Сзи от побочных электромагнитных излучений и наводок (пэмин)

СЗИ ОТ ПОБОЧНЫХ ЭЛЕКТРОМАГНИТНЫХ ИЗЛУЧЕНИЙ И НАВОДОК (ПЭМИН)

 

Система защиты от ПЭМИН

Как и большинство проблем в сфере информационной безопасности, проблема защиты от утечки информации за счет ПЭМИН носит комплексный характер. Для ее успешного решения необходимо организовать систему защиты, включающую комплекс организационных и технических мероприятий. В целом данная система объединяет три основных направления (см. рис. 12.1):

-“профилактическое”, включающее меры по снижению вероятности возникновения угрозы утечки информации за счет ПЭМИН;

-”диагностическое”, предназначенное для получения реальной картины ПЭМИН на объекте;

-”лечебное”, включающее меры по недопущению утечки информации по данному каналу.

Мероприятия по снижению вероятности возникновения угрозы утечки информации за счет ПЭМИН включают:

-грамотное проектирование зданий и коммуникаций (инженерные методы защиты от ПЭМИН);

-использование сертифицированных ТС обработки информации.

Мониторинг реальных уровней и спектра ПЭМИН на объекте информатизации предполагает осуществление периодического технического контроля уровней ПЭМИН на границе контролируемой зоны и (или) непосредственно вблизи проверяемого ТС (с последующим расчетом радиуса опасной зоны).

Блокирование возможности утечки информации за счет ПЭМИН включает:

-меры по поиску источников ПЭМИН и минимизации их уровней;

-меры по недопущению съема ПЭМИН за пределами контролируемой зоны (применение методов экранирования, зашумления и фильтрации).

 

Методы снижения вероятности возникновения угрозы утечки информации за счет ПЭМИН

Как было отмечено ранее, данные методы используются для “профилактики” объекта информатизации, т.е. для минимизации вероятности появления угрозы утечки информации за счет ПЭМИН.

Грамотное проектирование зданий и коммуникаций включает в себя:

-размещение вспомогательных технических средств (ВТС) (телефонных аппаратов, элементов системы оповещения, датчиков сигнализации и т.п.) за пределами зоны, в которой возможно создание электромагнитными излучениями основных технических средств (ОТС) наводок информативного сигнала на ВТС;

-размещение телефонных линий, сетей электропитания, сигнализации и других “распределенных антенн”, имеющих выход за границы контролируемой зоны, в местах, где не создаются наводки электромагнитных излучений ОТС;

-недопущение совместного пробега кабельных линий ВТС и кабелей локальных сетей ближе установленного расстояния;

-сосредоточение ОТС, обрабатывающих защищаемую информацию, как можно более компактно;

-оборудование помещений, в которых эксплуатируются ОТС, системой заземления, осуществляемой по схеме “ветвящегося” дерева, не имеющей замкнутых контуров;

-использование заземлителей с сопротивлением не более 4 Ом, расположенных в пределах контролируемой зоны на расстоянии не менее 10 м от ее границы и от подземных коммуникаций (водопровода, кабелей и т.п.), имеющих выход за пределы контролируемой зоны;

-применение экранированных сигнальных кабелей (для наиболее ответственных сегментов сетей – оптоволоконных);

-обеспечение электропитания ОТС от автономного источника питания, расположенного в пределах контролируемой зоны, (трансформаторной подстанции с заземленной нулевой точкой, системы “двигатель-генератор”).

Для того чтобы обеспечить установку на объекте информатизации ОТС с заведомо низким уровнем ПЭМИН, следует выбирать:

-ОТС, прошедшие специальную проверку и имеющие соответствующий сертификат;

-ОТС в защищенном исполнении;

-компоненты ОТС, произведенные по технологиям, не допускающим появления ПЭМИН с опасным уровнем (например, ЖК-мониторы, устройства с оптоволоконными каналами).

В качестве примера ОТС в защищенном исполнении можно привести ПЭВМ ЕС1855.М.01 (производство НИИЭВМ г. Минск), предназначенную для работы в защищенных локальных вычислительных сетях, организованных на основе оптоволоконных линий, в качестве сервера приложений, коммуникационного, терминального или файлового сервера под управлением различных операционных систем. В состав ПЭВМ входят: металлический корпус, системная плата Intel STL2, поддерживающая два процессора Intel Pentium III, оптический сетевой адаптер со скоростью обмена 100Мбит/с, встроенный видеомонитор на основе 15" ЖКИ панели.

 

Методы и средства блокирования возможности утечки информации за счет ПЭМИН

В случае обнаружения опасных уровней ПЭМИН, способных привести к утечке информации необходимо предпринять действия по их блокированию, т.е., снизить уровни ПЭМИН или создать помехи для их распространения. Для достижения данной цели проводят одно или несколько мероприятий с использованием пассивных и активных средств защиты от ПЭМИН. К пассивным методам защиты относятся фильтрация, экранирование и заземление, а к активным – пространственное или линейное зашумление. Рассмотрим возможные защитные мероприятия и применяемые средства.

1). Локализация компонентов СВТ - источников ПЭМИН (паразитных генераторов и антенн) и их последующая доработка или замена. В качестве методов доработки используются:

-удаление (если возможно) элементов конструкции, играющих роль антенны;

-экранирование сигнальных проводов и дополнительное заземление устройств;

-установка фильтров на сигнальные провода;

-подключение шунтирующих емкостей для гашения автоколебаний;

-экранирование плат устройств (сетевых, видеокарт и т.п.).

2). Экранирование помещений (частичное или полное). Данное мероприятие (особенно полное экранирование) является очень эффективным, хотя и ресурсоемким. Для защиты СВТ активно применялось до конца 80-х годов ХХ века, в настоящее время практически не используется.

3). Защита информационных кабельных систем. Кроме использования экранированных кабелей, практикуется также для гальванической развязки сегментов кабельной системы установка оптопар (двух преобразователей “витая пара – оптоволокно” с отрезком оптоволоконного кабеля между ними).

4). Установка специальных фильтров до границы контролируемой зоны на линии радиотрансляции, охранной и пожарной сигнализации, а также на линии электропитания (в комплексе с резделительными трансформаторами).

В качестве примера средства защиты от утечки информации по электросети приведем сетевой фильтр ФСПК-100, используемый для защиты информации от утечки по четырехпроводным сетям электропитания напряжением 220/380 В частоты 50 Гц с максимальным рабочим током 100 А ответственных объектов информатизации и связи, а также для подавления помех в питающей сети в диапазоне частот 20 кГц — 1000 МГц. Величина вносимого затухания по напряжению более 60 дБ. Ассортимент предлагаемых на рынке сетевых фильтров различается величиной допустимого тока нагрузки, полосой подавления наводок и величиной их затухания.

5). Применение систем пространственного зашумления (СПЗ) для создания шумового электромагнитного поля в районе размещения защищаемых ОТС и средств линейного электромагнитного зашумления линий электропитания, радиотрансляции, заземления, связи для создания шумовых напряжений в токопроводящих коммуникациях, имеющих выход за пределы контролируемой зоны. Генератор шума должен излучать шумоподобный сигнал (близкий к белому шуму) с достаточной мощностью, равномерно распределенной в диапазоне радиочастот от 100 кГц до 1 ГГц. Для организации пространственного зашумления требуется подключение к ГШ нескольких стационарных антенн для разных поддиапазонов.

Используемое оборудование:

-Гром-ЗИ-4 - комплексный генератор шума. Имеет три режима защиты от ПЭМИН:

-от утечки информации по радиоканалу

-по сети электропитания;

-от перехвата информации на абонентском участке телефонной линии ГАТС.
Все режимы могут использоваться независимо друг от друга.

-СПЗ: ГШ-1000М, SEL SP-21B1 “Баррикада-1”, Гном-3.

-Генератора шума по сети электропитания: «Соната-С1».

ПРОГРАММНЫЕ СЗИ В КС

 

Панель управления

Администрирование

Локальная политика безопасности

Параметры безопасности

Политика аудита:

-доступа к объектам

-входа в систему

-доступа к службе каталогов -изменения политики

-использования привилегий

-отслеживания процессов

системных событий

-управления учетными записями

Просмотр событий

Журнал приложений

Журнал безопасности

Журнал системы

Журнализируемые характеристики:

-Тип (уведомление, предупреждение, ошибка...)

-дата, время

-источник

-категория

-событие (код)

-пользователь, компьютер.

