Выводы

В данной главе был проведен подробный диагностический анализ предметной области, показаны причины возникновения задачи проектирования защищенного сегмента сети.

Также была показана общая характеристика предприятия и проведено изучение функциональной структуры предприятия, изучение организационно-управленческой структуры предприятия, проведен анализ структуры существующей информационной системы и службы АСУ.

Описан процесс деятельности с точки зрения защищенного информационного обмена. Показана структура и состав защищаемой системы и структуры АСУ. Показаны процессы реализующие прикладные задачи. Обоснована актуальность разработки.

2. РАЗРАБОТКА ПОДСИСТЕМЫ СЕТЕВОЙ ЗАЩИТЫ СЕГМЕНТА СЕТИ ПРЕДПРИЯТИЯ

2.1 Разработка защищенной структуры сегмента сети предприятия на базе технологии VipNet

2.1.1 Структура защищенной РВС на базе программы VipNet для Изобильненского филиала ЛПУМГ

В ходе работы над дипломным проектом, учитывая структуру РВС ООО «Газпром», предложена следующая общая структура защищенной распределенной вычислительной сети.

2.1.2 Структура межведомственного взаимодействия на базе программы VipNet для Изобильненского филиала ЛПУМГ

Для реализации такой структуры была разработана в общем виде, защищенная структура межведомственного взаимодействия с любым количеством других сетей ViPNet, в соответствии с заданными связями между отдельными узлами этих сетей, которая показана на рисунке 2.

Преимуществом такой структуры является то, что нет необходимости перенастраивать конфигурацию РВС, так как возможности ПО позволяют, без вмешательства в аппаратную и программную часть сети, выполнять следующие необходимые для реализации разработанной защищенной структуры следующее:

1. добавить или удалить сетевой узел (КлиентКоординатор);

2. добавить или удалить связи между сетевыми узлами;

3. создать, изменить, удалить ключевую и справочную информацию;

4. изменить полномочия абонентов.

Возможности представляющиеся технологией ViPNet для построения VPN.

С помощью технологии ViPNet также были реализованы функции межсетевого экрана как для открытых соединений, так и для защищенных, системы обнаружения вторжений (IDS), IM-клиента, почтовой службы (защищенной от спама и несанкционированного доступа), назначения виртуальных адресов видимости.

2.2 Решение для защиты сегмента сети преприятия на базе выбранного комплекса ViPNet

Для развертывания сети ViPNet достаточно установить на рабочие станции программное обеспечение ViPNet. При этом практически не требуется менять топологию существующей сети или приобретать дополнительное оборудование. Для организации защищенного соединения используется схема с автоматически распределенными на этапе установки ПО симметричными ключами шифрования и автоматизированной процедурой их синхронного обновления. Каждый пакет, который отправляется в сеть, автоматически шифруется с использованием уникального производного ключа, без каких-либо процедур установления соединения (handshaking). Это позволяет организовывать защищенную передачу данных по ненадежным каналам, по каналам, которые характеризуются большими потерями трафика (спутниковые каналы, модемное соединение и т. п.), а также обеспечивать бесперебойную работу локальной сети, для которой недопустимы задержки в установлении соединений.

При данном подходе к структуре сегмента сети, технология ViPNet без потери качества соединения обеспечивает постоянство тех свойств защищенного соединения, которые существенно влияют на безопасность. А именно: постоянное шифрование всего IP-пакета вместе с исходными IP-адресами и протоколами, постоянное обеспечение имитозащиты пакета (защиты от навязывания ложных пакетов), исключение возможности шифрования только части трафика в направлении заданного защищенного узла. Протокол, используемый в рамках технологии ViPNet, обеспечивает защищенную передачу данных по любым каналам связи, через любые устройства NAT/PAT -- даже в том случае, когда интернет-провайдер препятствует установлению соединения путем запрета VoIP или авторизующих соединений IPSec.

В технологии ViPNet применяются пиринговые соединения, которые обеспечивают автоматическое оповещение связанных узлов о параметрах доступа друг к другу. Это позволяет реализовать не только классические для IPSec схемы site-to-site и client-to-site, но также схему client-to-client -- в автоматическом режиме и с возможностью объединения компьютеров независимо от точки их подключения к сети, принадлежности определенной VPN-сети, без централизованной раздачи IP-адресов.

Технология ViPNet предоставляет возможности по каскадированию защищенных соединений, без промежуточного расшифровывания информации. Это позволяет организовать пиринговые соединения между подсетями и узлами, которые расположены в пределах других защищенных сетей.

ViPNet Coordinator HW1000

Назначение:

Криптошлюз и межсетевой экран, построенный на аппаратной платформе телекоммуникационных серверов компании «Аквариус» и выполняющий функции криптошлюза и межсетевого экрана. Он легко инсталлируется в существующую инфраструктуру, надежно защищает передаваемую по каналам связи информацию от несанкционированного доступа и подмены. Использование адаптированной ОС Linux и надежной аппаратной платформы серверов AquaServer позволяет применять ViPNet Coordinator HW1000 в качестве корпоративного решения, к которому предъявляются самые жесткие требования по функциональности, удобству эксплуатации, надежности и отказоустойчивости.

Преимущества:

Использование в качестве аппаратной платформы надежного промышленного сервера типоразмера 19” 1U;

Программное обеспечение создано на базе провереннего многолетней эксплуатацией ПО ViPNet Coordinator Linux и технологии защиты информации ViPNet;

Количество одновременно установленных соединений через криптошлюз не ограничивается;

Поддержка работы в современных мультисервисных сетях связи с серверами DHCP, WINS, DNS и преобразованием адресов (NAT, PAT);

Использование в качестве центра генерации ключей шифрования сертифицированного ФСБ России ПО ViPNet Administrator из состава СКЗИ «Домен-КС2/КМ» * Низкая стоимость по сравнению с аналогичными по возможностям СЗИ других отечественных компаний;

Возможность проведения СИиСП оборудования серверов.

Область применения:

ИСПДн К1 / класс АС - 1В

Сертификат:

ФСТЭК России №2149 от 4 августа 2010 г. на соответствие требованиям РД

по 3 классу МЭ

по 3 уровню НДВ

ФСБ России №СФ/124-1459 от 09 мая 2010 г. по требованиям к СКЗИ класса КС3.

ФСБ России №СФ/515-1530 от 04 октября 2010 г. по требованиям к устройствам типа МЭ по 4 классу защищенности и может использоваться для защиты информации от несанкционированного доступа в информационно-телекоммуникационных системах органах государственной власти Российской Федерации

2.2.1 Разработка способа применения технологии VipNet для защищаемого сегмента Изобильненского ЛПУМГ

Предложено использовать такую технологию, включающую программные и программно-аппаратные комплексы (средства защиты информации ограниченного доступа, в том числе персональных данных), а имнно ViPNet CUSTOM.

Для реализации способа необходимо организовать защиту информации в крупных сетях (от нескольких десятков до десятков тысяч сетевых
узлов - рабочих станций, серверов и мобильных компьютеров).

Предложено создание защищенной, доверенной среды передачи информации ограниченного доступа с использованием публичных и выделенных каналов связи (Интернет, телефонные и беспроводные линии связи) путем организации виртуальной частной сети (VPN) с одним или несколькими центрами управления.

С использованием ViPNet CUSTOM разработаны решения по защите информации, требующие проведенной разработки (доработки) функционала компонентов комплекса по требованиям Изобильненского ЛПУМГ.

Предложенные разработки учитывают то, что данная технология располагает соответствием требованиям ФСБ и ФСТЭК России. Отдельные продукты и наборы продуктов из состава ViPNet CUSTOM регулярно проходят сертификацию по требованиям к СКЗИ, средствам сетевого экранирования (межсетевым и персональным сетевым экранам), по отсутствию не декларированных возможностей. Так, например, под общим названием СКЗИ «Домен-КС2/КМ» проходит сертификацию набор продуктов, состоящий из ViPNet Administrator (в части Ключевого центра), ViPNet MFTP и ViPNet CryptoService. А под названием ПАК «Удостоверяющий центр корпоративного уровня ViPNet КС2/КМ» проходит сертификацию набор из ViPNet Administrator (в части Удостоверяющего центра), ViPNet Publication Service, ViPNet Registration Point и ViPNet Client. Необходимость объединения продуктов в такие наборы для сертификации вызвана различиями в специфике систем сертификации ФСБ и ФСТЭК России и разными требованиями, по которым сертификация осуществляется, а также невозможностью выделить из комплексного решения, которым является ViPNet CUSTOM, отдельно сетевой экран или отдельно Удостоверяющий центр.

Технические преимущества ViPNet CUSTOM, позволяющие использовать его в данной системе, описаны далее.

ViPNet CUSTOM ориентирован на организацию защищенного взаимодействия «клиент-клиент», в то время как большинство VPN-решений других производителей обеспечивают только соединения уровня «сервер-сервер» или «сервер-клиент». Это дает возможность реализовать любую необходимую политику разграничения доступа в рамках всей защищенной сети, а также снизить нагрузку на VPN-серверы, так как в общем случае при взаимодействии «клиент-клиент» VPN-сервер не задействован в операциях шифрования трафика между этими клиентами.

В ViPNet CUSTOM уделено решению проблемы функционирования в условиях наличия разнообразного сетевого оборудования и программного обеспечения, реализующего динамическую или статическую трансляцию адресов и портов ( NAT / PAT ), что существенно облегчает процесс интеграции системы защиты в существующую инфраструктуру сети. В большинстве случаев настройка ПО ViPNet Client вручную не требуется.

В ViPNet CUSTOM реализована раздельная фильтрация открытого и шифруемого трафиков, что позволяет даже среди доверенных сетевых узлов ограничивать возможность работы через несанкционированные порты, протоколы и за счет этого повышать уровень безопасности защищенной сети.

Каждый компонент ViPNet CUSTOM содержит встроенный сетевой экран и систему контроля сетевой активности приложений или работают совместно с ПО ViPNet Client, что позволяет получить надежную распределенную систему межсетевых и персональных сетевых экранов. Для разрешения возможных конфликтов IP-адресов в локальных сетях, включаемых в единую защищенную сеть, ViPNet CUSTOM предлагает развитую систему виртуальных адресов. Во многих случаях она позволяет упростить настройку прикладного ПО пользователя, так как наложенная виртуальная сеть со своими виртуальными адресами скрывает реальную сложную структуру сети. Также становится возможным решение проблем взаимодействия локальных сетей с пересекающейся IP-адресацией.

ViPNet CUSTOM поддерживает возможность межсетевого взаимодействия, что позволяет устанавливать необходимые защищенные каналы связи между произвольным числом защищенных сетей, построенных с использованием ViPNet CUSTOM.

ViPNet CUSTOM обеспечивает защиту информации в современных мультисервисных сетях связи, предоставляющих услуги IP-телефонии и аудио- и видеоконференцсвязи. Поддерживается приоритезация трафика и протоколы H.323, Skinny, SIP.

ПО ViPNet Coordinator поддерживает работу на современных многопроцессорных и многоядерных серверных платформах, что позволяет обеспечивать высокую скорость шифрования трафика.

Коммерческие преимущества ViPNet CUSTOM

По сравнению с обычными VPN-решениями ViPNet CUSTOM предоставляет целый ряд дополнительных возможностей по защищенному обмену информацией: встроенные службы мгновенного обмена сообщениями (чат и конференция) и файлами, а также собственная защищенная почтовая служба с элементами автоматизации обмена письмами, файлами и поддержкой механизмов ЭЦП.