Состав и назначение комплекса VipNet CUSTOM. Используемые в данном комплексе технологии защиты информации

ViPNet CUSTOM - Самая обширная продуктовая линейка корпоративного уровня — конструктор защищенных сетей, предлагающий решение всего спектра задач по организации VPN и PKI. Продукты, входящие в состав ViPNet CUSTOM, на регулярной основе проходят сертификацию по требованиям ФСБ и ФСТЭК России к средствам защиты информации ограниченного доступа (конфиденциальной информации), включая персональные данные. Это позволяет использовать данные продукты как в коммерческих, так и в государственных компаниях и организациях. Продукты ViPNet CUSTOM рассчитаны на применение в самых разнообразных условиях современных мультисервисных сетей связи — от локальных сетей с несколькими десятками компьютеров до глобальных, географически распределенных сетей передачи данных с десятками тысяч сетевых узлов с применением Интернета в качестве транспортной среды. Все продукты ViPNet CUSTOM предназначены для работы в составе единого комплекса средств защиты информации ViPNet. Автономное применение данных продуктов не предусматривается.

ViPNet CUSTOM позволяет организовывать защиту информации в крупных сетях (от нескольких десятков до десятков тысяч сетевых узлов — рабочих станций, серверов и мобильных компьютеров) и нацелен на решение двух важных задач информационной безопасности:

· Создание защищенной, доверенной среды передачи информации ограниченного доступа с использованием публичных и выделенных каналов связи (Интернет, телефонные и беспроводные линии связи) путем организации виртуальной частной сети (VPN) с одним или несколькими центрами управления.

· Развертывание инфраструктуры открытых ключей (PKI) с организацией Удостоверяющего Центра с целью использования механизмов электронно-цифровой подписи в прикладном программном обеспечении заказчика (системах документооборота и делопроизводства, электронной почте, банковском программном обеспечении, электронных торговых площадках и витринах), с поддержкой возможности взаимодействия с PKI-продуктами других отечественных производителей

Отдельные продукты и наборы продуктов из состава ViPNet CUSTOM регулярно проходят сертификацию по требованиям к СКЗИ, средствам сетевого экранирования (межсетевым и персональным сетевым экранам), по отсутствию недекларированных возможностей.

ViPNet Administrator (Администратор) — это базовый программный комплекс для настройки и управления защищенной сетью, включающий в себя:

· ViPNet NCC (Центр Управления Сетью, ЦУС) — программное обеспечение, предназначенное для конфигурирования и управления виртуальной защищенной сетью ViPNet;

· ViPNet KC & CA (Удостоверяющий и Ключевой Центр, УКЦ) — программное обеспечение, которое выполняет функции центра формирования ключей шифрования и персональных ключей пользователей —Ключевого Центра, а также функции Удостоверяющего Центра.

ViPNet StateWatcher (Центр мониторинга, ЦМ) — программный комплекс, который реализован по клиент-серверной технологии и предназначен для централизованного мониторинга состояния узлов защищенной сети ViPNet. ViPNet StateWatcher представляет собой программный сервер со стандартной SQL-базой данных состояния узлов сети, устанавливаемый совместно с ПО ViPNet Client, с возможностью доступа к этим данным и результатам работы правил анализа состояния узлов через удаленный Web-доступ с использованием браузера.

Программа ViPNet Publication Service (Сервис Публикации) предназначена для автоматизации процессов публикации выпущенных в УЦ ViPNet сертификатов (администраторов, пользователей, кросс-сертификатов) и списков отозванных сертификатов (СОС) на точках распространения данных. Также обеспечивается импорт СОС, сформрованных сторонними УЦ.

ViPNet Registration Point - Программный комплекс ViPNet Registration Point (Пункт Регистрации) предназначен для создания защищенного АРМ регистрации пользователей, хранения регистрационных данных, создания запросов на выпуск сертификатов и их обслуживание в УКЦ, а также запросов на формирование ключевых дистрибутивов пользователей сети ViPNet в УКЦ.

ViPNet Coordinator (Windows) — программный сервер защищенной сети ViPNet, устанавливаемый на ОС Windows 2000/Windows XP/Vista/Windows 7/Server 2003/Server 2008 (32 бит), ОС Vista/Windows 7/Server 2008/Server 2008 R2 (64 бит). В зависимости от настроек ViPNet Coordinator может выполнять следующие функции:

· Сервера IP-адресов;

· Прокси-сервера защищенных соединений;

· Туннелирующего сервера (криптошлюза);

· Межсетевого экрана для открытых, защищенных ресурсов и туннелируемых ресурсов;

· Сервера защищенной почты;

· Отказоустойчивого сервера защищенной сети ViPNet в конфигурации ViPNet Cluster.

Программный комплекс ViPNet Cluster — это программное обеспечение для ОС Windows XP/Vista/2003, основанное на принципах высокой доступности и распределения нагрузки. ПК ViPNet Cluster способен обрабатывать сетевой трафик, поступающий из нескольких сетей, непосредственно подключенных к нему. Все элементы кластера представлены в каждой из подключенных сетей одним и тем же IP-адресом, который одновременно активен на всех элементах кластера. Это обеспечивает моментальное перераспределение функций в кластере в случае отказа одного из элементов. ПК ViPNet Cluster позволяет создать инфраструктуру, которая гарантирует бесперебойность передачи данных, до тех пор, пока хотя бы один из элементов кластера работоспособен. Рекомендуется иметь в составе кластера не менее трех элементов кластера. В этом случае достигается максимальная эффективность контроля работоспособности каждого из элементов кластера.

NME-RVPN ViPNet. Учитывая высокий рейтинг и распространенность на российском рынке программных решений защиты информации ViPNet производства компании «ИнфоTеКС», Cisco Systems санкционировала разработку и выпуск программно-аппаратного решения, объединяющего все преимущества аппаратных решений Cisco Systems и программных решений «ИнфоТеКС». При этом в качестве программного обеспечения, реализующего функции криптографического шлюза и межсетевого экрана, используется Linux-версия программного обеспечения ViPNet Coordinator.

ViPNet Client (Клиент) — это программный комплекс для ОС Windows 2000/Windows XP/Vista/Windows 7/Server 2003/Server 2008 (32 бит), ОС Vista/Windows 7/Server 2008/Server 2008 R2 (64 бит), выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования.

4. Состав и основные функции ViPNet [Администратор]

Административная часть в ПО ViPNet в целях повышения безопасности разделена на две части, отвечающие за разные аспекты её функционирования. При этом ни та, ни другая части администрации по отдельности не могут оказать существенного влияния на функционирование сети, т.е. возможности несанкционированного доступа к информации абонентов тем или иным администратором сведены к минимуму.

ViPNet [Администратор] включает в себя программы:

· Центр Управления Сетью

· Ключевой и Удостоверяющий Центр

Центр Управления Сетью (ЦУС) является регистрационным центром и предназначен для конфигурации и управления виртуальной сетью.

ЦУС выполняет следующие функции:

· централизованное управление сетью;

· формирование структуры VPN;

· формирование справочной информации;

· управление "логикой" работы VPN;

· централизованное обновление ПО и функционала компонентов VPN;

· мониторинг событий VPN;

· удаленное управление ресурсами VPN.

Второй модуль ViPNet [Администратора] Удостоверяющий и ключевой центр (УКЦ) предназначен для обеспечения ключевой информацией всех участников VPN и выполнения функций удостоверяющего центра. При этом ключи для первоначальной инсталляции могут быть записаны на дискеты, смарт-карты, touch memory, eToken и прочие аппаратные устройства для передачи участникам VPN. Последующее обновление ключевой информации осуществляется автоматически по защищенным каналам VPN.

