Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

VPN решает проблему организации защищенного обмена данными как между пользователями территориально распределенных корпоративных сетей, так и между различными организациями. В качестве канала передачи данных могут быть использованы глобальные вычислительные сети (ГВС) общего пользования, например, Интернет.

Защита передаваемой по сети информации производится на выходе из каждой ЛВС VPN - агентами. VPN - агенты обеспечивают конфиденциальность передаваемой информации путем шифрования данных. Целостность информации обеспечивается с помощью электронной цифровой подписи (ЭЦП) или аналогичного метода, например, вычисления имитоприставки. Кроме того, важной функцией VPN - агентов является фильтрация входящих и исходящих IP - пакетов: если входящий IP - пакет не соответствует установленным критериям фильтрации, он отбрасывается без обработки. Критерии фильтрации могут быть, например, следующими:

• IP - адрес отправителя (или получателя) IP - пакета. Вместо IP - адреса может использоваться какой - либо уникальный идентификатор пользователя, что позволяет использовать динамическую IP - адресацию, например, при входе в VPN с переносного компьютера;

• целостность IP - пакета; при нарушении целостности пакет отбрасывается;

• сетевые протоколы и/или номера портов, на которые присылаются пакеты.

В качестве VPN - агента используется, например, криптографический IP - маршрутизатор, выполняющий следующие функции:

• маршрутизация IP - пакетов;

• зашифрование исходящего трафика;

• фильтрация входящего трафика;

• расшифрование авторизованного входящего трафика.

В качестве криптографического маршрутизатора может использоваться как обычный (неспециализированный) компьютер, оснащенный специальным программным обеспечением и аппаратурой (например, аппаратным шифратором), так и специализированный маршрутизатор с функциями поддержки VPN.

Основное правило построения VPN – связь между защищенной ЛВС и ГВС должна осуществляться только через VPN - агенты, категорически не должно быть каких - либо способов связи, минующих защитный барьер в виде VPN - агента. Т.е. должен быть определен защищаемый периметр, связь с которым может осуществляться только через соответствующее средство защиты.
Главное достоинство VPN состоит в том, что все действия по защите информации выполняются автоматически с помощью VPN - агента, никаких действий от пользователей на рабочих местах не требуется. Что же касается удаленных пользователей, то VPN - агент может быть установлен непосредственно на компьютере, с которого осуществляется доступ в Интернет. Аналогично криптографическому маршрутизатору, такой VPN - агент автоматически осуществляет шифрование и фильтрацию IP - пакетов при установлении VPN - соединения.

Шифрование информации осуществляется на ключах парной связи В IP - пакет может явно записываться идентификатор отправителя, по которому выбирается ключ для расшифрования конкретного пакета; подобным идентификатором может служить и IP - адрес отправителя, по которому ключ выбирается из таблиц настройки VPN - агента. Ключи парной связи могут быть получены следующим образом:

• из матрицы ключей (ключи предварительно распределяются между абонентами);

• ключи парной связи вычисляются динамически из предварительно сгенерированных секретных и открытых ключей, например, по алгоритму Диффи - Хеллмана (открытые ключи должны быть предварительно сертифицированы и распределены).

Таким образом, VPN - агент решает две основные задачи:

• недопущение несанкционированного входа на компьютер (или в ЛВС) путем фильтрации приходящих информационных пакетов и отбрасывания тех из них, которые пришли из несанкционированных источников;

• нередача по сети только зашифрованных данных путем прозрачного шифрования всех передаваемых в сеть пакетов (и, соответственно, расшифрования). Создается «туннель» между общающимися по сети легальными пользователями.

Общая схема работы VPN представлена на рисунке 1.2.1.

Рисунок 1.2.1 – Общая схема работы VPN

Примерами данных продуктов могут служить:

• аппаратно - программный комплекс шифрования "Континент" позволяет безопасно передавать информацию в сетях передачи данных, в том числе в Интернете, и является мощным и гибким инструментом создания виртуальных частных сетей, позволяющим строить VPN любой архитектуры.

• программный комплекс «Crypton IPMobile» предназначен для организации виртуальной частной сети (VPN). Crypton IP Mobile является VPN - агентом, который позволяет удаленным мобильным пользователям устанавливать обмен зашифрованной информацией друг с другом. Crypton IP Mobile обеспечивает автоматическое шифрование и расшифрование всей передаваемой информации.

Межсетевой экран представляет собой программное или программно - аппаратное средство, обеспечивающее защиту локальных сетей и отдельных компьютеров от несанкционированного доступа со стороны внешних сетей путем фильтрации двустороннего потока сообщений при обмене информацией. Фактически, межсетевой экран является «урезанным» VPN - агентом, не выполняющим шифрование пакетов и контроль их целостности, но в ряде случаев имеющим ряд дополнительных функций, наиболее часто из которых встречаются следующие:

• антивирусное сканирование;

• контроль корректности пакетов;

• контроль корректности соединений (например, установления, использования и разрыва TCP - сессий);

• контент - контроль.

Межсетевые экраны, не обладающие описанными выше функциями и выполняющими только фильтрацию пакетов, называют пакетными фильтрами.

По аналогии с VPN - агентами существуют и персональные межсетевые экраны, защищающие только компьютер, на котором они установлены.

Межсетевые экраны также располагаются на периметре защищаемых сетей и фильтруют сетевой трафик согласно настроенной политике безопасности.

