Обеспечение безопасной передачи персональных данных между Информационно-выплатным центром и отделениями связи УФПС Республики Марий Эл

Средства построения виртуальных частных сетей:

1). ViPNet Custom 3.0

Производитель: ОАО Инфотекс

Сертификаты:

· Сертификат ФСТЭК №1549 от 17 января 2008 г. на программный комплекс «ViPNet CUSTOM 3.0» - на соответствие оценочному уровню доверия ОУД 4+, требованиям к межсетевым экранам по 3 классу защищенности, 3 уровню контроля НДВ и возможность использования для создания автоматизированных систем до класса 1В включительно.

· Сертификат соответствия ФСБ России №СФ/114-1150 от 31 марта 2008 года на средство криптографической защиты информации (СКЗИ) «Домен-КС2/КМ» на соответствие требованиям ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001 и требованиям ФСБ России к СКЗИ класса КС1-КС3 для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.

Характеристика:

ViPNet CUSTOM - комплекс программного и программно-аппаратного обеспечения, разрабатываемого и поставляемого компанией Инфотекс для рынка средств защиты конфиденциальной информации.

· ориентирован на организацию защищенного взаимодействия клиент-клиент;

· динамическая или статическая трансляция адресов;

· раздельная фильтрация открытого и шифруемого трафиков;

· каждый компонент ViPNet CUSTOM содержит встроенный сетевой экран и систему контроля сетевой активности приложений;

· развитая система виртуальных адресов, сокрытие реальной структуры сети;

· поддерживает возможность межсетевого взаимодействия посредством защищенных каналов связи между произвольным числом защищенных сетей ViPNet CUSTOM;

· защищенный обмен информацией: встроенные службы мгновенного обмена сообщениями (чат и конференция), файлами, собственная защищенная почтовая служба с элементами автоматизации обмена письмами и поддержкой механизмов ЭЦП.

· является самодостаточным программным комплексом;

· не требует приобретения специализированного оборудования.

Состав:

1) ViPNet Administrator:

· ViPNet NCC (Центр Управления Сетью, ЦУС) - конфигурирование и управления виртуальной защищенной сетью ViPNet;

· ViPNet KC & CA (Удостоверяющий и Ключевой Центр, УКЦ) - центр выработки ключей шифрования и персональных ключей пользователей, а также Удостоверяющий Центр для организации PKI;

· ViPNet Registration Point (Пункт Регистрации) - пункта регистрации пользователей защищенной сети;

· ViPNet Publication Service (Сервис Публикации) - публикация различных списков сертификатов ЭЦП в стандартных хранилищах сертификатов.

2) ViPNet Coordinator (программный, аппаратный) - универсальный сервер защищенной сети ViPNet.

3) ViPNet Client:

· ViPNet Monitor (Монитор) - персональный сетевой экран, шифратор TCP/IP трафика, чат-клиент, клиента службы обмена файлами;

· ViPNet Application Control (Контроль приложений);

· ViPNet Business Mail (Деловая Почта) - почтовый клиент защищенной почтовой службы, функционирующей в рамках защищенной сети;

· Криптопровайдер (CSP).

Примерная стоимость комплекса:

Установка данного комплекса имеет смысл в следующем виде:

· Необходим ViPNet Administrator на сервере для поднятия VPN.

· Необходим Координатор, как сервер защищенной сети. Имеет смысл ставить его на сервер ЛВС. Для сокращения конечной стоимости комплекса стоит приобретать аппаратный ViPNet Coordinator HW1000.

· На каждую машину, участвующую в обмене данными, ставим ViPNet Client.

Таблица 3.1. Стоимость комплекса ViPNet Custom

Достоинства:

· реализация VPN;

· наличие системы управления трафиком;

· шифрование информации;

· реализация функций МЭ;

· контроль сетевой активности и приложений;

· поддержка Удостоверяющего центра;

· поддержка средств коммуникации пользователей;

· однозначная идентификация и аутентификация пользователей;

· наличие системы защищенного документооборота, ЭЦП;

· самодостаточность;

· не требует дополнительного оборудования.

2). Продуктная линия CSP VPN

Полный комплект средств сетевой защиты CSP VPN обеспечивает:

· защиту индивидуальных пользователей;

· защиту серверов;

· защиту отдельных сетей;

· защиту специализированных устройств.

Продуктная линия CSP VPN включает программные средства:

· CSP VPN Client. Программный комплекс для защиты индивидуальных пользователей.

· CSP VPN Server. Программный комплекс для сетевой защиты серверов.

Линия шлюзов безопасности CSP VPN сетевого уровня масштабирована по шкале скоростей каналов передачи информации:

· CSP VPN Gate 100B. Программно-аппаратный комплекс - шлюз безопасности, ориентированный на защиту специализированных устройств.

· CSP VPN Gate 100 (100V). Программно-аппаратный комплекс - шлюз безопасности, ориентированный на защиту малых офисов до 10 компьютеров (до 200 компьютеров) и для каналов с пропускной способностью до 2 Мбит/c.

· CSP VPN Gate 1000 (1000V). Программно-аппаратный комплекс - шлюз безопасности, ориентированный на защиту малых офисов до 50 компьютеров (до 500 компьютеров) и для каналов с пропускной способностью до 10 Мбит/c.

· CSP VPN Gate 3000. Программно-аппаратный комплекс - шлюз безопасности, ориентированный на защиту средних офисов (до 250 компьютеров) и для каналов с пропускной способностью не менее 200 Мбит/c, 300 Мбит/c, 400 Мбит/c.

Централизованное удаленное обновление продуктов:

· С-Терра КП. Программный продукт для централизованного управления продуктами линейки CSP VPN Client/ CSP VPN Server/ CSP VPN Gate/NME-RVPN (МСМ)/СПДС «ПОСТ» версий 3.1, 3.11 и 4.0.

Сертификаты ФСБ РФ и ФСТЭК РФ позволяют использовать CSP VPN Client, CSP VPN Server и CSP VPN Gate:

· как средство криптографической защиты класса КС1/КС2 информации (СКЗИ), не содержащей сведений, составляющих государственную тайну;

· как средство защиты информации (СЗИ) от несанкционированного доступа (НСД) с оценочным уровнем доверия ОУД 3+ (усиленный);

· как межсетевой экран 3 класса;

· продукты имеют 3 уровень контроля на отсутствие недекларированных возможностей (НДВ).

Программный комплекс CSP VPN Server обеспечивает защиту и пакетную фильтрацию трафика сетевых узлов, на которых он установлен. Линейка CSP VPN является частью решения по безопасности Cisco, адаптированного к российским стандартам информационной безопасности, и предназначена для использования в рамках идеологии Cisco SDN.

Программный комплекс «Клиент безопасности CSP VPN Client» обеспечивает защиту и пакетную фильтрацию трафика сетевых узлов, на которые он установлен. Линейка CSP VPN является частью решения по безопасности Cisco, адаптированного к российским стандартам информационной безопасности, и предназначена для использования в рамках идеологии Cisco SDN.

Продукт CSP VPN Gate 3000 представляет собой программный комплекс - шлюз безопасности, функционирующий на аппаратной платформе под управлением операционных систем Red Hat Enterprise Linux 5, CentOS 5, Sun Solaris 10 x86.

Предназначается для обеспечения сетевой безопасности средних офисов - одновременно может устанавливаться до 1000 туннелей.

Аппаратно-программный комплекс CSP VPN Gate 3000 обеспечивает защиту и пакетную фильтрацию как трафика подсетей, проходящего через него, так и защиту трафика самого шлюза безопасности. Линейка CSP VPN является частью решения по безопасности Cisco, адаптированного к российским стандартам информационной безопасности, и предназначена для использования в рамках идеологии Cisco SDN.

Таблица 3.2. Стоимость комплекса CSP VPN

Достоинства: имеет сертификат соответствия требованиям ФСБ России к СКЗИ класса КС2.

Недостатки:

· использование совместно с продуктами Cisco;

· достаточно высокая стоимость комплекса;

· отсутствие сертификата соответствия программного комплекса «Клиент безопасности CSP VPN Client» для ОС Windows 7;

3). Программный комплекс ЗАСТАВА 5.3

Компания: Элвис+.

Программный комплекс ЗАСТАВА 5.3 обеспечивает защиту корпоративных информационно-вычислительных ресурсов на сетевом уровне с помощью технологий виртуальных частных сетей (Virtual Private Networks - VPN) и распределенного межсетевого экранирования (МЭ).

Семейство ЗАСТАВА 5.3 состоит из исполнительных агентов трех типов - ЗАСТАВА-Клиент, Сервер и Офис, устанавливаемых на персональные компьютеры, серверы и шлюзы защищаемой сети, а также продукта ЗАСТАВА-Управление, обеспечивающего централизованное администрирование, контроль состояния и оперативное управление политикой сетевой безопасности.

Решения на базе продуктов ЗАСТАВА 5.3 характеризуются:

· поддержкой полного набора сценариев VPN-топологий и межсетевого экранирования, в том числе - в условиях применения трансляции сетевых адресов (NAT);

· реализацией технологии распределенного МЭ с поддержкой протокольных автоматов на - всех типах агентов, включая ЗАСТАВА-Клиент, что позволяет обеспечить принципиально более высокий уровень защищенности персональных компьютеров пользователей как внутри периметра КИС, так и за ее пределами;

· централизованным управлением политикой сетевой безопасности защищаемой КИС - топологией VPN туннелей и конфигурациями МЭ - в режиме реального времени;

· возможностью задания интегральной политики сетевой защиты всей КИС как единого целого на уровне бизнес-объектов и ролей, что позволяет наиболее удобным и наименее трудоемким для администраторов безопасности способом отображать общую логику защищенного взаимодействия пользователей и информационных ресурсов КИС;

· автоматически обеспечиваемой координированностью VPN и МЭ конфигураций всех управляемых агентов сетевой безопасности, что значительно снижает риски несанкционированного доступа либо - наоборот недоступности сервисов КИС, возникающие из-за ошибок и несогласованностей при раздельном конфигурировании;

· централизованным оперативным мониторингом состояния и событийных журналов управляемых агентов сетевой безопасности;

· «прозрачностью» для конечных пользователей, которые не вовлечены в процедуры инсталляции, обновления и администрирования продукта ЗАСТАВА-Клиент;

· «прозрачностью» для прикладной и системной инфраструктуры - для использования продуктов не требуется встраивание VPN в программное обеспечение и изменение работы приложений или сервисов операционных систем;

В семействе продуктов ЗАСТАВА используются внешние сертифицированные криптомодули производства ведущих российских компаний, подключаемые через открытый программный интерфейс: Крипто-КОМ 3.1 компании Сигнал-КОМ, КриптоПро CSP 2.0 и КриптоПро CSP 3.0 компании Крипто-Про, Верба компании «МО ПНИЭИ», реализующие отечественные стандарты ГОСТ Р 34.11-94, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ 28147-89.

В качестве инфраструктуры открытых ключей продукты ЗАСТАВА могут использовать PKI - платформы RSA Keon, SunONE, Microsoft CS, Baltimore UNICERT, Entrust/PKI, КриптоПро, Верба.

Сертификаты:

VPN ЗАСТАВА 5.3 имеет сертификат ФСТЭК России №1586 по 3 уровню контроля НДВ, 3 класс защищенности СВТ.

Примерная стоимость комплекса:

- Ставить ПО Застава-Офис имеет смысл на сервере ЛВС - точке доступа подсети организации к каналу связи - Интернет.

- Для организации централизованного управления применяется продукт Trusted Policy Navigator (TPN)

Таблица 3.3. Стоимость комплекса Застава

Достоинства:

- реализация VPN;

- наличие системы управления трафиком;

- шифрование информации;

- реализация функций МЭ;

- контроль сетевой активности и приложений;

- однозначная идентификация и аутентификация пользователей;

- самодостаточность;

- наличие системы IDS/IDP;

- интеграция с любым криптопровайдером;

- имеет сертификат соответствия требованиям ФСБ России к СКЗИ класса КС2.

Недостатки:

- использование совместно с продуктами Cisco PIX Firewall;

- высокая стоимость внедрения;

4). Аппаратно-программный комплекс шифрования (АПКШ) «Континент»

Компания-разработчик: Информзащита.

Основные функциональные особенности АПКШ Континент:

1) Криптографическая защита трафика - обеспечение шифрования каналов связи со скоростью более 800 Мбит/с.

2) Межсетевое экранирование - фильтрация принимаемых и передаваемых пакетов осуществляется в простом режиме пакетной фильтрации или с использованием информации о состоянии соединения (Stateful Incpection).

4) Поддержка VLАN - гарантирует простое встраивание комплекса в сетевую инфраструктуру, разбитую на виртуальные сегменты.

5) Резервирование гарантированной полосы пропускания за указанными сервисами - позволяет гарантировать прохождение трафика электронной почты, систем документооборота и других важных приложений даже при активном использовании IР-телефонии на низкоскоростных каналах связи.

6) Работа через АDSL и Dial-Up - АПКШ Континент можно использовать для обеспечения связи с сегментами корпоративной сети, работающими по Dial-Up соединению, либо с использованием оборудования ADSL, подключенным непосредственно к криптошлюзу.

7) Работа с высокоприоритетным трафиком - реализованный в АПКШ Континент механизм приоритезации трафика позволяет осуществлять защиту голосового (VоIР) трафика и видеоконференций без потери качества связи.

9) Взаимодействие с системами управления сетью - позволяет контролировать состояние АПКШ Континент по протоколу SNMРv2 из систем глобального управления сетью (Hеwlatt-Рaсkard, Сisсо и др.)

Компоненты АПКШ Континент:

· Криптошлюз «Континент» - устройство, устанавливаемое на границе сети центрального офиса или филиала. Сочетает функции межсетевого экрана, криптографического модуля и маршрутизатора.

· Центр управления сетью «Континент» (ЦУС) - программное обеспечение для централизованного управления и мониторинга всех компонентов АПКШ Континент. Устанавливается на Криптошлюз «Континент», расположенный в центральном офисе. ЦУС обеспечивает дистанционное управление ключевой информацией и собирает журналы регистрации событий компонентов комплекса.

· Программа управления сетью «Континент» (ПУ) - удобный графический инструмент для администрирования комплекса. ПУ устанавливается на один или несколько компьютеров в защищаемых сегментах сети. ПУ обеспечивает изменение настроек, оперативное отображение состояния всех криптошлюзов, анализ системных журналов и т.п.

· Абонентский пункт «Континент АП» - программное обеспечение для организации удаленного доступа к ресурсам защищаемых сегментов сети с отдельных компьютеров, в т.ч. мобильных.

· Сервер доступа «Континент» (СД) - программное обеспечение, устанавливаемое на криптошлюзы защищаемых сетей, к которым подключаются пользователи «Континент-АП». Обеспечивает идентификацию и аутентификацию удаленных пользователей, определяет правила их доступа к защищаемым ресурсам.

Сертификаты:

Сертификаты соответствия ФСБ СФ/124-0907, СФ/124-0906 и СФ/114-0905 удостоверяют, что АПКШ «Континент» и СКЗИ «Континент - АП» могут быть использованы для криптографической защиты конфиденциальной информации до КВ1.

Сертификат Гостехкомиссии России №808 от 14.11.2003 года подтверждает соответствие АПКШ «Континент» требованиям руководящих документов Гостехкомиссии России по 4-му классу защищенности для межсетевых экранов и по 3-му уровню контроля на отсутствие недекларированных возможностей.

Средства межсетевого экранирования

Microsoft ISA Server Standard 2006

Microsoft Internet Security and Acceleration (ISA Server) Server 2006 Enterprise Edition - это наиболее современное и технологичное решение для обеспечения защищенного, быстрого и гибко управляемого доступа в Интернет, доступное на сегодняшний день. Поддерживает операционную систему Microsoft Windows Server 2003.

ISA Server 2006 представляет собой межсетевой экран с интегрированными сервисами, который позволяет защитить ИТ-среду от угроз, поступающих через Интернет, одновременно обеспечивая пользователям быстрый и безопасный удаленный доступ к приложениям и данным.

Преимущества:

1). Централизованное управление службами, повышающими уровень безопасности и производительности сети. Microsoft ISA Server обеспечивает безопасное, быстродействующее и управляемое подключение к Интернету.

2). «Интеллектуальные» службы безопасности. Расширяемый многоуровневый корпоративный брандмауэр системы ISA Server предлагает средства динамической фильтрации пакетов, функцию SecureNAT, обеспечивающую «прозрачный» доступ в масштабах системы, «интеллектуальные» фильтры приложений, блокирующие данные выборочно в зависимости от типа, средства повышения безопасности системы, а также встроенные функции обнаружения атак.

3). «Интеллектуальная» система кэширования. Высокопроизводительный кэш ISA Server обеспечивает более эффективный доступ к Вебу, более экономичное использование пропускной способности, а также (в среде с операционной системой Windows 2000 Advanced Server) высокий уровень масштабируемости, необходимый для организации эффективной динамической системы балансировки сетевой нагрузки.

4). Возможности настройки и расширяемость. Microsoft ISA Server включает полнофункциональный пакет SDK и интерфейсы прикладного программирования (API) для реализации дополнительных возможностей администрирования, фильтров приложений, веб-фильтров и средств управления кэшем.

Сертификат:

Сертификат соответствия №1386 ФСТЭК для систем до 1Г включительно и по 4/3 (при ограничениях) классу МЭ.

Системы обнаружения вторжений и анализа защищенности

Согласно п. 5 и 6 Приложения к Положению о методах и способах защиты информации в информационных системах персональных данных необходимо проводить анализ защищенности и обнаружение вторжений для ИС, подключенных к сетям международного обмена. В соответствии с недавно вступившем в силу приказом ФСТЭК России №638 от 6.12.2011 «Требования к системам обнаружения вторжений» на данный момент ни одна из систем обнаружения вторжений не сертифицирована. Поэтому в данном дипломном проекте мы руководствуемся только требованиями Приказа ФСТЕК России №58. Такие программные обеспечения как ViPNet Client и «Застава» имеют встроенные аналоги СОВ.

Сравнение средств защиты информации по сети

Рассмотренные продукты для создания VPN можно разделить на две категории - программные и аппаратные. Программные решения Застава и CSP VPN - это готовые приложения, которые устанавливается на подключенном к сети компьютере со стандартной операционной системой. Они легко интегрируются с программными межсетевыми экранами и работают на различных операционных системах, включая Windows NT/2000, Sun Solaris и Linux, а также, они имеют сертификаты соответствия ФСБ для СКЗИ класса КС1 и КС2.

Для развертывания программные решения обычно сложнее, чем аппаратные. Создание подобной системы предусматривает конфигурирование сервера для распознавания данного компьютера и его операционной системы, VPN-пакета, сетевых плат для каждого соединения. Такая работа сложна даже для опытных специалистов. С другой стороны, стоимость программных решений относительно ниже (без стоимости оборудования, установки и обслуживания).

Аппаратные VPN-решения «Континент» и программно - аппаратный комплекс ViPNet CUSTOM включают в себя все, что необходимо для соединения, более простые для установки. Они могут масштабироваться в зависимости от количества одновременных VPN-соединений, с которыми планируется работать, и ожидаемого объема трафика. Развертывать аппаратные решения значительно проще, и на их запуск требуется всего несколько часов. Еще одним серьезным преимуществом аппаратных VPN-решений является более высокая производительность. К тому же, оба этих продукта имеет сертификат соответствия ФСБ для СКЗИ до класса КС3 и КВ1, соответственно, что является их несомненным «плюсом».

Таблица совокупных цен на рассмотренные программные и программно-аппаратные средства построения VPN-сетей и МЭ. Как видно, самым дорогим VPN-комплексом оказалась АПКШ «Континент». Самыми недорогими оказались программный комплекс CSP VPN и программно-аппаратный комплекс ViPNet CUSTOM. ViPNet CUSTOM 3.1 имеет сертификат соответствия ФСТЭК России №1549/1 от 26.05.2010 по требованиям РД Гостехкомиссии по 3 классу защищенности для межсетевых экранов, 3 уровню контроля отсутствия НДВ, поэтому при его установке не требуется приобретать дополнительно межсетевой экран. Для остальных решений необходимо подключить стороннее средство для сегментации сети и защиты демилитаризованной зоны. Для «CSP VPN», «Континент» - ISA Server Enterprise Edition 2006, т.к. этот продукт дает возможность организациям открывать безопасный доступ к Web серверам удаленным пользователям, находящимся за пределами корпоративной сети, защитить имеющуюся среду от внешних и внутренних угроз, а так же поддерживает возможность работы с корпоративными сетями.

После внедрения МЭ разница в стоимости комплексных решений значительно увеличилась, исключением стали система ViPNet CUSTOM и программный комплекс «Застава».

Достоинствами ViPNet CUSTOM является: реализация VPN, наличие системы управления трафиком, шифрование информации, реализация функций МЭ, контроль сетевой активности и приложений, поддержка Удостоверяющего центра, поддержка средств коммуникации пользователей, однозначная идентификация и аутентификация пользователей, наличие системы защищенного документооборота, ЭЦП, самодостаточность, не требует дополнительного оборудования.

Разработка программно-аппаратной системы защиты информации от внешних угроз в УФПС РМЭ - филиале ФГУП «Почта России»

Обоснование выбора программно-аппаратного комплекса «ViPNet CUSTOM»

Из соображений защиты и производительности для установки VPN-приложений лучше всего выделять отдельные рабочие станции, которые должны устанавливаться на всех концах соединений.

Исходя из размера подсети, участвующей в обмене информацией, а так же исходя из объема трафика, для рассматриваемого предприятия целесообразнее использовать не только программные, но и аппаратные средства построения VPN-сети, чтобы снизить нагрузку и обеспечить стабильную работу сети. Необходимо установить аппаратный крипто-шлюз, отдельную рабочую станцию со своей ОС для администрирования. Поэтому для построения защиты сети необходимо выбрать либо ViPNet Custom с программно - аппаратным координатором, либо АПКШ «Континент».

При выборе руководствоваться нужно не только стоимостью продукта, а так же надежностью, качеством, опытом внедрения, престижностью продукта на рынке информационных технологий.

В данном дипломном проекте проектирование безопасного доступа в глобальную сеть, туннелирование трафика между ИВЦ и отделениями почтовой связи, а так же защита серверов будет реализована на базе комплекса межсетевого экранирования и построения VPN-сетей «ViPNet CUSTOM» производителя ОАО «ИнфоТеКС».

Продукты компании «ИнфоТеКС» проходят регулярную сертификацию в ФСБ и ФСТЭК России, в системе добровольной сертификации ГАЗПРОМСЕРТ на соответствие требованиям безопасности для средств защиты конфиденциальной информации, включая персональные данные.

Несмотря на дороговизну линии продуктов «ViPNet CUSTOM», у нее есть ряд преимуществ, которыми и можно руководствоваться при выборе.

Преимущества ViPNet CUSTOM:

· ViPNet CUSTOM имеет сертификат соответствия ФСБ для СКЗИ класса КС3.

· ПО ViPNet Client включает в себя модуль ViPNet Application Control (Контроль приложений) - это программа, которая позволяет контролировать сетевую активность приложений и компонент операционной системы. Она может выполнять функции систем обнаружения вторжений и систем анализа защищенности.

· ViPNet CUSTOM ориентирован на организацию защищенного взаимодействия «клиент-клиент», в то время как большинство VPN-решений других производителей обеспечивают только соединения уровня «сервер-сервер» или «сервер-клиент». Это дает возможность реализовать любую необходимую политику разграничения доступа в рамках всей защищенной сети, а также снизить нагрузку на VPN-серверы.

· В ViPNet CUSTOM реализована раздельная фильтрация открытого и шифруемого трафиков.

· Каждый компонент ViPNet CUSTOM содержит встроенный сетевой экран и систему контроля сетевой активности приложений или работают совместно с ПО ViPNet Client, что позволяет получить надежную распределенную систему межсетевых и персональных сетевых экранов.

· ViPNet CUSTOM поддерживает возможность межсетевого взаимодействия, что позволяет устанавливать необходимые защищенные каналы связи между произвольным числом защищенных сетей, построенных с использованием ViPNet CUSTOM.

· Программное обеспечение создано на базе провереннего многолетней эксплуатацией ПО ViPNet Coordinator Linux и технологии защиты информации ViPNet.

· Количество одновременно установленных соединений через криптошлюз не ограничивается.

· Использование в качестве центра генерации ключей шифрования сертифицированного ФСБ России ПО ViPNet Administrator из состава СКЗИ «Домен-КМ».

· Низкая стоимость ViPNet Coordinator HW1000 по сравнению с аналогичными по возможностям СЗИ других отечественных компаний.

· По сравнению с обычными VPN-решениями ViPNet CUSTOM предоставляет целый ряд дополнительных возможностей по защищенному обмену информацией: встроенные службы мгновенного обмена сообщениями (чат и конференция) и файлами, а также собственная защищенная почтовая служба с элементами автоматизации обмена письмами, файлами и поддержкой механизмов ЭЦП.

· Дополнительные сетевые возможности комплекса ViPNet CUSTOM, такие как контроль сетевой активности приложений, строгий контроль доступа в Интернет, механизмы аварийной перезагрузки и защиты от вторжений на этапе загрузки операционной системы, - позволяют организовать защиту от большинства сетевых атак и минимизировать затраты на систему безопасности в целом.

· ViPNet CUSTOM является самодостаточным комплексом продуктов, поэтому нет необходимости приобретать дополнительные элементы, такие как базы данных, почтовые серверы и специализированные серверные платформы ViPNet CUSTOM.

· Компания «ИнфоТеКС» проводит на регулярной основе учебные курсы по подготовке администраторов защищенных сетей, построенных с использованием продуктовой линейки ViPNet CUSTOM. Обучив собственных специалистов, можно существенно сэкономить на работах по установке, настройке и эксплуатации защищенной сети.

Не маловажную роль при выборе продукта «ViPNet CUSTOM» сыграл опыт внедрения компании ОАО «ИнфоТеКС»:

· Организация Защиты СМЭВ (система межведомственного электронного взаимодействия) Электронного Правительства.

· Защита каналов связи передачи данных Пенсионного Фонда Российской Федерации.

· Защита системы продажи билетов АСУв ООО «Российские железные дороги» в масштабах всей страны.

