Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
М П 3 / Security_Elvis / Security_Elvis.doc
Скачиваний:
59
Добавлен:
16.04.2013
Размер:
960.51 Кб
Скачать

Продукты для защиты корпоративной сети

В настоящее время ОАО ЭЛВИС+ разработан масштабируемый ряд продуктов для построения виртуальных защищенных сетей на основе протокола SKIP.

Программные продукты на основе SKIP обеспечивают защиту и аутентификацию трафика сегментов локальных вычислительных сетей и отдельных компьютеров, работающих в локальной или глобальной сети. В случае, если компьютер работает в режиме только защищенного обмена, программная реализация SKIP обеспечивает также высокоэффективную защиту от несанкционированного доступа (НСД) к ресурсам компьютера из сети.

Для снижения затрат на отработку криптоалгоритмов и для повышения общей защищенности системы от НСД со стороны оператора программный продукт SKIP может сопрягаться со специальным криптоадаптером и устройством аппаратной идентификации оператора.

Продукты защиты информации на основе протокола SKIP интегрируются с продуктами, реализующими функции межсетевого экрана и сетевого управления.

Продукты ОАО ЭЛВИС+ распространяются под торговой маркой “FortE+” на международном рынке и под торговой маркой “Застава” на российском рынке.

Продуктная линия для построения виртуальных защищенных сетей

Назначение продуктов данной линии заключается в обеспечении гибкого, масштабируемого решения для защиты и аутентификации трафика корпоративной сети и для защиты корпоративной сети от несанкционированного доступа. В состав продуктной линии входят клиентские агенты для защиты отдельных рабочих мест (персональных компьютеров), программные агенты для защиты серверных платформ, шлюзы для защиты входящего и исходящего трафика сегмента корпоративной сети.

Базовой технологией, используемой при построении этих продуктов является протокол SKIP.

Продукты работают на операционных платформах Windows 3.x, 95, NT, Solaris (SPARC и Intel), кроме того, обеспечена совместимость cплатформами, соответствующими стандарту UNIX SVR4.

Продукты реализуют заданную политику безопасности, которая основывается на следующих возможностях:

  • устанавливается политика доступа информации на защищаемую платформу, которая может выбираться из ряда:

  • pass unknown- программе разрешается пропускать открытые пакеты от неизвестных (незарегистрированных) узлов

  • drop unknown- программе разрешается пропускать пакеты (в том числе открытые) только от зарегистрированных узлов

  • skip only- программе предписывается работать только под управлением протокола SKIP и полностью запрещается открытый обмен

  • прописываются разрешенные сетевые соединения (ассоциации) и устанавливаются атрибуты защиты для них (открытое соединение, шифрование трафика на назначенном для данного соединения алгоритме, цифровая подпись трафика); в случае выбора политики доступа drop unknown каждый пакет, принадлежащий незарегистрированному соединению будет сбрасываться; в случае выбора политики доступа skip only все открытые пакеты будут сбрасываться.

Установление жесткой политики контроля доступа skip only для внутренней части корпоративной сети практически исключает несанкционированный доступ к ее информации.

Все продукты, реализующие протокол SKIP, имеют открытый интерфейс для подключения криптобиблиотек и не содержат криптокомпонент в своем составе.Это обеспечивает пользователю возможность выбора криптобиблиотеки по собственному усмотрению или даже разработки собственной криптосистемы. Для разработки криптобиблиотек поставляется открытая спецификация интерфейса и необходимый набор инструментальных средств.К числу разработчиков криптомодулей для SKIP-продуктов относится несколько отечественных компаний, в частности, компания Анкад, обладающая необходимыми лицензиями и сертификатами на свою продукцию.

Все продукты описанного ниже продуктного ряда полностью совместимы между собой, а также совместимы со SKIP-продуктами других производителей, в частности, Sun Microsystems и CheckPoint.

Продукт FortE+ Personal Client (ЗАСТАВА персонàльный клиент)

Продукт является средством защиты рабочей станции, находящейся в персональной эксплуатации. Эта программа содержит все необходимые средства администрирования и конфигурирования, необходимые для взаимодействия этой программы с любыми другими SKIP-совместимыми средствами защиты (в частности, средства генерации и сертификации ключей).

Функции продукта:

  • защита и аутентификация трафика, реализация заданной дисциплины работы индивидуально для каждого защищенного соединения, разрешение доступа в заданном режиме только для санкционированных станций; регулируемая стойкость защиты трафика; аутентификация трафика; контроль списка партнеров по взаимодействиям, защита от НСД из сети

  • настройка политики безопасности при помощи графического интерфейса продукта и/или при помощи внешне определенной конфигурации

  • сбор статистики и сигнализация.

Продукт FortE+ Corporate Client (ЗАСТАВА корпоративный клиент)

Продукт является средством защиты рабочей станции корпоративной сети. От предыдущего продукта эта программа отличается тем, что пользователь защищаемой рабочей станции лишен права (и возможности) единолично определять политику безопасности (и, следовательно, структуру сетевых соединений) для своей станции. Политика безопасности полностью контролируется админиñтратором безопасности корпоративной сети и выдается пользователю как целостная структура данных на некотором носителе.Данные, определяющие политику безопасности, могут загружаться с внешнего носителя (дискета, пластиковая карта) и существуют в защищаемом компьютере только в течение сеанса его работы, разрушаясь после прекращения работы компьютера.

В следующей версии продукта предусматривается процедура автоматической дистанционной загрузки конфигурации корпоративного клиента с корпоративного сервера при предъявлении пользователем идентификационного устройства.

Продукт FortE+ Server (ЗАСТАВА сервер)

Продукт является функциональным аналогом продуктов семейства FortE+ Client для серверных платформ.Продукт отличается прежде всего, расширенными ресурсами для поддержания множественных соединений с клиентскими программными агентами. Продукт отличается возможностью локальной настройки политики безопасности и/или дистанционной загрузки подготовленной администрацией безопасности конфигурации.

Продукт FortE+ Branch/Server (ЗАСТАВА офис)

FortE+ Branch - это аппаратно-программный комплекс, предназначенный для коллективной защиты входящего и исходящего трафика сегмента локальной сети, защиты этого сегмента от несанкционированного доступа из внешних сетей, а также для обеспечения путем туннелирования трафика защищенного взаимодействия с другими сегментами локальных сетей,защищенными при помощи систем FortE+ Branch, шифрующими межсетевыми экранами SunScreen EFS-100G и SunScreen SPF-100G и с отдельными рабочими станциями, защищенными при помощи программных систем FortE+ Client.

Аппаратные и операционные платформы: семейство серверов SPARCserver и UltraSPARC производства компании Sun Microsystems начиная со SPARCserver 4, платформы Intel x86.

Продукт FortE+ Enterprise (ЗАСТАВА центр)

Продукт представляет собой шифрующий на основе протокола SKIP межсетевой экран (firewall).

Межсетевой экран (МЭ) “Застава” - программный комплекс, предназначенный для контроля за информацией, поступающей в автоматизированную систему (АС) и/или выходящей из АС, и защиты АС от несанкционированного доступа посредством фильтрации информации на сетевом уровне (анализа информации по совокупности критериев и принятия решения о ее распространении в/из АС). МЭ предназначен для работы в операционных системах Solaris 2.5, 2.5.1, 2.6 или более поздних версий.

Функциональные возможности продукта:

  • фильтрация на основе сетевых адресов отправителя и получателя;

  • фильтрация служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

  • фильтрация с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

  • фильтрация с учетом любых значимых полей сетевых пакетов;

  • фильтрация запросов на транспортном уровне на установление виртуальных соединений. При этом учитываются транспортные адреса отправителя и получателя;

  • фильтрация запросов на прикладном уровне к прикладным сервисам. При этом учитываются прикладные адреса отправителя и получателя;

  • фильтрация с учетом даты/времени.

Решение по фильтрации принимается независимо для каждого сетевого пакета.

МЭ обеспечивает возможность идентификации и аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети. Идентификация и аутентификация обеспечивается программными средствами с поддержкой протокола SKIP.

МЭ обеспечивает:

  • возможность регистрации и учета фильтруемых пакетов; впараметры регистрации включаются адрес, время и результат фильтрации;

  • регистрацию и учет запросов на установление виртуальных соединений;

  • локальную сигнализацию попыток нарушения правил фильтрации;

  • идентификацию и аутентификацию администратора защиты при его локальных запросах на доступ;

  • возможность идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия;

  • запрет доступа неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась.

Межсетевой экран “Застава обладает широкими возможностями для построения системы событийного протоколирования. В частности, экран “Застава” обеспечивает регистрацию следующих событий:

  • вход (выход) администратора защиты в систему (из системы) либо загрузку и инициализацию системы и ее программный останов. Регистрация выхода из системы не проводится в моменты аппаратурного отключения МЭ. В параметрах регистрации указываются:

  • дата, время и код регистрируемого события; результат попытки осуществления регистрируемого события - успешная или неуспешная;

  • идентификатор администратора защиты, предъявленный при попытке осуществления регистрируемого события;

  • МЭ содержит средства контроля регистрационной информации;

  • МЭ обеспечивает регистрацию запуска программ и процессов (заданий, задач);

  • МЭ обеспечивает регистрацию действия администратора защиты по изменению правил фильтрации;

  • МЭ обеспечивает локальную сигнализацию попыток нарушения правил фильтрации.

МЭ обеспечивает возможность дистанционного управления своими компонентами, в том числе, возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации

МЭ содержит средства контроля за целостностью своей программной и информационной части по контрольным суммам.

В МЭ предусмотрена процедура восстановления после сбоев и отказов оборудования, которая обеспечивает восстановление свойств МЭ.

В соответствии с Решением N126 Государственной технической комиссией при Президенте РФ от 22 мая 1997 года проведены работы по сертификации программного комплекса - межсетевого экрана “Застава” на соответствие требованиям ТУ и требованиям к третьему классу защищенности МЭ в соответствии с РД “Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности”. Сертификат №145 от 9 января 1998 года.