4.7. Системные решения по защите информации

  • Системное решение на основе ОС МС ВС 3.0, Linux "KAMI-TerminaL"

    KAMI-TerminaL - системное решение, предназначенное для создания защищенных автоматизированных систем обеспечивающее экономичный, эффективный и безопасный доступ к сетевым информационным ресурсам на принципах технологии "вычислений на базе сервера".

    Это достигается за счет использования в качестве рабочих станций "супертонких клиентов" (маломощных бездисковых компьютеров на платформе "Intel", исключающих содержание ОС и "локальное" хранение информации) при одновременном переносе функциональности основных составляющих информационной системы (информационные массивы, клиентские приложения, Intranet-сервисы, безопасность и администрирование) на терминальный сервер, функционирующий под управлением ОС МСВС или Linux.

    Преимущества системного решения KAMI-TerminaL

  • предоставление пользователям доступа к приложениям и сервисам не только ОС МСВС или Linux, но и Windows NT Server и Windows 2000 Server по протоколу удаленного доступа RDP или ICA-протоколу Citrix;
  • полное восстановление пользовательских сессий, открытых в указанных ОС, при повторном входе в сеть после сбоев в работе терминальной системы, обусловленных отказами аппаратуры, нестабильностью электропитания и т.п.;
  • перенос всей функциональности клиентского рабочего места на сервер. Такое решение позволяет исключить локальное администрирование, обеспечить централизованное управление ресурсами, существенно снизить затраты на создание и администрирование системы защиты информации и антивирусной защиты, снизить стоимость установки и поддержки клиентских мест;
  • возможность применения в качестве терминальных устройств "полнофункциональных" персональных компьютеров с обеспечением альтернативного варианта загрузки, или имеющихся "морально устаревших"ПК, что позволяет сохранить ранее вложенные инвестиции в информационную инфраструктуру;
  • длительный жизненный цикл терминального устройства;
  • обеспечение высокой надежности и готовности локальной вычислительной сети, развернутой на основе решения KAMI-TerminaL, за счет использования кластерной системы.

    Технические характеристики:
    Терминальное устройство
  • процессор
    		•     Pentium 100 и выше
  • оперативная память
    		•    16 Мб, рекомендуемое значение 32 Мб
  • видео адаптер
    		•    Любой поддерживающий разрешение 1024х768, 16 бит
  • сетевой адаптер
    		•    PCI 10/100 Мбит/с, имеющий сокет для микросхемы EPROM (FlashROM)
    Терминальный сервер
  • процессор
    		•    Pentium-III и выше
  • оперативная память
    		•    Стартовое значение 256 Мб плюс 16-32 Мб на каждого клиента (в зависимости от графической среды и объема используемых прикладных задач)
  • дисковое пространство
    		•    15-30 МБ на каждого клиента (для корневой файловой системы)
  • видео адаптер
    		•    Любой поддерживающий разрешение 1024х768, 8 бит
  • сетевой адаптер
    		•    PCI 100 Мбит/с

    Дополнительные возможности по защите информации, получаемые за счет указанного решения:

  • исключение варианта "локального" хранения данных;
  • исключение возможности несанкционированной установки пользователями программных средств, "внесения" вирусов и т.п.;
  • исключение несанкционированного использования на терминальном устройстве самостоятельно подключенных дисководов и периферийных устройств для ввода-вывода информации;
  • предоставление пользователю работы только с одной виртуальной консолью, обеспечивающей доступ к терминальному серверу, что исключает пути обхода установленных полномочий доступа к ресурсам сети;
  • каждый пользователь может одновременно открыть только одну сессию на сервере.

    Кластеризация терминального решения

    С учетом повышенных требований по надежности и готовности, предъявляемых к терминальному серверу, в рамках системного решения KAMI-TerminaL создана кластерная система, состоящая из двух узлов (основной и резервный серверы).

    За счет создания кластера обеспечивается полностью автоматический переход на резервный сервер в случае отказа основного и переключение сетевых сервисов (HTTP, FTP, DHCP, INN, NFS и т.д.) и прикладных задач на основной сервер после его восстановления.

    Перспективные направления развития указанного решения:

  • создание кластерной системы с балансировкой нагрузки;
  • создание кластерных систем для проведения распределенных вычислений;
  • разработка системы аутентификации пользователей терминальных устройств (класса "электронный замок").

  • Система программных продуктов для коллективной защиты элементов корпоративной сети и организации, обеспечивающих гарантированное защищенное соединение между участниками информационного обмена

    VPN ЗАСТАВА 2.5

    Состоит из ряда VPN продуктов, устанавливаемых во всех контрольных точках сети (Клиент, Сервер, Шлюз).

