Назначение комплекса
Распространение новых информационных технологий сопровождается возникновением таких нежелательных явлений, как промышленный шпионаж, компьютерная преступность и попытки несанкционированного доступа к конфиденциальной информации.
В такой ситуации решающее значение приобретает проблема защиты информации от НСД в системах и средствах информатизации коллективного пользования на базе вычислительных сетей - соединённых каналами связи систем обработки данных, ориентированных на конкретного пользователя.
Любое современное предприятие независимо от вида деятельности и форм собственности не может успешно развиваться и вести хозяйственную деятельность без создания надёжной системы защиты от НСД, включающей не только организационно - нормативные меры, но и технические средства, прежде всего программно-аппаратные, для организации контроля безопасности информации при её обработке, хранении и передаче в автоматизированных системах.
Программно-аппаратный комплексы "ФПСУ-Х.25" (или Сетевой фильтр X.25) позволяют создавать в общей транспортной сети (ОТС) виртуальные частные сети (VPN) с повышенной степенью защиты от НСД (в том числе на принципах туннелирования), осуществляя контроль и управление входящими и исходящими межсетевыми потоками информации, обеспечивая при этом в 2-4 раза повышенную (по отношению к ОТС) пропускную способность таких VPN при безопасном взаимодействии подсетей. При прохождении потоков данных по сети комплекс контролирует их посредством фильтрации, т.е. анализа их по совокупности критериев и принятия решения о возможности их дальнейшей передачи, т.е. защищает их от НСД к информации и ресурсам.
Программно-аппаратный комплекс "ФПСУ X.25" разработан для использования в сетях, использующих протокол ITU/T X.25. Сетевой протокол выполняет управление коммуникационными ресурсами, маршрутизацию пакетов, их компоновку для передачи в сети. Управление доступом на сетевом уровне позволяет отклонять нежелательные вызовы и дает возможность различным подсетям управлять использованием ресурсов сетевого уровня.
В комплексе реализовано также выполнение требований по защите в части проверки подлинности сетевых ресурсов, источника и приемника данных, принимаемых сообщений, проведения контроля доступа к ресурсам сети.
Программное обеспечение комплекса позволяет обслуживать коммутируемые виртуальные каналы (SVC - switched virtual channel).
Комплекс СЗИ НСД "ФПСУ-Х.25" представляет собой сложную многокомпонентную систему с широкими возможностями. Этот комплекс устанавливается на специально выделенный компьютер (в том числе промышленного исполнения) с целью фильтрации вызовов и защиты местных подсетей, автоматического сбора и хранения статистической информации о работе абонентов и самого комплекса и позволяет осуществлять дистанционный контроль и управление своей работой с автоматизированного рабочего места (АРМ) удаленного Администратора, организованного на другом компьютере, подключенном к первичной транспортной сети и/или местной подсети.
Комплекс не имеет собственного сетевого адреса и к нему не может быть осуществлено обращение по сети. Компьютер с установленной подсистемой удаленного администрирования комплекса имеет сетевой адрес, но соединение по сети с ним могут осуществлять только взаимно зарегистрированные межсетевые экраны (СЕТЕВЫЕ ФИЛЬТРЫ Х.25 или коротко СФ).
Основные характеристики системы защиты, реализованной в комплексе:
Программно-аппаратный комплекс "ФПСУ-Х.25" удовлетворяет следующим требованиям РД "CВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации", Гостехкомиссия России, 1997г., предъявляемым к классам защищенности от НСД "3" и выше:
Показатель защищенности |
Комплекс "ФПСУ-Х.25" |
Управление доступом | Фильтрация служебных пакетов |
Фильтрация запросов по адресам отправителя и получателя | |
Фильтрация запросов по совокупности значений любых полей и интерфейсов | |
Фильтрация запросов с учетом времени и даты | |
Фильтрация запросов по направлению вызова | |
Использование специализированных алгоритмов сжатия межсетевого трафика с целью сокрытия трафика субъектов/объектов, повышения скорости передачи данных, уменьшения затрат на эксплуатацию сети | |
Использование альтернативных линий передачи данных с целью сокрытия субъектов/объектов с трансляцией сетевых адресов | |
Идентификация и аутентификация | Идентификация и аутентификация методами, устойчивыми к пассивному и активному перехвату сети |
Передача данных по виртуальному каналу идентифицированных и аутентифицированных абонентов с преобразованием посредством наложения случайной логической маски, выработанной в процессе аутентификации | |
Регистрация | Регистрация и учет фильтруемых пакетов со следующими параметрами: адресами отправителя и получателя, временем и результатом фильтрации |
Локальная сигнализация попыток нарушения правил фильтрации | |
Регистрация и учет запросов на установление виртуальных соединений | |
Дистанционная сигнализация попыток нарушения правил фильтрации | |
Программируемая дистанционная реакция на события в МЭ | |
Удаленный доступ и контроль к регистрационной информации | |
Возможность автоматического анализа регистрационной информации с целью предоставления требуемых данных по заданным условиям | |
Администрирование (идентификация и аутентификация) | Идентификация администратора МЭ при локальных запросах на доступ по зарегистрированному электронному ТМ-идентификатору |
Аутентификация администратора МЭ при локальных запросах на доступ по паролю условно-постоянного действия | |
Разграничение прав доступа для различных классов локальных администраторов | |
Регистрация, учет и регламентный контроль корректности зарегистрированных ТМ-идентификаторов | |
Препятствование доступа неидентифицированного субъекта, подлинность идентификации которого при аутентификации не подтвердилась | |
Идентификация и аутентификация удалённого администратора методами, устойчивыми к активному перехвату информации в сети | |
Идентификация и аутентификация удалённого администратора при запросах на доступ к подсистеме удалённого администрирования | |
Администрирование (регистрация) | Регистрация входа локального и удалённого администраторов в МЭ |
Регистрация запуска процессов и программ МЭ | |
Регистрация действий администратора по изменению правил фильтрации | |
Дистанционная сигнализация об изменениях правил фильтрации удаленными администраторами и фактов перезапуска МЭ локальными администраторами с программируемой реакцией | |
Администрирование (удобство, гибкость и простота использования) | Возможность дистанционного управления компонентами МЭ, в том числе конфигурирования МЭ, проверки взаимной согласованности всех МЭ и анализа регистрационной информации |
Автоматический анализ регистрационной информации с графическим отображением результатов анализа и программируемой сигнализацией на события | |
Графический интерфейс для удалённого централизованного контроля и управления МЭ | |
Автоматический мониторинг состояния удалённых МЭ | |
Обеспечение целостности (программной и информационной частей) | Наличие средств контроля за целостностью программных и информационных частей |
Автоматический контроль целостности среды функционирования МЭ и информации на жестком диске МЭ | |
Автоматический контроль целостности информации на установочных дискетах в процессе инсталляции | |
Восстановление | Автоматическое восстановление свойств МЭ после сбоя или отказов сетевого оборудования |
Автоматическое восстановление свойств МЭ в случае неполадок в глобальной сети и/или выхода из строя сетевого оборудования | |
Восстановление при сбоях считывания информации с установочных дискет при инсталляции МЭ | |
Восстановление после аварии жесткого диска компьютера МЭ |
[] []