Vipnet coordinator hw1000 инструкция по настройке

Документация на продукты ViPNet представлена в виде zip-архивов или непосредственно в виде pdf-файлов. Для просмотра документации Вам понадобится бесплатная программа Adobe Acrobat Reader. Вы ее можете скачать с сайта компании Adobe.

Предложите, как улучшить StudyLib

(Для жалоб на нарушения авторских прав, используйте

другую форму
)

Воронежский институт МВД России
Кафедра информационной безопасности
УТВЕРЖДАЮ
Заместитель начальника кафедры
информационной безопасности
полковник полиции
А.В. Мельников
«___» ___________ 2018 г.
Тезисы лекции
по программе повышения квалификации
сотрудников подразделений территориальных органов МВД России по теме:
«ПАК ViPNet Coordinator HW1000/2000,
правила эксплуатации и обработки информации»
(c использованием системы дистанционных образовательных технологий)
Блок дистанционного обучения в системе MOODLE
Тема №2. «Защита каналов связи ИМТС МВД России с помощью программно-аппаратной технологии ViPNet»
Лекция №1. «Принципы организации защищенной телекоммуникационной инфраструктуры»
Подготовил:
старший преподаватель кафедры
информационной безопасности
подполковник полиции
С.В. Зарубин
Обсуждены и одобрены
на заседании
методической секции кафедры
информационной безопасности
протокол № __ от _______ 2018 г.
Обсуждены и одобрены
на заседании кафедры
информационной безопасности
протокол № __ от _______ 2018 г.
Воронеж 2018
1. Принципы организации защищенной телекоммуникационной инфраструктуры.
Обеспечение информационной безопасности в телекоммуникационных системах актуально, прежде всего, для организаций со сложной, территориально-распределенной, многоуровневой структурой: крупных банков, транснациональных и государственных компаний. Зачастую телекоммуникационные системы подобных организаций построены с использованием оборудования различных поколений и от разных производителей, что заметно усложняет процесс управления информационной системой. Не исключением является и распределенная телекоммуникационная система органов внутренних дел – так называемая интегрированная мультисервисная телекоммуникационная сеть (ИМТС).
Телекоммуникационная система ОВД отличается разнородностью, ее сегменты состоят из различных баз, наборов распределенных систем и задач локального характера. Это делает внутриведомственные ресурсы особенно уязвимыми. В процессе обмена данными между сотрудниками ОВД сети могут быть поражены вредоносными программами, которые разрушают базы данных и осуществляют передачу сведений третьим лицам.
Итак, что же относится к главным угрозам телекоммуникационной системы ОВД? По мнению специалистов, наиболее серьезную опасность для информационной инфраструктуры сегодня представляют вирусы (троянское ПО, черви), шпионское и рекламное программное обеспечение, спам и фишинг-атаки типа «отказ в обслуживании» и социальный инжиниринг. Причем источником угроз могут быть как удаленные пользователи, так и сотрудники локального сегмента ИМТС (часто ненамеренно).
Реализация вредоносных алгоритмов может привести как к парализации системы и ее сбоям, так и к утере, подмене или утечке информации. Все это чревато огромными потерями для ведомства.
Таким образом, главными задачами любой системы информационной безопасности являются:
• обеспечение доступности данных для авторизированных пользователей – возможности оперативного получения информационных услуг;
• гарантия целостности информации – ее актуальности и защищенности от несанкционированного изменения или уничтожения;
• обеспечение конфиденциальности сведений.
Для решения обозначенных целей сегодня применяются такие методы защиты информации, как регистрация и протоколирование, идентификация и аутентификация, управление доступом, создание межсетевых экранов и криптография. Однако о них, как и о конкретных программных продуктах на их основе, мы поговорим несколько позже.
Стоит отметить, что важность обеспечения информационной безопасности оценена и на государственном уровне, что отражается в требованиях нормативно-правовых актов, таких как:
• Гражданский кодекс РФ.
• Федеральный закон от 29.06.2004 г. № 98-ФЗ «О коммерческой тайне».
• Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
• Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных».
• Федеральный закон от 6.04.2011 г. № 63-ФЗ «Об электронной подписи».
Необходимо остановиться о регуляторах в области информационной безопасности телекоммуникационных систем.
Регуляторами в области информационной безопасности в РФ являются: Федеральная служба по техническому и экспортному контролю, Федеральная служба безопасности, Федеральная служба охраны, Министерство обороны РФ, Министерство связи и массовых коммуникаций РФ, Служба внешней разведки РФ и Банк России.
Так, регуляторами выдвигаются следующие требования к защите данных в компьютерных сетях:
• использование лицензионных технических средств и ПО;
• проведение проверки объектов информации на соответствие нормативным требованиям по защищенности;
• составление списка допустимых к применению программных средств и запрет на использование средств, не входящих в этот перечень;
• использование и своевременное обновление антивирусных программ, проведение регулярных проверок компьютеров на предмет заражения вредоносными ПО;
• разработка способов профилактики по недопущению попадания вирусов в сеть;
• разработка методов хранения и восстановления зараженного ПО.
В банковских структурах также необходимо обеспечивать разграничение доступа к данным для предотвращения преступных действий со стороны сотрудников и внедрять методы шифрования данных с целью обеспечения безопасности проведения электронных денежных операций.
Комплексный подход при построении системы информационной безопасности и защиты информации.
Надежную защиту информации в телекоммуникационной системе может обеспечить только комплексный подход, подразумевающий одновременное использование аппаратных, программных и криптографических средств (ни одно из этих средств в отдельности не является достаточно надежным). Подобный подход предусматривает анализ и оптимизацию всей системы, а не отдельных ее частей, что позволяет обеспечить баланс характеристик, тогда как улучшение одних параметров нередко приводит к ухудшению других.
Стандартом построения системы безопасности является ISO 17799, который предусматривает внедрение комплексного подхода к решению поставленных задач. Соблюдение данного стандарта позволяет решить задачи по обеспечению конфиденциальности, целостности, достоверности и доступности данных.
Организационные меры, принимаемые при комплексном подходе, являются самостоятельным инструментом и объединяют все используемые методы в единый целостный защитный механизм. Такой подход обеспечивает безопасность данных на всех этапах их обработки. При этом правильно организованная система не создает пользователям серьезных неудобств в процессе работы.
Комплексный подход включает детальный анализ внедряемой системы, оценку угроз безопасности, изучение средств, используемых при построении системы, и их возможностей, анализ соотношения внутренних и внешних угроз и оценку возможности внесения изменений в систему.
Таким образом, для обеспечения защиты информации необходимо предпринимать следующие меры:
• формирование политики безопасности и составление соответствующей документации;
• внедрение защитных технических средств.
И хотя 60–80% усилий по обеспечению безопасности в крупных телекоммуникационных системах направлено на реализацию первого пункта, второй является не менее, а возможно и более, важным.
Что касается угроз, то для телекоммуникационных систем можно выделить следующие из наиболее часто встречающихся:
1. Прослушивание каналов, т.е. запись и последующий анализ всего проходящего потока сообщений. Прослушивание в большинстве случаев не замечается легальными участниками информационного обмена.
2. Умышленное уничтожение или искажение (фальсификация) про­ходящих по сети сообщений, а также включение в поток ложных сообще­ний. Ложные сообщения могут быть восприняты получателем как под­линные.
3. Присвоение злоумышленником своему узлу или ретранслятору чужого идентификатора, что дает возможность получать или отправлять сообщения от чужого имени.
4. Преднамеренный разрыв линии связи, что приводит к полному прекращению доставки всех (или только выбранных злоумышленником) сообщений.
5. Внедрение сетевых вирусов, т.е. передача по сети тела вируса с его последующей активизацией пользователем удаленного или локального узла.
В соответствии с этим специфические задачи защиты в сетях пере­дачи данных состоят в следующем:
1. Аутентификация одноуровневых объектов, заключающаяся в подтверждении подлинности одного или нескольких взаимодействующих объектов при обмене информацией между ними.
2. Контроль доступа, т.е. защита от несанкционированного исполь­зования ресурсов сети.
3. Маскировка данных, циркулирующих в сети.
4. Контроль и восстановление целостности всех находящихся в сети данных.
5. Арбитражное обеспечение, т.е. защита от всевозможных отказов от отправки, приема или содержания отправленных или принятых данных.
2. Механизмы защиты информации в телекоммуникационной инфраструктуре.
Для решения перечисленных задач в телекоммуникационных системах создаются специальные ме­ханизмы защиты. Их перечень и содержание для общего случая могут быть представлены следующим образом.
1. Механизмы аутентификации, т.е. опознавания* пользователей, обращающихся к ресурсам сети, и представляемых им ресурсов. Для этих целей используются общеизвестные пароли, вводимые в открытом или зашифрованном виде, индивидуальные характеристики опознаваемых субъектов или объектов. В последнее время для опознавания пользовате­лей все большее распространение получают так называемые идентифика­ционные карточки.
2. Механизмы контроля доступа, осуществляющие проверку пол­номочий субъекта или объекта на право использования им запраши­ваемого ресурса. Для обеспечения указанного контроля используются списки полномочий, матрицы доступа, мандаты доступа и т.п.
3. Механизмы шифрования данных, используемые для обеспечения секретности находящихся в сети данных. Для указанных целей использу­ются два класса криптографического преобразования данных: симмет­ричные, осуществляемые с использованием секретного ключа и асиммет­ричные, осуществляемые с использованием ключей общего пользования. Непременным условием функционирования механизма шифрования яв­ляется наличие подсистемы (службы) управления распределением ключей.
4. Механизмы цифровой (электронной) подписи, включающие две подсистемы: закрытия блоков данных и проверки закрытых блоков. За­крытие блоков данных осуществляется шифрованием таким образом, что образуемый шифртекст является функцией персональных ключей подпи-сантов, содержания подписываемого текста и, быть может, некоторых дополнительных параметров (цаты, времени суток, идентификатора ЭВМ и т.п.). Проверка закрытых блоков, например, в случае возникновения конфликтных ситуаций достигается созданием службы арбитража, кото­рой должны быть известны все реквизиты подписи и решениям которой подчинялись бы участники обмена данными в сети.
5. Механизмы обеспечения целостности среды передачи и данных, причем выделяются два аспекта целостности: целостность одного блока данных (или поля памяти) и целостность потока блоков данных.
Обеспечение целостности одного блока данных достигается тем, что на передающем объекте к блоку передаваемых данных прибавляется признак, значение которого является некоторой функцией данных блока (например, контрольной суммой), а на принимающем объекте вычисляет­ся значение этого признака по принятому блоку, которое затем сравни­вается с полученным его значением.
Целостность потока блоков достигается последовательной нумера­цией передаваемых блоков.
6. Механизмы управления маршрутом, предназначенные для защи­ты от попыток несанкционированного изменения маршрута передачи данных: при обнаружении таких попыток маршрут передачи изменяется.
7. Механизмы освидетельствования, предназначенные для обеспе­чения объективного разрешения конфликтных ситуаций, возникающих в процессе передачи-приема данных в сети. Суть их заключается в анализе сложившейся ситуации третьей стороной (арбитром), которой должны доверять обе взаимодействующие стороны и которая обладает информа­цией, необходимой для объективного освидетельствования.
Особенности защиты информации в вычислительных сетях обусловлены тем, что сети, обладающие несомненными (по сравнению с ло­кальными ЭВМ) преимуществами обработки информации, усложняют организацию защиты, причем основные проблемы при этом состоят в следующем.
1) Разделение совместно используемых ресурсов. В силу совместного использования большого количества ресурсов различными пользовате­лями сети, возможно находящимися на большрм расстоянии друг от дру­га, сильно повышается риск НСД — в сети его можно осуществить проще и незаметнее.
2) Расширение зоны контроля. Администратор или оператор от­дельной системы или подсети должен контролировать деятельность поль­зователей, находящихся вне пределов его досягаемости, возможно в дру­гой стране. При этом он должен поддерживать рабочий контакт со сво­ими коллегами в других организациях.
3) Комбинация различных программно-аппаратных средств. Соеди­нение нескольких систем, пусть даже однородных по характеристикам, в сеть увеличивает уязвимость всей системы в целом. Система настроена на выполнение своих специфических требований безопасности, которые мо­гут оказаться несовместимы с требованиями на других системах. В слу­чае соединения разнородных систем риск повышается.
4) Неизвестный периметр. Легкая расширяемость сетей ведет к то­му, что определить границы сети подчас бывает сложно; один и тот же узел может быть доступен для пользователей различных сетей.
Более того, для многих из них не всегда можно точно определить сколько пользователей имеют доступ к определенному узлу и кто они.
5) Множество точек атаки. В сетях один и тот же набор данных или сообщение могут передаваться через несколько промежуточных уз­лов, каждый из которых является потенциальным источником угрозы. Естественно, это не может способствовать повышению защищенности се­ти. Кроме того, ко многим современным сетям можно получить доступ с помощью коммутируемых линий связи и модема, что во много раз увели­чивает количество возможных точек атаки. Такой способ прост, легко осуществим и трудно контролируем; поэтому он считается одним из наи­более опасных. В списке уязвимых мест сети также фигурируют линии связи и различные виды коммуникационного оборудования: усилители сигнала, ретрансляторы, модемы и т.д.
6) Сложность управления и контроля доступа к системе. Многие атаки на сеть могут осуществляться без получения физического доступа к определенному узлу — с помощью сети из удаленных точек. В этом случае идентификация нарушителя может оказаться очень сложной, если не не­возможной. Кроме того, время атаки может оказаться слишком мало для принятия адекватных мер.
3. Программно-аппаратные средства защиты информации в телекоммуникационной инфраструктуре.
К основным программно-аппаратным средствам относятся:
1. Межсетевые экраны. Они обеспечивают разделение сетей и предотвращают нарушение пользователями установленных правил безопасности. Современные межсетевые экраны отличаются удобным управлением и большим функционалом (возможностью организации VPN, интеграции с антивирусами и др.).
В настоящее время наблюдаются тенденции:
• к реализации межсетевых экранов аппаратными, а не программными средствами (это позволяет снизить затраты на дополнительное оборудование и ПО и повысить степень защищенности);
• к внедрению персональных межсетевых экранов;
• к ориентации на сегмент SOHO, что приводит к расширению функционала данных средств.
2. Антивирусная защита информации. Усилия крупнейших производителей направлены на обеспечение эшелонированной защиты корпоративных сетей. Разрабатываемые системы защищают рабочие станции, а также закрывают почтовые шлюзы, прокси-серверы и другие пути проникновения вирусов. Эффективным решением является параллельное использование двух и более антивирусов, в которых реализованы различные методы обнаружения вредоносного ПО.
3. Системы обнаружения атак. Подобные системы тесно интегрированы со средствами блокировки вредоносных воздействий и с системами анализа защищенности. Система корреляции событий акцентирует внимание администратора только на тех событиях, которые могут нанести реальный ущерб инфраструктуре компании. Производители IDS стремятся к повышению скоростных показателей своих разработок.
4. Контроль доступа и средства защиты информации внутри сети. С целью обеспечения безопасности данных крупными компаниями проводится автоматизация управления информационной безопасностью или создание общей консоли управления, а также разграничение доступа между сотрудниками согласно их функционалу. В области средств создания VPN отмечается стремление к повышению производительности процессов шифрования и обеспечения мобильности клиентов (то есть доступа к сведениям с любого устройства). Разработчики систем контроля содержимого стремятся добиться того, чтобы созданные ими системы не создавали дискомфорта пользователям.
4. Тенденции в сфере комплексной защиты информации телекоммуникационных систем.
Комплексные средства защиты информации меняются со временем и определяются прежде всего текущими экономическими условиями и существующими угрозами. Так, увеличение количества вредоносных атак и экономический кризис заставляют российские компании и госструктуры выбирать только реально работающие решения. Этим объясняется смена ориентиров.
Если раньше корпорации были нацелены в первую очередь на выполнение требований регуляторов, то теперь им не менее важно обеспечить реальную безопасность бизнеса путем внедрения соответствующих программных и аппаратных средств. Все больше компаний стремится интегрировать защитные средства с другими системами ИТ-структур, в частности, SIEM. Функция администрирования средств защиты передается от подразделений безопасности в ИТ-отделы.
В последнее время руководителями компаний и ИТ-директорами уделяется особое внимание технологичности применения, совместимости и управляемости средств защиты. Отмечается переход от простого поиска уязвимостей (чисто технического подхода) к риск-ориентированному менеджменту (к комплексному подходу).
Все более важными для клиентов становятся наглядность отчетности, удобство интерфейса, обеспечение безопасности виртуальных сред при работе с мобильными устройствами. В связи с увеличением доли целевых атак растет спрос на решения в области защищенности критических объектов и инфраструктуры (расследования компьютерных инцидентов, предотвращение DDoS-атак).
Цена организации корпоративной системы защиты сведений складывается из множества составляющих. В частности, она зависит от сферы деятельности компании, количества сотрудников и пользователей, территориальной распределённости системы, требуемого уровня защищенности и др. На стоимость работ влияет цена приобретаемого оборудования и ПО, объем выполняемых работ, наличие дополнительных сервисов и другие факторы.
Так, стоимость программно-аппаратного комплекса Cisco WebSecurity варьируется от $170 (при количестве пользователей до 1000) до $670 (5000–10 000 пользователей). Локально развертываемое устройство McAfee WebGateway стоит от $2000 до $27 000. Цена веб-фильтра Websense WebSecurity может достигать $40 000.
Стоимость Barracuda WebFilter стартует от $1500 за оборудование, обслуживающее до 100 пользователей одновременно (аппарат для обслуживания 300–8000 пользователей обойдется в $4000). При этом ежегодное обновление ПО обойдется еще в $400–1100. Приобрести GFI WebMonitor для 100 пользователей на один год можно за 208 000 рублей ($2600).
Итак, современная информационная безопасность телекоммуникационной системы базируется на концепции комплексной защиты информации, подразумевающей одновременное использование многих взаимосвязанных программно-аппаратных решений и мер социального характера, которые поддерживают и дополняют друг друга.