Научная литература
booksshare.net -> Добавить материал -> Информатика -> Петров А.А. -> "Компьютерная безопасность. Криптографические методы защиты" -> 118

Компьютерная безопасность. Криптографические методы защиты - Петров А.А.

Петров А.А. Компьютерная безопасность. Криптографические методы защиты — M.: ДМК, 2000. — 448 c.
ISBN 5-89818-064-8
Скачать (прямая ссылка): comp_safety.pdf
Предыдущая << 1 .. 112 113 114 115 116 117 < 118 > 119 120 121 122 123 124 .. 181 >> Следующая

ФПСУ-IP имеет сертификат Гостехкомиссии, удовлетворяющий требованиям к третьему классу защищенности МЭ в соответствии с РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности». Сертификат № 233 от 29 апреля 1999 года.
ФПСУ-IP обладает следующими функциональными возможностями:
• фильтрация сетевых пакетов уровня IP и TCP в соответствии с задаваемыми администраторами правилами на основе IP-адресов отправителя и получателя, фреймов, инкапсулированных в IP-протоколы, времени и даты передачи пакета, разрешенных портов абонентов (для TCP/UDP-пакетов), а также пар адресов абонентов, для которых разрешено соединение;
• трансляция сетевых адресов отправителя и получателя в межсетевых туннелях, скрывающая внутренние адреса субъекта и объекта информационного взаимодействия (NAT);
• осуществление при туннелировании двусторонней аутентификации;
• применение «проходного» сжатия данных;
• строгая защита передаваемых данных на уровне IP, в том числе от навязывания ранее переданных;
• сокрытие факта использования защитных свойств комплекса. При нарушении правил фильтрации и сбросе пакета на межсетевом экране клиент получает ICMP-сообщение о том, что маршрут не найден.
• регистрация в защищенном хранилище записей статистической информации о функционировании комплекса (в том числе суточный биллинг);
• визуальное отображение на экране попыток нарушения правил фильтрации;
• обеспечение защиты от несанкционированного доступа к информации и ресурсам комплекса посредством идентификации администратора по идентификатору и содержимому памяти электронной таблетки touch memory, а также по паролю условно постоянного действия;
• разделение прав на доступ к работе комплекса для различных классов администраторов с обеспечением учета их активных действий.
Защита информации при межсетевом взаимодействии
289
Центральный офис Филиалы
|Ф щ .,-........... .•^N.............VPN.....n.....
' HP Open View""" ' VPN 1 VPN 1 M
Ethernet \
\
• ' I •ФЛСУ-3 7 Корпоративная (общедоступная сеть) T^Ro
и uter Ethernet
В Ш рпсу-i
I Rou V
tot VPN 2 VPN 2 ФП тМ— ~Ш
Ethernet :
HP Open ^ View/ Администратор ФПСУ
SNMP-агент"


Рис. 3.14. Типовая схема использования ФПСУ-IP
Типовая схема использования ФПСУ-IP приведена на рис. 3.14.
Алгоритмы защиты информации базируются на использовании ГОСТа, но протоколы идентификации, аутентификации, нелинейного преобразования данных и их компрессии, а также обмена аутентификационньши данными (ключами) являются собственными разработками АМИКОНа, выполненными при участии фирмы «ИнфоКрипт», и не соответствуют стандарту IPSec, что, конечно, можно оценивать неоднозначно. В фирменной реализации АМИКОНа не предусмотрена передача пакетного ключа вместе с каждым IP-пакетом, а защита трафика осуществляется на сеансовом ключе, который периодически меняется. При этом объем служебной информации в IP-пакете составляет 18-20 байт. Возможность эффективного сжатия информации также снижает количество передаваемых данных.
Ключевая система ФПСУ-IP является симметричной, то есть на каждом ФПСУ-IP имеется таблица данных парно-выборочной связи, первоначально загружаемая вручную локально. Одновременно в комплексе ФПСУ-IP может находиться по четыре комплекта собственных ключей и все необходимые данные для осуществления парно-выборочной связи для групп (максимально 32) генерации (в каждой группе генерации может быть до 9999 комплектов). Как только производится изменение номера комплекта на одном из ФПСУ-IP системы, все взаимодействующие
10 - з
290 Компьютерная безопасность и практическое применение криптографии
ФПСУ-IP автоматически осуществляют переход на новые комплекты. Использование технологии парно-выборочной связи, конечно, повышает надежность системы, но при этом теряется гибкость ключевой системы, присущая технологии с открытыми ключами. Так, например, остается вопрос обеспечения взаимодействия между организациями, имеющими разные подразделения генерации ключей и соответственно разные ключевые таблицы. По окончании использования всех комплектов ключей новые ключи придется распределять по всем ФПСУ-IP вручную. При увеличении за границы размерности ключевой матрицы числа ФПСУ-IP в системе необходимо генерировать новую матрицу и опять-таки вручную переустанавливать ее на все ФПСУ-IP.
Программный комплекс «Игла-П»
ПК «Игла-П» (МО ПНИЭИ) предназначен для организации защищенных VPN на базе общедоступных сетей передачи данных (создан на основе реализации SKIP-протокола). Применяя ПК «Игла-П», любой абонент защищенной VPN может обмениваться данными с любым другим абонентом VPN, причем шифрование передаваемых данных для абонентов является прозрачным. В ходе организации защиты информации обеспечивается не только шифрование IP-пакетов (инкапсулирование IP-пакета), но и аутентификация сторон информационного обмена.
Кроме того, «Игла-П» обеспечивает фильтрацию входящего трафика, что характерно для средств защиты данного типа. Это функциональное свойство аналогично принципу, лежащему в основе межсетевых экранов, но очевидные ограничения, которые присутствуют при построении средств защиты ПК «Игла-П», не позволяют полномасштабно развернуть систему фильтрации трафика, поэтому задаваемые в нем правила фильтрации носят слишком общий характер. Тем не менее такая функция необходима для надежной эксплуатации рабочей станции, особенно для предотвращения негативных последствий при поступлении некорректной информации от каналов связи или при передаче сообщений абоненту локальной сети.
Предыдущая << 1 .. 112 113 114 115 116 117 < 118 > 119 120 121 122 123 124 .. 181 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed