Программноаппаратные средства обеспечения информационной безопасности VipNet
Скачать 302.46 Kb.
|
«Программно-аппаратные средства обеспечения информационной безопасности VipNet» Из каких компонентов состоит программный комплекс ViPNet Administrator. ViPNet Центр управления сетью (далее – ЦУС). ViPNet Удостоверяющий и ключевой центр (далее – УКЦ). Какие функции выполняет ЦУС. Формирования структуры сети ViPNet, задания основных параметров сетевых узлов и пользователей, централизованной отправки обновлений ключей, справочников и программного обеспечения на сетевые узлы ViPNet. Какие функции выполняет УКЦ. Программа ViPNet Удостоверяющий и ключевой центр предназначена для управления ключевой структурой сети ViPNet, а также для издания и обслуживания сертификатов ключей проверки электронной подписи. В соответствии с основными функциями УКЦ условно можно разделить на два компонента: ключевой центр и удостоверяющий центр. Какие функции выполняет ViPNet Coordinator. маршрутизация почтовых и управляющих защищенных сообщений при взаимодействии объектов сети между собой и ViPNet Administrator; регистрация и предоставление информации о состоянии объектов сети, их местоположении, значении их IP адресов и др.; обеспечивает работу защищенных компьютеров локальной сети в VPN от имени одного адреса (функция proxy); туннелирование пакетов от обслуживаемой ViPNet Coordinator группы незащищенных компьютеров локальной сети для передачи трафика от них к другим объектам VPN в зашифрованном виде по открытым каналам Интернет/Интранет; фильтрует трафик от источников, не входящих в состав VPN, в соответствии с заданной политикой безопасности (функция межсетевого экрана); обеспечивает возможность работы защищенных по технологии ViPNet компьютеров локальной сети через сетевые экраны и прокси-серверы других производителей. Какие функции выполняет ViPNet Client? персональный сетевой экран - позволяет защитить компьютер от попыток несанкционированного доступа, как из глобальной, так и из локальной сети; установление защищенных соединений между компьютерами, оснащенными ViPNet Client, для любых стандартных сетевых приложений; услуги защищенных служб реального времени для организации обмена сообщениями, проведения конференций, защищенных аудио- и видео-переговоров позволяют: защищенный почтовый клиент с возможностями аутентификации отправителя и получателя, а также обеспечивающий контроль за прохождением и использованием документов. Кроме вышеперечисленных функций, предоставляет СОМ интерфейс для вызова криптофункций и их совместного использования с Web приложениями. Какие функции выполняет Registration Point. Выполняет функции Центра регистрации (далее – ЦР): ведение реестра пользователей Удостоверяющий центр; создание ключей для пользователей Удостоверяющий центр; создание запросов на издание, отзыв, приостановление и возобновление действия сертификатов в Центре сертификации (далее – ЦС). ЦР предоставляет дополнительные возможности для осуществления функций УЦ: создания ключей ЭП и запросов на выдачу, отзыв, приостановление и возобновление действия сертификатов пользователей. ViPNet Registration Point устанавливается в защищенном сегменте сети. Какие функции выполняет Publication Service. публикации сертификатов пользователей УЦ в общедоступных хранилищах данных; публикации сертификата издателя и списков аннулированных сертификатов в общедоступных хранилищах данных; импорт и публикация CRL внешних (сторонних) УЦ. Какие функции выполняет PolicyManager. Она предназначена для централизованного управления политиками безопасности узлов защищенной сети ViPNet. Программа ViPNet Policy Manager позволяет задавать различные политики безопасности как для отдельных сетевых узлов, так и для групп узлов и централизованно рассылать их на сетевые узлы. Сведения об управляемых сетевых узлах и другая необходимая информация (учетные записи пользователей, политики безопасности и так далее) хранится в базе данных на SQL-сервере. База данных создается автоматически при установке ПО ViPNet Policy Manager. Какие функции выполняет ViPNetStateWatcher. Программный комплекс ViPNet StateWatcher состоит из следующих компонентов: 1. Сервер мониторинга — программный сервер, который выполняет следующие функции: Собирает и хранит информацию о текущем состоянии узлов сети ViPNet и других инфраструктурных элементов сети. Выполняет анализ значений параметров состояния и формирует сообщения о выявленных событиях. Оповещает операторов и администраторов системы об изменениях состояния объектов мониторинга и выявленных событиях, а также экспортирует сведения во внешние информационные системы. 2. АРМ мониторинга — рабочее место оператора или администратора сервера мониторинга, позволяющее управлять одним или несколькими серверами мониторинга через защищенный канал. Доступ к данным и оповещениям о событиях сервера мониторинга осуществляется удалено через веб-интерфейс. 3. Узлы мониторинга — элементы сети, состояние которых отслеживается сервером мониторинга. 4. Агент мониторинга — компонент клиентского ПО защищенной сети ViPNet или стандартные службы SNMP (SNMP-агент), которые находятся на узле мониторинга и обеспечивают сбор и передачу данных о состоянии узла на сервер мониторинга. В каком компоненте программного комплекса ViPNet Administrator возможно произвести выдачу дистрибутивов ключей. Изготовление ключей подписи и сертификатов осуществляется в УЦ следующим образом: вся работа с ключами ведется средствами ViPNet CSP 4; издание сертификатов производится в ViPNet УКЦ. Изготовление ключей подписи и сертификатов может осуществляться по обращениям пользователей, оформленным в виде заявлений. Выдача ключей подписи и сертификатов должна осуществляться при личном присутствии лица, обратившегося с заявлением. Ключи подписи передаются пользователю либо в составе дистрибутивов ключей ViPNet, либо в виде отдельных файлов ключевых контейнеров (в зависимости от используемой схемы обслуживания). В обоих случаях ключи зашифрованы на парольном ключе. Сертификат передается на бумажном носителе при предъявлении документа, удостоверяющего личность. Перед передачей сертификата на бумажном носителе пользователю необходимо выполнить проверку корректности отображенных в нем данных. Все копии файлов ключевых контейнеров, которые не были импортированы в ViPNet CSP 4, должны быть удалены утилитой clean.exe. Данная утилита входит в состав ViPNet CSP 4. Состав ЦУС. Схемы размещения компонентов ViPNet Administrator. Серверное приложение, с помощью которого осуществляется работа с базой данных, содержащей полную информацию о структуре и объектах сети ViPNet. Серверное приложение и база данных могут быть установлены как на одном компьютере (на рабочем месте администратора или на специально выделенном сервере, так и на разных). Клиентское приложение, которое представляет собой удобный графический интерфейс для управления структурой сети ViPNet и свойствами сетевых объектов. Оно может быть установлено на одном компьютере с серверным приложением, на удаленном компьютере или на нескольких компьютерах, если управление сетью ViPNet осуществляется с нескольких рабочих мест. Схемы размещения компонентов Policy Manager, Registration Point, Client, Coordinator. Назначение программы «Контроль приложений»? Программа «Контроль приложений» позволяет обнаружить сетевую активность приложений на компьютере, а именно: Попытки создания исходящих соединений. Попытки открытия портов для входящих соединений. Отправку пакетов без предварительного создания соединения. В случае обнаружения сетевой активности появляется окно с сообщением об активности приложения. В этом окне можно разрешить или запретить приложению доступ в сеть. Программа позволяет задать правила контроля приложений, согласно которым приложениям автоматически разрешается или запрещается выполнение каких-либо операций в сети Что такое полномочия. Где задаются полномочия. Для каких программ задаются полномочия. Для каких ролей. Полномочия пользователя ViPNet — это возможность изменения пользователем сетевого узла настроек ПО ViPNet, установленного на этом сетевом узле. Уровень полномочий для каждого сетевого узла ViPNet задается в программе ЦУС. Существует четыре уровня полномочий: Минимальный — обозначается цифрой 0. Средний — обозначается цифрой 1. Максимальный — обозначается цифрой 2. Специальный — определяется специальным символом (цифрой или буквой). Пользователь, имеющий максимальный уровень полномочий, не имеет ограничений по настройкам и использованию различных функций ПО ViPNet. Другие уровни полномочий ограничивают действия пользователей и интерфейс ПО ViPNet. Все ограничения, накладываемые уровнем полномочий, снимаются при вводе пароля администратора сетевого узла ViPNet. В ЦУС полномочия пользователя задаются для абонентских пунктов и серверов маршрутизаторов, зарегистрированных в различных прикладных задачах: для абонентских пунктов и серверов-маршрутизаторов, зарегистрированных в задаче Защита трафика, уровень полномочий определяет ограничения при работе в программах ViPNet Монитор, «Контроль приложений», MFTP и в окне Настройка параметров безопасности (при вызове из программы ViPNet Монитор); для абонентских пунктов, зарегистрированных в задаче Деловая почта, уровень полномочий определяет ограничения при работе в программе «Деловая почта» и в окне Настройка параметров безопасности (при вызове из «Деловой почты»); для абонентских пунктов и серверов-маршрутизаторов, зарегистрированных в задаче Крипто Сервис, уровень полномочий определяет ограничения при работе в программе MFTP и в окне Настройка параметров безопасности (при вызове из программы ViPNet CryptoService). Для обеспечения безопасной эксплуатации средств УЦ должны быть сформированы следующие роли: роль «Системный администратор УЦ». Данную роль исполняют следующие группы администраторов: группа администраторов безопасности; группа системных администраторов УЦ; роль «Администратор сертификации УЦ» (доверенное лицо УЦ). Данную роль исполняет Администратор УЦ; роль «Администратор Центра регистрации». Данную роль исполняет группа администраторов Центра регистрации. Для обеспечения безопасной эксплуатации вспомогательного ПО должна быть сформирована роль «Администратор вспомогательного ПО», которую исполняет группа администраторов Сервисов публикации. При необходимости (если вспомогательное ПО установлено на компьютерах, на которых не развернуты средства УЦ) допускается ввод в организации дополнительных групп администраторов вспомогательного ПО Что такое псевдонимы пользователей, как они задаются. Данная функция полезна для обеспечения сопряжения криптофункций с другими системами установления идентификаторов. Так, для обеспечения шифрования при отправке сообщений из Microsoft Office Outlook или Microsoft Outlook Express с установленной программой ViPNet CryptoExtension необходимо сформировать список псевдонимов защищенных пользователей ViPNet, где псевдонимами будут являться адреса электронной почты (e-mail). Псевдонимы задаются следующим образом: в окне Защищенная сеть выберите пользователя и два раза щелкните на нем левой кнопкой мыши. Откроется окно Правило доступа, в котором на вкладке Общие в строке Псевдоним задайте псевдоним для данного пользователя, затем нажмите кнопку OK. Данную операцию требуется проделать для всех пользователей сети из окна Защищенная сеть. Что содержится в базе данных ViPNet Administrator. Реестр сертификатов, выданных и аннулированных удостоверяющим центром сертификатов, в том числе включающего в себя информацию, содержащуюся в выданных удостоверяющим центром сертификатах, и информацию о датах прекращения действия или аннулирования сертификатов и об основаниях таких прекращения или аннулирования. Где находится папка с контейнерами ключей администратора УКЦ. При каждом издании сертификата администратора или создании запроса на сертификат к вышестоящему Удостоверяющему центру создается закрытый ключ, который помещается в специальный контейнер ключей. Контейнер ключей при этом сохраняется либо локально на компьютере (в заданной папке на диске), либо на внешнем устройстве хранения данных. Какие способы создания структуры сети есть в ЦУС. С помощью координаторов, пользователей, узлов, клиентов. Что содержится в файле *.rp. Резервная копия конфигурации сети в состав которой входит: 1. Резервная копия базы данных ViPNet Administrator. 2. Копия лицензионного файла (infotecs.reg или *.itcslic). 3. Копия папки C:\ProgramData\Infotecs\ViPNet Administrator\KC В какой каталог перемещаются файлы резервных копий конфигурации сети. C:\ProgramData\InfoTeCS\ViPNet Administrator\KC\Restore Что содержится в файле rpts_50.stg. Копия архива, содержащего список всех резервных копий, которые создавались при эксплуатации сети Могут ли ЦУС и УКЦ быть установлены на разные компьютеры. Компоненты, входящие в состав ViPNet Administrator, допускается устанавливать как на один, так и на разные компьютеры, при этом данные компьютеры обязательно должны располагаться в защищенных сегментах сети, отделенных от корпоративной сети межсетевым экраном. Какие данные потребуются администратору сети ViPNet для осуществления миграции программного комплекса ViPNet Administrator на другой компьютер. Для осуществления миграции ПО ViPNet Administrator необходимы следующие данные: Резервная копия конфигурации сети (файл *.rp). Файлы резервных копий находятся в папке C:\ProgramData\InfoTeCS\ViPNet Administrator\KC\Restore. Копия архива, содержащего список всех резервных копий, которые создавались при эксплуатации сети (файл rpts_50.stg). Файлархиванаходитсявпапке C:\ProgramData\InfoTeCS\ViPNet Administrator\KC\Restore. Копия лицензионного файла (infotecs.reg). Копия папки с контейнерами ключей администратора УКЦ: C:\Users\<имя учетной записи локального администратора Windows, от лица которого была произведена установка УКЦ>\AppData\Roaming\Infotecs\ViPNet Administrator. Рабочие каталоги ЦУС/УКЦ. C:\Users\<имя учетной записи локального администратора Windows, от лица которого была произведена установка УКЦ>\AppData\Roaming\Infotecs\ViPNetAdministrator и C:\ProgramFiles(x86)\InfoTeCS\ViPNetAdministrator Какими свойствами должен обладать сетевой узел для того, чтобы на нем можно было установить ViPNet Policy Manager. Процессор — Intel Core 2 Duo или другой схожий по производительности x86-совместимый процессор с количеством ядер 2 и более. Объем оперативной памяти — не менее 1 Гбайт (при использовании 64-разрядных ОС Windows — не менее 2 Гбайт). Свободное место на жестком диске — не менее 250 Мбайт. Сетевой адаптер или модем. Операционная система — Windows Server 2008 R2 (64 разрядная), Windows Small Business Server 2008 SP2 (64-разрядная), Windows 7 (32/64 разрядная), Windows 8 (32/64 разрядная), Windows 8.1 (32/64 разрядная), Windows Small Business Server 2011 (64-разрядная), Windows Server 2012 (64-разрядная), Windows Server 2012 R2 (64-разрядная), Windows 10 (32/64-разрядная). Для операционной системы должен быть установлен самый последний пакет обновлений. При использовании Internet Explorer — версия 6.0 или выше. Для установки и нормального функционирования ViPNet Policy Manager на компьютере предварительно должны быть установлены следующие приложения: ViPNet Client версии 4.0 или выше. Microsoft SQL Server С помощью какой программы можно сохранять структуру сети в формате HTML. С помощью программы ViPNet Центр управления сетью вы можете создавать и сохранять отчеты о структуре развернутой сети ViPNet в файлы формата XML и HTML. В файлах отчетов в иерархическом виде отображаются координаторы и клиенты вашей сети ViPNet, а также содержится информация о пользователях узлов, назначенных ролях, группах узлов, группах пользователей и имеющихся связях между узлами и пользователями. Назначение ПАК IDS. Программно-аппаратный комплекс (ПАК) ViPNet IDS — эффективная и надежная система обнаружения компьютерных атак (вторжений) в корпоративные информационные системы. Работа системы строится на основе динамического анализа сетевого трафика, начиная с канального уровня и заканчивая прикладным уровнем модели взаимодействия открытых систем (OSI). ViPNet IDS оперативно предотвращает развитие компьютерной атаки. При обнаружении вторжения система регистрирует событие, идентифицирует атаку и моментально оповещает администратора. Какие роли назначаются Координатору, Клиенту. Роли для координатора – VPN-Сервер и Обмен сообщениями и файлами Роли для клиента – Business Mail,VPN-клиент и Обмен сообщениями и файлами. Также клиенту назначаются системные роли Network Control Center и PolicyManager Что такое роль, сетевая группа, служебный конверт, сетевой фильтр. Роль – описание множества действий, которые может выполнять объект Сетевая группа – объединение тех или иных объектов Сетевой фильтр – шаблон, который блокирует работу тех или иных сетевых протоколов. Служебный конверт – (Транспортный конверт) - Зашифрованная информация служб или приложений, доставляемая на сетевые узлы ViPNet транспортным модулем ViPNet MFTP. Функции ViPNet-драйвера. ViPNet-драйвер активирует фильтрацию трафика во время загрузки операционной системы Windows еще до аутентификации в программе ViPNet Монитор. При этом работа ViPNet-драйвера определяется предустановленными фильтрами защищенной сети и фильтрами открытой сети, которые использовались в предыдущем сеансе работы. Полную защиту трафика, включающую его шифрование, ViPNet-драйвер обеспечивает после аутентификации в программе ViPNet Монитор. Что такое Администратор сетевого узла. Где задается пароль Администратора сетевого узла. Какие возможности, по сравнению с обычным пользователем у Администратора. Для каждого сетевого узла администратор сети ViPNet задает набор ролей, от которого зависят возможности узла и программное обеспечение, которое может быть установлено на этом узле. Список ролей, которые могут быть использованы в сети, ограничения на количество узлов с различными ролями, максимальное количество сетевых узлов и другие ограничения содержатся в файле лицензии на сеть ViPNet. В УКЦ при первичной инициализации вводится пароль администратора сети VIPNet Что отображается в окне Защищенная сеть ViPNet Монитор. На каждом защищенном узле в программе ViPNet Монитор в разделе «Защищенная сеть» отображается список сетевых узлов, с которыми связан данный узел. |