| <<назад к списку статей
I. МЕЖСЕТЕВЫЕ ЭКРАНЫ (FIREWALLS)
Технологии межсетевых экранов для защиты корпоративной сети от внешних угроз при подключении к общедоступным сетям связи
Межсетевой экран – это локальное или функционально-распределенное средство, реализующее контроль информации, поступающей в автоматизированную систему и/или выходящей из нее, обеспечивающее защиту посредством фильтрации информации.
С помощью технологии межсетевых экранов можно обеспечить:
1) Безопасное взаимодействие пользователей и информационных ресурсов, расположенных в Extranet и Intranet-сетях, с внешними сетями, например, Internet;
2) Технологически единый комплекс мер защиты для распределенных и сегментированных локальных сетей подразделений предприятия;
3) Иерархическую систему защиты, предоставляющую адекватные средства обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети.
В зависимости от масштабов организации и установленной внутри нее политики безопасности используются различные по стоимости и степени функциональности межсетевые экраны.
1. Межсетевой экран Firewall-1 компании CheckPoint
Комплект продуктов сетевой безопасности Check Point FireWall-1 обеспечивает контроль доступа в сетях Интернет, Интранет, Экстранет, а также удаленного доступа с расширенными функциями авторизации и установления подлинности пользователей.
FireWall-1 позволяет транслировать сетевые адреса (NAT) и сканировать потоки данных на наличие недопустимой информации и вирусов.
Широкий набор основных и сервисных функций дает возможность реализовать интегрированное решение по обеспечению сетевой и информационной безопасности, полностью отвечающее современным требованиям любых организаций, как крупных, так и небольших.
FireWall-1 позволяет организации создать единую, интегрированную политику безопасности, которая распространялась бы на множество межсетевых экранов и управлялась бы с любой выбранной для этого точки сети предприятия.
Продукт имеет и массу дополнительных возможностей, таких, как управление списками доступа аппаратных маршрутизаторов, балансировка сетевой нагрузки на серверы, а также и элементы для построения систем повышенной надежности, которые также полностью интегрируются в глобальную политику безопасности.
Работа Check Point FireWall-1 прозрачна для пользователей и обеспечивает рекордную производительность, практически, для любого IP протокола и высокоскоростной технологии передачи данных.
Основываясь на технологии инспекции пакетов с учетом состояния протокола, являющейся передовым методом контроля сетевого трафика, разработанного и запатентованного компанией Check Point, FireWall-1 обеспечивает наивысший уровень безопасности.
Данный метод обеспечивает сбор информации из пакетов данных, как коммуникационного, так и прикладного уровня, что достигается сохранением и накоплением ее в специальных контекстных таблицах, которые динамически обновляются. Такой подход обеспечивает полный контроль даже за уровнем приложения без необходимости введения отдельного приложения-посредника (proxy) для каждого защищаемого сетевого сервиса.
Тем самым, пользователь выигрывает в производительности и получает возможности гибко наращивать систему, быстро и надежно защитить новые приложения и протоколы, не прибегая при этом к разработке приложений посредников.
Check Point FireWall-1 поставляется с поддержкой сотен предопределенных сетевых сервисов, протоколов и приложений. В дополнение к имеющимся сервисам и протоколам FireWall-1 позволяет быстро и эффективно создавать свои собственные обработчики протоколов, используя встроенный язык высокого уровня INSPECT. Виртуальная машина INSPECT составляет основу технологии Check Point FireWall-1.
Check Point FireWall-1 использует распределенную архитектуру клиент-сервер, что обеспечивает уникальные возможности по наращиванию системы, а также централизованному управлению развернутым комплексом.
Поддержка компонентами продукта платформ Windows 95, Windows NT, UNIX, маршрутизаторов, коммутаторов, устройств удаленного доступа (через OPSEC партнеров Check Point) и возможность межплатформенного взаимодействия обеспечивает наилучшую в отрасли гибкость и удобство при развертывании систем .
2. Межсетевой экран Private Internet Exchange (PIX) компании Cisco
Межсетевой экран PIX представляет собой программно-аппаратный комплекс, функционирующий на базе собственной операционной системы разработки Cisco. Продукт сертифицирован Гостехкомиссией России.
Основными достоинствами межсетевого экрана PIX являются:
1) высокая производительность;
2) повышенная надежность при установке в режиме “горячего” резервирования;
3) возможность расширения и изменения IP-сетей при эффективном решении проблемы нехватки IP-адресов.
Эти отличные свойства имеют вполне объективную основу. Высокая производительность межсетевого экрана PIX, определяется следующими факторами:
1) использование специальной (не UNIX-подобной) операционной системы реального времени в отличии от типичных proxy-серверов;
2) использование схемы защиты, базирующейся на алгоритме адаптивной безопасности ASA (adaptive security algorithm);
3) использование технологии ”сквозного посредника” (Cut-Through Proxy), которая позволяет после успешной идентификации пользователя обеспечить контроль потока данных между абонентами на уровне сессии в соответствии с политикой обеспечения безопасности.
Высокие показатели производительности дают возможность поддерживать более 64 тысяч одновременных соединений. При полной загрузке PIX обеспечивает пропускную способность до 170Мбит/сек, что существенно выше аналогичного показателя для межсетевых экранов, базирующихся на OC UNIX или OC Windows NT.
Проблема нехватки адресов эффективно решается с помощью технологии трансляции сетевых адресов NAT (Network Address Translation), что делает возможным использование, как существующих адресов, так и резервных пространств адресов для частных сетей. Кроме того, PIX может быть настроен на совместное применение транслируемых и нетранслируемых адресов, позволяя использовать как адресное пространство для частных сетей IP, так и зарегистрированные адреса IP.
3. Система мониторинга и фильтрации SuperScout компании SurfControl
Продукт SuperScout от компании SurfControl предоставляет самую современную технологию фильтрования информации для корпоративных сред, что существенно облегчает задачу управления ресурсами Internet, доступными для пользователей.
Система фильтрования информации SurfControl блокирует доступ к Internet-сайтам, посвященным сексу, насилию, спорту, а также к чатам, т. е. обеспечивает защиту от 90% веб-сайтов, содержащих опасную и непристойную информацию, а также защиту от популярных сайтов, на которые попусту тратится много времени.
В целях обеспечения максимально эффективной защиты от новых веб-сайтов производится ежедневное обновление фильтрационной базы данных. Кроме того, SurfControl фильтрует не только World Wide Web, но также и FTP, и другие чат-каналы на базе web.
SuperScout предоставляет компаниям, сотрудники которых имеют доступ в Internet, самые мощные решения в области фильтрования информации и составления отчетов, что позволяет повысить эффективность работы сотрудников, увеличить производительность сети и защитить сотрудников компании от возможного судебного преследования.
Функции SuperScout:
1) Направленное фильтрование
2) Точное управление ресурсами сети
3) Мониторинг в режиме реального времени
4) Правила интеллектуального доступа
5) Автоматическая работа
6) Быстрое составление отчетов
7) Полные списки ресурсов
8) Масштабируемость и распределенность
II. СРЕДСТВА АУТЕНТИФИКАЦИИ
Технологии токенов (смарт-карты, touch-memory, ключи для USB-портов и т.п.) для обеспечения гарантированной идентификации пользователя
Электронные токены являются средствами повышения надежности защиты данных на основе гарантированной идентификации пользователя. Токены являются своего рода "контейнерами" для хранения персональных данных пользователя системы. Основное преимущество электронного токена в том, что персональная информация всегда находится на носителе (смарт-карте, ключе и т.д.) и предъявляется только во время доступа к системе или к компьютеру.
1. eToken R2
eToken компании ALADDIN Software Security R.D.- это первый полнофункциональный аналог смарт-карты, выполненный в виде брелка. Он напрямую подключается к компьютеру через USB порт и не требует наличия дорогостоящих карт-ридеров либо других дополнительный устройств.
Главное назначение eToken:
1) аутентификация пользователя при доступе к защищенным ресурсам
2) безопасное хранение ключей шифрования, цифровых сертификатов, любой другой секретной информации.
eToken R2 имеет до 64 Кбайт энергонезависимой памяти и аппаратно реализованный алгоритм шифрования DES-X со 120-битным ключом.
eToken может использоваться для защиты электронной почты (цифровая подпись и шифрование), систем клиент-банк, электронной торговли, для защиты сетей, VPN.
Преимущества:
1) Строгая аутентификация. eToken обеспечивает одно- и двухфакторную аутентификацию с использованием аппаратного брелка и PIN-кода.
2) Высокая защищенность. Секретная информация хранится в защищенной памяти брелка, который всегда с Вами. Протокол обмена eToken"а с компьютером шифруется. Ключ никогда не покидает чип, поэтому его нельзя перехватить даже физически вскрыв eToken.
3) Компактность и удобство. Брелоки eToken имеют небольшой размер, легко размещается на связке с ключами. Выпускаются в цветных корпусах и имеют световую индикацию режимов работы.
4) Простота использования. Персонализированный eToken достаточно подключить к порту USB, имеющемуся во всех современных компьютерах, ноутбуках, во многих моделях мониторов, клавиатур, и ввести PIN-код.
5) Быстрое встраивание. eToken поддерживает большинство современных стандартов и API, легко встраивается как в существующие приложения, так и в новые. Поддержка PC/SC стандарта позволит без труда перейти от смарт-карт к eToken"у.
6) Уникальность. Каждый eToken имеет 64-битный уникальный номер, доступный только на чтение.
2. ASE (The Aladdin Smartcard Environment)
Разработчиком программно-аппаратного комплекса ASE (The Aladdin Smartcard Environment) является компания Aladdin Knowledge Systems. ASE-комплексный набор ридеров, смарт-карт и программного обеспечения.
На сегодняшний день на основе смарт-карт-технологий ALADDIN"a созданы системы разграничения доступа к компьютерам, системы защиты данных, расчетов на бензозаправках, другие приложения. Разработки новых приложений ведутся на всей территории России и в ряде стран бывшего СССР.
Программно-аппаратный комплекс ASE прошел тестирование в ФАПСИ и был принят за основу для разработки DK для будущей российской криптокарты, вкладыша в Российский паспорт и ряда других проектов.
3. iKey
Персональные идентификаторы iKey компании Rainbow являются недорогими токенами, которые могут использоваться на любой рабочей станции, имеющей универсальную последовательную шину (USB). Они обеспечивают надежность, простоту и безопасность в той же степени, что и смарт-карты, но без сложностей и лишних затрат, связанных с использованием считывателя
iKey компании Rainbow имеют встроенную память для хранения персональной информации и удостоверений личности, а также независимый процессор для аутентификации и защиты данных при работе в сети.
iKey являются инструментом для контроля доступа к сетевым службам, а также во всех случаях, где сегодня используются пароли, cookie-файлы, цифровые сертификаты или смарт-карты.