Поддержание работоспособности и восстановление после сбоев.

В ПСБ ОС Windows NT/2000 присутствуют следующие средства обеспечения данной функции:

Средства корректного управления ресурсами ПК и взаимодействием программ:

-подсистемы ядра и системные сервисы ОС.

Средства устранения “зависаний” программ и других тупиковых ситуаций:

-менеджер задач (вызывается по Ctrl-Alt-Del и может в большинстве случаев закрыть “зависшую” программу или корректно завершить работу ОС).

Встроенные утилиты обнаружения и исправления ошибок:

-утилиты сканирование и дефрагментация дисков.

Средства восстановления ОС после фатального сбоя:

-”откат” к предыдущей успешной загрузке (Last Known Good);

-загрузка в безопасном режиме работы (Safe Mode);

-загрузка в консоли восстановления (Recovery Console).

Средства создания аварийного дампа памяти.

К числу наиболее вероятных причин, по которым Windows NT перестает загружаться, следует отнести работу драйверов устройств. Это может произойти или сразу после установки нового драйвера, или после того, как драйвер нормально отработал некоторое время. И в том, и в другом случае нормальная последовательность загрузки прерывается аварийным остановом системы.

Если такая ошибка обнаруживается вслед за установкой нового драйвера во время первой перезагрузки системы еще остается возможность "откатиться" к конфигурации Last Known Good, что приведет к восстановлению ключа реестра HKLM\SYSTEM\CurrentControlSet1 в состояние, предшествовавшее сбою, когда система загружалась без проблем.

Если конфигурация Last Known Good не помогает, можно загрузиться с помощью системной дискеты в DOS и просто удалить или переименовать файл подозрительного драйвера (если система располагается в разделе FAT). Если же система располагается в разделе NTFS, остается либо использовать утилиты восстановления производства независимых компаний или же рядом с вышедшей из строя версией NT установить новую, загрузиться в нее и обратиться к диску NTFS.

В Windows 2000, которая также весьма чувствительна к поведению драйверов устройств, заимствована концепция Safe Mode из Windows 9x, в которой загрузочная конфигурация системы состоит из минимального набора необходимых драйверов и служб. Полагаясь только на необходимые для загрузки драйверы и службы, Windows 2000 тем самым избегает активизации драйверов от независимых компаний и других драйверов, которые могли бы привести к ее "обвалу".

Во время загрузки Windows 2000 следует нажать F8 для входа в специальное меню, содержащее пункт Safe Mode, после чего выбрать один из режимов Safe Mode:

-стандартный (standard) - подключение в процессе загрузки минимального числа драйверов и служб;

-сетевой (networking-enabled) - к числу драйверов и служб стандартного режима добавляются новые для поддержания работы в сети;

-с командной строкой (safe mode with command prompt) - идентичен стандартному режиму, но среда работы пользователя реализуется с помощью cmd.exe, а не Windows Explorer;

-режим восстановления службы каталогов (DS Repair Mode) - используется при необходимости провести восстановление Active Directory (AD) на контроллере домена с архивной ленты.

Когда во время загрузки выбирается один из режимов Safe Mode, программа-загрузчик NT (NTLDR) передает в ядро системы (ntoskrnl.exe) соответствующий переключатель в виде параметра командной строки вместе с параметрами, заданными в файле boot.ini. При задании любого режима Safe Mode программа NTLDR передает в ядро переключатель /SAFEBOOT с параметрами конкретного режима.

Подсистема ядра I/O Manager начинает процесс загрузки драйверов на основании записей в реестре.

Компонент пользовательского режима SCM (services.exe) на этапе инициализации загружает только те службы, имена которых присутствуют в реестре в соответствующем выбранному типу Safe Mode ключе.

Как только начинает работать первый компонент пользовательского режима - Session Manager (smss.exe), запускается программа проверки целостности дисков chkdsk, а затем функция NtInitializeRegistry выполняет инициализацию системного реестра. Ядро создает в системном каталоге Windows 2000 (\winnt) файл ntbtlog.txt.

Режим Safe Mode не помогает:

-если "проблемный" драйвер принадлежит конфигурации Safe Mode;

-если драйвер относится к типу boot-start (драйверы этого типа грузятся независимо от того, выбран Safe Mode или нет);

-если системный модуль или файл драйвера, жизненно необходимые системе в конфигурации Safe Mode оказываются по какой-либо причине испорченными;

-если повреждена запись Master Boot Record (MBR) на системном диске.

