Читайте также:
|
Технология ViPNet предназначена для создания целостной системы доверительных отношений и безопасного функционирования технических средств и информационных ресурсов корпоративной сети организации, взаимодействующей с внешними техническими средствами и информационными ресурсами.
Доверительность отношений, безопасность коммуникаций и технических средств, безопасность и достоверность информационных ресурсов достигается путём создания в телекоммуникационной инфраструктуре корпоративной сети интегрированной виртуальной защищенной среды, которая включает в себя:
Распределённую систему межсетевых и персональных сетевых экранов, защищающую информационные ресурсы и пользователей, как от внешних, так и внутренних сетевых атак.
Распределённую систему межсетевого и персонального шифрования трафика любых приложений и операционной системы, гарантирующую целостность и конфиденциальность информации как на внешних, так и внутренних коммуникациях, а также обеспечивающую разграничение доступа к техническим и информационным ресурсам.
Систему электронной цифровой подписи и шифрования информации на прикладном уровне, обеспечивающую достоверность и юридическую значимость документов и совершаемых действий.
Систему прозрачного для приложений шифрования данных при сохранении указанных данных в процессе работы этих приложений на сетевых и локальных жестких дисках, других носителях. Система обеспечивает целостность и недоступность информации для несанкционированного использования в процессе её хранения.
Систему контроля и управления связями, правами и полномочиями защищённых объектов корпоративной сети, обеспечивающую автоматизированное управление политиками безопасности в корпоративной сети.
Комбинированную систему управления ключами, включающую подсистему асимметричного распределения ключей (PKI), обеспечивающую информационную независимость пользователей в рамках заданных политик безопасности от центральной администрации, и подсистему распределения симметричных ключей, гарантирующую высокую надежность и безопасность всех элементов централизованного управления средствами ViPNet, в том числе защиту подсистемы PKI.
Систему, обеспечивающую защищённое взаимодействие между разными виртуальными частными сетями ViPNet путём взаимного согласования между администрациями сетей допустимых межобъектных связей и политик безопасности.
Технология ViPNet позволяет быстро развертывать корпоративные защищённые сети на базе имеющихся у организации локальных сетей, доступных ресурсов глобальных (включая Интернет) и ведомственных телекоммуникационных сетей, телефонных и выделенных каналов связи, средств стационарной, спутниковой и мобильной радиосвязи и др. При этом в полной мере может использоваться уже имеющееся у организации оборудование (компьютеры, серверы, маршрутизаторы, коммутаторы, межсетевые экраны (МЭ) и т.д.).
Кроме того, технология ViPNet даёт возможность создать внутри распределённой корпоративной сети информационно-независимые виртуальные защищённые контуры, включающие как отдельные компьютеры, так и сегменты сетей, которые обеспечивают функционирование в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач. Такие контуры создаются только исходя из логики требуемых (разрешённых) информационных связей независимо от приложений, сетевой операционной системы, без каких-либо настроек сетевого оборудования.
Технология ViPNet позволяет поддерживать работу мобильных и удалённых пользователей корпоративной сети, а также организовывать контролируемое и безопасное для корпоративной сети подключение внешних пользователей и безопасное подключение отдельных рабочих станций к открытым ресурсам сети Интернет.
Результатом применения системы защиты информации ViPNet является защита (конфиденциальность, подлинность и целостность) любого вида трафика, передаваемого между любыми компонентами сети, а также защита управляющего трафика для систем и средств удалённого управления объектами сети: маршрутизаторов, межсетевых экранов, серверов и самих средств удалённого управления от возможных атак из глобальной или корпоративной сети.
С помощью системы защиты информации ViPNet можно осуществлять контроль доступа к любому узлу (рабочая станция, сервер, маршрутизатор и т.д.) и сегменту сети (локальная сеть, сегмент локальной сети, группа сегментов сети и т.д.), включая фильтрацию трафика, правила которой могут быть определены для каждого узла отдельно как с помощью набора стандартных настроек, так и с помощью индивидуальной настройки. Возможно организовать безопасную работу участников ViPNet-сети с совместным информационным групповым и/или корпоративным информационным ресурсом и защитить от НСД информационные ресурсы корпоративной сети, хранимые на рабочих станциях (мобильных, удаленных и локальных), серверах (WWW, FTP, SMTP, SQL, файл-серверах и т.д.) и других хранилищах группового доступа.
Технология ViPNet позволяет проводить аутентификацию пользователей и сетевых объектов VPN как на основе использования системы симметричных ключей, так и на основе использования инфраструктуры открытых ключей (PKI) и сертификатов стандарта X.509, а также оперативно управлять распределённой VPN-сетью (включая систему распределённых сетевых экранов) и политикой информационной безопасности в сети из одного центра.
В состав программно-аппаратного комплекса ViPNet входят следующие компоненты:
1) Программное обеспечение для сетевого узла ViPNet [Администратор].
2) Программное обеспечение для сетевого узла ViPNet [Координатор].
3) Программный модуль для рабочей станции ViPNet [Клиент].
ViPNet [Администратор] включает в себя программы:
1) Центр Управления Сетью,
2) Удостоверяющий Ключевой Центр.
Центр Управления Сетью (ЦУС) является регистрационным центром и предназначен для конфигурации и управления виртуальной сетью. ЦУС выполняет следующие функции:
- централизованное управление сетью;
- формирование структуры VPN;
- формирование справочной информации;
- управление "логикой" работы VPN;
- централизованное обновление ПО и функциональных компонентов VPN;
- мониторинг событий VPN;
- удалённое управление ресурсами VPN.
Удостоверяющий Ключевой Центр (УКЦ) предназначен для обеспечения ключевой информацией всех участников VPN и выполнения функций удостоверяющего центра. При этом первичные клиентские ключевые наборы могут быть записаны на дискеты, смарт-карты, touch memory, e-token и прочее для передачи участникам VPN. Последующее обновление ключевой информации осуществляется автоматически по защищённым каналам VPN. УКЦ выполняет следующие функции:
- формирование и автоматическое обновление через ЦУС симметричной ключевой информации и первичной парольной информации для объектов и пользователей сети;
- выполнение функций удостоверяющего центра сертификатов цифровых подписей.
ViPNet [Координатор]:
- выполняет маршрутизацию почтовых и управляющих защищённых сообщений при взаимодействии объектов сети между собой и ViPNet [Администратором];
- в реальном времени осуществляет регистрацию и предоставление информации о состоянии объектов сети, их местоположении, значении их IP-адресов и др.;
- обеспечивает работу защищённых компьютеров локальной сети от имени одного адреса (функция proxy);
- осуществляет туннелирование пакетов от обслуживаемой ViPNet [Координатором] группы незащищённых компьютеров локальной сети для передачи трафика от них к другим объектам VPN в зашифрованном виде по открытым каналам Интернет/Интранет;
- фильтрует трафик от источников, не входящих в состав VPN, в соответствии с заданной политикой безопасности (функция межсетевого экрана);
- обеспечивает возможность работы защищённых по технологии ViPNet компьютеров локальной сети через сетевые экраны и прокси-серверы других производителей.
ViPNet [Клиент] обеспечивает защиту информации при её передаче в сеть, а также защиту от доступа к ресурсам компьютера и атак на него из локальных и глобальных сетей. При этом ViPNet [Клиент] может быть установлен как на рабочую станцию (мобильную, удалённую, локальную), так и на всевозможные типы серверов (баз данных, файл-серверов, WWW, FTP, SMTP, SQL и пр.) с целью обеспечения безопасных режимов их использования.
Понятия адресной и прикладной администрации. Сеть ViPNet состоит из сетевых узлов (СУ), каждый из которых является либо сервером-маршрутизатором (СМ или Координатором), либо абонентским пунктом (АП или Клиентом). Каждый АП логически привязан к одному СМ. Сетевые узлы физически могут быть соединены практически любыми каналами связи (коммутированными, выделенными, локальной сетью, TCP/IP, SMTP/POP 3, X 25 и другими).
Таблица 1
| Уровень | Понятие | Определение |
| Сетевой | Сетевой узел (СУ) | Это абонентский пункт (АП) или сервер-маршрутизатор (СМ). |
| Сетевой | Сетевая группа (СГ) | Это совокупность сетевых узлов, которые должны иметь возможность связываться друг с другом. |
| Сетевой | Сетевые объекты (СО) | Это совокупность сетевых узлов и сетевых групп. |
| Сетевой | Абонентский пункт (АП) | Это сетевой узел, на котором установлен ViPNet [Клиент] и работают прикладные задачи пользователя. Каждый абонентский пункт подключается к одному координатору. |
| Сетевой | Сервер-маршрутизатор (СМ) | Это сетевой узел, на котором установлен ViPNet [Координатор] и на котором работает прикладная задача Сервер IP‑адресов. |
| Прикладной | Прикладная задача (ПЗ) | Это совокупность программных средств, предназначенных для решения целевых и служебных задач, например, "Деловая почта", "Центр управления сетью", "Ключевой центр", "Защита трафика", "Сервер IP-адресов", "Центр регистрации", "Секретный диск" и др. |
| Прикладной | Абонент (Аб) Пользователь | Пользователь ViPNet-сети, владелец ключевой информации для доступа в сеть. |
| Прикладной | Коллектив (К) | Совокупность пользователей, работающих на одном СУ и имеющих одинаковые ключи для шифрования конфиденциальной информации. Именно коллективы являются отправителями и получателями сообщений в сети ViPNet. |
| Прикладной | Тип коллектива или подразделение (ТК) | Единица разграничения доступа в ViPNet-сети (по смыслу это организационное подразделение). |
| Прикладной | Главный коллектив (для пользователя) | Коллектив, на имя которого приходят обновления ключевой и адресной информации данному пользователю. |
| Открытый коллектив (для пользователя) | Коллектив, пользователь которого виден другими пользователями в адресных справочниках АП. | |
| Скрытый коллектив (для пользователя) | Коллектив, о пользователе которого не будут знать пользователи коллектива, хотя такому пользователю доступна вся информация, адресованная пользователям данного коллектива. | |
| Прикладной | Связь коллективов | Это возможность обмениваться информацией в зашифрованном виде. Если два коллектива связаны, то для них создается симметричный ключ шифрования. Связь задается на уровне типов коллектива (ТК). |
На схеме 1 представлены перечисленные в таблице 1 уровни и понятия.
Схема 1
Дата добавления: 2015-07-19; просмотров: 316 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Вводная часть | | | Структура сети ViPNet |