49693 (Защищенные информационные технологии в экономике), страница 3
Описание файла
Документ из архива "Защищенные информационные технологии в экономике", который расположен в категории "". Всё это находится в предмете "информатика" из , которые можно найти в файловом архиве . Не смотря на прямую связь этого архива с , его также можно найти и в других разделах. Архив можно найти в разделе "рефераты, доклады и презентации", в предмете "информатика, программирование" в общих файлах.
Онлайн просмотр документа "49693"
Текст 3 страницы из документа "49693"
Прозрачный режим работы proxy-серверов позволяет внутренним пользователям соединяться с нужным хостом за один шаг (т.е. без промежуточного соединения с ПАНДОРОЙ).
Система контроля целостности позволяет контролировать безопасность модулей самой системы.
Графический интерфейс управления служит для настройки, администрирования и просмотра статистики ПАНДОРЫ.
ПАНДОРА поставляется вместе с исходными текстами основных программ, для того чтобы можно было убедиться в отсутствии закладок и разобраться, как он работает.
ПАНДОРА сертифицирована Государственной Технической Комиссией при Президенте России. Сертификат N 73 выдан 16 января 1997 г. и действителен до 16 января 2000 г: " ...система защиты информации от НСД в сетях передачи данных по протоколу TCP/IP - межсетевой экран "ПАНДОРА" (ТУ N 1-97) на базе межсетевого экрана "Gauntlet" версии 3.1.Н..., функционирующая на платформе операционной системы IRIX v.6.3 фирмы Silicon Graphics, является средством зашиты информации и обеспечивает защиту участка интрасети от доступа извне, не снижая уровня защищенности участка интрасети, соответствует техническим условиям № 1-97 и требованиям Руководящего документа Гостехко-миссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" в части администрирования для класса ЗБ".
Задача выбора МЭ для каждого конкретного применения -это, главным образом, вопрос верного соотношения требований пользователей к доступу и вероятности несанкционированного доступа. В идеале система должна предотвращать всякое несанкционированное вторжение. Однако, учитывая широкий спектр необходимых пользователям сервисов (Web, ftp, telnet, SNMP, NFS, телефония и видео в Internet, электронная почта и др.), наряду с изначальной открытостью комплекта протоколов TCP/IP, - этого идеала достигнуть очень тяжело. В действительности, мерой эффективности МЭ служит вовсе не его способность к отказу в предоставлении сервисов, но его способность предоставлять сервисы пользователям в эффективной, структурированной и надежной среде. МЭ должны уметь анализировать приходящий и исходящий сетевой трафик и правильно определять, какие действия санкционированы без ненужного замедления работы системы.[2]
И в заключение данного раздела приведем некоторые рекомендации по выбору МЭ, которые выработала Ассоциация "Конфидент".
1). Цена. Она колеблется существенно — от 1000 до 15000 долл. при покупке непосредственно у фирм-производителей, большинство которых находится в США; у российских дилеров эти цифры значительно выше из-за таможенных и налоговых сборов. Интересна и такая цифра - цена МЭ для Windows NT в среднем составляет 6000 долл. К этой цене надо добавить расходы на аппаратную платформу и ОС, которые могут быть весьма значительными и соизмеримыми со стоимостью самого МЭ — например, как в случае использования компьютеров Sun под управлением ОС Solaris. Поэтому с точки зрения экономии разумно применять МЭ, ориентированные на Intel-платформу и ОС DOS, Windows NT, Novel 1 NetWare.
2). Фильтрация. Большинство МЭ работает только с семейством протоколов TCP/IP, что связано с ориентацией разработчиков на потребности западного рынка. Этого достаточно, если МЭ применяется в классическом варианте — для контроля графика между интрасетью и Internet. Но в России, согласно имеющейся статистике, 90 % рынка сетевых ОС составляет Novell Netware и поэтому важна фильтрация IPX-трафика. Кроме того, совершенно необходимой для внутреннего МЭ является способность фильтрации на уровне соединения — например, фильтрации Ethernet-фреймов. К сожалению, эта возможность реализована в очень немногих продуктах (например. Firewall Plus и Eiron Firewall).
3). Построение интрасети — при объединении сети организации с Internet в качестве транспортной магистрали нужно исходить из имеющейся инфраструктуры. С этой точки зрения много возможностей, имеется в Netware: службы каталогов, управления, печати, защиты и работы с файлами; GroupWise и ManageWise управляют электронным документооборотом и сетью; входящий в состав IntranetWare шлюз IPX/IP организует прозрачный доступ с IPX-станций к сервисам TCP/IP с помощью Winsock-совместимого клиентского ПО. Тогда IPX-сервер и IPX-станция не имеют IP-адресов и из Internet в принципе не видны. Поэтому организация атаки на их информационные ресурсы практически невозможна и защита IP-хостов гетерогенной сети IP-IPX решается проще, так как шлюз выполняет по отношению к ним функции МЭ. Примеры таких МЭ: BorderManager фирмы Novell и NetRoad FireWALL фирмы UkiahSoft.
4). Простота эксплуатации. Чтобы снизить текущие эксплуатационные расходы, лучше отдать предпочтение простым в эксплуатации продуктам с интуитивно понятным графическим интерфейсом, иначе богатые возможности по настройке МЭ могут оказаться невостребованными. Этому критерию хорошо соответствуют два продукта — Firewall Plus фирмы Network-1 и NetRoad FireWALL фирмы UkiahSoft.
1.4 Отечественные защищенные системы
Российский стандарт шифрования данных ГОСТ 28147-89
Единственный в настоящее время коммерческий российский алгоритм ГОСТ 28147-89 является универсальным алгоритмом криптографической защиты данных как для крупных информационных систем, так и для локальных вычислительных сетей и автономных компьютеров.
