Разработка комплексной системы защиты информации в организации "Агентство лесного хозяйства республики Марий Эл"

Автономный вариант системы не имеет средств сетевого централизованного управления защитой. Система Secret Net дополняет операционные системы семейства Windows'9x (и MS DOS в режиме эмуляции) следующими возможностями (защитными функциями):

· запрос имени (персонального идентификатора) и пароля пользователя при входе в систему (при загрузке ОС);

· разграничение доступа пользователей к ресурсам компьютера с помощью механизмов избирательного и полномочного управления доступом;

· создание для любого пользователя ограниченной замкнутой среды программного обеспечения;

· автоматическое уничтожение данных на магнитных носителях при удалении файлов;

· возможность объединения пользователей в группы для упрощения управления их доступом к совместно используемым ресурсам (наборам данных и каталогам дисков);

· ведение системного журнала, в котором регистрируются события, имеющие отношение к безопасности системы;

· защита компьютера от проникновения и размножения вирусов; контроль целостности средств защиты, среды выполнения программ и самих прикладных программ;

· гибкие средства администрирования системы защиты с использованием механизма привилегий, позволяющего распределить административные функции между различными пользователями компьютера.

Отличительной особенностью системы Secret Net является возможность гибкого управления набором защитных средств системы. Пользователь, имеющий привилегии администратора безопасности, может активизировать на компьютере различные комбинации защитных механизмов системы, выбирая из них только необходимые и устанавливая соответствующие режимы их работы.

Возможны следующие варианты применения системы Secret Net (автономный вариант):

· для защиты информации, хранимой и обрабатываемой на автономном компьютере, работающем под управлением ОС семейства Windows'9x;

· для защиты локальных ресурсов рабочей станции локальной вычислительной сети, работающей под управлением ОС семейства Windows'9x;

· как комплексное средство защиты локальных ресурсов компьютера или рабочей станции сети, работающей под управлением ОС семейства Windows'9x, используемое совместно с Электронным замком ”Соболь”.

Система защиты информации Secret Net обеспечивает совместную работу с сертифицированными средствами криптографической защиты информации. Стоимость данного продукта Secret Net 4.0 (автономный вариант) 115$;

Система Secret Net (сетевой вариант) предназначена для организации защиты информации в локальных вычислительных сетях, построенных на основе операционных систем Windows NT и Windows'9x. Она позволяет организовать эффективную защиту информации, циркулирующей в автоматизированной информационной системе предприятия.

Система Secret Net не подменяет собой защитные механизмы операционных систем, а дополняет их в части защиты рабочих станций и серверов сети, позволяя тем самым повысить защищенность всей автоматизированной информационной системы (автоматизированной системы обработки информации) в целом. Иначе говоря, система Secret Net является специализированным программно-техническим продуктом, дополняющим операционные системы функциями защиты от несанкционированного доступа (НСД) к различным ресурсам рабочих станций и серверов сети, который позволяет централизованно управлять этой защитой в рамках автоматизированной информационной системы предприятия.

Система защиты Secret Net (сетевой вариант) представляет собой реализацию новой технологии управления информационной безопасностью и позволяет:

· решать различные задачи по обеспечению информационной безопасности (сбор оперативных данных, контроль доступа в помещения и т.д.) в рамках единой системы управления безопасностью организации;

· реально объединить в единую систему различные средства обеспечения безопасности: средства криптографической защиты, средства анализа защищенности и оповещения о сетевых атаках, средства защиты от НСД;

· оперативно получать актуальную информацию о реальном состоянии защищенности информационной системы и оценивать ее соответствие требованиям, существующим в организации;

· значительно упростить управление доступом сотрудников организации к ресурсам информационной системы за счет унификации номенклатуры управляемых объектов и прав доступа.

Дополнительно к стандартным механизмам защиты, реализованным в ОС Windows'9x и Windows NT система Secret Net обеспечивает:

· опознавание (идентификацию) пользователей при помощи специальных аппаратных средств (Touch Memory, Smart Card). Возможна организация криптографической аутентификации пользователя сервером безопасности;

· полномочное (мандатное) управление доступом пользователей к данным. Дополнительно к избирательному (дискреционному) управлению доступом, возможно также разграничение доступа к файлам (на локальных и удаленных дисках) в соответствии со степенью конфиденциальности содержащихся в них сведений и уровнем допуска пользователя;

· возможность подключения и использования средств криптографической защиты данных, передаваемых по сети, и данных, хранимых в файлах на внешних носителях (жесткие и гибкие магнитные диски и т.д.). Обмен данными между всеми или отдельными рабочими станциями сети может осуществляться в криптографически защищенном виде;

· централизованное оперативное управление доступом пользователей к совместно используемым ресурсам, как в одноранговой, так и в доменной сети;

· оперативный контроль работы пользователей сети. Оповещение администратора безопасности о событиях несанкционированного доступа. Централизованный сбор и анализ содержимого журналов регистрации;

· контроль целостности программ, используемых ОС и пользователем.

Стоимость данного продукта: Secret Net 4.0 (для Windows 9x сетевой вариант) 700$.

StrongDisk

StrongDisk имеет 2 варианта системы: автономный однопользовательский вариант и серверный вариант.

Криптографическая система защиты данных StrongDisk Pro (однопользовательский вариант) для Windows 95/98/NT/2000 является комплексным средством для защиты конфиденциальной информации, хранящейся на жёстком диске компьютера или на сменных носителях. Данный продукт используется как на рабочих станциях и домашних компьютерах, так и на ноутбуках. В состав StrongDisk Pro входят также такие утилиты, предназначенные для предотвращения утечки конфиденциальной информации из-за несовершенства операционной системы.

StrongDisk позволяет создавать и использовать в рамках файловой системы Windows защищённые логические диски, содержащие закодированные данные, которые защищены паролем и внешним ключом от НСД. StrongDisk хранит закодированные данные в обыкновенных файлах, которые могут располагаться в любых каталогах на любых логических дисках, доступных Windows.

StrongDisk реализует алгоритмы AES, Blowfish, tripleDES, CAST-128, Safer для преобразования данных. Преобразование данных происходит на лету.

StrongDisk так же включает ряд утилит:

· утилита Burner для затирания произвольных файлов без возможности восстановления, даже используя специальные технические средства;

· утилита для затирания всего свободного места на диске;

· затирание файла подкачки;

· защищенная папка TEMP для хранения временных файлов

Стоимость StrongDisk PRO продукта 110$.

Криптографическая система защиты данных StrongDisk Server (серверный вариант) для Windows NT/2000 является комплексным средством для защиты информации на сервере. Система позволяет создавать защищённые логические диски, которые защищены от НСД паролем и внешним ключом. Защищённый логический диск представляет собой обыкновенный файл, который может располагаться на любом доступном для Windows разделе жёсткого диска. Размер файла-образа ограничен свободным местом на диске и ограничениями размера файла для файловых систем.

Для предоставления пользователю доступа к защищённому диску используются стандартные средства Windows - Sharing. При этом никто не может получить доступ к конфиденциальной информации, пока на сервере не подключён соответствующий защищённый диск.

StrongDisk не имеет подсистем идентификации и аутентификации пользователей, разграничения доступа к ресурсам системы, контроля целостности, поэтому, как средство защиты информации от НСД использоваться не может. Однако, он может использоваться как дополнение к какому-либо средству защиты информации от НСД, например к электронному замку «Соболь» или к программно-аппаратному комплексу «Аккорд».

Стоимость продукта StrongDisk SERVER (на 10 пользователей) 720$.

2.7.2 Средства организации защищенного электронного документооборота

«Верба - О»

Система криптографической защиты информации "Верба-О" разработана Московским отделением Пензенского научно - исследовательского электротехнического института. Представляет собой программный комплекс, предназначенный для защиты информации при ее хранении на дисках и (или) передаче по каналам связи.

СКЗИ "ВЕРБА-О" использует симметричные ключи шифрования (ГОСТ 28147-89) и асимметричные ключи для подписи (ГОСТ Р 34.10-94, ГОСТ Р 34.11-4, ГОСТ 28147-89). СКЗИ "ВЕРБА-О" использует принцип открытого распределения ключей шифрования и электронно-цифровой подписи. Для формирования ключей шифрования и электронно-цифровой подписи используются: автоматизированное рабочее место администратора безопасности АРМ АБ-С и ключевые блокноты типа АРМ АБ-О.

Библиотеки предоставляют возможность формирования и администрирования справочников открытых ключей, шифрования и ЭЦП соответственно и обеспечивают выполнение следующих функций при работе со справочниками:

· добавление и удаление открытого ключа;

· получение атрибутов открытого ключа по идентификатору и наоборот;

· контроль целостности справочника открытых ключей;

· контроль целостности открытого ключа.

Основные функции библиотеки:

· зашифрование/расшифрование файлов/блоков памяти;

· одновременное зашифрование файлов/блоков памяти в адрес множества абонентов;

· получение имитовставки для файла/блока памяти;

· формирование случайного числа заданной длины;

· формирование электронной цифровой подписи файла/блока памяти;

· проверку ЭЦП файла/блока памяти;

· удаление подписи;

· формирование до 255 ЭЦП для одних исходных данных;

· выработка значения хэш-функции файла/блока памяти.

Криптографические библиотеки в первую очередь предназначены для встраивания в прикладное программное обеспечение заказчика. Для этих целей в комплект поставки включается подробное описание функций и рекомендаций по построению защищенных систем. Вместе с тем МО ПНИЭИ и компании-партнеры успешно поставляют на рынок большое количество приложений, использующих СКЗИ "Верба" и "Верба-O". В их число входят: Автономное рабочее место, Криптографический сервер, Абонентские пункты различных модификаций.

В СКЗИ "Верба-О" ключевая система организована по принципу полной матрицы. Это означает, что формируется матрица, которая содержит все секретные ключи связи, и каждый j-ый абонент получает j-ую строку из этой матрицы, и использует i-ый элемент этой строки при зашифровании/расшифровании в качестве секретного ключа связи с i-ым абонентом.

Решаемые задачи:

· шифрование/расшифрование информации на уровне файлов;

· генерации электронной цифровой подписи (ЭЦП);

· проверки ЭЦП;

· обнаружение искажений, вносимых злоумышленниками или вирусами в защищаемую информацию.

Системные требования:

MS DOS v5.0 и выше, Microsoft Windows 95/NT/2000/XP, UNIX (HP UX) IBM PC/AT; ОЗУ не более 155 Кбайт. Накопитель на гибком магнитном диске.

«КриптоПро CSP»

СКЗИ КриптоПро CSP разработан ООО "Крипто-Про" и ГУП НТЦ "Атлас" по техническому заданию, согласованному с ФАПСИ, в соответствии с криптографическим интерфейсом фирмы Microsoft - Cryptographic Service Provider (CSP).

СКЗИ КриптоПРО CSP предназначен для:

· авторизации и обеспечения контроля подлинности электронных документов при обмене ими между пользователями с применением электронной цифровой подписи (ГОСТ Р 34.10-94, ГОСТ Р 34.11-94);

· обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты (ГОСТ 28147-89);

· защиты программного обеспечения от несанкционированного доступа;

· управления ключевыми элементами системы в соответствии с регламентом средств защиты.

Основные характеристики:

Длина ключей шифрования:

· сессионный ключ для шифрования по ГОСТ 28147-89 - 256 бит;

· секретный ключ - 256 бит;

· открытый ключ - 1024 бита.

Длина ключей ЭЦП:

· секретный ключ - 256 бит;

· открытый ключ - 1024 бита

Типы ключевых носителей:

· электронный USB-ключ или смарт-карта eToken;

· дискета 3,5";

· процессорные карты MPCOS-EMV и российские интеллектуальные карты (РИК) с использованием считывателя смарт карт GemPlus GCR-410;

· таблетки Touch-Memory DS1993 - DS1996 с использованием устройств Аккорд 4+, электронный замок "Соболь" или устройство чтения таблеток Touch-Memory DALLAS;

· реестр Windows.

Основные функции, реализуемые КриптоПро CSP:

· генерация секретных (256 бит) и открытых (1024 бита) ключей ЭЦП и шифрования;

· формирование секретных ключей на различные типы носителей;

· возможность генерации ключей с различными параметрами;

· криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма;

· хеширование данных;

· шифрование данных;

· имитозащита данных;

· формирование электронной цифровой подписи;

· опциональное использование пароля (PIN-кода) для дополнительной защиты ключевой информации;

· реализация мер защиты информации пользователя от НСД.

Системные требования:

Microsoft Windows 9x/NT/Me/2000/XP, Internet Explorer 5.0 или выше

Также ООО "КРИПТО-ПРО" предлагает продукты:

· "КриптоПро TLS" - реализация протокола SSL (TLS) для сетевой аутентификации и защиты информации;

· ПАК "КриптоПро УЦ" - средство автоматизации деятельности удостоверяющих центров.

"Криптон-4"/"Криптон-4К/16"

Средства криптографической защиты информации "Криптон-4" и "Криптон-4К/16" работают в составе IBM PC совместимых компьютеров и предназначены для криптографической защиты данных. СКЗД "Криптон" рекомендован для защиты конфиденциальной и секретной информации в государственных и коммерческих структурах. Используемый криптографический алгоритм не накладывает ограничения на степень секретности защищаемой информации. СКЗД "Криптон-4К/16" полностью совместимо с СКЗД "Криптон-4", но имеет повышенные скоростные и надежностные характеристики, а также позволяет хранить ключи на таблетках touch memory.

СКЗД "Криптон" может применяться для организации защиты файлов электронных документов, содержащих информацию, составляющую государственную тайну.

СКЗД "Криптон-4" сертифицирован в ряде АРМ для защиты информации, составляющей гостайну. СКЗД "Криптон-4К/16" сертифицирован в составе СКЗИ CryptonArcMail на соответствие требованиям по безопасности по уровню "С".

В комплект поставки СКЗД входит также программа электронной цифровой подписи CryptonSign. Использование данной программы позволяет организовать систему электронного документооборота.

Реализованные криптографические алгоритмы:

· ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования

· ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования

· ГОСТ Р 34.10-94 Информационная технология. Kриптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма

Алгоритм шифрования реализован аппаратно на основе специализированной БИС "Блюминг-1", а для СКЗД "Криптон-4К/16" - на базе новой СБИС "Блюминг-1К". Аппаратная реализация позволяет гарантировать целостность алгоритма криптографического преобразования. Использование СБИС также позволяет загружать ключи шифрования до загрузки операционной системы в регистры шифропроцессора и хранить их там в процессе обработки файлов без выгрузки в ОЗУ, что гарантирует сохранность ключей от несанкционированного доступа.

СКЗД "Криптон" имеет встроенный аппаратный датчик случайных чисел, что значительно повышает надежность ключей шифрования и электронной подписи. СКЗД "Криптон" имеет интерфейс к адаптеру смарт-карт SA-101 , что позволяет хранить ключи шифрования и электронной подписи на смарт-карте. Кроме того, СКЗД "Криптон-4К/16" имеет интерфейс к коннектору touch memory, что позволяет хранить ключи шифрования на таблетках touch memory.

Дополнительно для СКЗД "Криптон-4К/16" разработана система ограничения доступа к ПК - "Криптон-Замок", которая запрещает загрузку ПК без предъявления идентификатора пользователя.

Базовые возможности:

· тестирование компьютера для настройки устройства (при установке);

· создание и обслуживание ключевых систем пользователя;

· осуществление электронной подписи документов;

· шифрование файлы, группы файлов и диски.

Технические характеристики:

· Размерность ключа - 256 бит - ключ шифрования

· 256 - секретный ключ ЭЦП

· 512 - открытый ключ ЭЦП

· Отклонение распределения значений случайных чисел от равновероятного распределения, не более 0,0005

· Поддерживаемые типы смарт-карт - работающие по протоколу I2C, I2C ext c открытой памятью 2-64 Кбит

· Поддерживаемые типы touch memory - DS 1993 L-F5

· Питание (от компьютера) +5,+12 В

· Потребляемая мощность, не более 2 Вт

· Масса, не более 0,3 кг,

Системные требования:

MS DOS 3.1 и выше, Microsoft Windows 95/NT/2000/XP; разъем шины ISA; пространство в области адресов BIOS компьютера объемом 16 Кбайт; программное прерывание 4Сh; порты ввода/вывода с адресами 338,33A,33C,33E,738,73A (hex) или 350,352,354,356,750,752 (hex).

VIPNet («Домен-К»)

Средства криптографической защиты информации "Домен-К" предназначены для формирования ключей шифрования и ключей электронной цифровой подписи (ГОСТ 34.10-94, ГОСТ 34.10-2001) шифрования и имитозащиты данных (ГОСТ 28147-89), обеспечения целостности и подлинности информации.

СКЗИ "Домен-К" могут использоваться в государственных и коммерческих структурах путем встраивания в прикладное программное обеспечение, обеспечивающее хранение, обработку и обмен конфиденциальной, служебной, коммерческой, персональных данных и другой информацией, не содержащей сведений, составляющих государственную тайну.

Технические характеристики:

· секретный ключ шифрования, секретный ключ ЭЦП и секретных ключей Диффи-Хелмана (секретных ключей для открытого распределения ключей) 256 битов;

· открытый ключ ЭЦП и открытый ключ для протокола Диффи-Хелмана - 1024 бита при использовании ГОСТ 34.10-94 и 512 бит для ГОСТ 34.10-2001.

Системные требования:

Microsoft Windows 95/98/ME/NT/2000/XP, Linux Red Hat 7.2, FreeBSD 4.4, на платформе Intel, и Solaris 8.

Базовой средой для использования СКЗИ "Домен-К" является пакет программ ViPNet.

Технология ViPNet предназначена для создания целостной системы доверительных отношений и безопасного функционирования технических средств и информационных ресурсов корпоративной сети организации, взаимодействующей также и с внешними техническими средствами и информационными ресурсами.

В основе решений ViPNet - пакет программ, являющийся универсальным программным средством для создания виртуальных защищенных сетей (VPN) любой конфигурации, интегрированных с системой распределенных персональных и межсетевых экранов (МЭ).

Пакет программ ViPNet, сертифицированный Гостехкомиссией при Президенте России по классам 1В автоматизированных систем и 3 классу распределенных межсетевых экранов, без каких либо ограничений может быть использован государственными и коммерческими структурами для прозрачной защиты информации любых приложений и служб в локальных и глобальных сетях (включая Интернет).

Возможности:

· собственные защищенные службы реального времени;

· почтовая служба и автопроцессинг с процедурами электронной цифровой подписи;

· возможность встраивания криптографических функций в другие программы;

· специальные технологии подключения локальных сетей и удаленных пользователей к Интернет и другие свойства.

Решаемые задачи:

· построение инфраструктуры электронной цифровой подписи;

· интеграция мобильных и удаленных пользователей в корпоративную VPN;

· объединение нескольких локальных сетей в одну распределенную;

· организация защищенного Web хостинга и защищенного доступа к серверам приложений;

· защита встроенными сетевыми экранами информационных ресурсов клиентов VPN сети (рабочих станций, серверов, баз данных и приложений);

· защита TCP/IP трафика в сети, создаваемого любыми стандартными приложениями и программами работающими в ОС Win 95/98/Me/XP/NT/2000 и Linux, включая программы аудио- и видео-конференцсвязи и всевозможные платформы В2В;

· защищенный автопроцессинг и защита транзакций для платежных систем, документооборота, сети финансовой отчетности.

Технология ViPNet, основанная на использовании средств криптографической защиты информации (СКЗИ) "Домен-К", предоставляет два варианта интерфейса API для встраивания функций электронной цифровой подписи (ЭЦП) во внешние приложения:

· для "тонких" приложений, использующих Web-технологии;

· для "толстых" приложений.

Для встраивания функций ЭЦП в "тонкие" приложения, использующие Web-технологии, можно использовать COM-объект, предоставляющий три функции:

· подписать некоторую строку;

· проверить подпись подписанной строки;

· получить информацию о пользователе, подписавшем строку.

Для "толстых" приложений предпочтительно использовать более гибкий вариант API, позволяющий подписывать не только области памяти, но и файлы.

Формат сертификата открытых ключей подписи соответствует версии 3 международного стандарта X.509 и требованиям федерального Закона об ЭЦП.

Для встраивания функций ЭЦП во внешние приложения необходимо, прежде всего, установить определенное программное обеспечение (ПО) для Центра регистрации, Центра сертификации (Удостоверяющего центра), а также клиентское ПО.

2.7.3 Межсетевые экраны и средства создания частных виртуальных сетей

Межсетевые экраны

Межсетевые экраны бывают персональными и распределенными. Главное отличие персонального межсетевого экрана от распределенного одно - наличие функции централизованного управления. Если персональные межсетевые экраны управляются только с того компьютера, на котором они установлены, и идеально подходят для домашнего применения, то распределенные межсетевые экраны могут управляться централизованно, с единой консоли управления, установленной в главном офисе организации.

Межсетевой экран должен обладать следующими функциями:

1. Не должен быть пассивной программой, которая только и делает, что блокирует входящий на компьютер трафик по заданным критериям, к которым обычно относятся адрес и порт источника. Чтобы защититься необходим инструмент, который позволит проводить более глубокий анализ каждого сетевого пакета, направленного на защищаемый узел. Таким инструментом является система обнаружения атак, которая в трафике, пропущенном через межсетевой экран, обнаруживает следы хакерской деятельности. Она не доверяет слепо таким разрешительным признакам, как адрес и порт источника. Как известно протокол IP, на основе которого построен современный Internet, не имеет серьезных механизмов защиты, что позволяет без труда подменить свой настоящий адрес, тем самым, делая невозможным отслеживание злоумышленника.

2. Защита от опасного содержимого, которое можно получить из Internet. К такому содержимому можно отнести апплеты Java и управляющие элементы ActiveX, код ShockWave и сценарии JavaScript, Jscript и VBScript. С помощью этих, с одной стороны незаменимых и удобных технологий, можно выполнить большое число несанкционированных действий на компьютере. Начиная от внедрения вирусов и установки троянских коней и заканчивая кражей или удалением всей информации. Также персональные межсетевые экраны должны защищать от cookies, которые могут раскрыть конфиденциальную информацию о владельце компьютера.

3. Механизм отслеживания злоумышленника (back tracing), реализованный в некоторых межсетевых экранах.

4. Возможность удаленного обновления программного обеспечения персонального межсетевого экрана. В противном случае администратору приходилось бы самостоятельно посещать каждого из владельцев компьютера и обновлять его защитное ПО.

Обзор межсетевых экранов представленных на рынке России

1. BlackICE Firewall (разработчик компания Internet Security Systems)

BlackICE Firewall отвечает за блокирование сетевого трафика с определенных IP-адресов и TCP/UDP-портов. Предварительное блокирование трафика по определенным критериям позволяет увеличить производительность системы за счет снижения числа "лишних" операций на обработку неразрешенного трафика. Настройка данного компонента может осуществлять как вручную, так и в автоматическом режиме. BlackICE Firewall работает напрямую с сетевой картой, минуя встроенный в операционную систему стек протоколов, что позволяет устранить опасность от использования многих известных уязвимостей, связанных с некорректной реализацией стека в ОС.

