Средства защиты конфиденциальной информации, передаваемой по открытым каналам передачи данных
- Автор: Н.Г. Лабутин - заведующий кафедрой информационных технологий и эргономики, канд. тех. наук, доцент
Этой статьёй мы открываем новую рубрику нашего сайта, в которой будут публиковаться научные материалы по направлениям повышения квалификации и профессиональной переподготовки, осуществляемым в Приволжском институте повышения квалификации ФНС России.
Одной из программ повышения квалификации и программой профессиональной переподготовки является «Информационная безопасность». По этим программам предусмотрено изучение криптографических средств защиты информации (СКЗИ), их установка, настройка и практическое использование. Чтобы читатель имел представление о современных наиболее популярных СКЗИ, рассмотрим назначение и принципы функционирования виртуальных частных сетей (VPN). Тем более, что на практических занятиях по программе профессиональной переподготовки «Информационная безопасность» слушатели имеют возможность настроить и научится использовать средство для организации виртуальных частных сетей VipNet Custom (Coordinator + Client).
Пожалуй, самым эффективным средством защиты передаваемой информации от несанкционированного доступа (НСД) в настоящее время считается виртуальная частная сеть. Термин VPN обозначает взаимосвязанную совокупность технологий, которые обеспечивают сетевое соединение, или так называемую логическую сеть, функционирующую поверх какой-либо другой сети, как правило, Интернет. То есть, передача данных в VPN производится по незащищённым (открытым) сетям, но, весь траффик между абонентами и их идентификационная информация шифруется. Таким образом, благодаря использованию криптографии, защита передаваемых данных по технологии VPN может быть очень надёжна. Кроме непосредственно шифрования данных, среди используемых в VPN средств криптографии применяются средства для защиты от изменений передаваемых сообщений, инфраструктура открытых ключей и надёжная аутентификация.
Проведём краткий анализ защитных функций VPN. По технологиям VPN, в зависимости от назначения защищаемых соединений, в настоящее время используются три вида соединения: сеть-сеть, узел-сеть и узел-узел.
Защищённое соединение вида сеть-сеть применяется для организации туннеля между несколькими защищёнными сетями или защищёнными сегментами сети. При этом для передачи данных между сетями (сегментами) используются открытые каналы передачи данных, которые необходимо защитить с помощью туннеля.
Защищённые соединения вида узел-сеть и узел-узел применяются для организации защищённого доступа внешних абонентов к защищённой сети или защищённого соединения между абонентами. Все эти виды защищённых соединений необходимы для организации безопасных соединений между сегментами корпоративных сетей и для предоставления защищённого доступа удалённых абонентов к информационным ресурсам государственных органов и иных организаций.
Применение средств криптографии позволяет использовать базовые сетевые протоколы (UDP, TCP и др.) в неизменном виде, и чаще всего для создания VPN применяется инкапсуляция протокола РРР в другой протокол, например, IP или Ethernet. При таком подходе происходит виртуализация всего трафика и адресов оконечных устройств абонентов. В результате применение VPN обеспечивает высокий уровень защиты передаваемых данных даже в открытых общедоступных телекоммуникациях.
Если представить VPN структурно, то она логически состоит из двух функциональных частей: «внутренней» сети (их может быть несколько) и «внешней» сети (обычно это открытые каналы передачи данных). Кроме того, что весь трафик шифруется, в VPN защита реализуется на уровне идентификации и аутентификации зарегистрированных пользователей. То есть, удаленный пользователь подключается к VPN через сервер доступа, включенный как во «внутреннюю», так и во «внешнюю» сеть. При этом сервер требует от пользователя пройти идентификацию, а затем аутентификацию, после чего проверенный таким образом пользователь наделяется предусмотренными полномочиями в сети.
В настоящее время рынок программно-аппаратных и программных средств, основанных на VPN, достаточно разнообразно представлен. Далеко не все VPN имеют достаточный уровень защиты информации, требуемый нормативными документами ФСБ и ФСТЭК России для защиты информации с ограниченным доступом. Поэтому для применения в государственных информационных системах особый интерес представляют сертифицированные ФСБ и ФСТЭК средства.
К таковым относятся следующие средства:
Программно-аппаратный комплекс (ПАК) DioNis-NX (Дионис), который кроме функции криптомаршрутизатора VPN, реализует функции маршрутизатора и межсетевого экрана с системой обнаружения/предотвращения сетевых атак, имеет средства криптографической защиты информации (СКЗИ), позволяет осуществлять мониторинг трафика и обеспечивать качество сервисов, может работать в режиме отказоустойчивого кластера.
ПАК Дионис является российской разработкой (научное производственное предприятие «ФАКТОР-ТС») и имеет сертификаты соответствия ФСБ и ФСТЭК.
Средство комплексной защиты ViPNet CUSTOM (разработчик: ОАО «Инфотекс»).
По информации, предоставленной разработчиком, ViPNet CUSTOM предназначен для объединения в единую защищенную виртуальную сеть произвольного числа рабочих станций, мобильных пользователей и локальных сетей и нацелен на решение двух важных задач информационной безопасности :
- создание защищенной, доверенной среды передачи конфиденциальной информации с использованием публичных и выделенных каналов связи (Интернет, телефонные и телеграфные линии связи и т.п.), путем организации виртуальной частной сети (VPN);
- развертывание инфраструктуры открытых ключей (PKI) и организации Удостоверяющего Центра с целью интеграции механизмов электронно-цифровой подписи в прикладное программное обеспечение заказчика (системы документооборота и делопроизводства, электронную почту, банковское программное обеспечение, электронные торговые площадки и витрины).
Также в ViPNet CUSTOM поддерживается возможность взаимодействия с программным обеспечением PKI других отечественных производителей, например, ЗАО «Сигнал-КОМ» и ООО «Крипто-Про».
Все компоненты VipNet CUSTOM 3.2 имеют сертификаты ФСБ и ФСТЭК .
Если сравнивать эти два наиболее популярных в нашей стране сертифицированных средства защиты передаваемых по сетям данных по техническим, экономическим и другим характеристикам, то, предпочтительнее выглядит VipNet CUSTOM. Так как, это более современное средство защиты, чисто программная реализация, несложное в настройке, экономически более выгодное.
Именно поэтому по программе профессиональной переподготовки «Информационная безопасность» основное внимание при изучении уделяется этому средству защиты.
Автор:
Кандидат технических наук доцент Лабутин Н.Г.