Многолетний опыт использования данного алгоритма показал его высокую надежность и удачную конструкцию. Этот алгоритм может реализовываться как аппаратным, так и программным способом, удовлетворяет всем криптографическим требованиям, сложившимся в мировой практике. Он также позволяет осуществлять криптозащиту любой информации, независимо от степени ее секретности.
В алгоритме ГОСТ 28147-89 используется 256-разрядный ключ, представляемый в виде восьми 32-разрядных чисел, причем, расшифровываются данные с помощью того же ключа, посредством которого они были зашифрованы.
Необходимо отметить, что алгоритм ГОСТ 28147-89 полностью удовлетворяет всем требованиям криптографии и обладает всеми достоинствами алгоритма DES, но лишен его недостатков. В частности, за счет использования специально разработанных имитовставок он позволяет обнаруживать как случайные, так и умышленные модификации зашифрованной информации. В качестве недостатка российского алгоритма надо отметить большую сложность его программной реализации и недостаточно высокую скорость работы.[1]
СУБД “Линтер-ВТ”, разработанной ВНИИ автоматизации управления в непромышленной сфере воронежской фирмой “Рэлекс”, производство которых сертифицировано. Специалисты Лос-Аламосской лаборатории в США считают, что СУБД “Линтер-ВТ” не уступает СУБД фирмы Oracle (“родная” Oracle, чтобы быть сертифицированной, требует доработки, а, кроме того, любой западный продукт может получить сертификат только на определенные партии продуктов, поскольку их производство находится за рубежом). [4]
Криптографические средства семейства “Верба-О” производства МОПНИЭИ(сертифицированы ФАПСИ) . Универсальность установок по умолчанию. Внутренние изменения интерфейса при смене средств незначительны. Спектр применения интерфейса системы защиты информации, приведенного в качестве примера,продукта, приведённого в качестве примера, в весьма широк. Это системы контроля доступа к ресурсам банковской системы (как локальное использование в офисе банка для операторов и клиентов, так и контроль удаленного доступа), системы “банк-клиент”, платежи через Интернет, защищенная почта и многие другие. [3]
2. Интегральные устройства защиты информации
Очень важным вопросом защиты информации является интеграция программно – аппаратных средств обеспечения информационной безопасности. По мнению В. С. Барсукова, имеется явно выраженная тенденция ко все большей интеграции различных средств и систем связи, что вызывает необходимость единого интегрального подхода к регистрации, хранению и обеспечению безопасности всех видов передаваемой информации. Современные СП-приложения с использованием интегрального подхода позволяют обеспечить реализацию интегральных программно-аппаратных средств защиты информации с заданными оперативно-техническими характеристиками. [1]
Из современных отечественных интегральных устройств защиты информации в качестве примера реализации можно отметить разработки фирмы "Силуэт". Отечественная интегральная система "Калейдоскоп- плюс" предназначена для передачи с помощью ПК закрытой текстовой и факсимильной информации по общедоступным каналам связи. В процессе работы информация приводится к единому цифровому виду и шифруется по алгоритму шифрования в соответствии с ГОСТ 28147-89. Скорость шифрования - 3 кбод. Система имеет возможность выработки собственных ключей. Скорость передачи информации до 1200 бод с вероятностью ошибки на знак, равной 10 в степени (-8). Информация передается по каналам связи с использованием типовых модемов отечественного или зарубежного производства. Возможно включение в систему редактора текстовой информации требуемого типа.
Абонентский пункт "МАГ" предназначен для коммерческой шифрованной связи по коммутируемым телефонным и телеграфным каналам. Он обеспечивает:
-
передачу факсимильной информации;
-
автоматическое опознавание абонента;
-
скорость шифрования 40 кбод;
-
скорость передачи информации до 1200 бод (вероятность ошибки на знак равна 10 в степени (-6);
-
криптозащиту информации на дисках и в канале связи;
-
имитозащиту (контроль целостности данных);
-
диалоговый режим;
-
использование открытых ключей.
Состав абонентского пункта "МАГ":
-
IBM PC;
-
модем;
-
устройство речевого ввода/вывода на основе микросхемы TMS 320C25;
-
факсимильный аппарат OKIFAX;
-
ПО.
Удачной отечественной разработкой является интегральное терминальное устройство "Индекс" фирмы "Скинер", которое предназначено для закрытой передачи речевой, графической, буквенно-цифровой и другой информации по стандартным коммерческим телефонным каналам связи. Интегральное устройство выполнено в виде печатной платы к ПК IBM PC и специального программного обеспечения. Возможен вариант реализации в виде внешнего блока, подключаемого к ПК через параллельный порт. Необходимо отметить, что поскольку аппаратное и программное обеспечение данного интегрального устройства являются общими, то реально выделить в явном виде функциональные блоки устройства не представляется возможным. Поэтому для пояснения возможностей и проведения дальнейшего анализа на рис.1 показаны состав и основные функциональные связи между виртуальными блоками (одни и те же элементы и фрагменты программ могут быть использованы различными блоками).
Как видно из рисунка, основной особенностью данного терминального устройства является не только его многофункциональность (модем, автосекретарь, устройство защиты и т. п.), интеграция различных видов сигналов (телефонных, телеграфных, факсимильных, компьютерных и др.), но и интеграция различных видов обеспечения безопасности (охрана, физическая и экологическая защита, криптозащита, защита от побочных электромагнитных излучений и наводок и др.).
Автоответчик
Факс
Блок коммутации и управления
Блок охраны и физической защиты
Интерфейс связи с внешними устройствами
Шифратор
Генератор шума
Модем
Блок аналогового и цифро-аналогового преобразования