Общая схема работы межсетевого экрана представлена на рисунке 1.2.2.

Рисунок 1.2.2 – Общая схема работы межсетевого экрана

Примерами межсетевых экранов могут служить:

• «ViPNet Office Firewall» – программный межсетевой экран, предназначенный для небольших и средних компаний. Он позволяет обеспечить защиту локальной сети от любых атак из Интернет, а также дает возможность гибкого управления доступом к Интернет - ресурсам и организации виртуальных локальных сетей.

• «ViPNet Personal Firewall» – надежное средство защиты компьютера и персональных данных от сетевых атак и кражи личной информации при подключении к Интернету и локальной сети, обеспечивающее высокий уровень защищенности компьютера и данных, гибкость управления, удобство повседневного использования.

2 Постановка задачи

Разрабатываемое программное обеспечение должно решать следующие задачи:

• ограничение посторонних лиц от взаимодействия с информационными ресурсами предприятия;

• в программе должен быть реализован механизм создания уникального идентификатора пользователя;

• уникальный идентификатор должен быть защищен от создания его копии и должен применяться в пределах одного АРМ.

В разрабатываемом программном обеспечении должны быть реализованы следующие функциональные возможности:

• создание уникального идентификатора;

• создание резервного идентификатора;

• блокирование информационной системы;

• автозапуск программного модуля.

2.1 Cоздание уникального идентификатора

Cоздание уникального идентификатора с применением USB - носителя подразумевает под собой выбор пользователем информационной системы любой USB - носитель, после чего производится запись на USB - носитель файла, который шифруется с использованием симметричного алгоритма шифрования DES, затем скрывается от пользователя. В файл вносится следующая ключевая информация:

• модель USB - носителя;

• идентификатор USB - носителя;

• идентификатор производителя USB - носителя;

• серийный номер USB - носителя;

• объем памяти USB - носителя;

• имя персонального компьютера;

• идентификатор персонального компьютера;

• идентификатор производителя персонального компьютера;

• серийный номер персонального компьютера.

2.2 Cоздание резервного идентификатора

Cоздание резервного идентификатора с применением USB - носителя подразумевает под собой выбор пользователем информационной системы любой USB - носитель для создания универсального идентификатора, применимого для всего предприятия, использование которого предусмотрено в случаях утери/выходя из строя уникальных идентификаторов пользователей информационной системы предприятия. После чего производится запись на USB - носитель файла, который шифруется с использованием симметричного алгоритма шифрования DES, затем скрывается от пользователя. В файл вносится следующая ключевая информация:

• модель USB - носителя;

• идентификатор USB - носителя;

• идентификатор производителя USB - носителя;

• серийный номер USB - носителя;

• объем памяти USB - носителя.

2.3 Блокирование информационной системы

Блокирование информационной системы при извлечении идентификатора подразумевает механизм распознавания установки/удаления USB - носителя из информационной системы, а также механизм реагирования на удаление USB - носителя, под которой понимается программное отключение клавиатуры и мыши, сокрытие значков рабочего стола, меню Пуск, панели задач, панели инструментов, а также отключение возможности запуска Диспетчера задач Windows.

2.4 Автозапуск программного модуля

Запуск программного обеспечения сразу после входа в систему пользователя, прошедшего авторизацию средствами OC Windows подразумевает добавление программного обеспечения в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run раздел реестра Windows, в следствии чего программное обеспечение будет запускаться автоматически после входа пользователя в ОС Windows.

3 Проектирование информационной системы

Любая разработка какого-либо программного продукта начинается именно с проектирования – детализированного описания, расчётов, необходимых для создания конечной системы. Для проектирования программного модуля двухфакторной аутентификации будет использоваться унифицированных язык моделирования (UML), который является стандартом при разработке объектно-ориентированных систем.

В UML предусмотрено множество видов диаграмм:

• классов;

• компонентов;

• композитной/составной структуры;

• развёртывания;

• деятельности;

• состояний;

• вариантов использования;

• последовательности;

• синхронизации;

• и др.

Некоторые из этих диаграмм будут применены для проектирования разрабатываемого программного модуля.

3.1 Диаграммы вариантов использования

Диаграмма вариантов использования является исходным концептуальным представлением системы в процессе ее проектирования и разработки.

Данная диаграмма состоит из актеров, вариантов использования и отношений между ними. При построении диаграммы могут использоваться также общие элементы нотации: примечания и механизмы расширения. Проектируемая система представляется в виде множества актеров, взаимодействующих с системой с помощью так называемых вариантов использования. При этом актером называется любой объект, субъект или система, взаимодействующая с моделируемой системой извне. Это может быть человек, техническое устройство или другая система, которая может служить источником воздействия на моделируемую систему. В свою очередь вариант использования – это спецификация функций, которые система предоставляет актеру. Другими словами, каждый вариант использования определяет некоторый набор действий, совершаемых системой при взаимодействии с актером. При этом в модели никак не отражается то, каким образом будет реализован этот набор действий.

На рисунке 3.1.1 изображена контекстная диаграмма вариантов использования проектируемого программного модуля. Контекстная диаграмма представляет собой граф, узлами которого являются достаточно крупные блоки функциональности проектируемого программного модуля.

Рисунок 3.1.1 – Контекстная диаграмма

На данной диаграмме присутствует единственный актер проектируемого программного модуля – пользователь информационной системы.

Характеристики

Список файлов ВКР