
- •Основы деятельности в области защиты информации
- •Технологии построения виртуальной защищенной сети предприятия “Жесткая” защита сетевого уровня
- •Протокол skip
- •Безопасное взаимодействие с открытыми коммуникационными сетями
- •Продукты для защиты корпоративной сети
- •Продуктная линия для построения виртуальных защищенных сетей
- •Фильтры прикладного уровня
- •Продуктная линия для построения администрации безопасности корпоративной сети
- •Литература
Фильтры прикладного уровня
Наряду с межсетевым экраном ОАО ЭЛВИС+ ведет разработку фильтров прикладного уровня для распространенных сетевых протоколов (т.н. proxy-систем). В настоящее время разработан и находится в стадии тестирования фильтра прикладного уровня для протокола электронной почты SMTP. Кроме того, ведется разработка фильтров прикладного уровня для протокола FTP (файловый доступ) и HTTP (гипертекстовый протокол).
Фильтры прикладного уровня выполняют следующие функции:
зашита точек уязвимости почтовых, FTP-, HTTP-серверов
контроль доступа на основе прикладных имен пользователей (персональные правила доступа, “черный список”, индивидуальные режимы обеспечения подотчетности)
защита от атак, связанных с передачей потенциально опасных данных (data-driven attack), вирусопрофилактика; в этой части обеспечивается выполнение (по конфигуративной настройке администратора) следующих действий для всех “опасных“ типов информации:
пропустить
сбросить
протоколировать (событие передачи данных и, опционально, полный контекст)
отправить в “отстойник“ для “ручной“ разборки
выдать сигнализацию на внешнее устройство.
Вирусопрофилактический контроль выполняется с помощью подключаемых внешних антивирусных программ.
Продуктная линия для построения администрации безопасности корпоративной сети
Цель данной продуктной линии состоит в обеспечении средств для генерации и учета распространения ключей, конфигурирования, в том числе дистанционного средств защиты информации, дистанционного доступа к протоколам.
FortE+ Mini CA
Простой програмìный продукт для экспорта в файл в фолрмате Ч.509 сертификатов открытых ключей. Генерация ключа может быть выполнена внешним модулем.
FortE+ Key Database Manager
Составная часть для построения администрации безопасности сети. Обеспечивает генерацию при помощи внешней криптобиблиотеки (не поставляемой в составе продукта) ключей, формирование сертификатов ключей, систематизированное хранение сертификатов ключей в базе данных и возможности учтена выдач, учета сроков действия сертификатов, поиска сертификатов по комплексу атрибутов.
FortE+ Certificate Discovery Server
Продукт обеспечивает распределение сертификатов открытых ключей под управлением стандартного и совместимого по ряду SKIP-продуктов различных производителей протокола CDP (Certificate Discovery Protocol).
FortE+ Cofiguration Database Manager
Продукт предназначен для генерации и учета конфигураций SKIP-продуктов, определяющих политику безопасности конкретного средства защиты от FortE+ Corporate Client до FortE+ Branch и FortE+ Enterprise. Дополнительно к данному продукту к середине 1998 года будет выпущен FortE+ Administrative Server, обеспечивающий автоматическое дистанционное конфигурирование SKIP-продуктов.
Применение продуктов ОАО ЭЛВИС+ для задач защиты корпоративной сети
Все продукты защиты информации, от программных реализаций протокола SKIP до аппаратно-программных комплексов FortE+ Branch и FortE+ Enterprise, а также SKIP-продукты других производителей (в частности SunScreen SPF и SunScreen EFS компании Sun Microsystems, Firewall-1 v3 компании CheckPoint) полностью совместимы и пригодны для защиты корпоративной IP-сети любой конфигурации. Совместимость продуктного ряда независимо оттестирована АО ЭЛВИС+, Sun Microsystems и третьими компаниями, планирующими имплементацию продукта, в частности, RSA (США), Intuit (США), Fusion (Индия).
Продуктная линия ОАО ЭЛВИС+ функционально полна в том смысле, что решение может быть распространено на всю корпоративную сеть предприятия (организации) любого масштаба.
Рис.
12.
При этом может быть обеспечено решение следующих задач (рис. 12):
построена надежная и прозрачная система защиты трафика от перехвата и фальсификации, как для связи между локальными сетями удаленных подразделений, так и для входа в корпоративную сеть уединенных удаленных (в том числе мобильных) пользователей, построения абонентских сетей
обеспечен контроль сетевого доступа к информации (вплоть до обеспечения аутентифицированного доступа отдельных пользователей), построена эшелонированная система защиты от атак, осуществляемых методами сетевого доступа
построены, при необходимости, система вложенных защищенных периметров, ориентированных на работу с информацией различной степени конфиденциальности
построена система событийного протоколирования и аудита с обеспечением возможности оперативного мониторинга безопасности в масштабах корпоративной сети
обеспечено централизованное дистанционное управление средствами сетевой защиты.
Кроме того, в процессе разработки находится ряд технологических модификаций продуктов - таких как отказоустойчивая конфигурация на основе FortE+ Branch и FortE+ Enterprise, средства интеграции продуктов сетевой безопасности со средствами защиты серверных приложений, а также автоматическая единая централизованная система управления и администрирования всех продуктов.