4. GemPlus
Недорогой, компактный ридер смарт-карт GCR410 (производство GEMPLUS) разработан для подключения к компьютеру пользователя и поддержки различных приложений, использующих смарт-карты: электронная коммерция, операции с электронным кошельком, контроль доступа к ресурсам и др. Гибкий, удобный и простой в установке и использовании, совместимый с большинством типов компьютеров и операционных систем, не требует дополнительных источников питания.
Смарт-карта MPCOS/3DES-EMV компании GEMPLUS поддерживает шифрование по алгоритму Тройной DES, совместима со стандартом EMV, осуществляет более совершенную поддержку дополнительных приложений и может иметь 2, 4 или 8 KBайт памяти.
III. ТЕХНОЛОГИИ ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ ДЛЯ ИССЛЕДОВАНИЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ И ОБНАРУЖЕНИЯ АТАК
Постоянное изменение сети (появление новых рабочих станций, реконфигурация программных средств и т.п.) может привести к появлению новых угроз и уязвимых мест в системе защиты. В связи с этим особенно важно своевременное их выявление и внесение изменений в соответствующие настройки систем (в том числе и подсистем защиты).
Это означает, что рабочее место администратора системы должно быть укомплектовано специализированными программными средствами обследования сетей и выявления уязвимых мест (“Intrusion Detection”), которые могут быть использованы для электронного вторжения.
Кроме того, необходимы средства комплексной оценки степени защищенности информационной системы от атак нарушителей.
1. Система обнаружения несанкционированного доступа NetRanger
Система обнаружения несанкционированного доступа (НСД) NetRanger предназначена для облегчения использования и масштабирования сети, а также для обеспечения производительности и надежности, необходимых для работы сети масштаба предприятия. Являясь компонентом продуктов системы безопасности компании Cisco, NetRanger может работать, как со стороны сети Интернет, так и в Интранет предприятия.
Система NetRanger состоит из двух компонентов: Sensor и Director. Устройства NetRanger Sensor являются высокоскоростными сетевыми детекторами, анализирующими содержание и контекст каждого из проходящих сетевых пакетов с целью обнаружения попыток НСД. При обнаружении в режиме реального времени попытки атаки детекторы NetRanger Sensor посылают предупреждения на консоль управления NetRanger Director.
2. Сканер уязвимости системы безопасности NetSonar
Программное обеспечение сканера уязвимости NetSonar обеспечивает всесторонний анализ уязвимости системы безопасности, выполняет подробное отображение сети и составляет электронную опись систем сети.
Как активное приложение в наборе средств системы безопасности сети, программное обеспечение NetSonar содержит современные средства уведомления конечного пользователя и консультантов по безопасности о внутренних аспектах уязвимости сети, таким образом, позволяя эффективно решать потенциальные проблемы безопасности
3. Семейство SAFEsuite
Компания Internet Security Systems, Inc. разработала семейство SAFEsuite, которое на сегодняшний день является первым и пока единственным комплексом систем, включающим в себя все компоненты модели адаптивного управления безопасностью сети.
Входящая в семейство система анализа защищенности Internet Scanner предназначена для проведения регулярных, всесторонних или выборочных тестов любых систем, основанных на стеке протоколов TCP/IP (сетевых сервисов, операционных систем, распространенного прикладного программного обеспечения, маршрутизаторов, межсетевых экранов, Web-серверов и т.п). На основе проведенных тестов система Internet Scanner вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах корпоративной сети и рекомендации по их коррекции или устранению. На сегодняшний день это единственная система анализа защищенности, прошедшая сертификацию в государственных органах сертификации средств защиты информации.
Семейство SAFEsuite включает также:
1) Системы анализа защищенности на уровне операционной системы и прикладного ПО System Scanner и Online Scanner;
2) Систему анализа защищенности на уровне СУБД Database Scanner;
3) Системы обнаружения атак на уровнях сети, ОС, СУБД и прикладного ПО RealSecure (Network Sensor, Appliance, OS Sensor, Server Sensor);
4) Систему поддержки принятия решения и прогнозирования в области безопасности SAFEsuite Decisions.
IV. ТЕХНОЛОГИИ ЗАЩИТЫ ИНФОРМАЦИИ НА ФАЙЛОВОМ УРОВНЕ
Технологии защиты информации на файловом уровне позволяют скрыть информацию пользователя на жестком диске компьютера или на дискетах путем кодирования содержимого файлов, каталогов, дисков с возможностью использования мощных криптоалгоритмов.
Доступ к закодированной информации предоставляется после предъявления ключа, который может вводиться с клавиатуры или считываться со смарт-карты, HASP- или USB-ключей и прочих токенов.
1. Secret Disk
Secret Disk, система защиты конфиденциальной информации компании ALADDIN Software Security R.D., создает в компьютере новые "секретные" диски. При сохранении информации на них она автоматически шифруется.
Чтобы использовать такой диск, необходимо подключить электронный ключ и ввести пароль. Подключить секретный диск без ключа и пароля нельзя - для посторонних он останется просто незаметным файлом с кучей мусора.
Возможности Secret Disk"а:
1) безопасная работа, хранение и передача конфиденциальной информации;
2) аппаратная идентификация пользователей с использованием электронных брелков, ключей, PCMCIA или смарт-карт;
3) возможность использования мощных криптоалгоритмов;
4) мгновенное "уничтожение" информации при подаче сигнала "тревога" и при "входе под принуждением";
5) блокирование компьютера в перерывах между работой;
6) создание защищенных архивов;
7) простота и удобство в работе;
8) наличие сертификата Гостехкомиссии России.
