 |
Средства криптографической защиты информации
|
|
|
|
Криптографическая защита информации обеспечивается с помощью устройств КРИПТОН. Устройства криптографической защиты данных (УКЗД) серии КРИПТОН — это аппаратные шифраторы для PC-совместимых компьютеров. Устройства применяются в составе средств и систем криптографической защиты данных для обеспечения информационной безопасности (в том числе защиты с высоким уровнем секретности) в государственных и коммерческих структурах. Они гарантируют защиту информации, обрабатываемой на персональном компьютере и/или передаваемой по открытым каналам связи.
Изделия выполнены в виде плат расширения PCI и PCIe для персонального компьютера.
Устройства КРИПТОН разработаны, производятся и реализуются Фирмой АНКАД. Они построены на разработанных Фирмой АНКАД специализированных 32-разрядных шифрпроцессорах серии БЛЮМИНГ.
Основные возможности:
1. Шифрование информации (файлы, группы файлов и разделы дисков), обеспечивая их конфиденциальность.
2. Блокировка запуска компьютера в случае отсутствия передачи управления.
3. Защита от НСД к ключевой информации (КИ).
4. Работа с прикладным ПО других производителей через универсальный интерфейс Crypton API.
Кроме того, данные устройства имеют следующие возможности:
1. Обеспечение создания прозрачных шифруемых логических дисков с использованием программных решений Фирмы АНКАД, а также для пограммного обеспечения других производителей через единый интерфейс работы с шифраторами Crypton API.
2. Формирование криптографически защищенных виртуальных сетей, шифрование IP-трафика и обеспечение защищенного доступа к ресурсам сети мобильных и удаленных пользователей.
3. Автоматическое тестирование при каждом включении питания.
|
|
|
4. Создание систем защиты информации от несанкционированного доступа и контроля целостности информационных ресурсов.
Антивирусное программное обеспечение
Для того чтобы обезопасить компьютерную сеть от заражения компьютерными вирусами, необходимо выявить и контролировать все возможные каналы их проникновения в сеть:
1. Проникновение вирусов на рабочие станции с помощью зараженных переносимых источников, например флоппи-дисков.
2. Заражение вирусами с помощью бесплатного инфицированного программного обеспечения, полученного из Internet.
3. Заражение вирусами, инициированное удаленными зараженными серверами или рабочими станциями, подсоединенными к корпоративной сети.
4. Инфицирование с помощью зараженной электронной почты, содержащей в приложениях файлы Excel и Word и т.д.
По мнению специалистов в области безопасности компьютерных сетей, современные системы антивирусной защиты Internet/Intranet должны удовлетворять следующим основным требованиям и иметь функциональные возможности:
1. Возможности обнаружения вирусов.
2. Возможность обнаружения деструктивного кода типа: «троянский конь», ActiveX, Java.
3. Готовность быстрого реагирования на появление новых видов угроз.
4. Обслуживание и поддержка.
5. Исчерпывающий список защищаемых точек возможного проникновения вирусов.
6. Управляемость.
7. Производительность системы.
8. Автоматическое распространение и обновление.
Суть этих требований сводится к определению двух основных принципов построения систем антивирусной защиты. Это – комплексный подход к созданию системы антивирусной защиты и централизованное управление антивирусной защитой.
Комплексное решение построения антивирусной защиты требует использования антивирусных программных средств, обеспечивающих полный функциональный ряд для защиты корпоративной сети с возможностью их автоматизированного сопровождения и администрирования.
|
|
|
В качестве комплексного решения антивирусной защиты вычислительной сети был выбран Антивирус Касперского Business Optimal ведущей российской антивирусной компании – «Лаборатории Касперского».
Антивирусные продукты, входящие в поставку, «Kaspersky Endpoint Security для бизнеса расширенный», предоставляют высокоэффективные технологии и инструменты обеспечения IT-безопасности для построения системы многоуровневой защиты. Технологии сканирования сети на наличие уязвимостей и управления установкой исправлений устраняют уязвимости в операционных системах и приложениях, а технология шифрования данных обеспечивает защиту конфиденциальной информации в случае попытки несанкционированного доступа к данным. О беспечивается надежный контроль над всеми потенциальными источниками проникновения компьютерных вирусов. Данные продукты используются на рабочих станциях (DOS, Windows 95/98/ME, Windows 2000/NT Workstation, OS/2, Linux), файловых серверах (Windows NT Server, Linux, Novell NetWare, FreeBSD, BSDi) и почтовых системах (MS Exchange Server, Lotus Notes, Sendmail, Qmail, Postfix), CVP-совместимых межсетевых экранах (Check Point FireWall-1), Web-серверах. Удобные средства централизованной установки и управления дают возможность максимально автоматизировать антивирусную защиту компьютеров и вычислительных сетей.
В состав комплексного решения входят:
1. Kaspersky Security Center (включая Управление мобильными устройствами и Systems Management).
2. Kaspersky Endpoint Security для Windows (для рабочих станций).
3. Kaspersky Endpoint Security для Windows (для файловых серверов).
4. Kaspersky Endpoint Security для Linux.
Межсетевое экранирование
На сегодняшний день межсетевые экраны в чистом виде встречаются довольно редко. Чаще всего, кроме функций фильтрации трафика, устройства включают в себя различные дополнительные возможности по контролю содержимого (content filtering), трансляции сетевых адресов (NAT), организации виртуальных частных сетей (VPN), обнаружению наиболее распространённых атак (IDS) и другие.