    Продукт реализован на базе спецификаций протокола SKIP. Продукт оснащен уникальным для российского рынка решением - открытым криптоинтерфейсом (OpenCrypto API), что позволяет использовать криптомодули от различных производителей (до 256 встраиваемых модулей) для создания защищенных каналов связи. VPN ЗАСТАВА 2.5 обладает Сертификатом Гостехкомиссии при Президенте РФ N 376. Продукт успешно работает с сертифицированными ФАПСИ криптомодулями, например, криптомодулями "Криптон" производства ООО "АНКАД".

    Тщательная техническая проработка и корректная реализация определили высочайшую надежность VPN ЗАСТАВА 2.5, которая была доказана пятилетней безотказной работой продукта у целого ряда корпоративных заказчиков.

    VPN ЗАСТАВА 3.3

    Новое поколение VPN-продуктов, уникальное не только для российского, но и для мирового рынка. Продукт реализован в виде набора VPN/FW Агентов (Клиент, Сервер, Шлюз) и Центра управления (TGSM).

    В каждый из VPN/FW Агентов встроен полнофункциональный межсетевой экран (firewall). Правила пакетной фильтрации на всех VPN/FW агентах ЗАСТАВА 3.3 могут базироваться на параметрах IP-пакета, данных о протоколах и сервисах более высоких уровней и даже на данных отдельных полей сертификатов пользователей (Х.509 v3).

    В качестве базовой технологии защиты выбран комплекс протоколов IPSec/IKE.

    VPN/FW агенты ЗАСТАВА 3.3 функционально совместимы с VPN-модулями всех ведущих мировых производителей (Cisco, Microsoft, Check Point, HP, Novell, Sun и др.), а также с ПО Центров сертификации (PKI) (Baltomore UniCERT, iPlanet CMS, RSA Keon, Microsoft CA, Entrust Authority и др.), средствами аутентификации пользователей (Aladdin, Rainbow, Gemplus), LDAP совместимыми службами каталогов, системами аудита и мониторинга сети (HP OV).

    VPN ЗАСТАВА 3.3 обладает встроенными инструментами для внешнего аудита уровня защиты информации и качества построения политики безопасности.

    VPN ЗАСТАВА 3.3 - единственный российский VPN-продукт, обеспечивающий защищенные соединения с абонентами, имеющими динамические IP-адреса. Защищенный режим сохранится даже в том случае, если абонент находится в локальной сети (заказчика, партнера и др.), защищенной межсетевым экраном с функцией трансляции сетевых адресов (NAT).

    Управление безопасностью корпоративной сети является главной отличительной особенностью VPN ЗАСТАВА 3.3. При этом осуществляются управление и настройки как VPN/FW агентов ЗАСТАВА 3.3, так и других производителей (Cisco IOS/PIX и Check Point VPN-1).

    Локализация глобальной политики безопасности для каждого устройства происходит автоматически, существенно снижая количество ошибок администрирования. Функциональный подход к управлению, "нулевое администрирование" рабочих станций, целостное управление, поддержка режимов "one click installation" для абонентов сети и многое другое делают VPN ЗАСТАВА 3.3 чрезвычайно удобной системой с минимальными затратами на ее сопровождение. Внедрение VPN ЗАСТАВА 3.3 существенно удешевляет совокупную стоимость владения системой безопасности, тем самым позволяет экономить значительные средства на обслуживании клиентских инсталляций, обучении персонала, содержании штата администраторов безопасности.

    Продукт успешно работает с внешними криптомодулями, реализованными как на базе сертифицированных ФАПСИ криптобиблиотек (Криптон, Верба, КриптоПро), так и других российских и зарубежных.

    VPN ЗАСТАВА 3.3 имеет сертификат Гостехкомиссии России, удостоверяющий, что продукт может использоваться как средство организации защищенных виртуальных частных сетей (VPN) на различных каналах связи, в локальных и глобальных сетях общего пользования, включая Интернет.

    Поддерживаемые платформы: Solaris/SPARC 2.6 (32 bit), Solaris/SPARC 7 (32 bit), Solaris/SPARC 8 (32nbsp;bit), Solaris/SPARC 8 (64 bit), Windows NT4.0 SP4-6, Windows 2000, Windows 2000 Server SP1-2, Windows 2000 Advanced Server SP1-2.

    Межсетевой Экран ЗАСТАВА

    МЭ ЗАСТАВА - программный межсетевой экран (firewall), дополняющий одноименную линейку продуктов, представляет собой комбинированную систему, обеспечивающую функциональность межсетевого экрана с расширенной пакетной фильтрацией.

    МЭ ЗАСТАВА устанавливается на вычислительную платформу Sun/Solaris с несколькими сетевыми интерфейсами и обеспечивает сегментирование и независимую политику безопасности для различных частей сети.

    Удобство управления сочетается с гибкой функциональностью продукта.

    МЭ ЗАСТАВА сертифицирован Гостехкомиссией России на соответствие требованиям РД "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности" по третьему классу защищенности.

     

    • Урало-Сибирский центр защиты информации, тел. (343) 372-79-77