Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Решение для электронной коммерции В2В

Системы электронной коммерции между предприятиями (В2В) имеют свои особенности:

• определенное количество пользователей системы (в отличие от систем В2С);
• крупные объемы заказов и, как следствие, высокая чувствительность к атакам и надежности связи;
• большое разнообразие прикладных протоколов (не только HTTP);
• повышенные требования к безопасности.

  В настоящее время ведется разработка и внедрение множества различных систем для коммерции. На схеме 6 показана реализация защиты для системы типа В2В.

Для защиты сервера с ПО любой прикладной системы В2В устанавливается продукт VPN-Сервер, а на клиентскую часть системы, размещаемой у бизнес-партнера, - VPN-Клиент. Продукт VPN-Офис гарантирует сокрытие топологии внутренней сети и ее защиту от внешних атак из Интернета, от неавторизованного доступа извне.

Использование комплексных VPN-продуктов позволяет строить систему защиты для сети в целом, и это выгодно отличает их от специализированных VPN-продуктов, обеспечивающих защиту для отдельных классов приложений. Так, для аутентификации и защиты потоков данных в ряде известных программных продуктов используется протокол SSL (Secure Socket Layer), недостатком которого является его "привязанность" к определенному типу приложений, а, значит, неспособность удовлетворить разнообразные требования к системе защиты, предъявляемые крупными корпорациями и Интернет-провайдерами.

Если ИС защищена отдельными продуктами средств защиты информации (шифрование, электронная цифровая подпись), то VPN все равно нужна, поскольку только она защитит систему от сетевых атак, в частности DoS. Система, основанная только на SSL, не обеспечивает такой полной защиты, как продукты VPN. VPN будет "пускать" в сеть только пакеты, подписанные на допущенных к системе сертификатах.

Следует отметить еще одно свойство, принципиально важное для электронной системы В2В, - развитые средства аутентификации пользователей:

• с помощью пароля;
• с помощью устройств SecurID;
• с помощью смарт-карт (или других токен-устройств, дискет), поддерживающих стандартный интерфейс PKCS №11.

  Без введения пароля или предъявления внешнего носителя (токена), подтверждающего право доступа, нельзя получить доступ ни к какой информации, кроме той, что открыта для всех пользователей.

Решение для торговой компании

Развитие российского потребительского рынка предопределило быстрый рост числа частных торговых организаций и значительное расширение их сетей. Необходимость внедрения современных способов торговли, повышения уровня обслуживания и оперативности сделали актуальным вопрос о комплексной автоматизации магазинов и включении их в системы электронных платежей, которая, в свою очередь, делает актуальным вопрос защиты информации.

Представленная схема 7 эффективно решает эту проблему, обеспечивая доступность, конфиденциальность и целостность информации в любое время, невзирая на сетевые атаки.

Набор средств, представленных в данном решении, позволяет построить двухуровневую систему защиты, в которой построен общий периметр защиты, отделяющий ресурсы компании от внешнего мира, а внутри него выделена и функционирует отдельная информационная система с повышенными требованиями к защите. Для торговой компании, имеющей несколько баз и магазинов, а также мобильный персонал (менеджеры по закупкам или продажам), нужно установить следующие компоненты:

• на каждом сервере системы управления поставками - ПО VPN-Сервер для обеспечения защищенного обмена информацией между серверами;
• на компьютеры, имеющиеся в магазинах и у мобильных или удаленных сотрудников, - ПО VPN-Клиент для защищенного обмена с серверами и с системами обеспечения офисной деятельности баз и головного офиса;
• в головном офисе, на каждой торговой базе и в каждом магазине - ПО VPN-Офис для объединения их в единую корпоративную защищенную сеть.

Центр управления VPN позволяет администратору безопасности системы определять, устанавливать и изменять политику безопасности для всей системы в целом и для ее отдельных частей.

Все пользователи системы из числа персонала магазинов и менеджеры по продажам могут быть объединены с помощью списка персональных сертификатов в одну виртуальную группу пользователей "Продавцы".

Другая виртуальная защищенная группа может быть объединена под названием "Информационные серверы", с локализацией IP-адресов серверов и их сертификатов.

Адресное пространство головного офиса, за исключением IP-адреса информационного сервера, выделено в защищенную группу "Головной офис". Аналогично группируются адреса баз и магазинов, имеющих свои собственные локальные сети. Группы "Головной офис", "База 1", "База 2" и т.д., "Магазин 1", "Магазин 2" и т.д. дополнительно объединены в защищенную группу "Компания".

Конкретное приложение торговой системы использует HTTP-протокол для обеспечения доступа с рабочего места пользователя к информационным серверам. Комбинация информации о TCP-портах при взаимодействии серверов по протоколу TCP обозначена понятием "Информационный сервис".

Web-сервер для открытого доступа определен как объект "Витрина", объект "Интернет" определен как полное адресное пространство сети Интернет, исключая IP-адреса корпоративных пользователей.

Сотрудники, занимающиеся модификацией "Витрины", определены как объект "Операторы".

Достоинством такого решения является то, что каждый сотрудник или продавец, имеющий персональный идентификатор, в любом из магазинов или с удаленного рабочего места имеет доступ в защищенном режиме к информационным серверам со своего персонального компьютера.

Решение для сервис-провайдеров информационных услуг

Стремительно развивающийся рынок коммуникаций предоставляет новые возможности и услуги, в частности услуги по аренде различных приложений, избавляющих потребителей от затрат на приобретение дорогостоящего ПО, дополнительного оборудования и техническую поддержку того и другого. Обращение к программам по каналам "живой" оперативной связи с поставщиками программных услуг ASP (application service provider) очень привлекательно, ему сопутствуют и некоторые проблемы. Важнейшая из них - необходимость обеспечить должный уровень защиты информации каждого клиента, а также устойчивость системы к попыткам внешнего вмешательства.

Эта проблема также решаема с помощью программных продуктов VPN, обеспечивающих защиту от всего спектра сетевых атак и позволяющих провайдеру предоставить клиентам высокое качество сервиса.

Для защиты рабочего места каждого клиента устанавливается продукт VPN-Клиент, для основных и резервных серверов приложений - VPN-Сервер, для собственной интрасети компания-провайдер может использовать продукт VPN-Офис.

Представленное на схеме 8 решение обеспечивает надежное разделение систем клиентов, т. е. система Клиента А (приложение, информация, пользователи) изолированы от системы Клиента В с ее ресурсами посредством защищенных связей.

Каждая группа пользователей конкретного "Клиента" определена списком их публичных сертификатов и названа "Пользователи клиента №n". Аналогично каждая пара приложений основного и резервного серверов приложений для конкретного клиента определяется их публичными сертификатами и IP-адресами как "Сервер приложений №n".

В результате образовано, например, 50 объектов: "Пользователи клиента № 1"... "Пользователи клиента №50", а также 50 соответствующих им объектов: "Сервер приложения № 1"... "Сервер приложения № 50".

Политика безопасности системы описывается набором правил. Администратору безопасности не требуется определять ее для каждого отдельного элемента системы, достаточно определить глобальную политику для набора бизнес-объектов: "Пользователь клиента №n" и "Сервер приложений №n". Дополнительная особенность решения: на его основе компания-провайдер может обеспечить своим корпоративным пользователям возможность прозрачной поддержки мобильных пользователей без снижения уровня защиты и сервиса независимо от их географического положения.

Эффективность, расширяемость и надежность решения позволяет компании-провайдеру обеспечивать поддержкой быстро растущий контингент клиентов при невысокой численности персонала администраторов.

Решение для защиты информационных ресурсов финансовых организаций

Это решение (схема 9) интересно для компаний, имеющих территориально разнесенные представительства и значительное количество постоянно перемещающихся агентов (брокеров, продавцов, консультантов и т.п.).

Для защиты головного офиса и представительств, имеющих локальные сети, устанавливается ПО VPN-Офис. В головном офисе серверы со специальными приложениями (база данных клиентов, база договоров, информация о страховании) защищены ПО VPN-Сервер. Персональные компьютеры агентов защищены ПО VPN-Клиент.

Защита периметра с большим количеством мобильных пользователей и удаленных представительств сочетается с жестким разграничением доступа определенных агентов к соответствующим серверам и системам.

Серверы, работающие с базой клиентов, страховой информацией и базой договоров, определяются их IP-адресами и сертификатами в качестве объектов, называемых "База клиентов", "Страховая информация", "База договоров".

Группа агентов, которым разрешен доступ к Базе клиентов, определена как защищенный групповой объект "Группа агентов 1" и задана списком персональных сертификатов этих агентов. Аналогично определены защищенные групповые объекты для агентов, которым разрешен доступ к серверам "Страховая информация" и "База договоров". Заметим, что группы агентов являются пересекающимися множествами, т. е. агент Х может включаться в любой групповой объект или в несколько одновременно, получая соответствующие права доступа.

Адресное пространство IP головного офиса, за исключением IP-адресов "Базы клиентов", "Страховой информации" и "Базы договоров", формирует защищенный объект "Головной офис". IP-адреса всех представительств образуют групповой защищенный объект "Представительства".

Елена Турская (опубликовано в журнале "СЕТЕВОЙ monthly")

Компания "Инфотекс" приняла участие в выставке-семинаре "Модуль - 2001".

Выставка проводилась по решению Генерального штаба МО в период с 10 по 13 апреля 2001 года на базе 27 Центрального научно-исследовательского института Министерства Обороны.

Цель выставки - ознакомить должностных лиц военного и государственного управления, представителей силовых структур, научно-исследовательских организаций Министерства обороны, организаций промышленности, а также широкий круг пользователей с перспективными решениями в области создания информационных систем.

Основная тематика выставки: "Современные информационные технологии в АСУ военного назначения".

На выставке были представлены разделы:
- мобильные компоненты АСУ,
- защищенные телекоммуникации,
- информационная безопасность и информационная борьба,
- интеллектуальные информационные технологии,
- управление качеством, стандартизация и сертификация в сфере информационных технологий.

В ходе выставки освещались основные подходы компании "Инфотекс" к вопросам концепции и организации защиты информационных сетевых ресурсов, а также были представлены варианты комплексных решений проблемы безопасности в Интернет на базе технологии ViPNet.

Особым вниманием посетителей пользовался программно-аппаратный комплекс ViPNet [TURBO 100], состоящий из криптоакселератора ViPNet [TURBO 100] предназначеного для разгрузки центрального процессора при операциях шифрования и расшифрования и программного модуля ViPNet [Координатор], выполняющего следующие функции:

• маршрутизацию защищенных пакетов при взаимодействии объектов сети между собой;
• регистрацию и предоставление информации о состоянии объектов сети;
• работу защищенных компьютеров локальной сети в VPN от имени одного адреса;
• туннелирование пакетов от заданных незащищенных компьютеров локальной сети;
• фильтрацию открытых пакетов в соответствии с заданной политикой безопасности

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.