лекция№15 (Лекции по дисциплине)

Федеральное агентство по образованию

Государственное образовательное учреждение

высшего профессионального образования

«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ПРИБОРОСТРЕНИЯ И ИНФОРМАТИКИ»

Кафедра ИТ-7 «Автоматизированные системы обработки информации и управления»

УТВЕРЖДАЮ

Ректор МГУПИ

_____________Михайлов Б.М.

«___» ______________ 200__г.

Для студентов <номер> курса факультета ИТ

специальности 230100

<уч.степень, уч.звание, фамилия, инициалы автора>

ЛЕКЦИЯ № <15>

по дисциплине <шифр> <Защита Информации>

ТЕМА <Комплексные Решения Защиты Информации для Корпоративных Сетей>

Обсуждена на заседании кафедры

(предметно-методической секции)

«___» _______________ 200__г.

Протокол № _____

МГУПИ — 200_ г.

Тема лекции: < Комплексные Решения Защиты Информации для Корпоративных Сетей >

Учебные и воспитательные цели:

1. ??

2. ??

3. ??

Время: 2 часа (90 мин.)

Литература (основная и дополнительная):

1.Средства защиты информации в компьютерных системах: учебное пособие. – М. МГУПИ, 2007.

2.Мельников В. Защита информации в компьютерных системах. – М.: Финансы и статистика, 1997

Учебно-материальное обеспечение:

1. Рис. 56. Структура комплесного средства защиты корпоративной сети

ПЛАН ЛЕКЦИИ:

Введение – до 5 мин.

Основная часть (учебные вопросы) – до 80 мин.

1-й учебный вопрос Программный комплекс VIPNET - ? мин

2-й учебный вопрос Комплексные решения компании “Сигнал-Ком”- ? мин

3-й учебный вопрос Комплексные решения компании CheckPoint - ? мин

Заключение – до 5 мин.

ТЕКСТ ЛЕКЦИИ

Введение – до 5 мин.

Назначение: технология ViPNet предназначена для создания целостной системы доверительных отношений и безопасного функционирования технических средств и информационных ресурсов корпоративной сети, взаимодействующей с внешними техническими средствами и информационными ресурсами.

Способ: создание в телекоммуникационной инфраструктуре корпоративной сети интегрированной виртуальной защищенной среды, включающей следующие компоненты:

-Распределенную систему межсетевых и персональных сетевых экранов, защищающую информационные ресурсы и пользователей как от внешних, так и внутренних сетевых атак.

-Распределенную систему межсетевого и персонального шифрования трафика любых приложений и операционной системы, гарантирующую целостность и конфиденциальность информации, как на внешних, так и внутренних коммуникациях, и обеспечивающую разграничение доступа к техническим и информационным ресурсам.

-Систему электронной цифровой подписи и шифрования информации на прикладном уровне, обеспечивающую достоверность и юридическую значимость документов и совершаемых действий.

-Систему прозрачного для программных приложений шифрования данных при сохранении указанных данных в процессе работы этих приложений на сетевых и локальных жестких дисках, других носителях, обеспечивающую целостность и недоступность информации для несанкционированного использования в процессе ее хранения.

-Систему контроля и управления связями, правами и полномочиями защищенных объектов корпоративной сети, обеспечивающую автоматизированное управление политиками безопасности в корпоративной сети.

-Комбинированную систему управления ключами, включающую подсистему асимметричного распределения ключей (PKI), обеспечивающую информационную независимость пользователей в рамках заданных политик безопасности от центральной администрации, и подсистему распределения симметричных ключей, гарантирующую высокую надежность и безопасность всех элементов централизованного управления средствами ViPNet.

-Систему, обеспечивающую защищенное взаимодействие между разными виртуальными частными сетями ViPNet путем взаимного согласования между администрациями сетей допустимых межобъектных связей и политик безопасности.

Рис. 56. Структура комплесного средства защиты корпоративной сети

1-й учебный вопрос Программный комплекс VIPNET - ? мин

Основные функции:

- Быстрое развертывание корпоративных защищенных решений на базе имеющихся у корпорации локальных сетей, доступных ресурсов глобальных (включая Интернет) и ведомственных телекоммуникационных сетей, телефонных и выделенных каналов связи, средств стационарной, спутниковой и мобильной радиосвязи и др.

- Создание внутри распределенной корпоративной сети информационно-независимых виртуальных защищенных контуров, включающих как отдельные компьютеры, так и сегменты сетей, для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач.

-Защита локальных сетей в целом, их сегментов или отдельных компьютеров и другого оборудования от несанкционированного доступа и различных атак, как из внешних, так и из внутренних сетей.

-Поддержка защищенной работы мобильных и удаленных пользователей корпоративной сети.

-Организацию безопасного для локальных сетей подключения отдельных рабочих станций этих сетей к открытым ресурсам сети Интернет и исключение риска атаки из Интернет на всю локальную сеть через подключенные к открытым ресурсам компьютеры локальной сети.

-Защита (конфиденциальность, подлинность и целостность) любого вида трафика, передаваемого между любыми компонентами сети: рабочими станциями (мобильная, удаленная, локальная), серверами, сетевыми устройствами и узлами. При этом становится недоступной для перехвата из сети, в том числе для участников VPN, и любая парольная информация различных приложений, баз данных, почтовых серверов и др., что существенно повышает безопасность этих прикладных систем.

-Защита управляющего трафика для систем и средств удаленного управления объектами сети: маршрутизаторами, межсетевыми экранами, серверами и пр., а также самих средств удаленного управления от возможных атак из глобальной или корпоративной сети.

-Контроль доступа к любому узлу (рабочая станция, сервер, маршрутизатор и т.д.) и сегменту сети (локальная сеть, сегмент локальной сети, группа сегментов сети и т.д.), включая фильтрацию трафика для каждого узла отдельно с помощью набора стандартных и индивидуальных настроек.

-Защита от НСД информационных ресурсов корпоративной сети, хранимых на рабочих станциях (мобильных, удаленных и локальных), серверах (WWW, FTP, SMTP, SQL, файл-серверах и т.д.) и других хранилищах группового доступа.

-Организация безопасной работы участников VPN с совместным информационным групповым и/или корпоративным информационным ресурсом.

-Аутентификация пользователей и сетевых объектов VPN как на основе использования системы симметричных ключей, так и на основе использования инфраструктуры открытых ключей (PKI) и сертификатов стандарта X.509.

-Оперативное управление распределенной VPN-сетью (включая систему распределенных сетевых экранов) и политикой информационной безопасности на сети из одного центра с возможностью делегирования части полномочий локальным администраторам.

-Исключение возможности использования недекларированных возможностей операционных систем и приложений для совершения информационных атак, кражи секретных ключей и сетевых паролей.

Состав программного комплекса:

Компоненты:

-ViPNet-драйвер, взаимодействующий непосредственно с драйвером сетевого интерфейса и позволяющий обеспечить независимость программы от операционной системы и ее приложений. Драйвер контролирует весь IP-трафик, поступающий и исходящий из компьютера, и выполняет его фильтрацию по многочисленным параметрам и при необходимости - шифрование и инкапсуляцию.

-Криптографическое ядро "Домен-К", обеспечивающее шифрование всего IP-трафика между компьютерами по алгоритму, рекомендованному ГОСТ 28147-89, а также, при необходимости, по другим алгоритмам (DES, 3DES, RC6). Одновременно производится инкапсуляция всех типов IP-пакетов в единый тип UDP-формата, что полностью скрывает структуру информационного обмена.