Выйти из таких положений помогает новый инструмент Windows 2000 - Recovery Console (RC). При этом загрузка выполняется или с компакт-диска Windows 2000, или с загрузочных дискет, а не с проблемной установки на жестком диске. Среда - командная строка с ограниченным набором команд. При загрузке с компакт-диска, процесс вскоре доходит до экрана, на котором предоставляется выбор - либо восстановить существующую установку, либо произвести новую. При выборе режима восстановления, система предлагает вставить компакт-диск, после чего необходимо выбрать один из трех вариантов восстановления: стартовать RC, инициировать процесс Emergency Repair или же воспользоваться свойством Advanced System Recovery для восстановления данной установки с ленты.

RC предоставляет список установок NT, обнаруженных во время сканирования дисков. После того, как выбор сделан, следует ввести пароль администратора для регистрации в системе с административными полномочиями. После успешной регистрации пользователь попадает в окружение, напоминающее среду DOS. Набор доступных в этом режиме команд достаточно гибок для того, чтобы выполнить простые операции ввода/вывода; с его помощью можно подключать и отключать службы и драйверы, а также восстанавливать загрузочный сектор и MBR. Вместе с тем, в среде RC предоставляется доступ к ограниченному набору каталогов, а именно: корневому каталогу, системному каталогу той установки, в которую вы зарегистрировались, и каталогам на сменных носителях – компакт-дисках и 3,5-дюймовых дискетах. Это обеспечивает защиту информации, к которой администратор в обычных условиях может и не иметь доступа.

С компакт-диска должна быть загружена копия ядра Windows 2000, включая все необходимые для этого драйверы (NTFS или FAT, драйверы SCSI, видеодрайвер). Для систем x86 файл setuptxt.sif в каталоге i386 на компакт-диске Windows 2000 управляет процессом загрузки драйверов с компакт-диска. Этот файл содержит директивы, которые предписывают, какие файлы следует загрузить, и где именно на компакт-диске они находятся. Первой компонентой режима пользователя, запускаемой ядром, является Session Manager (smss.exe). Подкаталог \system32 содержит Setup Session Manager и именно эта компонента предоставляется через меню на этапе установки/восстановления Windows 2000, а затем предлагается выбрать тип восстановления.

RC реализована с помощью двух драйверов: spcmdcon.sys и setupdd.sys. Когда в меню выбирается работа с RC, Session Manager загружает и запускает эти драйверы. Setupdd.sys - это вспомогательный драйвер, который позволяет spcmdcon.sys пользоваться функциями для работы с дисковыми разделами, загружать реестр, а также работать с видеодрайвером. Setupdd.sys взаимодействует с драйверами диска для обслуживания разделов и использует базовые функции видео, встроенные в ядро Windows 2000 для вывода сообщений на экран.

 

МЕТОДЫ И СРЕДСТВА ЗИ В СИСТЕМАХ УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ (СУБД)

Norton Personal Firewall

Из основного окна программы можно обратиться к ее четырем основным разделам:

1) "Internet Status" - отображает краткую статистическую информацию: количество блокированных запросов, Java аплетов, и т.п.

2) "Security" -устанавливает уровень защиты от хакеров и уровень доступа к личным данным. Регулирование происходит посредством передвижения бегунка по шкале с тремя делениями: “Minimal", "Medium" и "High".

3) "Privacy" - устанавливает защиту личных данных, таких как e-mail адрес, номера кредитных карт. Регулировка уровня защиты происходит так же, как и в разделе "Security".

4) "Options", который реализует функции:

-работы с журналами - "View Event Log", "View Statistics" и "Clear Statistics";

-создания списка Web-серверов и установить, что каждому из них можно делать с компьютером, а чего делать не положено – "Web";

-конфигурирования режимов работы с портами и протоколами – "Firewall";

-тестирования установленных настроек - "Test".

Другие известные брандмауэры:

LockDown 2000 - довольно известный в России и простой в управлении.

Функции:

-распознает большое количество сигнатур троянских программ и умеет сканировать диск на их наличие;

- утилиты TraceRoute и Whois позволяют узнать кто вас атакует и проследить путь, по которому происходила атака;

- имеет возможность просмотра открытых в сети директорий и соединений с ними.

LanGuard (GFI FAX & VOICE) - состоит из трех частей: Network monitor, LanGuard Configuration, Log Viewer:

Первая часть - Network monitor визуализирует результаты мониторинга. Пакеты, проходящие через компьютер, наглядно представлены посредством цветных диаграмм. Различными цветами обозначаются пакеты различных протоколов.

Вторая часть - LanGuard Configuration. В ней настраивается конфигурация программы. Все настройки поделены на три группы:

-контроль доступа из Интернет (Internet access control) - позволяет добавлять и убирать протоколы для мониторинга;

-обнаружение вторжений (Intrusion detection) - можно настроить программу на поиск снифиров и установить действия, которые она выполнит, если поиск увенчается успехом;

-общие настройки (General configuration) - сопоставить любому протоколу любой порт или несколько портов, затем прописать IP адрес своей машины и маску подсети, а также указать адрес прокси-сервера, установить стандартный режим оповещения.

Black ICE (Ice Network)

Black ICE имеет стандартное окошко, в которое выводятся все события, возникающие во время работы компьютера. Вы можете установить любой из четырех уровней защиты:

-”Доверчивый" - вы не блокируете никакой трафик, кроме того, который отдельно указан в списке адресов, трафик с которых подлежит блокировке;

-"Беспокойный" - помимо трафика с адресов из "черного" списка блокируются некоторые подозрительные пакеты;

-"Нервный" - блокируются большинство подозрительных пакетов;

-"Параноидальный" - отсеиваются все подозрительные пакеты.

Кроме "черного" списка, существует еще "белый" список, то, есть, список адресов, с которых пакеты вообще не фильтруются. В этот список попадают адреса тех компьютеров, содержимому которых вы доверяете.

Об атаке на компьютер Black ICE предупреждает мерцанием своей иконки в углу панели задач.

Программный комплекс VIPNET

Назначение: технология ViPNet предназначена для создания целостной системы доверительных отношений и безопасного функционирования технических средств и информационных ресурсов корпоративной сети, взаимодействующей с внешними техническими средствами и информационными ресурсами.

Способ: создание в телекоммуникационной инфраструктуре корпоративной сети интегрированной виртуальной защищенной среды, включающей следующие компоненты:

-Распределенную систему межсетевых и персональных сетевых экранов, защищающую информационные ресурсы и пользователей как от внешних, так и внутренних сетевых атак.

-Распределенную систему межсетевого и персонального шифрования трафика любых приложений и операционной системы, гарантирующую целостность и конфиденциальность информации, как на внешних, так и внутренних коммуникациях, и обеспечивающую разграничение доступа к техническим и информационным ресурсам.

-Систему электронной цифровой подписи и шифрования информации на прикладном уровне, обеспечивающую достоверность и юридическую значимость документов и совершаемых действий.

-Систему прозрачного для программных приложений шифрования данных при сохранении указанных данных в процессе работы этих приложений на сетевых и локальных жестких дисках, других носителях, обеспечивающую целостность и недоступность информации для несанкционированного использования в процессе ее хранения.

-Систему контроля и управления связями, правами и полномочиями защищенных объектов корпоративной сети, обеспечивающую автоматизированное управление политиками безопасности в корпоративной сети.

-Комбинированную систему управления ключами, включающую подсистему асимметричного распределения ключей (PKI), обеспечивающую информационную независимость пользователей в рамках заданных политик безопасности от центральной администрации, и подсистему распределения симметричных ключей, гарантирующую высокую надежность и безопасность всех элементов централизованного управления средствами ViPNet.

-Систему, обеспечивающую защищенное взаимодействие между разными виртуальными частными сетями ViPNet путем взаимного согласования между администрациями сетей допустимых межобъектных связей и политик безопасности.

Основные функции:

- Быстрое развертывание корпоративных защищенных решений на базе имеющихся у корпорации локальных сетей, доступных ресурсов глобальных (включая Интернет) и ведомственных телекоммуникационных сетей, телефонных и выделенных каналов связи, средств стационарной, спутниковой и мобильной радиосвязи и др.

- Создание внутри распределенной корпоративной сети информационно-независимых виртуальных защищенных контуров, включающих как отдельные компьютеры, так и сегменты сетей, для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач.