В условиях использования информации о продуктах компании ОАО «ИнфоТеКС» из общедоступных источников в глобальной сети Интернет, невозможно сложить полную картину о качестве и функциональности программного комплекса. Выбор столь крупных корпораций страны еще раз подтверждает авторитет, надежность и престиж производителя программных линеек ViPNet и является последним и значимым пунктом при выборе этой системы для внедрения в КСПД ИВЦ УФПС Республики Марий Эл - филиала ФГУП «Почта России».

Разработка системы защиты при передаче по сетям связи.

На предприятии пользователям должна быть запрещена самостоятельная установка ПО на ЭВМ, изменение конфигурации СВТ.

При противодействии внутренним нарушениям необходима организация разграничения доступа пользователей к компьютерам, подключенным к сети, чтобы исключить вероятность установки и использования программ, которые могут нарушить конфиденциальность, целостность и доступность внутри сети предприятия. В УФПС РМЭ такая система уже существует и реализована при помощи доменной парольной системы. Парольная система реализована стандартными средствами операционных системы Microsoft Windows ХР, а домен функционирует под управлением ОС Windows Server 2003 Sp2. Данные операционные системы являются лицензированными программными средствами, которые регулярно обновляются.

Парольная система имеет следующие ограничения: длина пароля не может быть менее 6 символов, максимальный срок жизни пароля - 1 месяц, в пароле используются как цифры, так и латинские буквы.

Для «усиления» аутентификации рекомендуется использовать сертифицированные электронные идентификаторы, либо аппаратно - программные модули доверенной загрузки.

Антивирусная защита в отделениях почтовой связи организованна следующим образом: на рабочих станциях предусмотрена установка антивирусного ПО «ESET NOD 32» Business Edition. Антивирусное обеспечение загружается вместе с ОС и функционирует в режиме постоянной защиты.

ESET NOD32 Business Edition - централизованная защита файловых серверов и рабочих станций от троянских и шпионских программ, червей, рекламного ПО, фишинг-атак и других интернет-угроз в локальных корпоративных сетях организаций любого масштаба.

Установленное ПО имеет сертификат ФСТЕК России на соответствие ТУ, который подтверждает, что Eset NOD32 Business Edition версии 3.0 является программным средством защиты от несанкционированного доступа к информации, а также может использоваться для защиты информации в ИСПДн до 2 класса включительно.

В качестве нормативно - распорядительных документов имеется приказ №120-п от 02.04.2012 г., содержащий список сотрудников имеющих доступ к конфиденциальной информации и возможности ее изменения, а так же перечень защищаемой конфиденциальной информации.

Строгий подбор персонала, пропускной режим, набор жестких организационных, нормативно-распорядительных мер резко снижают возможность компрометации политики сетевой безопасности, а программные средства реализуют защиту от внутреннего нарушителя в сети в случае их обхода.

Также рекомендуется в ИВЦ ввести штатного специалиста по защите информации.

Защита от внешнего нарушителя.

Как уже было сказано выше, для построения безопасного доступа в глобальную сеть Интернет, а так же для обмена данными между отделениями почтовой связи и ИВЦ УФПС РМЭ в данном дипломном проекте используется программно-аппаратный комплекс «ViPNet CUSTOM».

Итак, задача построения системы от внешнего нарушителя состоит из:

1) организации фильтрации информации в точках соединения с открытыми сетями;

2) закрытия трафика корпоративной сети средствами защиты информации сетевого уровня;

3) создание защищенной, доверенной среды передачи информации ограниченного доступа с использованием публичных и выделенных каналов связи (Интернет, телефонные и беспроводные линии связи) путем организации виртуальной частной сети (VPN).

Совместно с другими программными продуктами из состава комплекса ПО «ViPNet CUSTOM» ViPNet Coordinator HW 1000 обеспечивает эффективную реализацию множества сценариев защиты информации: