția de autoritate valabilă de utilizatori și administratori locali pe nodurile specifice pentru a schimba politica de securitate pentru aceste unități.

-Ea determină accesul calculatoarelor specifice în rețeaua locală la resursele publice de Internet și alte rețele externe. În acest caz, o tehnologie specială permite în timpul accesului la traficul de rețea externă blocarea oricare dintre aceste calculatoare cu toate resursele rețelei locale și a obiectelor de rețele virtuale.

-În conformitate cu afaceri specificate și politica de securitate formează un acces adecvat la site-uri directoare și ghiduri de link-uri valide pentru centre-cheie.

-Oferă livrare și livrarea sigură de control automat la unitățile dislocate directoare de acces, informații cheie de la KC modificate (chei simetrice, certificate de utilizator, certificate, anunțuri, derivate din acțiunile centrelor cheie ale certificatelor alte rețele VIPnet, etc ..).

-Asigură comunicarea cu TsUSami alte rețele virtuale VIPnet liste de obiecte ale rețelelor lor, care trebuie să interacționeze unii cu alții. Acesta produce un acord comun cu aceste TsUSami legături de interconectare admisibila dintre obiecte de rețea. Acesta prevede certificatele de schimb fundamentale ale acestor rețele, lista certificatelor, derivate din acțiune.

-Efectuează automat actualizare software ViPNet pe obiecte de rețea de la distanță.

-formarea și actualizarea automată prin centrul de control al rețelei simetrice informații cheie de informații și parola pentru obiectele primare și utilizatorii rețelei;

-acționând în calitate de autoritate de certificare a certificatelor de semnătură digitală.

ViPNet [coordonator] - traseul de administrare a rețelelor de mesaje securizate e-mail și în interacțiunea obiectelor între ele și VIPnet [Administrator].

-efectuează tunelurilor de pachete cu servicii VIPnet [coordonator] grupuri de rețea de calculatoare neprotejate pentru transmiterea de trafic de la ei la alte obiecte din VPN-ul este criptat de către public la Internet / Intranet;

-Se filtrează traficul din surse care nu sunt o parte a VPN, în conformitate cu politica de securitate definită (funcția firewall);

-Acesta oferă posibilitatea de a lucra protejate prin tehnologia ViPNet rețea de calculatoare prin intermediul firewall-uri și servere proxy de la alți producători.

-Mail Server - oferă plicuri de rutare, precum și controlul mesajelor TsUSa în rețeaua de interacțiune a obiectelor unul de altul.

-Acesta vă permite să organizeze protecția traficului între LAN-uri, și este utilizat atunci când nu există nici o necesitate de control al accesului în interiorul fiecăruia dintre rețelele locale care fac parte din rețeaua virtuală. Permite cripta de asemenea, traficul între calculatoare de grup neprotejate LAN și grupul de calculatoare audio neprotejate un alt LAN, în cazul în care nu este necesar pentru a proteja traficul de pe toate computerele din rețea pentru transmiterea într-o rețea globală deschisă;

-Acesta oferă tunelurilor de traficul între rețeaua IP protejată printr-o conexiune sigură între ViPNet [Coordonatori] UDP-protocol;

-asigură sigure routere rețea de management (Cisco et al.), prin utilizarea tehnologiei tunel inverse.

-Firewall - oferă o filtrare a traficului IP din toate sursele din afara VPN și sursele de trafic care sunt tunelizate, în conformitate cu o politică de securitate dat; dacă aveți mai multe interfețe de rețea, permite pentru fiecare dintre ele având propriul set de reguli de filtrare, astfel încât să puteți utiliza ViPNet [coordonator] multiinterface ca un firewall pentru a separa rețeaua LAN în segmente multiple cu diferite moduri de securitate.

- Server „internet deschis“ - în acest mod ViPNet [coordonator] este setat în punctul de conectare a rețelei locale la Internet, și oferă o filtrare și de trafic deschis tunelare (criptare) pentru livrarea la o rețea de calculatoare cu o componentă instalată pe ea ViPNet [Client]. Ca urmare, potențial de trafic în aer liber „periculoase“, precum și lucrul cu calculatorul acesta va fi „izolat“ de la alte computere din rețeaua locală.

Funcționalitate ViPNet [Coordonata] determinată de către centrul de management al rețelei și să le directoare și tabele de rutare formate.

o pluralitate ViPNet [coordonatori] poate fi stabilită într-o rețea virtuală, care interacționează unele cu altele. În acest caz, ele pot fi aranjate cu redundanță pentru a îmbunătăți fiabilitatea dislocat VPN-rețea.

ViPNet [Client] - protejează datele în timpul transmisiei la rețea, precum și protecția împotriva accesului la resurse informatice și a atacurilor din rețelele locale și globale.

Astfel, ViPNet [Client] poate fi setat la stația de lucru (mobil, de la distanță, local) și pe diferite tipuri de servere (baze de date, servere de fișiere, WWW, FTP, SMTP, SQL, etc.) Pentru a asigura condiții de siguranță moduri de utilizare.

-Personal Firewall - ajută la protejarea computerului împotriva accesului neautorizat atât la nivel mondial și rețeaua locală:

-de control al accesului la date informatice dintr-o rețea LAN sau WAN;

-oferind conectivitate modul cu alte noduri deschise LAN sau WAN numai inițiată de utilizator, în care calculatorul utilizator este „invizibil“ la nodurile deschise rețelelor locale și globale (stealth), ceea ce elimină posibilitatea de a rula la inițiativa afara tuturor posibil program de „spioni“;

-formează un „negru“ și liste „albe“ de noduri deschise de rețea, care poate fi un mod corespunzător „interzise“ sau „permise“;

-efectua filtrarea traficului în funcție de tipul de servicii și protocoale asociate cu un nod dat la alte noduri protejate;

-monitorizează activitatea aplicațiilor în rețea pe computer în cazul în care ați instalat ViPNet [Client], care permite timp pentru a detecta și bloca activitatea de instalate ilegal și rulează programe „spyware“, care poate transmite atacatorii informații cu privire la informații prelucrate pe calculator (parole, date de credit carduri, ID-uri de acces la baze de date corporative, etc ..).

Subsistemul stabilirea de conexiuni securizate între computere echipate ViPNet [Client] permite:

-bloc criptat pachete în încălcarea integrității lor, a depășit diferența admisă între trimiterea de timp și ora curentă (protecția reîncercãri) sau când este imposibil să se autentifice pachetului;

-organizează utilizarea sigură a sistemului de toate tipurile de aplicații bazate pe web, inclusiv web-tranzacționare, Web-ordonare, Web-hosting, web-radiodifuziune, etc. cu acces la web-platforma, pe care VIPnet [Client], doar o anumită listă a participanților VPN;

- utilizarea pe scară largă necostisitoare și accesibile acțiuni de rețea de rețea deschisă pentru transmiterea informațiilor confidențiale.

-transmite mesaje electronice pentru a deschide canalele de comunicare cu protecție pe tot traseul de la expeditor la destinatar, cu un server SMTP standard / POP3 poate fi folosit ca un canal deschis;

-împreună cu mesajul în sine pentru a proteja fișierele atașate acestuia;

-organizat de regulile stabilite protejate avtoprotsessing documente standard „născute“ de către alte aplicații și sisteme de management al afacerilor (contabilitate, servicii bancare, management, etc.);

-pentru a căuta documentul în baza de date e-mail pentru o varietate de documente setări (expeditor, destinatar, subiect, data, ora, context, etc.);

-să verifice identitatea expeditorului, utilizând o semnătură electronică încorporat într-un sistem comun de securitate;

-pentru a trimite un mesaj numai acelor destinatari pentru care a fost destinat, în mod automat și trimite o copie a mesajelor pe componentele specificate în NCC, dacă este necesar;

-confirmă primirea și utilizarea mesajelor, precum și data și ora primirii, și destinatarii individului;

-pentru a efectua o enumerare a mesajelor.

Caracteristici tehnice ale complexului:

- Numărul de obiecte care pot fi înregistrate în aceeași rețea, practic nelimitată (până la 65000 coordonatori la 65000 site-uri de abonat pe un singur coordonator).

-Performanța a traficului pentru a proteja conducătorii auto, în funcție de sistemul de operare și puterea de calculator - de la 6 până la 32 Mbit / s.

-Pentru a descărca procesoare de server de rețea pentru a crește capacitatea de până la 60-96 Mbit / s în ele pot fi instalate PCI-bord ViPNet-Turbo 100.

19.2. companie de soluții complexe „Signal-COM“

Compania de produse „Signal-COM“ include o gamă largă de hardware și software și instrumente pentru dezvoltarea sistemelor informatice securizate și crearea de VPN (Virtual Private Network):

-punerea în aplicare certificată a algoritmului semnăturii electronice corespunzătoare Legea federală „Cu privire la semnătura digitală“;

-biblioteci criptografice care acceptă standarde criptografice românești și internaționale;

-Centrul de certificare pentru a administra la egal la egal și a sistemelor ierarhice cu distribuirea deschisă de chei criptografice bazate pe certificate digitale X.509;

-suita de software pentru sisteme electronice sigure de management al documentelor, aplicatii bazate pe web și e-mail;

-firewall-uri cu funcții de protecție criptografică a traficului, bazate pe protocolul SOCKS, SSL / TLS, IPSec.

Componenta principală a tuturor comlex (specializat) este de a face o bibliotecă de transformare criptografică „cripto-COM 3.0“. Acesta nu este livrat ca produs final independent, și este folosit ca un kriptoyadra certificat încorporat într-o bibliotecă criptografic de nivel înalt ( „Message-PRO“, „SSL-PRO“, „PKI-PRO“) protecția și software de aplicație de date ( „Inter- PRO "" Mail-PRO "" Notar-PRO "" Office-PRO“etc.).

Cripto-COM 3.0 - mijloace de protecție criptografică a informațiilor

Mijloace de protecție criptografică a informațiilor (CIPF) „cripto-COM 3.0“ este conceput pentru a oferi o protecție garantată de informații atunci când depozitarea, procesarea și transmiterea prin canale de comunicare deschise.

CIPF „Crypto-COM 3.0“ are certificate FAGCI SF / 124-0476 și SF / 124-0477 pe 10/06/01, dovedind că CPS îndeplinește cerințele standardelor de stat din România în domeniul protecției criptografice a informației, GOST 28147-89, GOST R 34.10-94 GOST P 34.11-94, cerințele privind rezistența la FAGCI CIPF și pot fi utilizate pentru informații nivelul de securitate KC1 și KC2 care nu conțin date care constituie secrete de stat.

Compozitia CIPF "Crypto-COM 3.0" include:

-complex hardware-software (PAK) Kriptomenedzher - servește ca un centru de gestionare a cheilor de sistem (CMC), ca parte a CPS; Acesta asigură formarea, înregistrarea, reînnoirea, înregistrarea și stocarea utilizatorilor cheie ale documentelor; pentru generarea informațiilor cheie folosind hardware-ul securizat generator de numere aleatorii (RNG) din dispozitivul de protecție criptografică (UKZD) „kripton-4K / 16“ al companiei „ANKAD“ sau mai multe modificări sale recente FAGCI certificate.