УКЦ выполняет следующие функции:

· формирование и автоматическое обновление через ЦУС симметричной ключевой информации и первичной парольной информации для объектов и пользователей сети;

· выполнение функций удостоверяющего центра сертификатов ЭЦП:

ð издание ключей ЭЦП Главных абонентов ViPNet сети;

ð формирование запросов на издание сертификатов;

ð импорт сертификатов Главных абонентов (Уполномоченных лиц) ViPNet сети и уполномоченных лиц Головного УЦ;

ð ведение справочников сертификатов администраторов УЦ;

ð формирование и отправка в ЦУС обновлений справочников;

ð создание ключей электронной цифровой подписи абонентов и издание сертификатов корпоративной сети по запросам ЦУС;

ð рассмотрение запросов на издание сертификатов ЭЦП от абонентов корпоративной сети;

ð рассмотрение запросов от Центров регистрации на издание сертификатов ЭЦП внешних абонентов;

ð хранение информации о запросах и ведение справочников изданных сертификатов;

ð рассмотрение запросов на отзыв, приостановление и возобновление действия сертификатов;

ð ведение и отправка в ЦУС для обновлений списков отозванных сертификатов.

УКЦ обеспечивает возможность формирования ключей ЭЦП на основе алгоритмов ГОСТ Р 34.10-94 и ГОСТ Р 34.10-2001.

5. Состав и основные функции ViPNet [Координатор]

Координатор в терминологии ViPNet - это программное обеспечение для СУ, в функции которого входят:

· Функция Сервер-маршрутизатор, обеспечивающая Маршрутизацию почтовых конвертов и управляющих сообщений при взаимодействии ЦУСа, УКЦ и объектов сети между собой.

· Функция Сервер IP-адресов, обеспечивающая регистрацию и предоставление информации о текущих IP-адресах и способах подключения объектов корпоративной сети.

· Функция Сервер ViPNet-Firewall, обеспечивающая:

o Работу защищенных компьютеров локальной сети (сегмента сети) в VPN от имени одного адреса.

o Работу защищенных компьютеров локальной сети через другие Firewall (или устройства с NAT).

o Туннелирование пакетов в защищенное соединение от заданных адресов незащищенных компьютеров.

o Фильтрацию открытых пакетов, в том числе и туннелируемых, в соответствии с заданной политикой безопасности (функции межсетевого экрана).

· Функция ViPNet-cepeep открытого Интернета, обеспечивающая организацию безопасного подключения части компьютеров локальной сети к Интернет без их физического отключения от локальной сети организации.

Функциональность ViPNet [Координатор] определяется Центром Управления Сетью и формируемыми им справочниками и маршрутными таблицами.

6. Состав и основные функции ViPNet [Клиент]

ViPNet [Клиент] - модуль, реализующий на рабочем месте следующие функции:

1. Персональный сетевой экран - позволяет защитить компьютер от попыток несанкционированного доступа, как из глобальной, так и из локальной сети. Персональный сетевой экран позволяет системному администратору или пользователю (при наличии присвоенных ему полномочий):

· управлять доступом к данным компьютера из локальной или глобальной сети;

· определять адреса злоумышленников, пытающихся получить доступ к информации на Вашем компьютере;

· обеспечивать режим установления соединений с другими открытыми узлами локальной или глобальной сети только по инициативе пользователя, при этом компьютер пользователя остается «невидимым» для открытых узлов локальной и глобальной сетей (технология Stealth), что исключает возможность запуска по инициативе извне всевозможных программ «шпионов»;

· формировать «черные» и «белые» списки узлов открытой сети, соединение с которыми соответственно «запрещено» или «разрешено»;

· осуществлять фильтрацию трафика по типам сервисов и протоколов для данного адреса открытой сети или диапазона адресов, что позволяет, в случае необходимости, ограничить использование «опасных» сервисов на «сомнительных» узлах открытой сети;

· осуществлять фильтрацию трафика по типам сервисов и протоколов для связанных с данным узлом других защищенных узлов.

· контролировать активность сетевых приложений на данном компьютере, где установлен ViPNet [Клиент], что позволяет вовремя обнаружить и заблокировать активность несанкционированно установленных и запущенных программ «шпионов», которые могут передавать злоумышленникам сведения об информации, обрабатываемой на данном компьютере (пароли доступа, данные о кредитных картах, идентификаторы для доступа в корпоративные базы данных и ДР-)

2. Установление защищенных соединений между компьютерами, оснащенными ViPNet [Клиент], для любых стандартных сетевых приложений. Для любых сетевых приложений обеспечиваются следующие основные функции:

· шифрование IP-пакетов с добавлением в них информации для обеспечения целостности, контроля времени, идентификации (авторизации) и скрытия первоначальной структуры пакета;

· блокировка шифрованных пакетов при нарушении их целостности, превышении допустимой разницы между временем отправки и текущим временем (защита от переповторов) или при невозможности аутентифицировать пакет;

· предоставление СОМ интерфейса для вызова криптографических функций и их использования Web приложениями.

· Возможность установления защищенных соединений между компьютерами, оснащенными ViPNet [Клиент] позволяет организовать схему защищенного использования всевозможных Web-приложений, в том числе Web-trading, Web-ordering, Web-хостинга, Web-вещания и т.д., с доступом к Web-платформе, на которой установлен ViPNet [Клиент], только определенному списку участников VPN. Данная схема обеспечивает пользователям и корпорации гибкое и безопасное использование всевозможных Web-приложений как наиболее простого и доступного средства коллективной работы корпорации и ее партнеров;

· защитить и дополнительно авторизовать все соединения между локальными, мобильными и удаленными пользователями, оснащенными ViPNet [Клиентом], и корпоративными серверами приложений, баз данных, SQL-серверами, также оснащенными ViPNet [Клиентом]. Это открывает широкие возможности по безопасному внедрению всевозможных ERP-систем, финансово-учетных систем, работающих в реальном времени, систем типа «Клиент-Банк», «Интернет-Банкинг», CRM (Customer Relationship Management) систем и прочих систем, где с одной стороны накапливается конфиденциальная информация, требующая соблюдения правил информационной безопасности и управления доступом, а с другой стороны необходима коллективная работа с приложениями на сети разных категорий пользователей;

· использовать недорогие и общедоступные сетевые ресурсы открытой сети для передачи конфиденциальной информации.

3. Услуги защищенных служб реального времени для организации обмена сообщениями, проведения конференций, защищенных аудио- и видео-переговоров позволяют:

· обмениваться сообщениями или организовывать циркулярный обмен сообщениями, в процессе которого организатор такого обмена видит все сообщения, в то же время участники обмена сообщений друг друга не видят. При этом ведутся и могут быть сохранены протоколы всех сообщений;

· проводить защищенные конференции;

· оперативно видеть подтверждения доставки и прочтения сообщений;

· проводить защищенные аудио- (Voice over IP) и видео-переговоры (конференции) При этом, технология ViPNet поддерживает любые стандартные программные и аппаратные средства для проведения аудио- и видео-конференций, основанные на IP-технологиях.

4. Сервис защищенных почтовых услуг - защищенный почтовый клиент с возможностями аутентификации отправителя и получателя, а также обеспечивающий контроль за прохождением и использованием документов.

Деловая почта - модуль, входящий в состав ViPNet [Клиент], позволяет:

· передавать электронные сообщения по открытым каналам связи с защитой на всем маршруте следования от отправителя до получателя, при этом в качестве открытого канала могут быть использованы стандартные сервера SMTP/POP3;

· одновременно с самим сообщением защитить прикрепленные к нему файлы;

· организовать по установленным правилам защищенный автопроцессинг стандартных документов, «рождаемых» другими приложениями и системами управления бизнесом (бухгалтерскими, банковскими, управленческими и пр.);

· осуществлять поиск документа в почтовой базе документов по множеству параметров (отправитель, получатель, тема, дата, период, контекст и т.п.)

· подтверждать личность отправителя, используя ЭЦП, встроенную в общую систему безопасности;

· передать сообщение только тем получателям, для которых оно предназначалось, а также при необходимости автоматически отправить копии сообщений на заданные в ЦУС узлы;

· подтвердить получение и использование сообщений, а также дату, время получения и личности получателей;

· вести учетную нумерацию сообщений.

Кроме вышеперечисленных функций ViPNet [Клиент] предоставляет СОМ интерфейс для вызова криптофункций и их совместного использования с Web приложениями.