-Защита локальных сетей в целом, их сегментов или отдельных компьютеров и другого оборудования от несанкционированного доступа и различных атак, как из внешних, так и из внутренних сетей.

-Поддержка защищенной работы мобильных и удаленных пользователей корпоративной сети.

-Организацию безопасного для локальных сетей подключения отдельных рабочих станций этих сетей к открытым ресурсам сети Интернет и исключение риска атаки из Интернет на всю локальную сеть через подключенные к открытым ресурсам компьютеры локальной сети.

-Защита (конфиденциальность, подлинность и целостность) любого вида трафика, передаваемого между любыми компонентами сети: рабочими станциями (мобильная, удаленная, локальная), серверами, сетевыми устройствами и узлами. При этом становится недоступной для перехвата из сети, в том числе для участников VPN, и любая парольная информация различных приложений, баз данных, почтовых серверов и др., что существенно повышает безопасность этих прикладных систем.

-Защита управляющего трафика для систем и средств удаленного управления объектами сети: маршрутизаторами, межсетевыми экранами, серверами и пр., а также самих средств удаленного управления от возможных атак из глобальной или корпоративной сети.

-Контроль доступа к любому узлу (рабочая станция, сервер, маршрутизатор и т.д.) и сегменту сети (локальная сеть, сегмент локальной сети, группа сегментов сети и т.д.), включая фильтрацию трафика для каждого узла отдельно с помощью набора стандартных и индивидуальных настроек.

-Защита от НСД информационных ресурсов корпоративной сети, хранимых на рабочих станциях (мобильных, удаленных и локальных), серверах (WWW, FTP, SMTP, SQL, файл-серверах и т.д.) и других хранилищах группового доступа.

-Организация безопасной работы участников VPN с совместным информационным групповым и/или корпоративным информационным ресурсом.

-Аутентификация пользователей и сетевых объектов VPN как на основе использования системы симметричных ключей, так и на основе использования инфраструктуры открытых ключей (PKI) и сертификатов стандарта X.509.

-Оперативное управление распределенной VPN-сетью (включая систему распределенных сетевых экранов) и политикой информационной безопасности на сети из одного центра с возможностью делегирования части полномочий локальным администраторам.

-Исключение возможности использования недекларированных возможностей операционных систем и приложений для совершения информационных атак, кражи секретных ключей и сетевых паролей.

Состав программного комплекса:

Компоненты:

-ViPNet-драйвер, взаимодействующий непосредственно с драйвером сетевого интерфейса и позволяющий обеспечить независимость программы от операционной системы и ее приложений. Драйвер контролирует весь IP-трафик, поступающий и исходящий из компьютера, и выполняет его фильтрацию по многочисленным параметрам и при необходимости - шифрование и инкапсуляцию.

-Криптографическое ядро "Домен-К", обеспечивающее шифрование всего IP-трафика между компьютерами по алгоритму, рекомендованному ГОСТ 28147-89, а также, при необходимости, по другим алгоритмам (DES, 3DES, RC6). Одновременно производится инкапсуляция всех типов IP-пакетов в единый тип UDP-формата, что полностью скрывает структуру информационного обмена.

Модули:

ViPNet [Администратор] - создает логическую инфраструктуру виртуальной сети, определяет политики безопасности в ней, осуществляет мониторинг и управление объектами сети. Формирует симметричную ключевую информацию и первичную парольную информацию для объектов сети, выпускает сертификаты открытых ключей для объектов сети. Включает в себя программы:

-Центр Управления Сетью (ЦУС) - является регистрационным центром и предназначен для конфигурации и управления виртуальной сетью, решает следующие основные задачи.

-Задает узлы сети, группы пользователей и пользователей в них.

-Задает допустимые связи между группами пользователей и, соответственно, между узлами, что определяет наличие необходимых ключей разного уровня на узлах и содержимое адресных книг программ управления виртуальной средой и прикладных программ ViPNet.

-Определяет типовые политики безопасности и распределение допустимых полномочий пользователей и локальных администраторов на конкретных узлах по изменению политик безопасности для этих узлов.

-Определяет возможность доступа конкретных компьютеров локальной сети к открытым ресурсам Интернет и других внешних сетей. При этом специальная технология обеспечивает во время доступа во внешнюю сеть блокировку любого трафика этих компьютеров со всеми ресурсами локальной сети и объектами виртуальной сети.

-В соответствии с заданными связями и политиками безопасности формирует соответствующие справочники доступа для узлов и справочники допустимых связей для Ключевого центра.

-Обеспечивает автоматическую защищенную доставку и контроль доставки на развернутые узлы измененных справочников доступа, ключевой информации из КЦ (симметричные ключи, сертификаты пользователей, списки сертификатов, выведенных из действия, сертификаты ключевых центров других сетей ViPNet и др.).

-Обеспечивает обмен с ЦУСами других виртуальных ViPNet-сетей списками объектов своих сетей, которые должны взаимодействовать между собой. Производит взаимное согласование с этими ЦУСами допустимых межсетевых связей между объектами сетей. Обеспечивает обмен корневыми сертификатами этих сетей, списками сертификатов, выведенных из действия.

-Осуществляет автоматическое обновление программного обеспечения ViPNet на объектах сети в удаленном режиме.

-Обеспечивает удаленный просмотр и анализ журналов событий для компонент ViPNet [Клиент] и ViPNet [Координатор], контроль успешности высланных ЦУСом обновлений ключей, справочников и программного обеспечения.

-Ключевой Центр (КЦ) - предназначен для обеспечения ключевой информацией всех участников VPN и выполнения функций удостоверяющего центра. При этом первичные клиентские ключевые наборы могут быть записаны на дискеты, смарт-карты, touch memory, e-token и прочее для передачи участникам VPN. Последующее обновление ключевой информации осуществляется автоматически по защищенным каналам VPN.

Функции КЦ:

-формирование и автоматическое обновление через ЦУС симметричной ключевой информации и первичной парольной информации для объектов и пользователей сети;

-выполнение функций удостоверяющего центра сертификатов цифровых подписей.

Для установки ViPNet [Администратор] необходим IBM-совместимый компьютер с операционной системой Windows 95/98/Me/NT/2000/XP и не менее 100 Мбайт свободного места на жестком диске. Характеристики компьютера определяются размерностью сети.

ViPNet[Координатор] - выполняет маршрутизацию почтовых и управляющих защищенных сообщений при взаимодействии объектов сети между собой и ViPNet [Администратором].

-в реальном времени осуществляет регистрацию и предоставление информации о состоянии объектов сети, их местоположении, значении их IP-адресов и др.;

-обеспечивает работу защищенных компьютеров локальной сети в VPN от имени одного адреса (функция proxy);

-осуществляет туннелирование пакетов от обслуживаемой ViPNet [Координатором] группы незащищенных компьютеров локальной сети для передачи трафика от них к другим объектам VPN в зашифрованном виде по открытым каналам Интернет/Интранет;

-фильтрует трафик от источников, не входящих в состав VPN, в соответствии с заданной политикой безопасности (функция межсетевого экрана);

-обеспечивает возможность работы защищенных по технологии ViPNet компьютеров локальной сети через сетевые экраны и прокси-сервера других производителей.

Подсистемы:

-Сервер IP-адресов - обеспечивает работу с динамическими IP-адресами, ведет в реальном времени базу IP-адресов всех подключенных к VPN в данный момент времени клиентов (рабочих станций, серверов, мобильных и удаленных пользователей и т.д.).

-Почтовый сервер - обеспечивает маршрутизацию почтовых конвертов, а также управляющих сообщений ЦУСа при взаимодействии объектов сети между собой.

-Proxy-сервер защищенных соединений - обеспечивает работу абонентских пунктов защищенной сети от имени одного адреса.

-Сервер-туннель

-позволяет организовать защиту трафика между локальными сетями, и используется тогда, когда нет необходимости разграничения доступа внутри каждой из локальных сетей, входящих в виртуальную сеть. Позволяет также зашифровать трафик между группой незащищенных компьютеров одной локальной сети и группой незащищенных компьютеров другой локальной сети, в том случае, когда не требуется защищать трафик от всех компьютеров локальной сети для передачи его по открытой глобальной сети;

-обеспечивает туннелирование всего IP-трафика между защищаемыми сетями в защищенное соединение между ViPNet [Координаторами] по UDP-протоколу;

-позволяет обеспечить защищенное управление маршрутизаторами сети (Cisco и др.) за счет использования технологии обратного туннеля.

