2). Фильтрация. Большинство МЭ работает только с семейст-вом протоколов TCP/IP, что связано с ориентацией разработчиков на потребности западного рынка. Этого достаточно, если МЭ при-меняется в классическом варианте -- для контроля графика между интрасетью и Internet. Но в России, согласно имеющейся статисти-ке, 90 % рынка сетевых ОС составляет Novell Netware и поэтому важна фильтрация IPX-трафика. Кроме того, совершенно необхо-димой для внутреннего МЭ является способность фильтрации на уровне соединения -- например, фильтрации Ethernet-фреймов. К сожалению, эта возможность реализована в очень немногих про-дуктах (например. Firewall Plus и Eiron Firewall).
3). Построение интрасети -- при объединении сети организа-ции с Internet в качестве транспортной магистрали нужно исходить из имеющейся инфраструктуры. С этой точки зрения много воз-можностей, имеется в Netware: службы каталогов, управления, пе-чати, защиты и работы с файлами; GroupWise и ManageWise управляют электронным документооборотом и сетью; входящий в состав IntranetWare шлюз IPX/IP организует прозрачный доступ с IPX-станций к сервисам TCP/IP с помощью Winsock-совместимого клиентского ПО. Тогда IPX-сервер и IPX-станция не имеют IP-адресов и из Internet в принципе не видны. Поэтому организация атаки на их информационные ресурсы практически невозможна и защита IP-хостов гетерогенной сети IP-IPX решается проще, так как шлюз выполняет по отношению к ним функции МЭ. Примеры таких МЭ: BorderManager фирмы Novell и NetRoad FireWALL фирмы UkiahSoft.
4). Простота эксплуатации. Чтобы снизить текущие эксплуа-тационные расходы, лучше отдать предпочтение простым в экс-плуатации продуктам с интуитивно понятным графическим ин-терфейсом, иначе богатые возможности по настройке МЭ могут оказаться невостребованными. Этому критерию хорошо соответ-ствуют два продукта -- Firewall Plus фирмы Network-1 и NetRoad FireWALL фирмы UkiahSoft.
Российский стандарт шифрования данных ГОСТ 28147-89
Единственный в настоящее время коммерческий российский алгоритм ГОСТ 28147-89 является универсальным алгоритмом криптографической защиты данных как для крупных информационных систем, так и для локаль-ных вычислительных сетей и автономных компьютеров.
Многолетний опыт использования данного алгоритма показал его высокую надежность и удачную конструкцию. Этот алгоритм может реализовываться как аппаратным, так и программным способом, удовлетворяет всем крипто-графическим требованиям, сложившимся в мировой практике. Он также по-зволяет осуществлять криптозащиту любой информации, независимо от сте-пени ее секретности.
В алгоритме ГОСТ 28147-89 используется 256-разрядный ключ, представляемый в виде восьми 32-разрядных чисел, причем, расшифровываются данные с помощью того же ключа, посредством которого они были зашифрованы.
Необходимо отметить, что алгоритм ГОСТ 28147-89 полностью удовле-творяет всем требованиям криптографии и обладает всеми достоинствами алгоритма DES, но лишен его недостатков. В частности, за счет использова-ния специально разработанных имитовставок он позволяет обнаруживать как случайные, так и умышленные модификации зашифрованной информации. В качестве недостатка российского алгоритма надо отметить большую слож-ность его программной реализации и недостаточно высокую скорость работы.[1]
СУБД “Линтер-ВТ”, разработанной ВНИИ автоматизации управления в непромышленной сфере воронежской фирмой “Рэлекс”, производство которых сертифицировано. Специалисты Лос-Аламосской лаборатории в США считают, что СУБД “Линтер-ВТ” не уступает СУБД фирмы Oracle (“родная” Oracle, чтобы быть сертифицированной, требует доработки, а, кроме того, любой западный продукт может получить сертификат только на определенные партии продуктов, поскольку их производство находится за рубежом). [4]
Криптографические средства семейства “Верба-О” производства МОПНИЭИ(сертифицированы ФАПСИ) . Универсальность установок по умолчанию. Внутренние изменения интерфейса при смене средств незначительны. Спектр применения интерфейса системы защиты информации, приведенного в качестве примера,продукта, приведённого в качестве примера, в весьма широк. Это системы контроля доступа к ресурсам банковской системы (как локальное использование в офисе банка для операторов и клиентов, так и контроль удаленного доступа), системы “банк-клиент”, платежи через Интернет, защищенная почта и многие другие. [3]
Очень важным вопросом защиты информации является интеграция программно - аппаратных средств обеспечения информационной безопасности. По мнению В. С. Барсукова, имеется явно выраженная тенденция ко все большей интеграции различных средств и систем связи, что вызывает необходимость единого интегрального подхода к регистрации, хранению и обеспечению безопасности всех видов передаваемой информации. Современ-ные СП-приложения с использованием интегрального подхода позволяют обеспечить реализацию интегральных программно-аппаратных средств защи-ты информации с заданными оперативно-техническими характеристиками. [1]
Из современных отечественных интегральных устройств защиты инфор-мации в качестве примера реализации можно отметить разработки фирмы "Силуэт". Отечественная интегральная система "Калейдоскоп- плюс" предна-значена для передачи с помощью ПК закрытой текстовой и факсимильной информации по общедоступным каналам связи. В процессе работы информа-ция приводится к единому цифровому виду и шифруется по алгоритму шиф-рования в соответствии с ГОСТ 28147-89. Скорость шифрования - 3 кбод. Система имеет возможность выработки собственных ключей. Скорость пере-дачи информации до 1200 бод с вероятностью ошибки на знак, равной 10 в степени (-8). Информация передается по каналам связи с использованием типовых модемов отечественного или зарубежного производства. Возможно включение в систему редактора текстовой информации требуемого типа.