2. Система защиты корпоративной информации Secret Disk Server
Secret Disk Server компании ALADDIN Software Security R.D. автоматически зашифровывает данные при записи на сервер и расшифровывает их при чтении. Ключ шифрования вводится при загрузке сервера со смарт-карты, защищенной PIN-кодом. В процессе работы смарт-карта не требуется и ее можно убрать в надежное место.
После перезагрузки сервера без предъявления смарт-карты или попытки чтения дисков на другом компьютере, защищенные разделы будут "видны" как неформатированные области, прочитать которые нельзя.
При возникновении опасности можно мгновенно "уничтожить" информацию, сделав защищенные разделы "невидимыми". Для блокирования информации серверу подается сигнал "тревога":
1) с клавиатуры любой станции сети
2) от "красной кнопки" (спрятанной под столом)
3) от охранной сигнализации (датчиков открывания дверей, окон, движения и пр.)
4) от кодового замка (при входе в помещение под принуждением)
Для восстановления доступа к информации достаточно перезагрузить сервер со смарт-картой.
3. CryptonLite
Crypton Lite - это пакет программ шифрования и электронной цифровой подписи производства компании АНКАД (для MS-DOS и Windows"95(98)/NT 4.0), обеспечивающий гарантированную защиту файлов электронных документов.
CryptonLITE реализует отечественные стандарты:
1) ГОСТ 28147-89 - в части шифрования;
2) ГОСТ Р 34.10-94 - в части функции хэширования;
3) ГОСТ Р 34.11.-94 - в части цифровой подписи.
Пакет предназначен для организации сиcтем защищенного документооборота. Использование технологии электронной цифровой подписи позволяет придавать файлам статус электронных документов. Использование технологии шифрования позволяет обеспечить конфиденциальность служебной или финансовой информации, содержащейся в документе.
Электронная подпись является электронным эквивалентом печати организации и подписи ответственного лица. ЭЦП обеспечивает проверку целостности и авторства файлов электронных документов.
Crypton Lite позволяет осуществлять:
1) шифрование файлов, групп файлов и разделов дисков;
2) электронную подпись файлов юридических и финансовых документов и ее проверку.
Пакет имеет высокую скорость обработки электронных документов (более 1,5 Мбайт/сек. в зависимости от производительность компьютера).
В пакет заложена концепция неограниченного расширения системы, без ограничения на число ключей, подписей, пользователей. Пакет широко используется в системе электронного документооборота ЦБ РФ, а также для защиты информации, циркулирующей между ЦБ и коммерческими банками. Рекомендуется использовать пакет в системах электронного документооборота и в системах "клиент-банк".
4. CryptonArcMail
Программа защиты файлов и электронных документов CryptonArcMail компании АНКАД (для MS-DOS и Windows"95(98)/NT 4.0) предназначена для защиты файлов документов в системах электронного документооборота и в системах Клиент-Банк.
Пакет CryptonArcMail является полнофункциональным аналогом Специализированного архиватора электронных документов (САЭД, WinSAED), широко распространенного в подразделениях ЦБ РФ.
CryptonArcMail обеспечивает конфиденциальность, целостность и проверку авторства документов.
Программа реализует отечественные стандарты:
1) ГОСТ 28147-89-вчасти шифрования;
2) ГОСТ Р 34.10-94-вчасти цифровой подписи;
3) ГОСТ Р 34.11-94 - в части функции хэширования.
Программа использует асимметричную ключевую систему, что облегчает процедуру передачи ключей шифрования, так как передается только несекретная часть ключа - открытый ключ.
Секретная часть ключа создается самим пользователем, с использованием встроенного программного датчика случайных чисел. Парный ключ - непосредственно участвующий в процессе шифрования - создается из секретного ключа отправителя и открытого ключа получателя по алгоритму Диффи-Хеллмана. Данный алгоритм широко распространен для создания парных ключей в сети Интернет и прошел проверку ведущими криптологами мира.
Для повышения безопасности программы введена процедура сертификации открытых частей ключей.
5. КРИПТОН Сигма
Программа КРИПТОН®Сигма компании АНКАД предназначена для защиты информации на Вашем диске от несанкционированного доступа. Программа проста и надежна в использовании. Защищенные программой диски на вид ничем не отличаются от “обычных” и могут, например, использоваться в локальной или глобальной сети.
Поддерживаемые файловые системы – FAT16, FAT32 и NTFS.
Криптографические ключи для защиты диска хранятся на съемном носителе (дискете), а при использовании платы КРИПТОН доступны возможности хранения ключевой информации на таблетке TouchMemory или смарт-Карте. Также, возможно использование устройства eToken (ключевой носитель для USB-порта).
Использование платы КРИПТОН не позволит злоумышленнику перехватить Ваши ключи с помощью внедренных программ.
Программно-аппаратные требования программы:
1) Наличие операционной системы Windows 95/98 или Windows NT 4.0;
2) Наличие установленного интерфейса Cypton API v2.2 или выше;
3) Наличие УКЗД КРИПТОН или его программного эмулятора;
4) Для использования eToken – встраиваемый в Crypton API программный модуль eToken.dll.
6. КриптоБанк
Единая технология оформления электронных документов КриптоБанк, разработанная компанией ЛАНКрипто включает:
1) Цифровую подпись;
2) Защиту от просмотра и прослушивания;
3) Надежную и гибкую систему управления.
Технология КриптоБанк создана на основе одноименной фирменной библиотеки разработчика. Функциональные возможности библиотеки соответствуют общепринятым стандартам, реализованным в архитектурах:
1) Crypto API (Microsoft);
2) Common Data Security Architecture (IBM, Hewlett-Packard, Sun и др.).
Библиотека КриптоБанк содержит функции:
1) вычисления и проверки цифровых подписей;
2) “запечатывания” и раскрытия цифровых конвертов;
3) генерации пользователем своих персональных идентификаторов;
4) вычисления и регистрации открытых компонент и образцов цифровой подписи.
Программные средства технологии КриптоБанк:
1) имеют удобный и простой интерфейс;
2) совместимы с любыми прикладными программами (банковскими, офисными, бухгалтерскими);
3) обеспечивают автоматическую цифровую подпись электронных писем и их защиту от НСД (КриптоБанк для почтовых программ MS Outlook, Outlook Express и Exchange (EMC);
4) обеспечивают цифровую подпись и защиту электронных документов непосредственно внутри редактора Word (КриптоБанк для Word).
В программах используются фирменные алгоритмы цифровой подписи Нотариус-S и кодирования Веста-2М.
V. УПРАВЛЕНИЕ ДОСТУПОМ
Для сетевых подключений к конфиденциальным или критически важным производственным приложениям, а также для пользователей в зонах повышенного риска, например, в общедоступных местах или местах, находящихся вне пределов досягаемости администраторов безопасности организации особенно важными являются средства контроля и управления доступом.
Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами).
1. Secret Net
Система Secret Net, разработанная компанией НИП “ИНФОРМЗАЩИТА”, предназначена для защиты информации, хранимой и обрабатываемой на автономных персональных компьютерах или рабочих станциях локальной вычислительной сети.
Система Secret Net построена на архитектуре клиент-сервер, при которой обеспечивается централизованное хранение и обработка настроек системы защиты и распределенная работа компонентов, обеспечивающих информационную безопасность. Управление безопасностью в системе осуществляется на двух уровнях.
Нижний уровень управления позволяет управлять настройками безопасности пользователей и групп пользователей, доступом к ресурсам в различных операционных системах (Windows NT, Windows 9x, UNIX),а также контролировать изменения настроек, происходящие в них.
Верхний уровень основан на принципах ролевого управления и позволяет управлять доступом сотрудников организации к сложным совокупностям корпоративных ресурсов.
2. Dallas Lock
Программно-аппаратный комплекс Dallas Lock, разработанный компанией “Конфидент”, предназначен для защиты от несанкционированного доступа к ресурсам персонального компьютера и локальной вычислительной сети, разграничения прав зарегистрированных пользователей по доступу к ресурсам ПК, автоматизированного контроля и протоколирования событий по доступу к компьютеру.
В качестве основного средства идентификации пользователей используются персональные электронные идентификаторы iButton (до недавнего времени Touch Memory) производства фирмы Dallas Semiconductor Corp. (США) и карты proximity, что в совокупности с использованием паролей гарантирует повышенную надежность механизма защиты. Высокий уровень защищенности гарантирован уникальностью кода каждого ключа и надежностью функционирования устройства.
3. Программно-аппаратный комплекс Аккорд™
Программно-аппаратный комплекс Аккорд™, разработанный АОЗТ "ОКБ САПР", обеспечивает защиту от несанкционированного доступа и разграничение доступа к ресурсам систем на базе IBM-совместимых компьютеров.
Важнейшей особенностью является выполнение следующих функций: контроль целостности системных областей и системных файлов, доверенная загрузка ОС, создание и поддержка изолированной программной среды.
Комплекс АККОРД выпускается в программно-аппаратном исполнении. Особенность комплекса состоит в том, что вся программная часть (включая средства администрирования), журнал и список пользователей размещены в энергонезависимой памяти контроллера. Таким образом, функции идентификации/аутентификации пользователей, контроля доступа, целостности программной среды, администрирования и аудита выполняются самим контроллером до загрузки ОС и не зависят от операционной среды и файловой системы, установленной на компьютере.
4. КРИПТОН
Устройства криптографической защиты данных (УКЗД) серии КРИПТОН производства Фирмы АНКАД — это аппаратные шифраторы для IBM PC-совместимых компьютеров, реализующие криптографический алгоритм ГОСТ 28147-89.
Модификация КРИПТОН-4К/16 ЗАМОК выполняет функции электронного замка персонального компьютера и обеспечивает:
1) контроль доступа к компьютеру;
2) контроль целостности файлов, заданных списком пользователя (например, программ);
3) ведение аппаратного и программного журналов регистрации и учета событий, связанных с эксплуатацией системы.
Пользователь устанавливает, обслуживает и периодически тестирует систему, подготавливает свой персональный идентификатор. Эту функцию может взять на себя также администратор безопасности, отняв у пользователя права на создание идентификатора и обслуживания системы.
При включении компьютера СКЗД КРИПТОН-4К/16 требует от пользователя предъявления его идентификатора и ключей шифрования. Затем:
1) с помощью ключей шифрования инициализируется устройство КРИПТОН-4К/16;
2) проверяется наличие и целостность файла с персональным идентификатором пользователя, осуществляется поиск его имени в списке пользователей;
3) производится аутентификация пользователя;
4) с Flash-диска устройства КРИПТОН загружается программное обеспечение ЗАМКА;
5) автоматически стартует программа проверки целостности файлов, заданных пользователем.
После проверки разблокируется клавиатура и стартует загрузка операционной системы. После этого работа ЗАМКА прекращается и не возобновляется до следующей загрузки компьютера.
Если на любом из перечисленных этапов выявляется отклонение от заданных параметров, загрузка компьютера прекращается, а информация о попытке несанкционированного доступа в систему записывается в аппаратный журнал устройства КРИПТОН.
Система ЗАМОК может использоваться разработчиками систем защиты от НСД для аппаратного контроля ядра системы.
5. U-Match BioLink
Новейшая комплексная технология идентификации пользователей, защиты информации и управления доступом компании BioLink Technologies, базирующаяся на использовании для аутентификации пользователя его биометрических данных - отпечатков пальцев, голоса, строения радужной оболочки глаз.
BioLink уже нашла применение в мышке U-MatchBioLink Mouse. Это стандартный двухкнопочный манипулятор со встроенным оптическим сканером отпечатка большого пальца, позволяющий блокировать доступ к компьютеру или сети неавторизованным пользователям.
Устройство распознает пользователя, сравнивая его дактилоскопические данные с хранимым в устройстве цифровым шаблоном отпечатка пальца размером 500 байт. Сам отпечаток пальца пользователя нигде не хранится. Исходный отпечаток по шаблону восстановить невозможно. Таким образом, не нарушается право на личную тайну.
Время сканирования 0, 13 с, время распознавания - 0,2 с. Предусмотрена защита от подделок типа муляжа пальца.
В состав комплекса BioLink входят:
1) U-MatchBioLink Mouse - устройства позиционирования и верификации пользователей;
2) Программный пакет BioVault File Protection Software для защиты личных файлов, папок и документов пользователей, а также исполняемых программ на рабочих станциях коллективного пользования или в сетевом окружении;
3) Программный пакет BioLink Online Fingerprint Protected Web для удаленной авторизации пользователей, а также контроля доступа к защищенным страницам;
4) Набор средств разработчика BioLink Software Development Kit.
VI. PUBLIC KEY INFRASTRUCTURE (PKI)
Инфраструктура открытых ключей (PKI) является комбинацией услуг, средств и продуктов.
Кроме генерации пар ключей система PKI должна выполнять целый ряд дополнительных функций: выпускать ключи и сертификаты, управлять безопасностью, производить аутентификацию, обеспечивать интеграцию с внешними системами, поддерживать восстановление данных.
PKI должна взаимодействовать со множеством самых разных систем и приложений — ПО групповой работы, электронная почта, системы управления доступом, каталоги пользователей, ВЧС (виртуальные частные сети), разнообразные операционные системы, службы безопасности, Web-приложения и широкий спектр заказных корпоративных систем верхнего звена.
В состав PKI входят следующие логические компоненты:
1) Центр сертификации CA (Certification Authority), который публикует сертификаты и списки отозванных сертификатов. Каталог CA обычно находится на сервере. Он должен иметь защиту, не позволяющую производить в него записи никому, кроме CA.
2) Центр регистрации RA (Registration Authority), который выполняет проверки и тестирования до того, как CA получает разрешение опубликовать сертификат цифровой идентификации. Эту функцию может выполнять и CA, однако орган публикации сертификата часто не наделяется этой функцией. CA может пользоваться услугами нескольких RA, причем конкретный RA может выполнять свою функцию в режиме онлайн или автономно, обычно с использованием рабочей станции.
Пользователями могут быть индивидуумы на рабочих станциях, или "тонкие" клиенты (мало функциональные, маломощные сетевые клиенты-терминалы), или компьютерные приложения. Они используют CA для верификации предлагаемых сертификатов или подписей с целью проверки данных, используемых для цифровой идентификации, и любой другой ассоциируемой информации.
Доверительная третья сторона TTP (Trusted Third Party), которая предлагает услуги CA и может предложить также такие дополнительные услуги, как нотариальное заверение, предоставление временных ярлыков, услуги аудита и криптографические функции. В типовом случае TTP является большой серверной системой, которая защищается серией сильных логических и физических средств, чтобы ее работа не подверглась дискредитации.
1. UniCert
UniCert 3.5 компании Baltimor обеспечивает очень удобное администрирование на базе правил, снабжена очень хорошим администратором сертификации, способным работать со многими операционными системами, включая Windows 2000 и большое количество разновидностей Unix.
Многофункциональный графический интерфейс пользователя позволяет легко и просто просмотреть всю структуру центров сертификации и регистрации. Редактор политики предоставляет полную свободу при описании информации, необходимой для создания сертификата.
На высоком уровне организован процесс обновления сертификатов. Простой и гибкий интерфейс правил системы UniCert позволяет контролировать срок годности сертификатов и уведомлять о нем пользователей.
UniCert очень эффективно использует централизованно разрабатываемые правила для распределенного администрирования.
2. Entrust
Entrust 5.01 фирмы Entrust представляет собой хорошо проработанную систему, включающую в себя клиента для настольных систем Entelligence этой же фирмы.
Клиент ведет не только журнал аудита с указанием времени событий, но и перечень всех ранее аннулированных сертификатов. Это может быть полезно в тех случаях, когда пользователь использовал просроченный или аннулированный сертификат, но не знает, когда это произошло.
Entrust интегрируется с аппаратными средствами аутентификации, например с устройствами считывания микропроцессорных карточек и биометрическими устройствами.
В Entrust используется служба Vali-Cert, которая обеспечивает поддержку протокола OCSP. Этот протокол, разработанный фирмой VeriSign, широко применяется для проверки достоверности сертификатов в реальном времени.
3. Keon 5.5
Keon 5.5 компании RSA имеет очень хорошего клиента настольных систем, совместимый с другими инфраструктурами, включая PKI компании Baltimor, и обеспечивающий хорошее управление ключами.
Он обеспечивает единую безопасную регистрацию пользователя, шифрование файлов настольной системы, защиту в неактивном режиме и безопасное хранение идентификационных данных на ПК.
Инфраструктура допускает работу с довереннными администраторами сертификации, пользователь системы при необходимостиможет обратиться к услугам ValiCert.
В Keon предусмотрена функция защиты электронной почты, совместимая с браузером Internet Explorer корпорации Microsoft.
4. OnSite
OnSite 4.51 компании VeriSign предлагает пользователю богатые возможности управления сертификатами, подкрепленные репутацией фирмы как надежного и отказоустойчивого помощника в хостинге серверов сертифкации.
Автоматическая генерация и возобновление сертификатов не вызывают никаких трудностей и проводятся очень эффективно.
Богатые возможности управления сертификатами позволяют синхронизировать каталоги даже без помощи провайдеров безопасности.
Проверка подлинности сертификатов осуществляется в реальном времени.
Для интеграции с другими продуктам фирма разработала модули, снабдив каждый из них документацией о порядке интеграции с OnSite.
VII. СРЕДСТВА УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ
Управление безопасностью позволяет реализовать политику безопасности на выбранных средствах защиты путем эффективного обеспечения:
1) защищенного конфигурирования средств защиты;
2) мониторинга состояния системы, средств защиты;
3) оценки степени соответствия системы политике безопасности, включая подготовку и выдачу отчетов.
1. Open Security Manager
Open Security Manager от Check Point Software Technologies дает возможность централизованно управлять корпоративной политикой безопасности, и устанавливать ее на сетевые устройства по всей компании.
Продукт OSM является одной из основных компонент OPSEC, он создает быстрый и аккуратный интерфейс для управления устройствами сетевой безопасности различных производителей. OSM построен на базе модели клиент-сервер, корпоративная политика безопасности создается и управляется при помощи GUI-клиента OSM.
Как только политика создана и готова к использованию, управляющий сервер генерирует соответствующие спецификации фильтров для каждого из устройств, упомянутых в политике безопасности.
После этого политика безопасности может быть установлена либо на все устройства разом, либо на часть из них. С использованием OSM, администратор может централизованно управлять корпоративной политикой безопасности, а затем прозрачно устанавливать ее на сетевые устройства в любой точке сети.
Управление на основе единой политики сохраняет время и снижает вероятность появления ошибок по сравнению с традиционным подходом, когда каждое устройство конфигурируется и поддерживается независимо от остальных, с использованием собственного интерфейса командной строки.
Основные возможности продукта:
1) Управление настройками сетевой безопасности маршрутизаторов и брандмауэров многих производителей;
2) Создание единой политики безопасности и загрузка ее на все поддерживаемые сетевые устройства;
3) Импорт уже существующих списков доступа и определений фильтров;
4) Проверка целостности политики безопасности до того, как она будет загружена в устройства.
Преимущества продукта:
1) Упрощается управление и конфигурирование устройств безопасности корпоративной сети;
2) Исключаются несогласованные, подверженные ошибкам сессии конфигурирования отдельных устройств;
3) Минимальные затраты на миграцию и установку;
4) Сохранение уже сделанных вложений в оборудование и программное обеспечение.
Технические характеристики:
1) Операционная система Windows NT 4.0 и выше
2) Занимаемое место на диске 25 MB
3) Минимальное количество памяти 64 MB
4) Поддерживаемые сетевые адаптеры Все поддерживаемые операционной системой
5) Поддерживаемые устройства:
3Com NETBuilder IP Firewall
Bay Networks router
Cisco PIX Firewall
Cisco router
Microsoft Windows NT RRAS
(Routingand Remote Access Service)
2. Cisco Secure Policy Manager
Cisco Secure Policy Manager (CSPM), ранее известный как Cisco Security Manager, представляет собой масштабируемую систему управления политикой безопасности для межсетевых экранов и VPN-шлюзов Cisco.
С помощью Cisco Secure Policy Manager пользователи сетей Cisco могут определять, распределять, перестраивать и проводить аудит распределенных по сетям политик безопасности с центральной консоли. Продукт упрощает задачи управления усложненными элементами сетевой безопасности, такими как, контроль доступа к периметру, трансляция сетевых адресов и основанные на IPsec VPN-устройства.
Благодаря графическому интерфейсу пользователя CSPM, администраторы могут визуально создавать сколь угодно высокий уровень политик безопасности для неограниченного множества МЭ и шлюзов Cisco. После создания эти политики могут быть централизованно распределены, устраняя тем самым дорогостоящую и не эффективную практику управления безопасностью типа “точка-точка”.
Кроме того, продукт обеспечивает функции системного аудита, включая уведомление о системных событиях и генерацию отчетов, основанные на Web –технологиях.
CSPM является центром управления “end-to-end – безопасностью”, упрощая развертывание продуктов и услуг безопасности в сетях Сisco.
3. HP OpenView Network Management Solution
HP OpenView Network Management Solution включает в себя пять ключевых технологий.
1) Управление планированием сети
Программа моделирования услуг для сетей HP OpenView Service Simulator сокращает риск при планировании, проектировании и обслуживании крупных сетей путем точного моделирования влияния различных изменений инфраструктуры и рабочей загрузки на производительность сети.
2) Управление пропускной способностью сети
Решение HP OpenView PolicyXpert позволяет осуществлять управление пропускной способностью сети и качеством сетевых услуг. С помощью PolicyXpert задается стратегия (набор определенных правил) для любых разнородных элементов сетевой инфраструктуры. К преимуществам PolicyXpert можно отнести следующее:
a) Защита критических приложений (Для гарантии выполнения критических приложений есть возможность создавать и внедрять в сети систему приоритетов);
b) Снижение перегрузки распределенных сетей (Приложение позволяет задать приоритеты и контролировать сетевые потоки через LAN и WAN сети, а также за пределами WAN сетей;
c) Дифференциация услуг (Уверенное предоставление Интернет-услуг: PolicyXpert присваивает политики, которые следят за выполнением сервисного соглашения.
3) Управление доступностью сети
Решение HP OpenView Network Node Management Solution, поддерживающее доступность сетей, позволяет автоматически детектировать отдельные элементы и составлять схему всей сети. Это подразумевает, что любые изменения в сети мгновенно идентифицируются, возникающие сетевые проблемы регистрируются, связываются с другими сетевыми событиями и часто решаются в автоматическом режиме.
4. Управление производительностью сети
Agilent NetMetrix/UX представляет собой интегрированное решение для проведения мониторинга, анализа и составления отчетов о производительности сети. Оно позволяет выявлять причины проблем и устранять потенциальные “узкие места” до того, как они повлияют на производительность конечных пользователей.
5. Управление системой защиты сети
Решение HP OpenView Node Sentry позволяет обнаруживать несанкционированное проникновение в сеть в масштабах всего предприятия. Оно позволяет отслеживать сетевые потоки данных в режиме реального времени, непрерывно контролируя попытки нарушения прав доступа и признаки некорректного использования. В случае обнаружения нарушения активизируется аварийный сигнал, а нарушитель удаляется из сети. И это происходит без снижения производительности или доступности сети так, что происходящее прозрачно для привилегированных пользователей.
Использование HP OpenView Node Sentry дает следующие преимущества:
a) Повышение степени защиты: система автоматически следит за сетями непрерывно день за днем. Сигналы тревоги передаются сетевым администраторам в режиме реального времени;
b) Сокращение затрат на аварийное восстановление: система сразу отключает нарушителей и делает невозможным их повторный вход в систему. В случае разбирательства после инцидента система может предоставить реальные доказательства;
c) Гибкое развертывание (против внутренней/внешней угрозы);
d) Эффективное управление: HP OpenView Node Sentry полностью интегрирован с HP OpenView Network Node Manager, что позволяет объединить персонал, сократить затраты, согласовать меры по ужесточению сетевой политики на всем предприятии. Тесная интеграция с сетевым управлением позволяет также оптимизировать требования к системе защиты с точки зрения производительности сети;
e) Масштабируемость: внедрение HP OpenView Node Sentry по схеме многоуровневой иерархии позволяет осуществлять мониторинг практически неограниченного числа датчиков.
4. Tivoli Manager for Network Connectivity
Tivoli Manager for Network Connectivity представляет патентованную технологию коррелирования и обработки динамической сетевой топологической информации, получаемой со станции управления сетью для быстрой и автоматической диагностики и информирования о первопричинах сбоев в IP-сети.
Tivoli Manager for Network Connectivity представляет полноценное, встраиваемое расширение для Tivoli Enterprise Console и вашей системы сетевого управления. Он работает самостоятельно, не требуя программирования или поддержки.
Tivoli Manager for Network Connectivity обеспечивает решение следующих задач:
1) Сбор сетевой топологической информации и событий со станции управления сетью;
2) Обеспечение анализа первопричины сбоев;
3) Трансляция событий, прошедших аналитическую обработку средствами Tivoli Manager for Network Connectivity, в Tivoli Enterprise Console.
Tivoli Manager for Network Connectivity использует патентованную технологию, называемую Codebook Correlation* (кодовая таблица корреляций). Кодовые таблицы создаются автоматически Tivoli Manager for Network Connectivity и содержат сигнатуры (уникальные комбинации симптомов) диагностируемых проблем. Сигнатуры проблем сравниваются с событиями в режиме реального времени для поиска проблемы, наиболее подходящей исследуемому событию. По причине очень тщательного поиска, он может обрабатывать даже не полную информацию. В результате быстрого и автоматизированного анализа первопричины, исключается необходимость передачи всех событий в Tivoli Enterprise Console, что приводило бы к увеличению времени решения проблем.
Tivoli Manager for Network Connectivity и технология Codebook решают проблемы путем безошибочного определения первопричин сбоев в динамичной сетевой среде. Знание характеристик поведения каждого типа управляемого элемента в отрыве от сетевой топологии (информация об элементах сети и их взаимосвязях ) оказывает влияние на время анализа. Информация об элементах сети попадает в многократно-используемую объектную модель. Сигнатуры для каждой потенциальной проблемы обсчитываются автоматически путем сопоставления корреляционных моделей с топологией. В случае изменений в топологии, сигнатуры автоматически обновляются, исключая необходимость обновления правил обработки информации об измененном окружении.
Сообщения о первопричинах проблем автоматически направляются в Tivoli Enterprise Console для информирования центральных управляющих структур, сопоставления на более высоком уровне с событиями от других систем и приложений.
Благодаря уникальной технологии коррелирования, Tivoli Manager for Network Connectivity способен использоваться в распределенной вычислительной сети любого размера, а потеря части событий не окажет влияния на качество работы. Он может принимать сетевую топологическую информацию и события из HP OpenView и Tivoli NetView® на различных платформах.
Поддерживаемые платформы:
HP-UX
AIX®
Solaris™
Windows NT®
Источник - www.elvis.ru
<<назад к списку статей |