-Межсетевой экран - обеспечивает фильтрацию IP-трафика от всех источников вне VPN и источников, трафик от которых туннелируется, в соответствии с заданной политикой защиты; при наличии нескольких сетевых интерфейсов позволяет по каждому из них определить собственный набор правил фильтрации, что позволяет использовать ViPNet [Координатор] как мультиинтерфейсный сетевой экран для разделения локальной сети на несколько сегментов с разными режимами безопасности.

- Сервер "открытый Интернет" - в этом режиме ViPNet [Координатор] устанавливается в точке присоединения локальной сети к Интернет и обеспечивает фильтрацию и туннелирование (шифрование) открытого трафика при доставке его к компьютеру локальной сети с установленной на нем компонентой ViPNet[Клиент]. В результате, потенциально "опасный" открытый трафик, равно как и работающий с ним компьютер, будут "изолированы" от остальных компьютеров локальной сети.

Функциональность ViPNet [Координатора] определяется Центром управления сетью и формируемыми им справочниками и маршрутными таблицами.

В виртуальной сети может быть установлено множество ViPNet [Координаторов], взаимодействующих между собой. При этом может быть организовано их взаимное резервирование для повышения надежности развернутой VPN-сети.

Для установки ViPNet [Координатора] необходим IBM-совместимый компьютер с операционной системой Windows NT/2000/XP или Linux, а также не менее 100 Мбайт свободного места на жестком диске. Характеристики компьютера определяются размерностью сети и производительностью каналов связи.

ViPNet[Клиент]- обеспечивает защиту информации при ее передаче в сеть, а также защиту от доступа к ресурсам компьютера и атак на него из локальных и глобальных сетей.

При этом ViPNet [Клиент] может быть установлен как на рабочую станцию (мобильную, удаленную, локальную), так и на всевозможные типы серверов (баз данных, файл-серверов, WWW, FTP, SMTP, SQL и пр.) с целью обеспечения безопасных режимов их использования.

Подсистемы:

-Персональный межсетевой экран - позволяет защитить компьютер от попыток несанкционированного доступа как из глобальной, так и из локальной сети:

-управлять доступом к данным компьютера из локальной или глобальной сети;

-определять адреса злоумышленников, пытающихся получить доступ к информации в компьютере;

-обеспечивать режим установления соединений с другими открытыми узлами локальной или глобальной сети только по инициативе пользователя, при этом компьютер пользователя остается "невидимым" для открытых узлов локальной и глобальной сетей (технология Stealth), что исключает возможность запуска по инициативе извне всевозможных программ "шпионов";

-формировать "черные" и "белые" списки узлов открытой сети, соединение с которыми соответственно "запрещено" или "разрешено";

-осуществлять фильтрацию трафика по типам сервисов для данного адреса открытой сети или диапазона адресов, что позволяет в случае необходимости ограничить использование "опасных" сервисов на "сомнительных" узлах открытой сети;

-осуществлять фильтрацию трафика по типам сервисов и протоколов для связанных с данным узлом других защищенных узлов;

-контролировать активность сетевых приложений на данном компьютере, где установлен ViPNet [Клиент], что позволяет вовремя обнаружить и заблокировать активность несанкционированно установленных и запущенных программ "шпионов", которые могут передавать злоумышленникам сведения об информации, обрабатываемой на данном компьютере (пароли доступа, данные о кредитных картах, идентификаторы для доступа в корпоративные базы данных и др.).

Подсистема установления защищенных соединений между компьютерами, оснащенными ViPNet[Клиентом] позволяет:

-шифровать IP-пакеты с добавлением в них информации для обеспечения целостности, контроля времени, идентификации (авторизации) и скрытия первоначальной структуры пакета;

-блокировать шифрованные пакеты при нарушении их целостности, превышении допустимой разницы между временем отправки и текущим временем (защита от переповторов) или при невозможности аутентифицировать пакет;

-организовать схему защищенного использования всевозможных Web-приложений, в том числе Web-trading, Web-ordering, Web-хостинга, Web-вещания и т.д., с доступом к Web-платформе, на которой установлен ViPNet [Клиент], только определенному списку участников VPN;

- защитить и дополнительно авторизовать все соедине