Совместный проект При поддержке
 Ассоциация Российских Банков Журнал "Банки и технологии"


Виртуальные частные сети в России

До 90-х годов, в эпоху коммутации сообщений и каналов, отечественные информационно - телекоммуникационные системы (ИТКС) повышенной ответственности создавались сугубо как частные (выделенные) сети с максимально возможной безопасностью и полной подконтрольностью информационных взаимодействий, прежде всего за счет изоляции от других сетей. Ведь отсутствие связей с внешним миром ограждало как от атак извне, так и от "прослушивания" трафика.

Однако, к середине 90-х годов такой подход к созданию ИТКС практически изжил себя, ввиду высокой стоимости развертывания и содержания подобных сетей. Тем более, что новые информационные технологии диктовали необходимость применения метода коммутации пакетов (протоколы Х.25, TCP/IP, ISDN, Frame Relay, ATM), позволяющего четко разделять и корпоративно использовать ресурсы физических каналов связи применительно к большим множествам пользователей. Именно эти пакетные технологии и лежат сейчас в основе корпоративных ИТКС банковских структур, финансовых организаций и целого ряда других ведомств и предприятий России для которых требуется обеспечить высокие уровни защищенности.

Как же в корпоративных сетях противостоять угрозам безопасности? Что собственно надо обеспечить в плане безопасности? Безопасность ИТКС достаточно четко выражается такими категориями как "достоверность", "конфиденциальность", "целостность" и "доступность". При этом, свойство достоверности понимается как сохранение информацией своих семантических свойств начиная с ее ввода в систему. Свойство доступности понимается как возможность использования информации и ресурсов ИТКС в произвольный момент времени. Свойство целостности (связанное со свойством достоверности) подразумевает неизменность свойств информации и ресурсов в любой момент времени после их порождения или ввода в систему. Свойство конфиденциальности характеризует как недоступность информации или сервисов для тех пользователей, которым априорно не дано право использовать указанные сервисы или информацию (данные).

К настоящему времени на передний край обеспечения безопасности ИТКС вышла технология виртуальных частных сетей или VPN (Virtual Private Network). Как термин, обозначающий технологию, так и VPN-устройства возникли совсем недавно, но весьма уверенно закрепились на рынке средств сетевой безопасности с ежегодным приростом в 20-30%. Ведущие мировые эксперты указывают, что VPN-устройства к 2005г. займут в целом доминирующее место на рынке средств защиты.

С точки зрения информационной безопасности, VPN это технология доказательного и устойчивого обмена данными между заданными точками (адресами, портами) сети с использованием общедоступной коммуникационной среды, причем такого обмена при котором собственные ресурсы ИТКС оказываются огражденными от чужих вмешательств. За этими точками располагаются демилитаризованные зоны (ДМЗ) защищенной ИТКС. Поэтому в рамках VPN специальные пограничные устройства, размещаемые на входах в общедоступные среды, преобразуют защищаемую информацию по своим особым правилам и процедурам (протоколам), но на сетевом уровне взаимодействуют с этой средой по ее общепринятым протоколам. Для осуществления обратных преобразований VPN-устройства должны осуществлять непосредственное взаимодействие между собой через сеть также по особым правилам (протоколам). При этом оказывается невозможной подмена как данных, так и точек информационного взаимодействия (в том числе и собственных ресурсов) на некие произвольные, что позволяет обеспечивать применительно к достоверности, целостности и доступности информации уже достаточные уровни сервисов безопасности за счет эмуляции изолированной информационной сети.

А шифрование данных, передаваемых за пограничные устройства, обеспечивает конфиденциальность информации. При этом такое шифрование по критерию "эффективность-стоимость" предпочтительнее осуществлять на сетевом уровне, т.е. непосредственно при проходе через VPN-устройства.

Пример решения

Решения фирмы "АМИКОН" для корпоративных информационных систем повышенной ответственности

К настоящему времени фирма "АМИКОН" имеет положительный опыт в области создания и развития VPN-систем на отечественном рынке. VPN-средства, разработанные специалистами компании, широко применяются в ИТКС и в основном выигрывают соревнования среди отечественных и импортных средств аналогичного назначения с точки зрения критерия "эффективность-стоимость". Назовем лишь небольшой ряд достаточно известных устройств, с которыми осуществлялось независимое сравнение. К ним относятся комплексы "Титан", "Шип", "Застава", "Континент-К", а также отдельные средства фирм Unisys, Eicon, OST и Cisco.

Самостоятельное конструирование и тщательная реализация используемых совокупностей протоколов пакетной обработки данных, а также алгоритмов работы VPN-устройств с общесистемных позиций, причем без каких либо прямых заимствований, но с обязательным привлечением обширного отечественного и мирового интеллектуального потенциала, будь то ядро протокола Х.25, семейство протоколов TCP/IP или принципы построения автоматизированных систем - вот основные предпосылки создания стабильных и эффективных средств современной сетевой защиты ИТКС.

Среди разработанных нами VPN-устройств, прежде всего выделим комплекс "ФПСУ-Х.25", прообраз которого был создан в 1994г. и являлся первым отечественным проходным шифратором потоков по протоколу Х.25.

Не будет преувеличением, что устройств равных по своим характеристикам комплексу "ФПСУ-Х.25", включающего функции центра коммутации пакетов, до сих пор не создано. Остается лишь сожалеть, что экспансия TCP/IP сетей, потеснившая в тень другие пакетные протоколы, существенно ограничила возможности применения этого комплекса. Тем не менее, они до сих пор достаточно успешно используются в ряде ответственных ИТКС.

Мы горды также и тем, что Сбербанк России применяет наши программные комплексы ANET в качестве базовых средств защищенной крупномасштабной ИТКС.

Ведь в 1996г. эти комплексы рассматривались специалистами Сбербанка РФ не более как резервное средство ограниченного применения и осуществлялась подготовительная работа построения системы на основе решений фирмы Unisys. Но уже к 1998г., по результатам внедрения комплексов ANET, было принято решение о расторжении контракта с фирмой Unisys, что дало значительную экономию средств Сбербанка России, выделяемых на развитие ИТКС.

Сейчас защищенная ИТКС СБ РФ с общим числом комплексов ANET более 3000 единиц обеспечивает оперативный документооборот на всей территории России практически в непрерывном режиме, уже несколько лет безотказно поддерживая режим осуществления платежей "день в день".

Эти же комплексы реально доказали свою эффективность и в других ИТКС.

В целом, совокупность программных комплексов ANET служит для объединения рассредоточенных ПЭВМ в единую систему и является средством построения корпоративных информационных сетей класса VPN, использующих как СПД общего пользования типа Х.25, FR, TCP/IP, так и любые другие доступные каналы связи.

Такая система позволяет вести автоматизированный обмен электронными документами с высокой степенью защищенности информации, оперативности и минимальными затратами на его поддержку.

В соответствии с потребностями могут использоваться следующие программные комплексы ANET, функционирующие на ПЭВМ класса 386 и выше:

  • маршрутизирующие сервера связи (МСС), являющиеся в рамках эталонной модели центром коммутации пакетов (ЦКП), предназначены для автоматической маршрутизации абонентского трафика и шлюзования (межсетевого экранирования) с транспортной средой общедоступных глобальных сетей. При этом каждый такой сервер способен поддерживать до 45 физических портов связи;
  • сервера - автоматы обменов электронными документами, имеющие резидентные приемопередатчики, являющиеся пакетными оконечными установками,
  • сервера информационных приложений (почта, доска объявлений, базы данных) с административной службой и резидентными приемопередатчиками,
  • абонентские пункты,
  • средства каналообразования (модемы, сетевые и коммуникационные адаптеры, мультипортовые платы, соединительные кабели).

Комплексы просты в обслуживании, и достаточно большие ИТКС с их применением самостоятельно вводятся в строй в течение нескольких часов работы минимального количества технического персонала.

В последнее время значительно возросла и продолжает стремительно возрастать роль Internet как информационной технологии, которая из-за доступности, простоты использования, дешевизны применения и широкого распространения весьма привлекательна и не имеет альтернатив практически для всех организаций.

Однако при использовании Интернет-технологий в корпоративных сетях для обеспечения защиты невозможно обойтись не только без применения межсетевых экранов, но и эффективных средств построения VPN.

Именно в соответствии с этим вызовом времени в 1999г. нами была создана система VPN-устройств, получившая известность под названием - комплекс "ФПСУ-IP". Эта система реализует функции межсетевого экранирования, проходного сжатия данных и их шифрования применительно к сетям TCP/IP, в значительной мере используя весь предыдущий опыт. В том же году комплекс прошел сертификацию по линии Гостехкомиссии при Президенте РФ (Сертификат № 233 от 29.04.99г.) и соответствует 3 классу защищенности межсетевых экранов. Цена программно-аппаратного комплекса, выполненного в промышленном исполнении с гарантийным сроком эксплуатации 3 года, составляет менее 2000 долларов США.

При разработке "ФПСУ-IP" был использован опыт создания VPN-средств и реализации сложных протокольных стеков пакетных сетей для реализации высоко устойчивого протокола туннелирования данных, превосходящего по своим основным параметрам известный протокол IPSec в любых его комбинациях. Кроме того, весьма пригодился и опыт отработки защищенного дистанционного управления территориально распределенными устройствами. Все это позволило представить на отечественный рынок весьма эффективное средство сетевой защиты при умеренной стоимости.

В 2000-2001гг., наряду с функциональным совершенствованием комплекса, была выполнена подготовка его криптографических средств (под названием СКЗИ "Туннель") к сертификационным исследованиям по линии ФАПСИ, в результате чего 01.03.2002г. утверждено заключение о его соответствии специальным требованиям по уровню "КС1".

Основными отличительными особенностями комплекса "ФПСУ-IP" являются:

  • Высшая производительность при минимуме стоимости с учетом использования стандартных отечественных алгоритмов защиты информации и строгой двухсторонней аутентификации взаимодействующих VPN-устройств (при использовании процессора Celeron 600/700 - не менее 55 Mбит/с при включении всех функциональных режимов: фильтрация, сжатие, шифрование);

  • Обеспечение минимальных накладных расходов при инкапсуляции IP-пакетов (не более 22 байт на пакет, в случае размещения в нем данных, не имеющих избыточности), в том числе за счет использования высокоэффективного "проходного" сжатия данных (примененная совокупность алгоритмов сжатия позволяет повышать эффективную скорость передачи до 2-х и более раз для информации, обладающей избыточностью);

  • Возможность VPN-поддержки каналов управления пограничными маршрутизаторами (находящихся на входах в демилитаризованные зоны), в частности протоколов SMNP/SMNP-Trap, Telnet, TFTP, HTTP, что позволяет избежать дополнительных затрат на защиту управления сетевыми ресурсами организации;

  • Наличие механизмов адаптивного управления потоками данных при формировании туннелей, что способствует быстрому восстановлению связи при перегрузках внешних сетей;

  • Способность организации до 8 независимых друг от друга туннелей между каждой парой VPN-устройств, в том числе с индивидуальными значениями MTU в диапазоне от 576 до 1500 байт (в целях поддержки служб QoS);

  • Возможность поддержки множественных VPN типа Extranet (до 64 на каждом устройстве) и до 2048 VPN-туннелей на каждом порту устройства;

  • Наличие защищенного дистанционного (удаленного) управления, контроля состояний комплексов и анализа статистических данных об их работе с использованием АРМ удаленного управления (пространство обслуживания - до 1024 комплексов), при этом могут одновременно работать до 4-х АРМ УА с различными правами управления/контроля;

  • Графический интерфейс мониторинга в составе АРМ удаленного управления для оперативного и наглядного отображения состояния (автоматический мониторинг) системы защиты и защищаемых сетей и сигнализации об опасных событиях в режиме времени близком к реальному;

  • Сокрытие признаков существования комплексов в защищаемых сетях для предотвращения возможностей разведки инфраструктуры ИТКС путем сканирования сетей;

  • Способность применения при топологии сетей любой сложности, что существенно упрощает внедрение комплексов в организациях с уже устоявшейся сетевой инфраструктурой без их переделки;

  • Возможность "каскадного" включения комплексов в рамках защищаемых LAN для выделения отдельных сегментов в зоны повышенной защищенности;

  • Ведение тотального и неуничтожимого аудита информационных и управленческих взаимодействий комплексов с централизованным сбором соответствующих данных и их автоматическим архивированием для последующего анализа

  • Высокий уровень защиты от атак на сам комплекс.

В силу обладания выше перечисленными привлекательными свойствами, в течение 1999-2001гг. в эксплуатацию было сдано более 2000 комплексов "ФПСУ-IP" для защиты сложных гетерогенных сетей ряда организаций.

Конечно, мы продолжаем работы по совершенствованию и расширению спектра потребительских характеристик комплекса "ФПСУ-IP".

Среди них необходимо выделить следующее:

  • поддержку режимов "горячего резервирования", в том числе за счет кластерной организации работы;
  • расширение возможностей по фильтрации данных, в том числе на уровне приложений и поддержку механизмов антивирусной защиты ДМЗ;
  • увеличение количества сетевых интерфейсов (сейчас их только два).

Кроме того, в настоящее время завершается подготовка к выпуску в промышленную эксплуатацию комплекса "ФПСУ-IP/Клиент", предназначенного для установки на рабочих станциях под ОС Windows 98/NT/2000, который обеспечит аутентифицированный и безопасный доступ в ДМЗ, создаваемые комплексом "ФПСУ-IP" за счет создания VPN-соединения между удаленной (мобильной) рабочей станцией и комплексом "ФПСУ-IP".

Комплекс "ФПСУ-IP/Клиент" состоит из активного интеллектуального USB-устройства (типа eToken), хранящего уникальный идентификатор клиента, его криптографические ключи и другие необходимые данные, и соответствующих программных драйверов.

Если вас заинтересовали решения компании "Амикон", обращайтесь по адресу info@amicon.ru. Описания применения вышеприведенных решений размещены на сайте: www.amicon.ru.

Вернуться на главную страницу обзора

Содержание обзора:

  • Управленческие IT-решения в банковском секторе
  • Интернет-банкинг: медленно, но верно
  • Интернет-трейдинг: в томительном ожидании бума
  • Платежные системы: мировой рынок
  • Информационная безопасность в банковской сфере
  • Телекоммуникационные решения в банковской сфере
  • Динамика цен на акции компаний, предлагающих высокотехнологичные услуги в банковской сферах
  • Версия для печати

    Опубликовано в 2002 г.

    Toolbar | КПК-версия | Подписка на новости  | RSS