Абонентский пункт "МАГ" предназначен для коммерческой шифрованной связи по коммутируемым телефонным и телеграфным каналам. Он обеспечивает:
· передачу факсимильной информации;
· автоматическое опознавание абонента;
· скорость шифрования 40 кбод;
· скорость передачи информации до 1200 бод (вероятность ошибки на знак равна 10 в степени (-6);
· криптозащиту информации на дисках и в канале связи;
· имитозащиту (контроль целостности данных);
· диалоговый режим;
· использование открытых ключей.
Состав абонентского пункта "МАГ":
· IBM PC;
· модем;
· устройство речевого ввода/вывода на основе микросхемы TMS 320C25;
· факсимильный аппарат OKIFAX;
· ПО.
Удачной отечественной разработкой является интегральное терми-нальное устройство "Индекс" фирмы "Скинер", которое предназначено для закрытой передачи речевой, графической, буквенно-цифровой и другой ин-формации по стандартным коммерческим телефонным каналам связи. Инте-гральное устройство выполнено в виде печатной платы к ПК IBM PC и спе-циального программного обеспечения. Возможен вариант реализации в виде внешнего блока, подключаемого к ПК через параллельный порт. Необходимо отметить, что поскольку аппаратное и программное обеспечение данного ин-тегрального устройства являются общими, то реально выделить в явном виде функциональные блоки устройства не представляется возможным. Поэтому для пояснения возможностей и проведения дальнейшего анализа на рис.1 показаны состав и основные функциональные связи между виртуальными блоками (одни и те же элементы и фрагменты программ могут быть исполь-зованы различными блоками).
Как видно из рисунка, основной особенностью данного терминального устройства является не только его многофункциональность (модем, автосек-ретарь, устройство защиты и т. п.), интеграция различных видов сигналов (телефонных, телеграфных, факсимильных, компьютерных и др.), но и инте-грация различных видов обеспечения безопасности (охрана, физическая и экологическая защита, криптозащита, защита от побочных электромагнит-ных излучений и наводок и др.).
К персональному компьютеру телефонной линии
от датчиков к внешним устройствам
Рис. 1 Функциональная схема интегрального терминального устройства
Основные характеристики и функциональные возможности интегрального терминального устройства "Индекс" в кратком виде представлены в табл. 1.
Таблица 1. Основные характеристики и возможности устройства "Индекс"
Наименование виртуального блока
Характеристики и функциональные возможности
Выдача речевых сооб-щений
28147-89)
информации
подпись
Коррекция ошибок по протоколу MNP-5 и выше
Перепроверка номе-ра абонента и коди-рование
до 9600 бод
ГОСТ 28147-8Э
Сжатие передаваемой информации
Рассылка
в журнал учета
сообщений
Автонабор записан-ных в память номе-ров
сообщения о нарушении
шума)
Выделяют следующие основ-ные особенности интегрального терминального устройства "Индекс":
· реализация возможностей компьютерно-телефонной интеграции;
· наличие специального математического обеспечения, представляющего собой единую систему с дружественным пользователю интерфейсом и обеспечивающего единый порядок регистрации и хранения поступаю-щих данных (речевых, факсимильных, цифровых);
· дистанционное управление системой с помощью устройств тонального набора;
· возможность единого подхода к шифрованию и обеспечение заданного уровня защиты для всех видов информации;
· возможность использования интегрального подхода к обеспечению безопасности;
· интеграция различных функций в едином устройстве. [1]
Анализ современного российского рынка технических средств и услуг обеспечения безопасности показывает, что в настоящее время насчитывается уже более 2 тыс. предприятий и фирм, активно предоставляющих свои услу-ги и поставляющих специальные технические средства обеспечения безопас-ности, номенклатура которых уже составляет десятки тысяч наименований. Поэтому основным информационным источником стоимостных и технических характеристик средств и услуг обеспечения безопасности становятся инфор-мационно-справочные материалы в виде справочников, каталогов, пособий, БД и т. п. Роль и ценность подобных информационно-справочных материалов постоянно растет, и их трудно переоценить[1].
Результаты анализа показывают, что в последнее время наметилась тен-денция к замедлению темпов развития рынка, причем стабилизация опреде-ляется главным образом не столько насыщенностью рынка, сколько нерешенностью ряда организационно-правовых вопросов и ограниченными финан-совыми возможностями большинства пользователей (учитывая достаточно высокую стоимость специальной техники). По мере стабилизации экономики следует ожидать значительного всплеска интереса к производству и реализа-ции технических средств обеспечения безопасности.
Основной отличительной особенностью современного российского рынка приходится признать подавляющее господство зарубежных технических средств обеспечения безопасности. В предыдущие 5 лет в России подготов-лена соответствующая почва для массового выхода зарубежных фирм -производителей техники безопасности на современный российский рынок технических средств и услуг обеспечения безопасности, что подтверждает-ся активным участием их представителей в выставках "МИЛИПОЛ", "Безопасность", "Секьюрити - экспо", "Банк и офис", "MIPS", "Банк", "Интерполитех" и др. Однако необходимо отметить, что ведущие компании За-пада в области безопасности, как правило, сегодня еще напрямую на рос-сийский рынок не выходят. Их товары представляют в основном россий-ские фирмы-интеграторы.
Интенсивное количественное и качественное развитие современного рос-сийского рынка вызвало серьезные изменения в политике фирм - поставщи-ков технических средств и услуг обеспечения безопасности. Появившаяся в последние годы серьезная конкуренция заставила многие фирмы больше внимания уделять вопросам качества, удлинять гарантийные сроки, вводить дополнительную систему скидок, предлагать покупателю комплексные услу-ги, начиная с консультаций, поставки технических средств, обследования защищаемых помещений и заканчивая сервисным обслуживанием (профи-лактикой и ремонтом).
Несмотря на активное продвижение продукции зарубежных фирм - изго-товителей и распространителей техники безопасности в Россию, основная их часть до настоящего времени продолжает занимать рынок главным образом регионов Москвы, Санкт-Петербурга и Екатеринбурга[1].
Проведенный анализ рынка услуг обеспечения безопасности показывает, что в настоящее время используется три основных подхода к решению задач обеспечения информационной безопасности: индивидуальный подход с после-довательным решением частных задач обеспечения безопасности, комплекс-ный подход с одновременным решением комплекса задач, направленных на достижение единой цели, и интегральный подход - решение задач обеспече-ния безопасности с использованием общих (единых) технических средств и ПО на принципах интегральной безопасности.
Как правило, в предыдущие годы использовался индивидуальный подход (надо, например, обеспечить безопасность телефонной связи - покупалось устройство закрытия телефонных переговоров). Этот подход является еще основным на современном российском рынке. Однако сегодня уже многие фирмы предлагают целый комплекс услуг и соответствующих технических средств для решения задач обеспечения безопасности. Так, например, про-блему безопасности телефонной связи подобные фирмы решают комплексно с одновременным решением ряда задач контроля доступа, физической защи-ты, закрытия технических каналов утечки информации и использования криптографического закрытия. Естественно, что во-втором случае эффектив-ность решения проблемы обеспечения безопасности будет значительно выше, чем в первом.[1]
Интегральный подход делает только первые шаги, и только некоторые от-дельные фирмы могут предложить сегодня, например, для решения задачи обеспечения информационной безопасности программно-аппаратные ком-плексы обеспечения безопасности, позволяющие на базе единого ПК (инте-гральной системы) обеспечить безопасность всех видов информации (голосо-вой, визуальной, буквенно-цифровой и т. п.) при ее обработке, хранении и передаче по каналам связи. Конечно, интегральный подход требует исполь-зования наиболее сложных информационных технологий и является в на-стоящее время более дорогим, чем традиционные. Но он является более эф-фективным и перспективным.
1. Барсуков В. С. Безопасность: технологии, средства, услуги. - М.:КУДИЦ-ОБРАЗ, 2001. - 496 с.;
2. Милославская Н.Г., Толстой А.И. Интрасети: доступ в Internet, защита: Учеб. пособие для вузов. - М.: ЮНИТИ-ДАНА, 2000. - 527 с.;
3. Аврин С. Безопасность информации в АБС // Банковские технологии № 6, 1998;
4. Володин А. Защищенность информации // Банковские технологии № 5, 1998;
5. Кузнецов А., Трифаленков И. Чем измерять защищенность информационных систем // Банковские технологии №8, 1997;
Страницы: 1, 2, 3, 4