2. Symantec Enterprise Firewall (разработчик компания Symantec)

Межсетевой экран Symantec Enterprise Firewall, предназначенный для активной защиты информационных ресурсов предприятия на сетевом и прикладном уровнях, обеспечивает быстрое и безопасное подключение к Интернету. Благодаря строгому, основанному на стандартах подходу он защищает предприятия как от уже известных, так и от новых атак. В рамках единственной в своем роде гибридной архитектуры удалось объединить средства полного анализа трафика приложений модули-посредники (proxies) прикладного уровня, средства анализа состояний и технологию фильтрации пакетов. В результате система по умолчанию обеспечивает защиту от сложных комбинированных угроз и атак типа "отказ в обслуживании" (Denial of Service, DoS). Эта архитектура обеспечивает полный контроль данных, входящих в сеть предприятия и исходящих из нее, и в то же время предоставляет партнерам и клиентам защищенный бесперебойный доступ к корпоративным ресурсам. Кроме того, с помощью интегрированных в программное решение средств VPN, основанных на стандартах, можно устанавливать экономичные высокоскоростные подключения между филиалами, а также между центральным офисом предприятия и мобильными пользователями.

В продукте Symantec Enterprise Firewall предусмотрен современный алгоритм наилучшего совпадения, позволяющий сопоставлять правила доступа и попытки подключения к сети. Это помогает администраторам избежать случайного создания брешей в системе безопасности. В систему защиты также интегрированы средства обеспечения высокой доступности и балансировки нагрузки (High Availability/Load Balancing, HA/LB), что позволяет повысить масштабируемость программного обеспечения и предотвратить простои сети. Предусмотрена и возможность фильтрации веб-ресурсов по URL-адресам.

3. Symantec Enterprise VPN 7.0 (разработчик компания Symantec)

Symantec Enterprise VPN для операционных систем Windows® и Solaris® обеспечивает организациям защиту своих сетей за пределами брандмауера при помощи ProxySecured VPN сканирования на серверах и использования клиентской части программы Symantec Enterprise VPN (известной ранее как RaptorMobile) для создания персональных брандмауэров на рабочих местах. Будучи полностью интегрируемой и совместимой с существующими стандартами гибридной системой “брандмауэр/VPN”, это решение предоставляет возможность безопасного и высокоскоростного выхода в Интернет и позволяет корпоративным пользователем устанавливать надежные экономичные соединения, открывая не только быстрый и надежный доступ к информации для своих мобильных сотрудников, авторизованных партнеров, клиентов и удаленных офисов, но и путь к новым формам бизнеса. Разработанный как для предприятий оснащенных сетями сложнейшей архитектуры, так и для компаний, потребности которых ограничиваются электронной почтой и путешествиями по Интернету, Symantec Enterprise VPN является незаменимой составляющей системы безопасности в сегодняшнем мире электронных коммуникаций. Это единственный VPN-сервер, который использует ProxySecured сканирование всех IPSec-совместимых соединений для мониторинга входящих и исходящих потоков информации. Эта уникальная технология позволяет администраторам осуществлять более эффективный контроль обмена данными благодаря возможности наблюдения за трафиком на уровне (пользовательских) приложений, а не только в масштабах всей сети. А для усиления защиты на рабочих местах и предотвращении атак по сетевым IP-адресам, входящий в этот пакет интегрированный персональный брандмауэр обеспечивает возможность настраиваемой автоматической блокировки портов и другие функции, предназначенные для поддержания способности системы к самоукреплению и защиты всех потенциально уязвимых сетевых узлов. Symantec Enterprise VPN действует независимо от структурных особенностей брандмауэров, что позволяет легко внедрять его в существующие сети, включая и те, где уже установлены другие брандмауэры. Для осуществления более простого управления в клиентской части Symantec Enterprise VPN реализована возможность автоматического одношагового конфигурирования и установки связи, благодаря чему значительно облегчается задача распространения, инсталляции и технической поддержки VPN в случае большого числа пользователей. А средства централизованного удаленного управления дают администраторам возможность создавать и назначать политику доступа при использовании продукта в крупномасштабных и территориально разрозненных сетях.

4. Check Point Firewall-1 (Check Point Software Technologies)

Обеспечивает контроль доступа в сетях Интернет, Интранет, Экстранет, а также удаленного доступа с расширенными функциями авторизации и установления подлинности пользователей. FireWall-1 позволяет транслировать сетевые адреса (NAT) и сканировать потоки данных на наличие недопустимой информации и вирусов. Широкий набор основных и сервисных функций дает возможность реализовать интегрированное решение по обеспечению сетевой и информационной безопасности, полностью отвечающее современным требованиям любых организаций, как крупных, так и небольших.

FireWall-1 позволяет организации создать единую интегрированную политику безопасности, которая распространялась бы на множество межсетевых экранов и управлялась бы с любой выбранной для этого точки сети предприятия. Продукт имеет и массу дополнительных возможностей, таких, как управление списками доступа аппаратных маршрутизаторов, балансировка сетевой нагрузки на серверы, а также элементы для построения систем повышенной надежности, которые также полностью интегрируются в глобальную политику безопасности. Работа Check Point FireWall-1 прозрачна для пользователей и обеспечивает рекордную производительность практически для любого IP протокола и высокоскоростной технологии передачи данных.

5. Z-2 (Инфосистема Джет)

Предназначен для защиты внутреннего информационного пространства корпоративных информационных систем (в том числе территориально-распределенных) при информационном взаимодействии с внешним миром в соответствии с принятой в Компании политикой информационной безопасности. МЭ Z-2 устанавливается на границе между защищаемой сетью Компании и внешними «открытыми» сетями либо между сегментами защищаемой сети (разного уровня конфиденциальности или служащих для решения различных задач и потому требующих изоляции) и осуществляет контроль входящих/исходящих информационных потоков на основе заданных правил управления доступом.

Основные возможности МЭ Z-2 по обеспечению информационной безопасности корпоративной информационной системы включают:

· Контроль входящих/исходящих информационных потоков на нескольких уровнях модели информационного обмена OSI/ISO;

· Идентификацию и аутентификацию пользователей с защитой от прослушивания сетевого трафика;

· Трансляцию сетевых адресов и сокрытие структуры защищаемой сети;

· Обеспечение доступности сетевых сервисов;

· Регистрацию запросов на доступ к ресурсам и результатов их выполнения;

· Обнаружение и реагирование на нарушения политики информационной безопасности

Средства построения виртуальных частных сетей VPN

1. VPN-1 Appliance (CheckPoint Software Technologies совместно с Nokia Inc).

Аппаратный межсетевой экран входящий в семейство VPN-1 для построения VPN. Имеет широкий спектр других возможностей, начиная с разграничения доступа к ресурсам и фильтрации трафика, и заканчивая маршрутизацией IP-протокола (при помощи протоколов RIP, OSPF, DVMRP, IGRP, BGP и VRRP). VPN-1 Appliance включает в себя межсетевой экран Firewall-1. При помощи него можно строить высокоэффективные и надежные защитные системы.

2. Аппаратно-программный комплекс «Континент». (НИП «Информ Защита»)

Предназначен для создания виртуальных частных сетей и обеспечения защиты информации, передаваемой по открытым каналам связи в корпоративных сетях, использующих протоколы семейства TCP/IP. Связь осуществляется за счет организации туннелей между специальными устройствами - криптошлюзами.

АПК «Континент» обеспечивает:

· эффективную защиту передаваемой информации

· полную "прозрачность" для конечных пользователей

· скрытие структуры защищаемых сетей

· защиту информационных систем от атак из внешней среды

· безопасный доступ к ресурсам сетей общего пользования.

3. VipNET

Пакет программ "Виртуальная защищенная сеть ViPNet" предоставляет возможность создания полностью защищенной от внешнего влияния и постороннего доступа информационной сети, которая через любые каналы связи, поддерживающие IP-протокол (телефонные с использованием служб удаленного доступа, выделенные, Интернет, локальные сети и др.) позволяет объединить все отделения, филиалы, отделы и конкретных лиц Вашей организации, Ваших партнеров в единую частную защищенную сеть. Сеть не требует специального оборудования, рассчитана на обычные IBM-совместимые компьютеры, любые локальные IP-сети, любые телефонные модемы или факс-модемы, любые выделенные или коммутируемые каналы. Программное обеспечение сети функционирует в операционной среде WINDOWS 98SE/ME/NT/2000/XP/Server 2003.

Пакет программ ViPNet предназначен для подготовки, передачи, хранения и обработки конфиденциальной информации, а в применении к IP-сетям является универсальным программным средством для создания виртуальных частных сетей (Virtual Private Network - VPN) любых конфигураций.

В пакете реализован комплекс программно-технических и организационных решений по защите информации и самой системы от несанкционированного доступа.

2.8 Обзор технических средств и систем безопасности

Современные системы физической защиты в корне изменили тактику охраны объектов. В таких системах нет необходимости в организации постовой службы на периметре объекта; вместо этого создаются дежурные тревожные группы, которые начинают немедленные действия по нейтрализации нарушителей после получения сигнала тревоги на центральном пульте управления системой физической защиты. В них сведено до минимума влияние человеческого фактора и достигается высокая эффективность защиты объекта при минимальном количестве личного состава сил охраны.

"Система физической защиты" представляет собой совокупность правовых норм, организационных мер и инженерно-технических решений, направленных на защиту жизненно-важных интересов и ресурсов предприятия (объекта) от угроз, источниками которых являются злоумышленные (несанкционированные) физические воздействия физических лиц - нарушителей (террористов, преступников, экстремистов и др.).

В этом едином комплексе задействованы люди (служба безопасности, силы охраны), и техника - комплекс инженерно-технических средств охраны или комплекс инженерно-технических средств физической защиты. От их четкого взаимодействия зависит эффективность системы физической защиты.

Современные системы физической защиты строятся на базе широкого применения инженерно-технических и программных средств и содержат следующие основные составные части (подсистемы):

· система контроля и управления доступом персонала;

· система охранной сигнализации;

· система телевизионного наблюдения;

· пожарная сигнализация и противопожарная автоматика.

При создании современных систем физической защиты, как правило, ставится также и задача защиты жизненно важных центров и систем объекта от непреднамеренных, ошибочных или некомпетентных действий персонала, которые по характеру возможного ущерба приближаются к НСД внешних нарушителей.

Дальнейшим развитием в обеспечении безопасности объектов на современном этапе является создание комплексных (интегрированных) систем безопасности и управления системами жизнеобеспечения объектов. По современной терминологии такие системы называют "Автоматизированные системы управления зданиями" или "Автоматизированные системы управления для "интеллектуальных зданий".

2.8.1 Пожарная сигнализация и противопожарная автоматика

Технические средства пожарной сигнализации состоят из следующих основных устройств: пожарных извещателей, пожарных приемно-контрольных приборов, пожарных приборов управления и пожарных оповещателей. Они объединяются в системы пожарной сигнализации и автоматического пожаротушения.

Пожарные извещатели служат для первичного обнаружения физических факторов, сопутствующих пожару, таких как тепло, дым, открытое пламя, и передачи тревожных извещений по шлейфам пожарной сигнализации на приемно-контрольные приборы или пульты пожарной сигнализации.

По способу обнаружения пожара извещатели делятся на тепловые, дымовые, извещатели пламени и ручные.

Тепловые извещатели недостаточно эффективны для раннего обнаружения пожара. Их применение оправдано только для тех объектов, где вероятность повышения температуры более высока, чем появление дыма или открытого пламени, а также там, где условия эксплуатации не позволяют применить извещатели другого типа.

Из последних отечественных моделей можно отметить тепловые пожарные извещатели ИП103-5 и ИП103-7. Эти извешатели выпускаются в нескольких модификациях, которые различаются как по конструкции, так и по температуре срабатывания.

Дымовые извещатели позволяют обнаружить пожар на ранней стадии развития. Это их главное преимущество перед тепловыми извещателями. Поэтому дымовые извещатели сейчас наиболее перспективны для применения на всех видах объектов.

Дымовые извещатели по зоне обнаружения делятся на точечные и линейные. Точечные извещатели имеют чувствительную зону внутри измерительной камеры извещателя. Принцип обнаружения основан на отражении оптического излучения от частиц дыма, попадающих в эту зону.

Линейные дымовые извещатели в качестве чувствительной зоны используют, как правило, луч света длиной до 100 м, который пересекает защищаемое помещение. Обнаружение пожара происходит при ослаблении оптического излучения дымом.

Отечественные предприятия выпускают следующие модели дымовых пожарных извещателей: ИП212-26, ИП212-5, ИП212-41, ИП212-43, ИП212-44, ИП212-34, ИП212-3, ИП212-4. Линейные дымовые пожарные извещатели применяются достаточно редко. В России серийно выпускается только одна модель - линейный дымовой оптико-электронный извещатель ИДПЛ.

Извещатели пламени реагируют на инфракрасное или ультрафиолетовое излучение открытого пожара. Область их применения достаточно ограничена. В основном это производственные объекты, места хранения ЛВЖ, бензоколонки и т.д. В качестве примера можно привести пожарный ультрафиолетовый извещатель пламени ИП329-2 "Аметист.

Особенностью ручных извещателей является то, что в действие их приводит человек, обнаруживший пожар. Этот тип извещателей применяется в местах постоянного присутствия людей, на лестничных пролетах, на путях эвакуации и т.д. Несмотря на достаточно широкую область применения, на рынке представлены в основном модели ИПР-ЗСУ, ИПРА и ИПР.

Приборы приемно-контрольные пожарные предназначены для приема тревожных извещений от пожарных извещателей, контроля пожарных шлейфов на обрыв и короткое замыкание, формирования тревожных извещений "Пожар" и "Неисправность", обеспечения оповещения о пожаре, а также для передачи этих извещений на пульт централизованного наблюдения, формирования сигналов включения систем противопожарной автоматики (пожаротушения, дымоудаления и др.).

Пожарные панели импортного производства ведущих фирм (Cerberus AG, Hochiki Corporation, System Sensor, Detection System, Effeff, Esser и др.) отличаются высоким качеством, множеством дополнительных функций и значительно более высокой ценой по сравнению с отечественными изделиями.

Серию современных специализированных для пожарной сигнализации приборов производит АО "Аргус-Спектр", г. Санкт-Петербург. Это приборы "Радуга", "Радуга-2А" и "Радуга-3". Приборы выполнены на новейшей электронной базе по технологии поверхностного монтажа.

"Радуга" предназначен для оснащения небольших объектов, таких как школы, детские сады, небольшие магазины и т.д. Прибор имеет 5 радиальных шлейфов сигнализации, в которые могут включаться различные типы пожарных извещателей. Выходы прибора позволяют управлять средствами оповещения и простой пожарной автоматикой, передавать сигналы на пульт централизованного наблюдения.

"Радуга-2А" предназначен для организации автономной или централизованной пожарной сигнализации как на небольших (до 10 - 20 помещений), так и на достаточно крупных (50 - 100 и более помещений) объектах. Прибор обеспечивает прием адресных извещений по 64 охраняемым зонам (помещениям) от автоматических и ручных пожарных извещателей, выдачу сигналов на пульт централизованного наблюдения и формирование групповых и адресных команд для устройств оповещения и пожарной автоматики (пожаротушение, дымоудаление и т.п.).

"Радуга-3" - является дальнейшим шагом в совершенствовании систем пожарной сигнализации и представляет собой аналогово-адресную систему. Две кольцевые сигнальные адресные линии позволяют обслуживать до 192 адресных устройств.

Пожарные оповещатели предназначены для оповещения о пожаре с помощью различных звуковых и световых сигналов. Для звуковой сигнализации применяются звуковые сирены различных типов. Для световой сигнализации применяются различные световые оповещатели, выполненные на основе ламп накаливания, светодиодов и импульсных газоразрядных источников света. Здесь можно отметить звуковые оповещатели "Свирель" и световые оповещатели "Маяк". Эти изделия отличаются тем, что работают от напряжения 12 и 24 В, экономичны, имеют малые габариты, хороший дизайн и высокие функциональные показатели.

Каждый прибор приемно-контрольный пожарный, о которых было сказано выше, имеет, как правило, выходы для управления средствами противопожарной автоматики и может использоваться для управления средствами пожаротушения. Однако для эффективного управления системами автоматического пожаротушения применяются специальные устройства - приборы пожарные управления. Эти приборы имеют мощные выходные цепи для управления исполнительными элементами установок пожаротушения, дополнительные выходы для управления системами дымоудалення. отключения вентиляции.

2.8.2 Системы охранной сигнализации

Системы охранной сигнализации своевременно оповестят Вас о несанкционированном проникновении на охраняемую территорию и сообщат об аварийных ситуациях. Кроме того, при проникновении внутрь вашего жилища или офиса система может сообщить вам о тревоге телефонным звонком на указанный заранее номер. Для съёма информации служат датчики (инфракрасные и радиоволновые датчики движения, магнитные датчики открытия дверей и окон, акустические датчики разбития стекла, датчики удара и т.д.), а базовым блоком - контрольные панели, на которые сводится вся информация от датчиков.

Правильно составленная спецификация на современном комбинированном оборудовании поможет предусмотреть все тревожные ситуации охраняемого объекта, и обезопасит Ваше имущество и персонал. Система с помощью специальных датчиков может отследить протечку воды и утечку газа, и по заранее введённой программе отдать команду исполнительным устройствам комплексной системы управления и охраны на выполнение того или иного действия (перекрыть кран, включить сирену и т.п.). Системы периметральной сигнализации берут под охрану не только помещение, но и прилегающую территорию по периметру.

Система охранной сигнализации - это совокупность совместно действующих технических средств для обнаружения нарушителя на охраняемых объектах, передачи, сбора, обработки и представления информации в заданном виде.

Основные компоненты систем охранной сигнализации:

· извещатели охранные;

· приборы приемно-контрольные охранные;

· системы передачи извещений, пульты централизованного наблюдения.

Извещатели предназначены для первичного обнаружения физических факторов проникновения нарушителя на объект. По способу обнаружения извещатели делятся на электроконтактные (магнитоконтактные), инфракрасные пассивные и активные, радиоволновые, ультразвуковые, звуковые разбития стекла, вибрационные.

"Аргус-Спектр" является ведущим производителем в России радиоволновых извещателей типа "Аргус-2", "Аргус-3", "Волна-5", комбинированных извещателей "Сокол-2", "Сокол-3". совмещенных "Сова-2", "Сова-3", извещателя разбития стекла "Арфа", ультразвукового извещателя "Эхо-А". По своим параметрам и дизайну эти изделия не уступают зарубежным аналогам и даже превосходят их в условиях российской специфики.

"Риэлта" производит серию инфракрасных пассивных извещателей под торговой маркой "Фотон". Извещатели разбития стекла "Стекло-2", "Стекло-2-1", "Стекло-3", вибрационные извещатели "Шорох-1", "Шорох-1-1", ультразвуковой объемный извещатель "Витрина".

Среди других предприятий, производящих извещатели, можно отметить МЗЭП, г. Москва (оптико-электронный линейный извещатель "Вектор-2", радиоволновой извещатель "Тюльпан-3"), РЗМКП, г. Рязань (магнитоконтактные извещатели), "Юмирс", г. Пенза (радиоволновые извещатели для охраны периметров "Радий-2"), СПЭК, г. С.-Петербург (оптико-электронные линейные извещатели для периметров "Вектор-СПЭК" и "СПЭК-7").

Приборы приемно-контрольные охранные являются одним из основных звеньев в системах охранной сигнализации. Основное назначение -прием информации от охранных извещателей и передача извещений на пульт централизованного наблюдения.

Основные требования и параметры определены в стандарте ГОСТ 26342, в котором также приводится классификация приборов приемно-контрольных по ряду параметров, наиболее важным из которых можно считать информационную емкость (количество охраняемых зон - шлейфов сигнализации):

· малой информационной емкости - до 5 шлейфов сигнализации;

· средней информационной емкости - от 6 до 50 шлейфов сигнализации;

· большой информационной емкости - свыше 50 шлейфов сигнализации.

По принципу приема сигналов от извещателей приборы приемно-контрольные, так же как и пожарные приборы, можно разделить на приборы с радиальными шлейфами и адресные.

АООТ "Радий" выпускает популярные приборы серии "Сигнал": одношлейфный "Сигнал-ВКП". 4-х шлейфные "Сигнал-ВК-4П". 4-х шлейфный со встроенным аккумулятором "Сигнал-ВК-4-05", 20-ти шлейфный "Снгнал-20".

Среди приборов большой информационной емкости можно отметить изделия "Дозор" ("Иста"). "Рубеж-07-3" (НПФ "Сигма-ИС"). Хотя эти приборы и классифицированы по своему названию как приборы приемно-контрольные, но по своим возможностям, структуре и характеристикам представляют собой основу для построения интегрированных систем.

Основное назначение систем передачи извещений - организация централизованной охраны объектов, распределенных на какой-либо территории. По виду каналов связи, которые наиболее часто используются для передачи информации, системы передачи извещений можно разбить на следующие группы:

· системы с переключением на период охраны линий городской телефонной сети;

· системы, передающие извещения с помощью высокочастотного уплотнения телефонных каналов по занятым на период охраны линиям городской телефонной сети;

· информаторные системы, использующие коммутируемые линии связи городской телефонной сети;

· системы, использующие радиоканал для передачи данных от объекта на пульт централизованного наблюдения.

Наибольшее распространение получили системы передачи извещений первого типа, как обеспечивающие меньшую стоимость охраны одного объекта. В настоящее время выпускаются системы «Фобос», «Фобос-А» (разработка и поставка НИЦ «Охрана»). Однако эти системы имеют определенный недостаток - телефонная связь с объектом на период охраны отключена.

Системы передачи извещений второго тип позволяют не отключать телефонную связь на период охраны, и поэтому в настоящее время этот тип систем считается более перспективным. Это системы «Фобос-ТР» (ЗАО «ЭП ЦНИТИ»), «Фобос-3» (АООТ «Радий»), «Ахтуба» (АО «Ахтуба-плюс»), «Атлас-20» (АО «Аргус-Спектр»), «Юпитер» (ТОО «Элеста»).

Информаторные системы передают извещение на пульт по телефонному каналу в режиме автодозвона. В России информаторные системы не получили широкого распространения в связи с тем, что существующее качество телефонной связи не обеспечивают необходимой надежности и скорости доставки тревожных сообщений.

Широкое применение радиосистем сдерживается в основном высокой стоимостью аппаратуры, необходимостью получения разрешения на радиочастоты, а также факторами, связанными с особенностями использования радиоканала ( влияние помех, условий прохождения радиосигналов, открытости радиоканала и т.д.). Однако необходимость охраны нетелефонизированных объектов приводит к перспективности внедрения радиосистем. В настоящее время из отечественных радиосистем широко применяются: «Струна-3, ЗМ»; «Струна-5»; «Иртыш-3Р».

Пульт централизованного наблюдения является составной частью систем передачи извещений и предназначен для индикации тревожных извещений, поступающих с охраняемых объектов и отображения информации о состоянии объектов.

Таким образом, современные системы передачи извещений представляют собой аппаратно-программный комплекс, обеспечивающий прием и обработку информации от систем различных типов и разных производителей.

Комплекс средств автоматизации деятельности оперативного персонала пункта централизованной охраны разработан и поставляется НИЦ "Охрана". Комплекс предназначен для автоматизации деятельности оперативного персонала при работе с различными системами передачи извещений ("Фобос", "Фобос-А", "Фобос-ТР", "Фобос-3", "Центр-КМ", "Нева-ЮМ", "Виста-501", РСПИ "Струна-3") и обеспечивает автоматизацию процесса анализа тревожных и аварийных ситуаций, ведения информационной, графической и звуковой баз данных.

Аппаратно-программный комплекс ПРИТОК-А (ООО "Охранное бюро "Сократ") предназначен для автоматизации деятельности ПЦО. В состав системы может входить от 1 до 10 автоматизированных рабочих мест, объединенных в локальную одноранговую сеть, и контроллеры для обеспечения работы комплекса с системами передачи извещений "Фобос", "Нева-10", "Нева-ЮМ", "Центр-КМ", "Центр-М", "Комета-К", "Юпитер", "Атлас-2М", "Струна 3, ЗМ" и др.