Учебная работа. Реферат: Защита информации в гетерогенных сетях

(Пока оценок нет)

Загрузка...

Учебная работа. Реферат: Защита информации в гетерогенных сетях

Неважно какая компания, ведущая удачный бизнес, не может не применять в собственной деятель информационные технологии. Информация, доверяемая технике, часто во много раз дороже самой техники, потому в современном деловом мире огромное внимание уделяется защите инфы

Информационные системы (ИС) компаний практически постоянно построены на базе программных аппаратных товаров разных производителей. Дело в том, что на данный момент нет ни одной компании-разработчика, которая бы предоставила пользователю полный список средств (от аппаратных до программных) для построения современной ИС. Чтоб обеспечить в разнородной ИС надежную защиту инфы требуются высококвалифицированные спецы, которые будут отвечать за сохранность всякого компонента ИС: верно их настроят, повсевременно будут выслеживать происходящие конфигурации, устанавливать «заплаты» на отысканные в системе бреши, надзирать работу юзеров. Разумеется, что чем разнороднее информационная система, тем труднее обеспечить ее сохранность.

Еще одна негативная сторона использования программных и аппаратных товаров разных производителей — это разнородность журналов регистрации событий. Любая из применяемых систем регистрирует в собственном журнальчике сведения, относящиеся к внутренним механизмам ее функционирования: коммуникационное оборудование регистрирует сведения о подключениях по определенным IP-адресам и портам, ОС-о доступе к неким объектам ОС (файлам, каталогам и т.д.). Не считая того, в силу различного именования юзеров в различных системах и различной степени подробности регистрируемых событий получить компании тяжело. Потому сотрудники службы защиты инфы, чтоб получить единую картину настоящего положения дел и оценить выполнение требований сохранности, обязаны собирать и обобщать данные о состоянии разных подсистем. естественно, что в таковых критериях тяжело обеспечить оперативное реагирование на происходящие в системе конфигурации.

Каким обязано быть решение?

Итак, можно прийти к выводу, что безупречное средство защиты инфы, которое дозволит удачно воплотить политику сохранности организации, обязано быть независящим от применяемых ОС и прикладных систем и иметь централизованное управление. Не считая того, система регистрации событий, происходящих в ИС (действия НСД, изменение льгот юзеров и т.д.), обязана быть единой и позволять админу составить полную картину происходящих в ИС конфигураций. В качестве средства, позволяющего построить систему информационной сохранности организации в гетерогенной сети, разглядим разработку научно-инженерного компании «Информзащита» — систему защиты инфы Secret Net.

Что такое SecretNet

Система защиты инфы Secret Net является программно-аппаратным комплексом и создана для решения последующих задач:

•защита корпоративных ресурсов компании от доступа к ним сторонних лиц при помощи собственных защитных устройств и интегрированных способностей ОС;

• централизованное управление информационной сохранностью в гетерогенных сетях;

• контроль действий служащих в ИС организации и оперативное реагирование на факты и пробы НСД.

Система Secret Net сертифицирована Гостехкомиссией Рф по 3-му классу защищенности для СВТ.

Разглядим, как данный продукт преодолевает перечисленные трудности.

Многоплатформенность

Система Secret Net дозволяет сотруднику службы сохранности со собственного АРМ управлять всем диапазоном защитных устройств клиентов Secret Net и встроенными способностями ОС. При всем этом управление происходит в едином стиле независимо от платформы, на которых установлены клиенты. В этом направлении спецы НИП «Информзащита» работают уже довольно издавна и достигнули фурроров. В истинное время Secret Net дозволяет обеспечить защиту рабочих станций и серверов сети, работающих под управлением операционных систем Windows’9x (Windows 95, Windows 98 и их модификаций), Windows NT 4.0, unix. На очереди Windows 2000 и остальные всераспространенные ОС. Журнальчики регистрации и система отчетов не зависят от применяемых клиентами Secre Net операционных систем. админ сохранности имеет возможность получать обобщенные либо детальные отчеты о конфигурации АРМ и серверов сети, настройках защитных устройств, правах доступа юзеров к корпоративным ресурсам и т.д. информация обо всех событиях, имеющих отношение к сохранности информационной системы, поступает в настоящем режиме времени.

Механизм управления и контроля

Система управления информационной сохранностью в Secret Net оперирует определениями настоящей предметной области (к примеру: «сотрудник», «задачка«, «комп», «помещение» и т.д.), что делает процесс управления комфортным и понятным. Для упрощения процесса управления возможностями юзеров и опциями режимов работы компов употребляется особый механизм шаблонов. Шаблон представляет собой некий набор льгот и опций, соответствующих для тех либо других юзеров. Создав шаблон, соответственный какой-нибудь группы служащих, админ может добавлять в ИС юзеров, которым будут присваиваться характеристики, данные сиим шаблоном. Что касается контроля работы юзеров, то Secret Net немедля оповещает админа о попытках НСД, дозволяет без ведома юзера подключиться к его компу в режиме эмуляции терминала, перехватить управление рабочей станцией, выключить, перезагрузить комп либо перекрыть работу юзера. Если обладатель информационной системы хочет выстроить систему информационной сохранности и избежать заморочек, связанных с гетерогенностью сети, то он должен ориентироваться на продукты, которые специально создавались с целью преодоления «подводных камешков» подобного рода. Но на пути выбора средства управления сохранностью его ждет сюрприз — на рынке программных товаров такового рода нет конкуренции.

Информационная сохранность в интранет

В интранет-системах для организации и обеспечения информационного обмена употребляется подход клиент-сервер, основная роль в каком отводится Web-сервису. Web-серверы должны поддерживать классические защитные средства, например, такие, как аутентификация и разграничение доступа. Не считая того, нужно обеспечение новейших параметров в индивидуальности сохранности программной среды и на серверной и на клиентской сторонах

Формирование режима информационной сохранности — неувязка всеохватывающая. Меры по ее решению можно поделить на четыре уровня:

1) законодательный (законы, нормативные акты, эталоны и т.п.);

2) административный (деяния общего нрава, предпринимаемые управлением организации);

3) процедурный (меры сохранности, имеющие дело с людьми);

4) программно-технический (технические меры).

Законодательный уровень

В истинное время более подробным законодательным документом в области информационной сохранности является новенькая редакция Уголовного кодекса РФ , системы ЭВМ либо их сети».

Не считая этого в рамках серии документов Гостехкомиссии подготовлен руководящий документ, устанавливающий систематизацию межсетевых экранов (firewalls, либо брандмауэров) по уровню обеспечения защищенности от несанкционированного доступа НСД). Это принципно принципиальный документ, позволяющий упорядочить внедрение защитных средств, нужных для реализации технологии интранет.

Разработка сетевых качеств политики сохранности

Политика сохранности определяется как совокупа документированных управленческих решений, направленных на защиту инфы и ассоциированных с ней ресурсов. При разработке и проведении ее в жизнь целенаправлено управляться последующими принципами:

• невозможность миновать защитные средства;

• усиление самого слабенького звена;

• невозможность перехода в небезопасное состояние;

• минимизация льгот;

• разделение обязательств;

• эшелонированность обороны;

• обилие защитных средств;

•простота и маневренность информационной системы;

•обеспечение всеобщей поддержки мер

сохранности.

Принцип невозможности перехода в небезопасное состояние значит, что при всех обстоятельствах, в том числе нештатных, защитное средство или стопроцентно делает свои функции, или стопроцентно перекрывает доступ. Принцип минимизации льгот предписывает выделять юзерам и админам лишь те права доступа, которые нужны им для выполнения служебных обязательств.

Принцип разделения обязательств предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически принципиальный для организации процесс. Это в особенности принципиально, чтоб предотвратить злостные либо неквалифицированные деяния системного админа. Принцип эшелонированности обороны предписывает не полагаться на один защитный предел, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией — управление доступом и как крайний предел -протоколирование и аудит. Эшелонированная оборона способна, по последней мере, задержать злодея, а наличие такового рубежа, как протоколирование и аудит, значительно затрудняет неприметное выполнение злоумышленных действий. Принцип контраста защитных средств советует организовывать разные по собственному способности, несопоставимыми меж собой способностями (к примеру, умением преодолевать высшую ограду и познанием слабостей нескольких операционных систем). Весьма важен принцип простоты и маневренности информационной системой в целом и защитных средств в индивидуальности. Лишь для обычного защитного средства можно формально либо неформально обосновать его правильность. В данной нам связи принципиально отметить интегрирующую роль Web-сервиса, скрывающего обилие обслуживаемых объектов и предоставляющего единый, приятный интерфейс. Соответственно, если объекты некого вида (скажем, таблицы базы данных) доступны через Web, нужно заблокировать прямой доступ к ним, так как в неприятном случае система будет сложной и трудноуправляемой.

Всеобщая поддержка мер сохранности

Крайний принцип — всеобщая поддержка мер сохранности — носит нетехнический характер анализ рисков — важный шаг выработки политики сохранности. При оценке рисков, которым подвержены интранет-системы, необходимо учесть последующие происшествия: •новейшие опасности по отношению к старенькым сервисам, вытекающие из способности пассивного либо активного прослушивания сети. Пассивное прослушивание значит чтение сетевого трафика, а активное — его изменение (кражу, дублирование либо модификацию передаваемых данных). к примеру, аутентификация удаленного клиента при помощи пароля неоднократного использования не может считаться надежной в сетевой среде, независимо от длины пароля;

• новейшие (сетевые) сервисы и ассоциированные с ними опасности.

Процедурные меры

В общем и целом интранет-разработка не предъявляет каких-то специфичных требований к мерам процедурного уровня. На наш взор, отдельного рассмотрения заслуживают только два происшествия:

1) описание должностей, связанных с определением, заполнением и поддержанием корпоративной гипертекстовой структуры официальных документов;

2) поддержка актуального цикла инфы, наполняющей интранет. При описании должностей целенаправлено исходить из аналогии меж интранет и издательством. В издательстве существует директор, определяющий общую направленность деятель. В интранет ему соответствует Web-администратор, решающий, какая корпоративная информация обязана находиться на Web-сервере и как надо структурировать дерево (поточнее, граф) html-документов. В многопрофильных издательствах есть редакции, специализирующиеся определенными направлениями (математические книжки, книжки для малышей и т.п.). Аналогично этому, в интранет целенаправлено выделить должность публикатора, ведающего возникновением документов отдельных подразделений и определяющего список и нрав публикаций. У каждой книжки есть редактор, отвечающий перед издательством за свою работу. В интранет редакторы занимаются вставкой документов в корпоративное дерево, их корректировкой и удалением. В огромных организациях «слой» публикатор/редактор может состоять из нескольких уровней.

В конце концов, и в издательстве, и в интранет должны быть создатели, создающие документы. Подчеркнем, что они не обязаны иметь прав на модификацию корпоративного дерева и отдельных документов. Их дело — передать собственный труд редактору.

Управление доступом методом фильтрации инфы

Отметим, что биться с опасностями, присущими сетевой среде, средствами всепригодных операционных систем (ОС) не представляется вероятным. Всепригодная ОС — это большая программка, наверное содержащая кроме очевидных ошибок некие индивидуальности, которые могут быть применены для получения незаконных льгот. Современная разработка программирования не дозволяет создать настолько огромные программки неопасными. Не считая того, админ, имеющий дело со сложной системой, далековато не постоянно в состоянии учитывать все последствия производимых конфигураций. В конце концов, в всепригодной многопользовательской системе бреши в обеспечении сохранности повсевременно создаются самими юзерами (слабенькие и/либо изредка изменяемые пароли, безуспешно установленные права доступа, оставленный без присмотра терминал ит.п.).

Единственный многообещающий путь — разработка специализированных защитных средств, которые в силу собственной простоты допускают формальную либо неформальную верификацию. Межсетевой экран как раз и является таковым средством, допускающим последующую декомпозицию, связанную с обслуживанием разных сетевых протоколов.

Межсетевой экран как средство контроля информационных потоков

Межсетевой экран — это полупроницаемая мембрана, которая размещается меж защищаемой (внутренней) сетью и наружной средой (наружными сетями либо иными секторами корпоративной сети) и контролирует все информационные потоки во внутреннюю сеть и из нее (рис. 2). Контроль информационных потоков состоит в их фильтрации, другими словами в выборочном пропускании через экран, может быть, с выполнением неких преобразований и уведомлением отправителя о том, что его данным в пропуске отказано. Фильтрация осуществляется на базе набора правил, за ранее загруженных в экран и являющихся выражением сетевых качеств политики сохранности организации.

Целенаправлено поделить случаи, когда экран устанавливается на границе с наружной (обычно общедоступной) сетью либо на границе меж секторами одной корпоративной сети. Соответственно мы будет гласить о наружном и внутреннем межсетевых экранах. Как правило, при общении с наружными сетями употребляется только семейство протоколов TCP/IP. Потому наружный межсетевой экран должен учесть специфику этих протоколов. Для внутренних экранов ситуация труднее: тут следует принимать во внимание кроме TCP/IP по последней мере протоколы SPX/IPX, используемые в сетях Novell NetWare. Другими словами, от внутренних экранов часто требуется многопрото-кольность.

Ситуация, когда корпоративная сеть содержит только один наружный канал, является быстрее исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная сеть состоит из нескольких территориально разнесенных частей, любой из которых подключен к сети общего использования (рис. 3). В этом случае каждое подключение обязано защищаться своим экраном. При рассмотрении хоть какого вопросца, касающегося сетевых технологий, основой служит семиуровневая эталонная модель ISO/OSI. Межсетевые экраны также целенаправлено систематизировать по тому, на каком уровне делается фильтрация — канальном, сетевом, транспортном либо прикладном. Соответственно можно гласить о экранирующих концентраторах (уровень 2), маршрутизаторах (уровень 3), о транспортном экранировании (уровень 4) и о прикладных экранах (уровень 7). Есть также всеохватывающие экраны, анализирующие информацию на нескольких уровнях,

При принятии решения «пропустить/не пропустить», межсетевые экраны могут применять не только лишь информацию, содержащуюся в фильтруемых потоках, да и данные, полученные из окружения, к примеру текущее время.

Экранирующая сабсеть

Способности межсетевого экрана конкретно определяются тем, какая информация может употребляться в правилах фильтрации и какова быть может мощность наборов правил. Совершенно говоря, чем выше уровень в модели ISO/OSI, на котором работает экран, тем наиболее содержательная информация ему доступна и, как следует, тем тоньше и надежнее экран быть может сконфигурирован. В то же время фильтрация на любом из перечисленных выше уровней владеет своими плюсами, таковыми, как дешевизна, высочайшая эффективность либо прозрачность для пользователей. В силу данной нам, также неких остальных обстоятельств почти всегда употребляются смешанные конфигурации, в каких объединены разнотипные экраны. Более обычным является сочетание экранирующих маршрутизаторов и прикладного экрана. Приведенная конфигурация именуется экранирующей сабсетью. Как правило, сервисы, которые организация предоставляет для наружного внедрения (к примеру, «представительский» Web-), целенаправлено выносить как раз в экранирующую сабсеть.

Простота внедрения и собственная защита

Кроме выразительных способностей и допустимого количества правил свойство межсетевого экрана определяется еще 2-мя весьма необходимыми чертами — простотой внедрения и своей защищенностью. В плане простоты использования главное хотелось бы выделить средства централизованной загрузки правил фильтрации и проверки набора правил на непротиворечивость. Важен и централизованный сбор и анализ регистрационной инфы, также получение сигналов о попытках выполнения действий, нелегальных политикой сохранности. Собственная защищенность межсетевого экрана обеспечивается теми же средствами, что и защищенность всепригодных систем. При выполнении централизованного администрирования следует еще позаботиться о защите инфы от пассивного и активного прослушивания сети, другими словами обеспечить ее целостность и конфиденциальность. хотелось бы выделить, что природа экранирования (фильтрации) как механизма сохранности, весьма глубока. Кроме блокирования потоков данных, нарушающих политику сохранности, межсетевой экран может скрывать информацию о защищаемой сети, тем затрудняя деяния возможных злоумышленников. Так, прикладной экран может производить деяния от имени субъектов внутренней сети, в итоге что из наружной сети кажется, что имеет пространство взаимодействие только с межсетевым экраном (рис. 4). При таком подходе топология внутренней сети укрыта от наружных юзеров, потому задачка злодея значительно усложняется.

Сохранность программной среды

Мысль сетей с так именуемыми активными агентами, когда меж компами передаются не только лишь пассивные, да и активные исполняемые данные (другими словами программки), очевидно, не нова. Сначало цель состояла в том, чтоб уменьшить сетевой трафик, выполняя основную часть обработки там, где размещаются данные (приближение программ к данным). На практике это означало перемещение программ на серверы. Традиционный пример реализации подобного подхода — это хранимые процедуры в реляционных СУБД. Для Web-серверов аналогом хранимых процедур являются программки, обслуживающие общий шлюзовый интерфейс (Common Gateway Interface — CGI). CGI-процедуры размещаются на серверах и обычно употребляются для динамического порождения html-документов. Политика сохранности организации и процедурные меры должны определять, кто имеет Право помещать на сервер CGI-процедуры. Твердый контроль тут нужен, так как выполнение сервером неправильной программки может привести к сколь угодно томным последствиям. Разумная мера технического нрава состоит в минимизации льгот юзера, от имени которого производится Web-сервер. В технологии интранет, если хлопотать о качестве и выразительной силе пользовательского интерфейса, возникает необходимость в перемещении программ с Web-серверов на клиентские компы — для сотворения анимации, выполнения семантического контроля при вводе данных и т.д. Совершенно, активные агенты — неотъемлемая часть технологии интранет. В котором бы направлении ни передвигались программки по сети, эти деяния представляют завышенную опасность, потому что программка, приобретенная из ненадежного источника, может содержать ненамеренно внесенные ошибки либо преднамеренно сделанную программную закладку. Таковая программка потенциально грозит всем главным нюансам информационной сохранности доступности (программка может поглотить все наличные ресурсы);

•целостности (программка может удалить либо разрушить данные);

•конфиденциальности (программка может прочесть данные и передать их по сети).

защита Web-серверов

Вместе с обеспечением сохранности программной среды, важным будет вопросец о разграничении доступа к объектам Web-сервиса. Для решения этого вопросца необходимо уяснить, что является объектом, как идентифицируются субъекты и какая модель управления доступом — принудительная либо случайная — применяется. В Web-серверах объектами доступа выступают всепригодные локаторы ресурсов (URL-Uniform (Universal) Resource Locator). За этими локаторами могут стоять разные сути — html-файлы, CGI-процедуры и т.п. Обычно, субъекты доступа идентифицируются по IP-адресам и/либо именам компов и областей управления. Не считая того, может употребляться парольная аутентификация юзеров либо наиболее сложные схемы, основанные на криптографических разработках.

В большинстве Web-серверов права разграничиваются с точностью до каталогов (директорий) с применением случайного управления доступом. Могут предоставляться права на чтение HTML-файлов, выполнение CGI-процедур и т.д.

Для ранешнего выявления попыток незаконного проникания в Web- важен постоянный анализ регистрационной инфы. Очевидно, защита системы, на которой работает Web-, обязана следовать всепригодным советам, главной из которых является наибольшее упрощение. Еще один общий принцип заключается в том, чтоб минимизировать размер инфы о сервере, которую могут получить юзеры.

Аутентификация в открытых сетях

способы, используемые в открытых сетях для доказательства и проверки подлинности субъектов, должны быть устойчивы к пассивному и активному прослушиванию сети. Сущность их сводится к последующему. Субъект показывает познание секретного ключа, при всем этом ключ или совершенно не передается по сети, или передается в зашифрованном виде.

Субъект показывает обладание программным либо аппаратным средством генерации разовых паролей либо средством, работающим в режиме «запрос-ответ». Несложно увидеть, что перехват и следующее проигрывание разового пароля либо ответа на запрос ничего не дает злодею. Субъект показывает подлинность собственного местоположения, при всем этом употребляется система навигационных спутников.

Виртуальные сети

одной из важных задач является защита потоков корпоративных данных, передаваемых по открытым сетям. Открытые каналы могут быть накрепко защищены только одним способом — криптографическим. Отметим, что так именуемые выделенные полосы не владеют особенными достоинствами перед линиями общего использования в плане информационной сохранности. Выделенные полосы хотя бы отчасти будут размещаться в неконтролируемой зоне, где их могут разрушить либо выполнить к ним несанкционированное подключение. Реальное достоинство — это гарантированная пропускная способность выделенных линий. Представляется естественным возложить на межсетевой экран задачку шифрования и дешифрования корпоративного трафика на пути во внешнюю сеть и из нее. Чтоб такое шифрование/дешифрование сделалось вероятным, должно произойти изначальное распределение ключей. Современные криптографические технологии дают для этого целый ряд методо.

Простота и однородность архитектуры

Важным нюансом информационной сохранности является маневренность системы. Более остро неувязка маневренности встает на клиентских рабочих местах и на стыке клиентской и серверной частей информационной системы. Причина ординарна -клиентских мест еще больше, чем серверных, они, обычно, разбросаны по существенно большей площади, их употребляют люди с разной квалификацией и привычками. Сервис и администрирование клиентских рабочих мест — занятие очень сложное, драгоценное и чреватое ошибками. разработка интранет за счет простоты и однородности архитектуры дозволяет создать стоимость администрирования клиентского рабочего места фактически нулевой. Принципиально и то, что подмена и повторный ввод в эксплуатацию клиентского компа могут быть осуществлены весьма стремительно, так как это «клиенты без состояния», у их нет ничего, что добивалось бы долгого восстановления либо конфигурирования.

На стыке клиентской и серверной частей интранет-системы находится Web-сервер. Это дозволяет иметь единый механизм регистрации юзеров и наделения их правами доступа с следующим централизованным администрированием. Взаимодействие с бессчетными разнородными сервисами оказывается сокрытым не только лишь от юзеров, да и в значимой степени от системного админа.

Заключение

задачка обеспечения информационной сохранности в интранет оказывается наиболее обычный, чем в случае случайных распределенных систем, построенных в архитектуре клиент/сервер. Причина тому — однородность и простота архитектуры интранет. Если создатели прикладных систем смогут полностью пользоваться сиим преимуществом, то на программно-техническом уровне им будет довольно нескольких дешевых и обычных в освоении товаров. правда, к этому нужно присовокупить обдуманную политику сохранности и целостный набор мер процедурного нрава

Продукты и решения VPN: взор пользователя

В продолжение анализа технологий VPN, размещенного в нашем журнальчике (см. технологии и средства связи — 2000. № 3,4), создатель статьи поднимает вопросы законодательной базы в сфере информационной сохранности, делает лаконичный обзор товаров и решений VPN, представленных на русском рынке

Достоинства и недочеты

разработка VPN (virtual private Network — виртуальная личная сеть) явилась естественным развитием технологии межсетевых экранов, лишь в отличие от межсетевых экранов, ограничивающих доступ к сетевым либо системным ресурсам, конкретно защищает данные в процессе передачи, другими словами является наиболее всепригодным средством обеспечения сохранности в информационных сетях.

Мысль VPN, непременно, кажется весьма симпатичной — хоть какой менеджер по IT-безопасности с наслаждением ввел бы ее на собственном предприятии. Но хотя на рынке VPN и в нашей стране и за рубежом работает огромное количество компаний, повсевременно совершенствующих потребительские свойства собственной продукции, разработка, а поточнее решения VPN, еще не достигнули зрелости, дающей гибкое и действенное решение IT-безопасности.

Трудности, стоящие на пути разрабов, имеют беспристрастный нрав. VPN — разработка новенькая и непростая сама по для себя, кроме этого у каждого корпоративного юзера (а VPN даже по наименованию все-же разработка корпоративных юзеров) свои представления и потребности в области обеспечения сетевой сохранности инфы в сети.

Законодательная база

Как демонстрируют опросы, проводимые в Вебе, кроме совсем тривиальных черт защищенности и цены для юзеров VPN важны также производительность и маневренность, комфортность работы с тем либо другим видом VPN-реализации (см. «Перечень базисных характеристик системы VPN»). В нашей стране не последнюю роль играет еще одна черта — так называемая «легитимность».

Почему-либо принято считать, что законодательной базы в сфере обеспечения информационной сохранности у нас нет. По сути она существует и, наиболее того, довольно пространна —несколько федеральных законов, принятых за крайние 10 лет, также указы президента, постановления правительства, муниципальные стандарты, руководящие документы Федерального агентства правительственной связи и инфы (ФАПСИ) и бессчетные ведомственные аннотации. Как досадно бы это не звучало, в большинстве собственном эти документы многоречивы, малоконкретны и не постоянно поочередны. к примеру, в текстах федеральных законодательных актов до сего времени отсутствует юридическое определение средств криптографической защиты. Тем не наименее такие главные документы, как закон«О инфы, информатизации и защите инфы» от 20.02.95 и Указ Президента РФ

Можно и недозволено

Согласно нормативным актам средства обеспечения информационной сохранности, применяемые на местности РФ

• муниципальным компаниям запрещено применять шифровальные средства, не имеющие сертификата ФАПСИ;

• юридическим и физическим лицам запрещено заниматься разработкой либо эксплуатацией шифровальных средств, не имея соответственной лицензии на схожую деятельность, выданную ФАПСИ;

• запрещено размещение муниципальных заказов на предприятиях, использующих не сертифицированные ФАПСИ шифровальные средства;

• сертифицированные ФАПСИ шифровальные средства рекомендованы для неотклонимого внедрения коммерческими банками при их содействии с Центральным банком РФ

симметричные схемы и методы шифрования, совсем не поддерживающие криптоалгоритмов западных разрабов и не предусматривающие неопасного автоматического управления главный информацией. Как понятно, функция управления ключами является весьма принципиальной для развертывания настоящей системы VPN и реализуется на базе алгоритмов асимметричного шифрования, поступивших в распоряжение западных разрабов приблизительно 20 лет вспять.

Кому необходимы системы VPN?

Ворачиваясь к вопросцу о выборе подходящего VPN-решения в свете всех юридических тонкостей, можно сказать последующее. Во-1-х, далековато не все перечисленные в данной нам статье и присутствующие на русском рынке продукты VPN имеют сертификаты ФАПСИ, но, с иной стороны, почти все имеют либо, по последней мере, претендуют на получение сертификата Гостехкомиссии, что тоже достаточно ценно. Во вторых, на базе анализа российскей нормативной базы и опыта внедрения систем защиты инфы, всех русских корпоративных потребителей систем информационной сохранности можно поделить на три группы:

• муниципальные компании, работающие с информацией, представляющей муниципальную тайну;

• муниципальные компании, работающие с секретной информацией, не представляющей муниципальную тайну;

•негосударственные компании,

работающие с секретной

информацией, не представляющей

муниципальную тайну.

В расчете на первую, не самую многочисленную группу написано большая часть законов и, естественно же, ГОСТы. Резюме: обязателен полный набор нужных сертификатов и лицензий.

3-я группа — крайняя в перечне, но не крайняя по значению. Ее тяжело именовать на данный момент главным пользователем систем сохранности, хотя в дальнейшем, видимо, таким станет конкретно она. На теоретическом уровне и фактически потребителей данной нам группы должны заинтересовывать надежные системы сохранности, а не сертификаты ФАПСИ либо Гостехкомиссии.

Как указывает тенденция крайних лет, компании 2-ой группы являются пока более активными покупателями сертифицированных систем сохранности. При всем этом сертификат Гостехкомиссии является неотклонимым. Сертификат ФАПСИ был бы безупречным решением, но при защите автоматической системы хоть какого класса защищенности, не считая упомянутых выше классов 1А, 1Б и 2А, системой сохранности, сертифицированной Гостехкомиссией, даже использующей методы криптографических преобразований, разъяснить отсутствие сертификата ФАПСИ также просто, как обосновать необходимость его наличия.

Продукты и решения

В Рф продукты и решения VPN дают почти все компании. Есть посреди их и такие «монстры» сетевой промышленности, как Cisco Systems, и решения от общепризнанных фаворитов в области сетевой сохранности, к примеру Checkpoint Software, продукты которой в нашей стране представляет компания UNI; есть предложения и от русских разрабов — МО ПНИЭИ, «Элвис+», «Сигнал-Ком», «ИнфоТеКС», «Инфосистемы Джет», «Информзащита» и др. В силу правовой ситуации, сложившейся с сертификацией СКЗИ, являющейся неотъемлемой частью VPN, и лицензированием деятель компаний, использующих эти средства в собственной деятель, русские создатели получают суровые достоинства перед западными соперниками в борьбе за российский Рынок VPN. (Наиболее детальные сведения см. Техническое обозрение // технологии и средства связи. — М., 2000. № 6. — Прим. ред.)

Secure Vision, Cisco Systems

Secure Vision от всемирно известной компании Cisco Systems — не продукт и даже не решение, а Миропонимание. Миропонимание заключается в том, что в случайной конфигурации VPN во всех узловых точках ставятся сетевые устройства Cisco Systems под управлением спец операционной системы IOS, которая будет поддерживать по способности все базисные эталоны в области сетевой сохранности. В истинное время таковыми всепригодными, хотя и не идеальными, эталонами являются DES и IPSec. Зависимо от требований по производительности воплотить VPN можно или программно, тогда и это именуется IOS Firewall feature set, или аппаратно — в таком случае мы имеем дело с PIX Firewall.

VPN-1, Checkpoint Software Technologies

Криптошлюз VPN-1 — это лишь один из компонент встроенной системы Secure Virtual Network (SVN) bundle, в которую входят также межсетевой экран Firewall-1 и средство управления полосой пропускания FloodGate-1. Шлюз поддерживает форматы SKIP, IPSec и фирменный формат FWZ с методом симметричного шифрования FWZ1. Может быть также внедрение DES, CAST-40, 3DES. В качестве протокола управления открытыми ключами поддерживается схема ISAKMP. Но для построения более-менее настоящей структуры PKI придется пользоваться еще одним продуктом, который именуется Certificate Manager и построен на Entrust CA Server, а в качестве каталога употребляется Netscape Directory. Совершенно, решения Checkpoint Software выполнены на высокопрофессиональном уровне и, непременно, всепригодны, хотя стойкость алгоритмов шифрования, применяемых криптошлюзом, находится под вопросцем. Поддержка «чужих» криптобиблиотек, а именно ГОСТа, в наиблежайшее время не предвидится.

Для удаленного подключения мобильного юзера из Веба к локальной сети через VPN-1 Gateway употребляется программный VPN-клиент SecuRemote, работающий под управлением Windows.

ШИП, МО ПНИЭИ

Показавшийся на русском рыим VPN одним из первых криптографический комплекс «Шифратор IP-потоков» (ШИП), разработки столичного отделения Пензенского научно-исследовательского электротехнического института, рекомендован ФАПСИ в качестве СКЗИ при работе в сетях передачи общего использования. Комплекс содержит в себе, кроме фактически криптошлюзов, средства управления, хранения и передачи главный инфы и средства оперативного мониторинга и регистрации событий сохранности. Посреди функций этого комплекса можно перечислить последующие: обеспечение конфиденциальности и целостности данных, передаваемых в сетях общего использования, построенных на базе протокола IP; создание защищенных субсетей передачи секретной инфы; объединение локальных сетей в единую защищенную сеть; блокирование доступа к ресурсам защищаемой сети из открытой сети; аутентификацию абонентов сети; централизованное управление защищенной сабсетью.

АПК ШИП поддерживает сетевые протоколы IP, ICMP, IPX, X.25, Frame Relay, также инкапсуляцию IPX в IP, X.25 и IP в Frame Relay; протоколы маршрутизации RIP2, OSPF, BGP; из алгоритмов шифрования данных, главный и единственный, — ГОСТ 28147-89.

В состав комплекса входят распределенная сеть шифраторов (криптошлюзов) и один либо несколько центров управления главный системой. Шифратор состоит из аппаратного датчика случайных чисел, программного модуля криптографического преобразования, работающего на уровне ядра операционной системы FreeBSD, модулей записи протокола, неопасной загрузки системы и клиентской части главный системы. Подсистемы центра управления главный системой состоят из серверного модуля и программного средства управления главный системой, реализованного в среде Windows, и сервисной программки просмотра протоколов работы криптографического комплекс. Управление главный системой содержит в себе последующие функции:

повторяющуюся смену ключей шифрования, контроль и рассылку таблиц соответствия, определяющих возможность абонентов работать друг с Другом, сбор и хранение инфы о критических сетевых событиях (в том числе аутентификация абонента, установление защищенного сеанса обмена, смена ключа и пр.).

«Застава», ОАО «Элвис+»

Еще один продукт, достаточно издавна и отлично узнаваемый, — комплекс «Застава» от столичной компании «Элвис+». Это программно реализованный масштабируемый ряд товаров для организации VPN на разных каналах связи, в локальных и глобальных сетях. В состав комплекса входят: межсетевой криптошлюз «Застава-офис», «Застава-» для криптозащиты одиночного сервера и VPN-клиент «Застава-клиент».

«Застава-офис» не содержит ничего «излишнего» — модуль криптопреобразо-ваний, встраиваемый в ОС Solaris либо Windows NT на уровне сетевого драйвера, и средства управления. Пути ро100 «вниз» — в сторону установки средств контроля и разграничения доступа, средств персональной антивирусной и криптозащиты диска, регистрации критических событий, также «ввысь» — в сторону интеграции с системами PKI хранения и распределения персональной, в том числе ключевой инфы юзеров, допустимы и даже рекомендуемы. А именно, в качестве обычного решения для неопасного доступа маленького кабинета в веб приветствуется интеграция описанного криптошлюза с одноименным межсетевым экраном производства той же компании.

Net-PRO, ЗАО «Сигнал-Ком»

Программный комплекс Net-PRO обеспечивает защиту потоков данных в разных вариантах: в границах корпоративной локальной сети, при содействии территориально разнесенных локальных сетей 1-го компании, при содействии с удаленными ресурсами через сети общего использования, по мере необходимости организации неопасной работы удаленного юзера с корпоративной сетью. Для аутентификации и защиты потоков данных в Net-PRO употребляется модернизированный протокол Secure Socket Layer (SSL), работающий поверх TCP/IP.

Индивидуальностью реализации этого протокола в версии компании «Сигнал-Ком» является поддержка нескольких алгоритмов шифрования, включая российский ГОСТ 28147-89; предусмотрена двухсторонняя и односторонняя аутентификация на базе криптографических алгоритмов с открытым ключом; аутентификация осуществляется с применением цифровых сертификатов в формате Х.509. Админу предоставляется возможность централизованного управления и осуществления просмотра зарегистрированных событий и нештатных ситуаций. Комплекс работает под управлением Windows NT/9x.

Состав системы: Net-PRO VPN Server — серверный модуль, поддерживающий взаимодействие с подобными серверными модулями (либо) с клиентскими модулями, реализует функции межсетевого экрана и делает процедуры аутентификации и шифрования потока данных и др. Net-PRO VPN Client — клиентский модуль, обеспечивающий защищенное взаимодействие с серверным модулем Net-PRO VPN Server.

ViPNet, ОАО «ИнфоТеКС»

ViPNet — это новенькая торговая марка, продаваемых и ранее компанией «Ин-фоТеКС» решений на базе пакета программ «Корпоративная наложенная сеть «Инфотекс». Принципиальным и неоспоримым достоинством этого пакета является наличие сертификата Гос-техкомиссии по классу 1 В для автоматических систем и по 3-му классу для межсетевых экранов.

Компания интенсивно экспериментирует в сфере различных маркетинговых схем, предлагая варианты приобретения от личных средств сетевой защиты ViPNet Desk и сетей VPN фиксированной конфигурации ViPNet Office до распределенных VPN-конфигураций для больших компаний ViPNet Tunnel и ViPNet Corporate.

Составляющие системы программного обеспечения корпоративной наложенной сети «Инфотекс»:

— сервис сохранности — модуль фильтрации и туннелирования трафика на базе драйвера сетевой защиты IP-LIR (работает в операционных средах Windows 95/98/NT, Linux);

— всепригодный сервер — производит функции менеджера IP-адресов, сервера почтовых и управляющих сообщений;

— центр управления сетью — сформировывает логическую инфраструктуру защищенной сети, производит функции сетевого управления и мониторинга;

главный центр сохранности -формирует первичную главную информацию, производит ее хранение и сертификацию.

«Тропа», АО «Инфосистемы Джет»

Компания «Инфосистемы Джет» известна спецам по информационной сохранности как разраб сертифицированного по 2-му классу сохранности межсетевого экрана «Застава-Джет». Сначала этого года, не собираясь сдавать завоеванные позиции, компания представила на Рынок свою новейшую разработку — комплекс кодировки межсетевых потоков «Тропа». Программный комплекс представляет собой пример обычного VPN меж удаленными локальными сетями: набор криптошлюзов и составляющие управления (центры генерации, регистрации, распределения ключей и мониторинга работы системы). Программная платформа — ОС Solaris. Сопоставимость с «Заставой-Джет».

одной из главных целей разрабов было серьезное следование спецификации IPSec. Абонент защищенной сети может обмениваться данными с хоть каким остальным абонентом сети, причем кодирование передаваемых данных как для абонентов, так и для применяемого ими программного обеспечения является прозрачным. Криптошлюз производит селективное шифрование лишь меж абонентами, находящимися в виртуальном «контуре сохранности». Таковым образом, в задачки криптошлюза заходит также фильтрация трафика на кодируемый и некодируемый и его маршрутизация.

«Материк-К», НИП «Информза-щита»

Решение криптошлюза «Материк-К» компании «Информзащита» представляет собой специализированное аппаратно-программное устройство, функционирующее на платформе Intel под управлением сокращенной версии ОС FreeBSD. Комплекс состоит из криптографического шлюза, центра управления сетью криптомаршрутизаторов и неограниченного количества консолей управления.

Криптографический шлюз в обычной поставке оборудуется платой «электрический замок «Соболь» (сертифицирован ФАПСИ) со интегрированным датчиком случайных чисел. Плата обеспечивает локальную идентификацию и аутентификацию админа криптошлюза и контроль целостности программного обеспечения. Таковым образом, решается проблема своей защиты криптографического маршрутизатора.

В АПК «Материк-К» употребляются свой протокол шифрования IP-пакетов, основанный на методе симметричного шифрования -ГОСТ 28147-89, и собственные методы инкапсуляции и сжатия заголовков IP-пакетов, также достигаются впечатляющие характеристики производительности на операциях шифрования — порядка 30 Мбит с.

Поиск всеохватывающего решения

Спецам по информационным технологиям, занимающимся внедрением всеохватывающих систем защиты ин формации, наверное хотелось бы сделать либо получить в свое пользование некоторую всепригодную систему, решающую все задачки обеспечения сетевой сохранности. Система подобного типа обязана вести учет использования системных ресурсов, создавать аутентификацию юзеров, управлять доступом к ресурсам на системном и сетевом уровне, обеспечивать криптографическую защиту данных при хранении и передаче, поддерживать все операции с ключевой информацией, обеспечивать антивирусную защиту. При всем этом система обязана быть стопроцентно управляемой, иметь прозрачный интерфейс подключения криптобиблиотек, облаотдать программно-технической совместимостью с продуктами и оборудованием остальных производителей и абсолютной надежностью при работе как в глобальных, так и локальных сетях… И не считая этого обязана превосходить все известные аналоги по производительности и распространяться безвозмездно.

В принципе верная реализация стратегии VPN предполагает, что большая часть перечисленных выше функций неотклонима для надежной и неопасной работы. Но пока подавляющее большая часть разрабов акцентируют свое внимание на каком-либо одном нюансе сохранности:

встраивании узнаваемых криптоалгоритмов в общесистемное программное обеспечение, повышении эффективности шифрования трафика в Вебе, управлении ключами либо, наоборот, на разработке «коробочных» товаров, не требующих обслуживания. Самые «продвинутые» VPN-pe-шения как и раньше обеспечивают защиту лишь для виртуальной (вынесенной за границы компании) части корпоративной сети, а не для корпоративной сети как такой (вне зависимости от того, где находятся ее рабочие места и ресурсы).

Вообщем, даже поверхностный озор указывает, что на русском рынке есть достаточно разнообразные предложения VPN, а мировой, ну и русский спрос предполагает, что свойство предлагаемых реализации защищенных корпоративных сетей будет безпрерывно расти. Недочета в увлекательных и кричигинальных решениях всеохватывающей трудности VPN нет уже на данный момент, хотя время всеохватывающих решений, видимо, еще впереди.

Вопросцы несанкционированного доступа к инфы, обрабатываемой средствами вычислительной техники, методом радиоперехвата побочных электромагнитных излучений и наводок (ПЭМИН), продолжают оставаться животрепещущими, невзирая на широкий набор технических средств противодействия. Это соединено как с возникновением новейших образцов высокочувствительной аппаратуры (селективных радиоприемников, сканеров), которые могут быть применены для радиоперехвата, так и общим подходом к совершенствованию системы доступа к секретной инфы. Маскировка побочных информативных излучений осуществляется методом формирования и излучения в окружающее место широкополосного шумового сигнала, уровень которого превосходит уровень ПЭМИН. Обозначенный метод маскировки ПЭМИН был разработан в 1981 году сотрудниками Института радиотехники и электроники [2] и рекомендован руководящими документами Гостехкомиссии Рф к использованию. В разработанных устройствах в качестве формирователя маскирующего сигнала употребляется автостохастический генератор шума на базе системы 2-ух связанных транзисторных генераторов с доп наружным низкочастотным действием. 1-ый генератор, содержащий нелинейный усилитель, цепь запаздывающей оборотной связи (ЗОС) и инерционную цепь автосмещения, является «ведущим» и обеспечивает формирование почти всех колебаний (мод) на собственных частотах, определяемых задержкой сигнала в цепи ЗОС 2-ой генератор, содержащий нелинейный усилитель и цепь регулируемой оборотной связи, является «ведомым», потому что работает в режиме наружного пуска от первого генератора. Он обогащает диапазон колебаний системы связанных генераторов добавочными частотными компонентами, другими словами сформировывает вторую «сетку» собственных частот с неэквидистантной, относительно первой, расстановкой гармонических составляющих. Взаимодействие 2-ух генераторов на нелинейностях р/п-переходов применяемых активных частей (транзисторов) обеспечивает процесс формирования хаотических (шумовых) колебаний через поочередный каскад бифуркаций удвоения периода, который в радиофизике определяется понятием динамического хаоса [З].

Добавочно повысить стабильность работы устройства маскировки, сделать лучше статистические свойства шумового маскирующего сигнала дозволяет низкочастотный источник шума. Внешний низкочастотный шум при действии на систему связанных генераторов сузивает полосу синхронизации и приводит к срыву вероятных синхронных колебаний. При всем этом, вместе с доборной модуляцией, в системе имеют пространство как параметрические процессы, так и синхронизация шумом, другими словами реализуются дополнительные условия для экспоненциального расхождения фазовых траекторий генераторов. Математическим образом такового процесса является «странноватый аттрактор».

Действенная работа устройства радиомаскировки обеспечивается внедрением в качестве излучающей антенны магнитного диполя — электронной рамки (кругового проводника с умеренно распределенным током). Таковая антенна делает довольно равномерное распределение электромагнитного поля по всем направлениям места. По результатам сертификационных испытаний таковой излучатель представляет собой слабонаправленную антенную систему, формирующую электромагнитную волну с поляризацией, близкой к радиальный.

В устройства радиомаскировки встроена схема контроля работоспособности, позволяющая повсевременно надзирать как статистические свойства (свойство) маскирующего сигнала, так и его уровень. По мере необходимости к исполнительному элементу схемы контроля работоспособности быть может подключено наружное устройство дистанционного контроля, с его помощью можно автоматически перекрыть работу систем вычислительной техники в случае появления проблем в работе устройства радиомаскировки.

В целом, внедрение в качестве генератора шума системы связанных генераторов с наружным действием и излучающей антенны типа магнитного диполя позволило повысить стабильность работы устройства радиомаскировки и сделать лучше его свойства.

для слотов PCI либо ISA. Схемные решения и электронные свойства данных устройств радиомаскировки схожи. Технические решения, использованные в устройствах радиомаскировки, защищены патентами на изобретение [4].

Электромагнитное поле помехового (маскирующего) сигнала, создаваемое устройствами радиомаскировки, по результатам сертификационных испытаний представляет собой обычный стационарный случайный процесс со сплошным энергетическим диапазоном в спектре частот 100 кГц — 1000 МГц и нормализованным коэффициентом свойства не ниже 0,9.

В процессе разработки и сертификации устройств радиомаскировки были проведены сопоставления уровней маскирующих сигналов с уровнями ПЭМИН средств отображения инфы, НГМД, НЖМД, клавиатуры, CD-ROM. Результаты сертификационных испытаний подговорили факт соответствия характеристик устройств радиомаскировки ГШ-ЮООМ и ГШ-К-ЮОО Мтребованиям нормативных документов Гостехкомиссии Рф для таковых устройств. Как итог оба устройства сертифицированы в качестве средств защиты инфы для маскировки побочных информационных электромагнитных излучений технических средств индивидуальных компов, компьютерных сетей и комплексов на объектах информатизации первой, 2-ой и третьей категорий.

Для маскировки ПЭМИН средств вычислительной техники, размещенных в помещении площадью до 50 м2, довольно 1-го устройства, в то время как в огромных (протяженных) вычислительных центрах, терминальных залах нужно применять несколько комплектов устройств радиомаскировки, размещая их по периметру объекта. Наибольшее расстояние меж примыкающими устройствами не обязано превосходить 20 метров. В процессе использования устройств радиомаскировки ГШ-ЮООМ и ГШ-К-ЮООМ имеется возможность дистанционного и местного оперативного контроля работоспособности требованиям нормативных документов Гостехкомиссии Рф для таковых устройств. Как итог оба устройства сертифицированы в качестве средств защиты инфы для маскировки побочных информационных электромагнитных излучений технических средств индивидуальных компов, компьютерных сетей и комплексов на объектах информатизации первой, 2-ой и третьей категорий.

ЛИТЕРАТУРА:

1. Иванов В. П., Сяк В. В. Маскировка информационных излучений средств вычислительной техники //Информационно-методический журнальчик «Защита инфы. Конфидент», № I, 1998. С. 67-71.

2. Дмитриев А. С., Залогин Н. Н., Иванов В. П. и др. метод маскировки радиоизлучений средств вычислительной техники и устройство для его реализации //Авторское свидетельство № 1773220, кл. 04 К 3/00. Наша родина, Ценность от 21 сентября 1981 г.

3. Кислой В. Я. Динамический хаос и его внедрение в радиоэлектронике //Радиотехника и электроника, № 10, Т. 38, 1993. С. 1783.

4. Безруков В. А., Иванов В. П., Калашников В. С., Лебедев М. Н. Устройство радиомаскировки //Положительное решение по за нелинейный усилитель и цепь регулируемой оборотной связи, является

В новейший век -с новейшей техникой

Центр всеохватывающей сохранности инфы ГУП СНПО «Элерон» вот уже наиболее 30 лет работает под лозунгом «Экспертам — профессиональную технику». В крайние несколько лет наметилась тенденция к возрождению особых подразделений по защите инфы на муниципальных предприятиях, до этого всего, в оборонном комплексе и силовых ведомствах. Не считая того, резко возрос профессионализм лицензиатов Гостехкомиссии и ФАПСИ в данной нам области деятельности, которых к истинному времени записанно наиболее 800. Это событие принудило разрабов ЦКБИ приложить много усилий с тем, чтоб войти в третье тысячелетие с новеньким поколением ранее обширно зарекомендовавших себя на рынке образцов специальной контрольно-измерительной и защитной аппаратуры, отвечающей крайним нормативным требованиям по защите инфы и рассчитанным на долговременную перспективу. С некими из перечисленных разработок мы и желаем познакомить вас в данной нам публикации

Зарница П» — новейший тип средств измерений

защита от утечки инфы по каналам побочного электромагнитного излучения от технических средств обработки и передачи инфы (ТСПИ и ВТ) приобретает особенное техники.

Работы по особым исследованиям ТСПИ и ВТ проводятся в специализированных центрах, которые должны быть обустроены современной измерительной техникой. Лишь Гостехкомиссией Рф аккредитовано наиболее 40 испытательных и 100 аттестационных центров. К огорчению, качественная российская и ввезенная измерительная техника, нужная для проведения особых исследовательских работ, различается только высочайшей стоимостью и большенными массогабаритными показателями. При всем этом нередко появляются ситуации, когда нужные измерения требуется проводить конкретно на объектах, где установлено исследуемое оборудование. Таковым образом, специальным центрам нужно иметь компактную высокопроизводительную измерительную технику, созданную для проведения особых исследовательских работ в критериях реально функционирующих объектов.

ЦКБИ ГУП СНПО «Элерон» имеет долголетний опыт в разработке и производстве подобных комплексов. В истинное время центр окончил работы по созданию переносного программно-аппаратного комплекса «Зарница П» для проведения особых исследовательских работ. Работа включала в себя НИР, ОКР и сертификацию. Хоть какое техническое решение — это постоянно соглашение меж стоимостью, техническими параметрами и массогабаритными показателями. Многократные пробы сотворения российского относительно дешевого серийно изготавливаемого компактного измерительного радиоприемного устройства (РПУ) фуррором не увенчались. Потому в собственных разработках ЦКБИ был обязан ориентироваться на дешевые завезенные из других стран широкополосные РПУ.

Технические решения программно-аппаратного комплекса «Зарница П»

Результатом нашей работы сделалось создание программно-аппаратного измерительного комплекса на базе РПУ AR 5000. Комплекс дозволяет создавать селективные измерения уровней электронных сигналов (в том числе имеющих импульсный нрав) в рабочем спектре частот от 0,01 МГц до 2,1 ГГц, также производить их анализ и расчет черт побочных электромагнитных излучений средств ТСПИ и ВТ на соответствие требованиям нормативно-методических документов Принцип деяния комплекса основан на селективном измерении напряжения в выделенной полосе частот, аналогично принципу деяния измерительных приемников. Главным измерительным ядром комплекса является отдельный блок подготовительной обработки (БПО) сигнала ПЧ 10,7 МГц с выхода РПУ AR 5000. С широкополосного видеодетектора сигнал поступает на пиковый сенсор с программируемым временем скопления. Подобные технические решения и методы обработки сигнала были неоднократно апробированы в наиболее ранешних разработках центра, проведенных в интересах Минобороны и Минатома. Применяемый пиковый сенсор различает малая неизменная времени заряда и большая неизменная времени разряда. Возможность установки времени скопления в широком временном спектре дозволяет создавать регистрацию и следующую обработку импульсных сигналов отТСПИ и ВТ с высочайшей точностью. Необходимо подчеркнуть, что невзирая на несовершенство схемотехники, тракт высочайшей и промежной частот у РПУ AR 5000 владеет параметрами, позволяющими применять их в составе измерительных комплексов. При всем этом основное свойства тракта определенного РПУАК 5000. Таковым образом, селективные частотные характеристики комплекса определяются параметрами РПУ, а погрешность измерения уровней входных сигналов обеспечивается трактом БПО в режиме работы программируемого пикового сенсора.

В итоге метрологической сертификации комплекса «Зарница П» в целом, включающей в себя определение рабочего спектра частот, пределов допустимой погрешности измерений, значений рабочих полос пропускания, ослабления паразитных каналов приема, КСВ, времени готовности и межпроверочного интервала 2 года, был получен сертификат Госкомитета РФ

«Дельта» и остальные…

ЦКБИ также завершены разработки новейших модификаций обширно узнаваемых программно-аппаратных комплексов обнаружения и определения местоположения высокочастотных каналов утечки речевой инфы из помещений серий «Дельта-П» (переносные) и «Дельта-С» (стационарные). Все эти модификации различаются расширенным спектром частот, завышенным быстродействием и иными усовершенствованными ТТХ. А именно, конфигурации задели стационарных комплексов «Дельта С». Как правило, охраняемые помещения удалены друг от друга, что принуждает применять в составе стационарных комплексов несколько РПУ. В выпускавшихся ранее комплексах управление РПУ и обработка поступающих от их сигналов осуществлялась попеременно, что резко увеличивало время сканирования данного спектра частот и, как следует, уменьшало эффективность работы системы в целом. Комплексы крайней модификации методны параллельно работать с 4-мя РПУ. По мере необходимости доп РПУ могут быть подключены к комплексу в режиме поочередного обслуживания. Это, вместе с переменами алгоритмов обнаружения сигналов, позволило значительно повысить эксплуатационные свойства стационарных комплексов. сразу со стационарными комплексами длится выпуск переносных комплексов «Дельта П». Различительными признаками переносных комплексов «Дельта» являются высочайшая возможность обнаружения, низкая возможность неверного срабатывания, простота в эксплуатации, развитые сервисные функции. О остальных новейших разработках центра мы поведаем в последующих публикациях.

ВВЕДЕНИЕ

Спецам по информационным технологиям, занимающимся внедрением всеохватывающих систем защиты инфы, наверное хотелось бы сделать либо получить в свое использование некоторую всепригодную систему, решающую все задачки обеспечения сетевой сохранности. Система подобного типа обязана вести учет использования системных ресурсов, создавать аутентификацию юзеров, управлять доступом к ресурсам на системном и сетевом уровне, обеспечивать криптографическую защиту данных при хранении и передаче, поддерживать все операции с главный информацией, обеспечивать антивирусную защиту. При всем этом система обязана быть стопроцентно управляемой, иметь прозрачный интерфейс подключения криптобиблиотек, владеть программно-технической совместимостью с продуктами и оборудованием остальных производителей и абсолютной надежностью при работе, как в глобальных, так и локальных сетях. И не считая этого обязана превосходить все известные аналоги по производительности.

РЕЖИМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

1) законодательный (законы, нормативные акты, эталоны и т.п.);

2) административный (деяния общего нрава, предпринимаемые управлением организации);

3) процедурный (меры сохранности, имеющие дело с людьми);

4) программно-технический (технические меры).

Законодательный уровень

Не считая этого, в рамках серии документов Гостехкомиссии при Президенте РФ

Согласно нормативным актам средства обеспечения информационной сохранности, применяемые на местности РФ

• муниципальным компаниям запрещено применять шифровальные средства, не имеющие сертификата ФАПСИ;

• запрещено размещение муниципальных заказов на предприятиях, использующих не сертифицированные ФАПСИ шифровальные средства.

Административный и процедурный уровень.

Разработка сетевых качеств политики сохранности

• невозможность миновать защитные средства;

• усиление самого слабенького звена;

• невозможность перехода в небезопасное состояние;

• минимизация льгот;

• разделение обязательств;

• эшелонированность обороны;

• обилие защитных средств;

•простота и маневренность информационной системы;

•обеспечение всеобщей поддержки мер сохранности.

Принцип разделения обязательств предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически принципиальный для организации процесс. Это в особенности принципиально, чтоб предупредить злостные либо неквалифицированные деяния системного админа. Принцип эшелонированности обороны предписывает не полагаться на один защитный предел, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией — управление доступом и как крайний предел — протоколирование и аудит. Эшелонированная оборона способна, по последней мере, задержать злодея, а наличие такового рубежа, как протоколирование и аудит, значительно затрудняет неприметное выполнение злоумышленных действий. Принцип контраста защитных средств советует организовывать разные по собственному способности, несопоставимыми меж собой способностями (к примеру, умением преодолевать высшую ограду и познанием слабостей нескольких операционных систем). Весьма важен принцип простоты и маневренности информационной системой в целом и защитных средств в индивидуальности. Лишь для обычного защитного средства можно формально либо неформально обосновать его правильность. В данной нам связи принципиально отметить интегрирующую роль Web-сервиса, скрывающего обилие обслуживаемых объектов и предоставляющего единый, приятный интерфейс. Соответственно, если объекты некого вида (скажем, таблицы базы данных) доступны через Web, нужно заблокировать прямой доступ к ним, так как в неприятном случае система будет сложной и трудноуправляемой.

Всеобщая поддержка мер сохранности

Крайний принцип — всеобщая поддержка мер сохранности — носит нетехнический нрав анализ рисков — важный шаг выработки политики сохранности. При оценке рисков, необходимо учесть последующие происшествия:

новейшие опасности по отношению к старенькым сервисам, вытекающие из способности пассивного либо активного прослушивания сети. Пассивное прослушивание значит чтение сетевого трафика, а активное — его изменение (кражу, дублирование либо модификацию передаваемых данных). к примеру, аутентификация удаленного клиента при помощи пароля неоднократного использования не может считаться надежной в сетевой среде, независимо от длины пароля;

новейшие (сетевые) сервисы и ассоциированные с ними опасности.

Процедурные меры

На наш взор, отдельного рассмотрения заслуживают только два происшествия:

2) поддержка актуального цикла инфы.

На предприятии существует управляющий, определяющий общую направленность деятель. В информационных сетях ему соответствует Web-администратор, решающий, какая корпоративная информация обязана находиться на Web-сервере и как надо структурировать дерево (поточнее, граф) html-документов.

Программно-технический уровень.

Управление доступом методом фильтрации инфы.

Межсетевой экран как средство контроля информационных потоков.

Межсетевой экран — это полупроницаемая мембрана, которая размещается меж защищаемой (внутренней) сетью и наружной средой (наружными сетями либо иными секторами корпоративной сети) и контролирует все информационные потоки во внутреннюю сеть и из нее. Контроль информационных потоков состоит в их фильтрации, другими словами в выборочном пропускании через экран, может быть, с выполнением неких преобразований и уведомлением отправителя о том, что его данным в пропуске отказано. Фильтрация осуществляется на базе набора правил, за ранее загруженных в экран и являющихся выражением сетевых качеств политики сохранности организации.

Ситуация, когда корпоративная сеть содержит только один наружный канал, является быстрее исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная сеть состоит из нескольких территориально разнесенных частей, любой из которых подключен к сети общего использования. В этом случае каждое подключение обязано защищаться своим экраном. При рассмотрении хоть какого вопросца, касающегося сетевых технологий, основой служит семиуровневая эталонная модель ISO/OSI. Межсетевые экраны также целенаправлено систематизировать по тому, на каком уровне делается фильтрация — канальном, сетевом, транспортном либо прикладном. Соответственно можно гласить о экранирующих концентраторах, маршрутизаторах, о транспортном экранировании и о прикладных экранах. Есть также всеохватывающие экраны, анализирующие информацию на нескольких уровнях,

При принятии решения «пропустить/не пропустить», межсетевые экраны могут применять не только лишь информацию, содержащуюся в фильтруемых потоках, да и данные, приобретенные из окружения, к примеру текущее время.

Экранирующая сабсеть.

Способности межсетевого экрана конкретно определяются тем, какая информация может употребляться в правилах фильтрации и какова быть может мощность наборов правил. Совершенно говоря, чем выше уровень в модели ISO/OSI, на котором работает экран, тем наиболее содержательная информация ему доступна и, как следует, тем тоньше и надежнее экран быть может сконфигурирован. В то же время фильтрация на любом из вышеперечисленных уровней владеет своими плюсами, таковыми, как дешевизна, высочайшая эффективность либо прозрачность для юзеров. В силу данной нам, также неких остальных обстоятельств почти всегда употребляются смешанные конфигурации, в каких объединены разнотипные экраны. Более обычным является сочетание экранирующих маршрутизаторов и прикладного экрана. Приведенная конфигурация именуется экранирующей сабсетью. Как правило, сервисы, которые организация предоставляет для наружного внедрения (к примеру, «представительский» Web-), целенаправлено выносить как раз в экранирующую сабсеть.

Простота внедрения и собственная защита.

Кроме выразительных способностей и допустимого количества правил свойство межсетевого экрана определяется еще 2-мя весьма необходимыми чертами — простотой внедрения и своей защищенностью. В плане простоты использования главное хотелось бы выделить средства централизованной загрузки правил фильтрации и проверки набора правил на непротиворечивость. Важен и централизованный сбор и анализ регистрационной инфы, также получение сигналов о попытках выполнения действий, нелегальных политикой сохранности. Собственная защищенность межсетевого экрана обеспечивается теми же средствами, что и защищенность всепригодных систем. При выполнении централизованного администрирования следует еще позаботиться о защите инфы от пассивного и активного прослушивания сети, другими словами обеспечить ее целостность и конфиденциальность. хотелось бы выделить, что природа экранирования (фильтрации) как механизма сохранности, весьма глубока. Кроме блокирования потоков данных, нарушающих политику сохранности, межсетевой экран может скрывать информацию о защищаемой сети, тем, затрудняя деяния возможных злоумышленников. Так, прикладной экран может производить деяния от имени субъектов внутренней сети, в итоге что из наружной сети кажется, что имеет пространство взаимодействие только с межсетевым экраном. При таком подходе топология внутренней сети укрыта от наружных юзеров, потому задачка злодея значительно усложняется.

Сохранность программной среды.

Мысль сетей с так именуемыми активными агентами, когда меж компами передаются не только лишь пассивные, да и активные исполняемые данные (другими словами программки), очевидно, не нова. Сначало цель состояла в том, чтоб уменьшить сетевой трафик, выполняя основную часть обработки там, где размещаются данные (приближение программ к данным). На практике это означало перемещение программ на серверы. Традиционный пример реализации подобного подхода — это хранимые процедуры в реляционных СУБД. Для Web-серверов аналогом хранимых процедур являются программки, обслуживающие общий шлюзовый интерфейс (Common Gateway Interface — CGI). CGI-процедуры размещаются на серверах и обычно употребляются для динамического порождения html-документов. Политика сохранности организации и процедурные меры должны определять, кто имеет Право помещать на сервер CGI-процедуры. Твердый контроль тут нужен, так как выполнение сервером неправильной программки может привести к сколь угодно томным последствиям. Разумная мера технического нрава состоит в минимизации льгот юзера, от имени которого производится Web-сервер. Если хлопотать о качестве и выразительной силе пользовательского интерфейса, возникает необходимость в перемещении программ с Web-серверов на клиентские компы — для сотворения анимации, выполнения семантического контроля при вводе данных и т.д. В котором бы направлении ни передвигались программки по сети, эти деяния представляют завышенную опасность, потому что программка, приобретенная из ненадежного источника, может содержать ненамеренно внесенные ошибки либо преднамеренно сделанную программную закладку. Таковая программка потенциально грозит всем главным нюансам информационной сохранности:

доступности (программка может поглотить все наличные ресурсы);

•целостности (программка может удалить либо разрушить данные);

•конфиденциальности (программка может прочесть данные и передать их по сети).

защита Web-серверов.

Вместе с обеспечением сохранности программной среды, важным будет вопросец о разграничении доступа к объектам Web-сервиса. Для решения этого вопросца нужно уяснить, что является объектом, как идентифицируются субъекты и какая модель управления доступом — принудительная либо случайная — применяется. В Web-серверах объектами доступа выступают всепригодные локаторы ресурсов (URL-Uniform (Universal) Resource Locator). За этими локаторами могут стоять разные сути — html-файлы, CGI-процедуры и т.п. Обычно, субъекты доступа идентифицируются по IP-адресам и/либо именам компов и областей управления. Не считая того, может употребляться парольная аутентификация юзеров либо наиболее сложные схемы, основанные на криптографических разработках.

Аутентификация в открытых сетях.

Виртуальные сети

одной из важных задач является защита потоков корпоративных данных, передаваемых по открытым сетям. Открытые каналы могут быть накрепко защищены только одним способом — криптографическим. Отметим, что так именуемые выделенные полосы не владеют особенными преимуществами перед линиями общего использования в плане информационной сохранности. Выделенные полосы хотя бы отчасти будут размещаться в неконтролируемой зоне, где их могут разрушить либо выполнить к ним несанкционированное подключение. Реальное достоинство — это гарантированная пропускная способность выделенных линий. Представляется естественным возложить на межсетевой экран задачку шифрования и дешифрования корпоративного трафика на пути во внешнюю сеть и из нее. Чтоб такое шифрование/дешифрование сделалось вероятным, обязано произойти изначальное распределение ключей. Современные криптографические технологии дают для этого целый ряд способов.

Простота и однородность архитектуры.

Важным нюансом информационной сохранности является маневренность системы. Более остро неувязка маневренности встает на клиентских рабочих местах и на стыке клиентской и серверной частей информационной системы. Причина ординарна — клиентских мест еще больше, чем серверных, они, обычно, разбросаны по существенно большей площади, их употребляют люди с разной квалификацией и привычками. Сервис и администрирование клиентских рабочих мест — занятие очень сложное, драгоценное и чреватое ошибками. За счет простоты и однородности архитектуры может быть создать стоимость администрирования клиентского рабочего места фактически нулевой. Принципиально и то, что подмена и повторный ввод в эксплуатацию клиентского компа могут быть осуществлены весьма стремительно, если «клиенты без состояния», у их нет ничего, что добивалось бы долгого восстановления либо конфигурирования.

На стыке клиентской и серверной частей находится Web-. Это дозволяет иметь единый механизм регистрации юзеров и наделения их правами доступа с следующим централизованным администрированием. Взаимодействие с бессчетными разнородными сервисами оказывается сокрытым не только лишь от юзеров, да и в значимой степени от системного админа.

СОВРЕМЕННЫЕ системы ЗАЩИТЫ ИНФОРМАЦИИ

Программно-аппаратный комплекс SecretNet.

В качестве средства, позволяющего выстроить систему информационной сохранности организации в гетерогенной сети, разглядим разработку научно-инженерного компании «Информзащита» — систему защиты инфы Secret Net.

Что такое SecretNet?

• защита корпоративных ресурсов компании от доступа к ним сторонних лиц при помощи собственных защитных устройств и интегрированных способностей ОС;

• централизованное управление информационной сохранностью в гетерогенных сетях;

• контроль действий служащих в ИС организации и оперативное реагирование на факты и пробы НСД.

Система Secret Net сертифицирована Гостехкомиссией при Президенте Рф по 3-му классу защищенности для СВТ (Средств вычислительной техники).

Разглядим, как данный продукт преодолевает перечисленные трудности.

Многоплатформенность

Система Secret Net дозволяет сотруднику службы сохранности со собственного АРМ управлять всем диапазоном защитных устройств клиентов Secret Net и встроенными способностями ОС. При всем этом управление происходит в едином стиле независимо от платформы, на которых установлены клиенты. В истинное время Secret Net дозволяет обеспечить защиту рабочих станций и серверов сети, работающих под управлением операционных систем Windows’9x (Windows 95, Windows 98 и их модификаций), Windows NT 4.0, unix. На очереди Windows 2000 и остальные всераспространенные ОС. Журнальчики регистрации и система отчетов не зависят от применяемых клиентами Secret Net операционных систем. админ сохранности имеет возможность получать обобщенные либо детальные отчеты о конфигурации АРМ и серверов сети, настройках защитных устройств, правах доступа юзеров к корпоративным ресурсам и т.д. информация обо всех событиях, имеющих отношение к сохранности информационной системы, поступает в настоящем режиме времени.

Механизм управления и контроля

Продукты технологии VPN.

В качестве примера защиты потоков корпоративных данных, передаваемых по открытым сетям, предлагаем лаконичный обзор товаров и решений VPN.

Достоинства и недочеты

Мысль VPN, непременно, кажется весьма симпатичной — хоть какой Менеджерпо IT-безопасности с наслаждением ввел бы ее на собственном предприятии. Но хотя на рынке VPN и в нашей стране и за рубежом работает огромное количество компаний, повсевременно совершенствующих потребительские свойства собственной продукции, разработка, а поточнее решения VPN, еще не достигнули зрелости, дающей гибкое и действенное решение IT-безопасности.

Трудности, стоящие на пути разрабов, имеют беспристрастный нрав. VPN — разработка новенькая и непростая сама по для себя, кроме этого у всякого корпоративного юзера (а VPN даже по наименованию все-же разработка корпоративных юзеров) свои представления и потребности в области обеспечения сетевой сохранности инфы в сети.

Ограничения в применении

Как демонстрируют опросы, проводимые в Вебе, кроме совсем тривиальных черт защищенности и цены для юзеров VPN важны также производительность и маневренность, комфортность работы с тем либо другим видом VPN-реализации. В нашей стране не последнюю роль играет еще одна черта — так именуемая «легитимность».

Кроме законодательных качеств внедрения VPN — технологий обозначенных выше, есть несколько федеральных законов, принятых за крайние 10 лет, также указы президента, постановления правительства, муниципальные эталоны, руководящие документы Федерального агентства правительственной связи и инфы (ФАПСИ) и бессчетные ведомственные аннотации. Такие главные документы, как закон«О инфы, информатизации и защите инфы» от 20.02.95 и Указ Президента РФ

Кому необходимы системы VPN?

Ворачиваясь к вопросцу о выборе пригодного VPN-решения в свете всех юридических тонкостей, можно сказать последующее. Во-1-х, далековато не все присутствующие на русском рынке продукты VPN имеют сертификаты ФАПСИ, но, с иной стороны, почти все имеют либо, по последней мере, претендуют на получение сертификата Гостехкомиссии, что тоже достаточно ценно. Во вторых, на базе анализа российскей нормативной базы и опыта внедрения систем защиты инфы, всех русских корпоративных потребителей систем информационной сохранности можно поделить на три группы:

• муниципальные компании, работающие с информацией, представляющей муниципальную тайну;

• муниципальные компании, работающие с секретной информацией, не представляющей муниципальную тайну;

•негосударственные компании, работающие с секретной информацией, не представляющей муниципальную тайну.

Продукты и решения

ШИП, МО ПНИЭИ

Показавшийся на русском рынке VPN одним из первых криптографический комплекс «Шифратор IP-потоков» (ШИП), разработки столичного отделения Пензенского научно-исследовательского электротехнического института, рекомендован ФАПСИ в качестве СКЗИ при работе в сетях передачи общего использования. Комплекс содержит в себе, кроме фактически криптошлюзов, средства управления, хранения и передачи главный инфы и средства оперативного мониторинга и регистрации событий сохранности.

Посреди функций этого комплекса можно перечислить последующие: обеспечение конфиденциальности и целостности данных, передаваемых в сетях общего использования, построенных на базе протокола IP; создание защищенных субсетей передачи секретной инфы; объединение локальных сетей в единую защищенную сеть; блокирование доступа к ресурсам защищаемой сети из открытой сети; аутентификацию абонентов сети; централизованное управление защищенной сабсетью.

«Застава», ОАО «Элвис+»

«Застава-офис» не содержит ничего «излишнего» — модуль криптопреобразований, встраиваемый в ОС Solaris либо Windows NT на уровне сетевого драйвера, и средства управления. Пути роста «вниз» — в сторону установки средств контроля и разграничения доступа, средств персональной антивирусной и криптозащиты диска, регистрации критических событий, также «ввысь» — в сторону интеграции с системами PKI хранения и распределения персональной, в том числе ключевой инфы юзеров, допустимы и даже рекомендуемы. А именно, в качестве обычного решения для неопасного доступа маленького кабинета в веб приветствуется интеграция описанного криптошлюза с одноименным межсетевым экраном производства той же компании.

Защита от НСД методом радиоперехвата ПЭМИН

Вопросцы несанкционированного доступа к инфы, обрабатываемой средствами вычислительной техники, методом радиоперехвата побочных электромагнитных излучений и наводок (ПЭМИН), продолжают оставаться животрепещущими, невзирая на широкий набор технических средств противодействия. Это соединено как с возникновением новейших образцов высокочувствительной аппаратуры (селективных радиоприемников, сканеров), которые могут быть применены для радиоперехвата, так и общим подходом к совершенствованию системы доступа к секретной инфы. Маскировка побочных информативных излучений осуществляется методом формирования и излучения в окружающее место широкополосного шумового сигнала, уровень которого превосходит уровень ПЭМИН. Обозначенный метод маскировки ПЭМИН был разработан в 1981 году сотрудниками Института радиотехники и электроники [2] и рекомендован руководящими документами Гостехкомиссии Рф к использованию. В разработанных устройствах в качестве формирователя маскирующего сигнала употребляется автостохастический генератор шума на базе системы 2-ух связанных транзисторных генераторов с доп наружным низкочастотным действием. 1-ый генератор, содержащий нелинейный усилитель, цепь запаздывающей оборотной связи (ЗОС) и инерционную цепь автосмещения, является «ведущим» и обеспечивает формирование почти всех колебаний (мод) на собственных частотах, определяемых задержкой сигнала в цепи ЗОС 2-ой генератор, содержащий нелинейный усилитель и цепь регулируемой оборотной связи, является «ведомым», потому что работает в режиме наружного пуска от первого генератора. Он обогащает диапазон колебаний системы связанных генераторов доп частотными компонентами, другими словами сформировывает вторую «сетку» собственных частот с неэквидистантной, относительно первой, расстановкой гармонических составляющих. Взаимодействие 2-ух генераторов на нелинейностях р/п-переходов применяемых активных частей (транзисторов) обеспечивает процесс формирования хаотических (шумовых) колебаний через поочередный каскад бифуркаций удвоения периода, который в радиофизике определяется понятием динамического хаоса [З].

Добавочно повысить стабильность работы устройства маскировки, сделать лучше статистические свойства шумового маскирующего сигнала дозволяет низкочастотный источник шума. Наружный низкочастотный шум при действии на систему связанных генераторов сузивает полосу синхронизации и приводит к срыву вероятных синхронных колебаний. При всем этом, вместе с доборной модуляцией, в системе имеют пространство, как параметрические процессы, так и синхронизация шумом, другими словами реализуются доп условия для экспоненциального расхождения фазовых траекторий генераторов. Математическим образом такового процесса является «странноватый аттрактор».

Действенная работа устройства радиомаскировки обеспечивается внедрением в качестве излучающей антенны магнитного диполя — электронной рамки (кругового проводника с умеренно распределенным током). Таковая антенна делает довольно равномерное распределение электромагнитного поля по всем фронтам места. По результатам сертификационных испытаний таковой излучатель представляет собой слабонаправленную антенную систему, формирующую электромагнитную волну с поляризацией, близкой к радиальный.

ГШ-1000М выполнен в виде отдельного генераторного модуля с твердой излучающей антенной магнитного типа и питанием от сети 220В (12 В). ГШ-К-ЮООМ представляет собой унифицированную плату, встраиваемую в системный блок компа. генератор работает на внешнюю антенну. ГШ-К-ЮООМ выпускаются в 2-ух модификациях: для слотов PCI либо ISA. Схемные решения и электронные свойства данных устройств радиомаскировки схожи. Технические решения, использованные в устройствах радиомаскировки, защищены патентами на изобретение [4].

В процессе разработки и сертификации устройств радиомаскировки были проведены сопоставления уровней маскирующих сигналов с уровнями ПЭМИН средств отображения инфы, НГМД, НЖМД, клавиатуры, CD-ROM. Результаты сертификационных испытаний подтвердили факт соответствия черт устройств радиомаскировки ГШ-ЮООМ и ГШ-К-ЮООМ требованиям нормативных документов Гостехкомиссии Рф для таковых устройств. Как итог оба устройства сертифицированы в качестве средств защиты инфы для маскировки побочных информационных электромагнитных излучений технических средств индивидуальных компов, компьютерных сетей и комплексов на объектах информатизации первой, 2-ой и третьей категорий.

Программно-аппаратный комплекс «Зарница П» для проведения особых исследований

Программно-аппаратный комплекс «Зарница П» является представителем новейшего поколения ранее обширно зарекомендовавших себя на рынке образцов специальной контрольно-измерительной и защитной аппаратуры, отвечающей крайним нормативным требованиям по защите инфы и рассчитанным на долговременную перспективу. Комплекс сотворен на базе РПУ (радиоприемное устройство) AR 5000. Он дозволяет создавать селективные измерения уровней электронных сигналов (в том числе имеющих импульсный нрав) в рабочем спектре частот от 0,01 МГц до 2,1 ГГц, также производить их анализ и расчет черт побочных электромагнитных излучений (ПЭМИН) средств ТСПИ и ВТ на соответствие требованиям нормативно-методических документов. Принцип деяния комплекса основан на селективном измерении напряжения в выделенной полосе частот, аналогично принципу деяния измерительных приемников.

Главным измерительным ядром комплекса является отдельный блок подготовительной обработки (БПО) сигнала ПЧ 10,7 МГц с выхода РПУ AR 5000. С широкополосного видеодетектора сигнал поступает на пиковый сенсор с программируемым временем скопления. Подобные технические решения и методы обработки сигнала были неоднократно апробированы в наиболее ранешних разработках, проведенных в интересах Минобороны и Минатома. Применяемый пиковый сенсор различает малая неизменная времени заряда и большая неизменная времени разряда. Возможность установки времени скопления в широком временном спектре дозволяет создавать регистрацию и следующую обработку импульсных сигналов от ТСПИ (технических средств обработки и передачи инфы) и ВТ с высочайшей точностью. Необходимо подчеркнуть, что, невзирая на несовершенство схемотехники, тракт высочайшей и промежной частот у РПУ AR 5000 владеет параметрами, позволяющими применять их в составе измерительных комплексов. При всем этом основное свойства тракта определенного РПУ АК 5000. Таковым образом, селективные частотные характеристики комплекса определяются параметрами РПУ, а погрешность измерения уровней входных сигналов обеспечивается трактом БПО в режиме работы программируемого пикового сенсора.

ЛИТЕРАТУРА:

3. Кислой В. Я. Динамический хаос и его внедрение в радиоэлектронике //Радиотехника и электроника, № 10, Т. 38, 1993.

4. Безруков В. А., Иванов В. П., Калашников В. С., Лебедев М. Н. Устройство радиомаскировки.//Положительное решение по заявке на изобретение №2000112294 (012706) от 28 ноября 2000 года, Наша родина, ценность от 15 мая 2000г.

5. В новейший век – с новейшей техникой. «Системы сохранности» №37, февраль-март 2001г., стр. 76.

6. защита инфы в гетерогенных сетях. «Системы сохранности» №38, апрель-май 2001г., стр. 83.

7. Бардаев Э.А., Ловцов Д.А., Борисов А.В. Информационная сохранность в интранет. «Системы сохранности» №38, апрель-май 2001г., стр. 88.

8. Щуров П.Ю. Продукты и решения VPN: взор пользователя. «Технологии и средства связи.» №1 2001 год, стр.92-96.

9. Беззубцев О.А. Начальник Лицензионного и сертификационного центра ФАПСИ.

О сертификации и лицензировании СКЗИ (Средств криптографической защиты инфы). «Технологии и средства связи.» №1 2001 год, стр.97.

10. Игорь Ляпунов. Трудности системной интеграции в области защиты инфы. «Конфидент», №1 январь-февраль 2001г., стр.68-69.

11. Лебедев М.Н., Иванов В.П., Сак В.В. Устройства радиомаскировки информационных излучений СВТ. «Конфидент», №1 январь-февраль 2001г., стр.35-37.

ТЕРМИНЫ

используемые в реферате (для справки)

НСД – несанкционированный доступ.

ФАПСИ – Федеральное агентство правительственной связи и инфы.

СGI – (Common Gateway Interface) общийшлюзовыйинтерфейс.

СВТ – Средства вычислительной техники.

VPN – (VirtualprivateNetwork) – виртуальная личная сеть.

СКЗИ – Средства криптографической защиты инфы.

ПЭМИН – Побочные электромагнитные излучения и наводки.

ЗОС – Запаздывающая оборотная связь.

ГШ – генератор шума.

НГМД – Накопители на гибких магнитных дисках.

НЖМД – Накопители на твердых магнитных дисках.

РПУ – Радиоприемное устройство (особый радиоприемник).

ТСПИ и ВТ – Технические средства передачи инфы и вычислительная техника.

БПО – Блок подготовительной обработки АПК «Зарница П»

]]>

Перейти и растаять в своей любимой социалке

Учебная работа. Реферат: Защита информации в гетерогенных сетях

Учебная работа. Реферат: Защита информации в гетерогенных сетях

Как? Вы еще не читали? Ну это зря...