Российский рынок в настоящее время изобилует различными средствами защиты информации как отечественного, так и зарубежного производства. Однако следует отметить тот факт, что зарубежные средства обладают двумя серьезными недостатками. Во-первых, это высокая стоимость (в 1,5-2 раза выше, чем отечественные средства), что вызвано более высокой себестоимостью и дополнительными расходами на транспортировку и таможенные сборы. Во-вторых, основная масса средств защиты информации основана на криптографическом преобразовании данных, а в ряде стран, в том числе и в США, которые являются основным импортером данной продукции, существует ряд ограничений на вывоз криптосредств с высоким уровнем стойкости.
|
|
|
На российском рынке можно отметить следующие межсетевые экраны (с различными функциями):
1. Cisco PIX Firewall компании Cisco Systems (аппаратно-программный).
2.CheckPoint Firewall-1 компании CheckPoint (программный, функционирующий под управлением операционных систем Windows NT, Solaris, HP UX и AIX).
3. CyberGuard Firewall компании Cyberguard Corporation (программный, функционирует под управлением ОС Windows NT и UnixWare).
4. ФПСУ-IP - разработка ООО «АМИКОН» (аппаратный комплекс);
5.Z-2 компании «Инфосистемы Джет» (программный комплекс, функционирующий под управлением ОС Solaris).
6. VipNet OFFICE FIREWALL компании «Инфотекс» (программный);
7.Континент-К - разработка НИП «Информзащита» (аппаратно-программный комплекс).
8. «Застава» - разработка компании «Элвис+» (программный комплекс, предназначен для работы в ОС Solaris).
9. «Застава-Джет» компании «Инфосистемы Джет» (аппаратно-программный комплекс, использующий платформу Solaris) и др.
При выборе межсетевого экрана было учтено следующее:
1.Проанализировав потребности органа муниципального управления в Интернет, было принято решение организовать доступ в глобальную сеть со специально выделенных рабочих мест в каждом отделе (пользователи внутренней ЛВС доступ в Интернет иметь не должны).
2. Нет необходимости в средстве с функциями VPN.
3.Необходимо создать демилитаризованную зону (для размещения почтового сервера), то есть межсетевой экран должен поддерживать как минимум 3 сетевых интерфейса.
4.Необходимо наличие у продукта сертификата (не ниже 4 класса защищенности).
Исходя из этого, для защиты сети органа муниципального управления был выбран VipNet Office Firewall - разработка ОАО «ИнфоТеКС».
|
|
|
ViPNet Office Firewall 4.1 — программный межсетевой экран, предназначенный для контроля и управления трафиком и преобразования трафика (NAT) между сегментов локальных сетей при их взаимодействии, а также при взаимодействии узлов локальных сетей с ресурсами сетей общего пользования.
Основные возможности программы:
1.Использование технологии MSI для установки ПО ViPNet.
Для программы ViPNet Office Firewall версии 4.1 разработан установочный пакет, который позволяет устанавливать программу с использованием Microsoft System Center, а также с помощью программ, обращающихся к командной строке Windows для запуска автоматической установки ViPNet Office.
2.Динамическая и статическая трансляция сетевых адресов (NAT).
Динамическая трансляция сетевых адресов позволяет работать множеству внутренних клиентов под одним внешним IP-адресом.
Реализована также статическая трансляция сетевых адресов, что позволяет публиковать во внешней сети (Интернете) серверы, находящиеся во внутренней сети, например, почтовый сервер, веб-сервер, FTP-сервер.
Трансляция сетевых адресов доступна также и для протоколов, отличных от TCP, UDP и ICMP.
3.Автоматическая настройка фильтров антиспуфинга.
При включении антиспуфинга соответствующие фильтры формируются автоматически на основе таблицы маршрутизации данного сетевого узла.
4. Возможность использования экранной клавиатуры для аутентификации.
5.Специальные правила обработки IP-трафика от приложений, использующих протоколы FTP, DNS, H.323, SCCP, SIP.
Специальная функция обработки прикладных протоколов обеспечивает активацию разрешающего сетевого фильтра для дополнительного соединения на случайно выбранный порт, открываемый прикладным протоколом.
6. Использование групп объектов.
Группы объектов — это средство, позволяющее упростить создание сетевых фильтров и правил трансляции адресов в программе ViPNet Office Firewall. Они объединяют несколько значений одного типа и могут быть заданы при настройке параметров фильтра или правила вместо отдельных объектов.
7. Фильтрация широковещательных IP-пакетов по адресам отправителя.
Можно фильтровать широковещательные IP-пакеты по адресам конкретных отправителей.
8. Работа сетевых фильтров по расписанию.
Реализована возможность применения правил фильтрации по заранее заданному расписанию, позволяющая гибко управлять и ограничивать расходы на оплату каналов связи.
9. Журнал регистрации IP-пакетов и преобразования сетевых адресов (NAT).
В программе реализованы средства регистрации и отображения результатов (событий) обработки IP-пакетов. Поддерживается автоматическая архивация журналов и экспорт данных в формат html или MS Excel.
|
|
|
10. Создание нескольких конфигураций и быстрое переключение.
Реализована возможность создавать различные конфигурации с разными наборами фильтров и оперативно переключаться между ними.
Резервирование информации
Методом защиты целостности информации на случай взлома является создание резервной копии. Частота создания резервных копий определяется важностью и объемами поступления новой информации. При этом важно учитывать, что методы защиты резервных копий данных и программ должны не уступать методам защиты основного источника информации.
Резервные копии не рекомендуется хранить в одном помещении с серверами. Часто об этом забывают и в результате, защитившись от информационных атак, фирмы оказываются беззащитными даже перед небольшим пожаром, в котором предусмотрительно сделанные копии гибнут вместе с серверами.
Для создания резервных копий предполагается в том числе использование специализированного программного обеспечения Acronis Backup 11.5.
|
|
|