Модули:

ViPNet [Администратор] - создает логическую инфраструктуру виртуальной сети, определяет политики безопасности в ней, осуществляет мониторинг и управление объектами сети. Формирует симметричную ключевую информацию и первичную парольную информацию для объектов сети, выпускает сертификаты открытых ключей для объектов сети. Включает в себя программы:

-Центр Управления Сетью (ЦУС) - является регистрационным центром и предназначен для конфигурации и управления виртуальной сетью, решает следующие основные задачи.

-Задает узлы сети, группы пользователей и пользователей в них.

-Задает допустимые связи между группами пользователей и, соответственно, между узлами, что определяет наличие необходимых ключей разного уровня на узлах и содержимое адресных книг программ управления виртуальной средой и прикладных программ ViPNet.

-Определяет типовые политики безопасности и распределение допустимых полномочий пользователей и локальных администраторов на конкретных узлах по изменению политик безопасности для этих узлов.

-Определяет возможность доступа конкретных компьютеров локальной сети к открытым ресурсам Интернет и других внешних сетей. При этом специальная технология обеспечивает во время доступа во внешнюю сеть блокировку любого трафика этих компьютеров со всеми ресурсами локальной сети и объектами виртуальной сети.

-В соответствии с заданными связями и политиками безопасности формирует соответствующие справочники доступа для узлов и справочники допустимых связей для Ключевого центра.

-Обеспечивает автоматическую защищенную доставку и контроль доставки на развернутые узлы измененных справочников доступа, ключевой информации из КЦ (симметричные ключи, сертификаты пользователей, списки сертификатов, выведенных из действия, сертификаты ключевых центров других сетей ViPNet и др.).

-Обеспечивает обмен с ЦУСами других виртуальных ViPNet-сетей списками объектов своих сетей, которые должны взаимодействовать между собой. Производит взаимное согласование с этими ЦУСами допустимых межсетевых связей между объектами сетей. Обеспечивает обмен корневыми сертификатами этих сетей, списками сертификатов, выведенных из действия.

-Осуществляет автоматическое обновление программного обеспечения ViPNet на объектах сети в удаленном режиме.

-Обеспечивает удаленный просмотр и анализ журналов событий для компонент ViPNet [Клиент] и ViPNet [Координатор], контроль успешности высланных ЦУСом обновлений ключей, справочников и программного обеспечения.

-Ключевой Центр (КЦ) - предназначен для обеспечения ключевой информацией всех участников VPN и выполнения функций удостоверяющего центра. При этом первичные клиентские ключевые наборы могут быть записаны на дискеты, смарт-карты, touch memory, e-token и прочее для передачи участникам VPN. Последующее обновление ключевой информации осуществляется автоматически по защищенным каналам VPN.

Функции КЦ:

-формирование и автоматическое обновление через ЦУС симметричной ключевой информации и первичной парольной информации для объектов и пользователей сети;

-выполнение функций удостоверяющего центра сертификатов цифровых подписей.

Для установки ViPNet [Администратор] необходим IBM-совместимый компьютер с операционной системой Windows 95/98/Me/NT/2000/XP и не менее 100 Мбайт свободного места на жестком диске. Характеристики компьютера определяются размерностью сети.

ViPNet[Координатор] - выполняет маршрутизацию почтовых и управляющих защищенных сообщений при взаимодействии объектов сети между собой и ViPNet [Администратором].

-в реальном времени осуществляет регистрацию и предоставление информации о состоянии объектов сети, их местоположении, значении их IP-адресов и др.;

-обеспечивает работу защищенных компьютеров локальной сети в VPN от имени одного адреса (функция proxy);

-осуществляет туннелирование пакетов от обслуживаемой ViPNet [Координатором] группы незащищенных компьютеров локальной сети для передачи трафика от них к другим объектам VPN в зашифрованном виде по открытым каналам Интернет/Интранет;

-фильтрует трафик от источников, не входящих в состав VPN, в соответствии с заданной политикой безопасности (функция межсетевого экрана);

-обеспечивает возможность работы защищенных по технологии ViPNet компьютеров локальной сети через сетевые экраны и прокси-сервера других производителей.

Подсистемы: