Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Комплексный подход к построению защищенных систем конструкторского документооборота
В.М.Зима, к.т.н., компания Эврика, v_zima@eureca.ru
Несмотря на совершенствование технологий в области защиты информации, уязвимость
автоматизированных систем продолжает возрастать. Основная причина сложившейся
ситуации состоит в отсутствии комплексного подхода к решению проблемы информационно-компьютерной
безопасности. Это приводит не только к ошибкам построения систем защиты, но
и к недостаткам в поддержании их актуального состояния. Указанная проблема наиболее
остра для автоматизированных систем конструкторского документооборота, где в
большинстве случаев обрабатывается и хранится информация ограниченного доступа.
Главный принцип комплексного подхода к построению защищенных автоматизированных
систем учет всех исходных требований, существующих угроз и влияющих на безопасность
факторов при комплексном использовании наиболее эффективных мер, методов и средств
защиты. Специалистами компании Эврика в качестве приоритетных выделяются четыре
аспекта рассматриваемого подхода:
•учет основополагающих требований, вытекающих из теории и практики защиты
информации;
•тщательное и полное выполнение необходимых стадий разработки систем защиты
с контролем качества промежуточных и итоговых результатов;
•решение всех базовых задач и подзадач защиты для нейтрализации как явных,
так и скрытых угроз;
•обеспечение гарантированности защиты за счет использования проверенных
методов и сертифицированных средств, а также объективной аттестации защищенной
автоматизированной системы.
К системам информационно-компьютерной безопасности, разрабатываемым в компании
Эврика, изначально предъявляются следующие основополагающие требования, обеспечивающие
максимальную степень защищенности автоматизированных систем:
•соответствие отечественным и международным нормативным документам и стандартам;
•многоуровневое построение системы защиты при корректности, полноте и
непротиворечивости реализации всех приоритетных функций, без которых невозможно
достигнуть требуемой степени защищенности;
•централизованное управление средствами защиты, пользователями, рабочими
станциями и ресурсами компьютерной сети на основе правил единой политики безопасности;
•централизованный контроль защищенности и поддержка принятия решений для
снижения количества ошибок администрирования и своевременного реагирования на
события, связанные с нарушениями информационной безопасности.
Высокая степень защищенности автоматизированных систем достигается путем тщательного
анализа, выработки детальных требований и многоуровневого синтеза систем защиты
(рис. 1). Гарантированный режим информационной безопасности в таких системах
обеспечивается:
•на уровне руководства предприятия разработкой, уточнением и реализацией
доказанной политики безопасности;
•на административном уровне разработкой, уточнением и выполнением корректного,
полного и непротиворечивого плана защиты;
•на процедурном уровне разработкой, уточнением и обеспечением выполнения
инструкций по информационной безопасности для всего персонала;
•на программно-аппаратном уровне качественной разработкой и поддержкой
отлаженного и сертифицированного комплекса средств защиты.
В качестве типового решения предлагается защищенная автоматизированная система
конфиденциального документооборота, обеспечивающая решение всех базовых задач
защиты на основе эффективных и проверенных средств (рис. 2). Комплексное использование
различных классов средств информационно-компьютерной безопасности в данной автоматизированной
системе позволяет создать надежную многоуровневую защиту компьютерных ресурсов
и конфиденциальной информации:
1. Уровни защиты компьютерных ресурсов серверов и рабочих станций ЛВС:
•Защита на уровне аппаратных средств рабочих станций и серверов, активизируемая
на каждом компьютере до загрузки операционной системы (применение электронных
замков Соболь).
•Создание замкнутого интерфейсного и программного окружения, а также разграничение
доступа к компьютерным ресурсам внутри корпоративной сети с помощью программно-аппаратного
комплекса защиты от несанкционированного доступа (НСД) к информации в ЛВС Secret
Net 4.0.
•Криптографическая защита хранящейся информации (формирование и применение
виртуальных криптодисков средствами Secret Disk и Secret Disk Server).
•Антивирусная защита рабочих станций и серверов с помощью распределенных
комплексов защиты от компьютерных вирусов Антивирус Касперского для рабочих
станций и файловых серверов.
2. Уровни защиты от несанкционированного межсетевого взаимодействия:
•Защита от несанкционированного доступа со стороны сетевого окружения
распределенными системами экранирования Firewall-1, Firewall-1 SecureServer,
Symantec Client Security.
•Использование антивирусных шлюзов Антивирус Касперского для предотвращения
доступа вредоносного кода со стороны Интернет.
•Применение фильтров содер-жимого электронной почты MAILsweeper для предотвращения
несанкционированной передачи конфиденциальной информации по e-mail.
•Контроль доступа в Интернет с помощью средства фильтрации Web-трафика
MIMEsweeper.
3. Уровни защиты передаваемой информации:
•Использование комплексной системы управления потоками работ и организации
конфиденциального документооборота OPTIMA-WorkFlow, обеспечивающей функции
шифрования и ЭЦП для электронных сообщений и документов на базе криптопровайдера
КриптоПро CSP.
•Формирование и защита цифровых сертификатов с помощью Удостоверяющего
Центра КриптоПро УЦ.
•Формирование защищенных виртуальных сетей на сеансовом уровне эталонной
модели OSI по протоколу TLS (SSL) с помощью криптопровайдера КриптоПро TLS.
•Формирование защищенных криптотуннелей на сетевом уровне эталонной модели
OSI с помощью шлюзов VPN Континент-К, ViPNet.
4. Уровни поддержания системы защиты в актуальном состоянии:
•Анализ защищенности на уровне сетевых сервисов, ОС, СУБД и рабочих станций
с помощью систем Internet Scanner, System Scanner, Database Scanner и Wireless
Scanner.
•Обнаружение атак на уровне сегментов и серверов сети с помощью программного
комплекса Real Secure.
•Обнаружение сетевых атак на уровне отдельных компьютеров с помощью многоагентных
распределенных систем RealSecure Desktop Protector, Symantec Client Security.
•Централизованный контроль защищенности и поддержка принятия решений с
помощью комплекса программ RealSecure SiteProtector (SAFEsuite Decisions).
Выбор средств защиты, необходимых и достаточных для нейтрализации имеющихся
угроз, осуществляется на основе тщательного анализа их технико-экономических
характеристик, а также результатов тестирования на испытательных стендах, специально
разрабатываемых специалистами компании Эврика для моделирования автоматизированной
системы заказчика. Вкачестве приоритетных используются следующие критерии выбора:
•функциональные решения требуемой совокупности задач защиты;
•критерии надежности способности корректно, а также с требуемой полнотой
и стойкостью выполнять все предусмотренные функции защиты;
•критерии гибкости возможности адаптации при изменении структуры, технологических
схем или условий функционирования защищаемой автоматизируемой системы, а также
способности к поэтапному внедрению;
•эргономические простоты и удобства установки и конфигурирования, администрирования,
эксплуатации, а также минимизации помех пользователям;
•экономические минимизации финансовых и ресурсных затрат;
•качества документации наличия всех необходимых эксплуатационных документов,
правильности оформления, а также полноты, корректности и непротиворечивости
их содержания;
•формальные наличия необходимых сертификатов, протоколов, актов, а также
других документально оформленных подтверждений о присутствии заявленных возможностей.
Компания Эврика обладает лицензиями ФСБ, Гостехкомиссии и 8-го Управления
Генерального штаба Вооруженных сил РФ на право проведения работ по обеспечению
информационной безопасности в компьютерных сетях любого уровня и ранга. Зарегистрированная
система управления качеством и процедуры тестирования разработанных защищенных
автоматизированных систем не имеют аналогов в России.
Комплексные технические решения компании в области информационно-компьютерной
безопасности апробированы в подразделениях Министерства обороны, Центрального
Банка России, оборонной промышленности, а также в других государственных ведомствах
и коммерческих организациях. Результаты апробации позволяют сделать вывод, что
защищенные автоматизированные системы, построенные на основе различных классов
средств защиты, соответствуют отечественным и международным стандартам в области
информационно-компьютерной безопасности и обеспечивают надежную многоуровневую
защиту компьютерных ресурсов и конфиденциальной информации.
КОМПЬЮТЕР-ИНФОРМ
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru