Информация >> Публикации сотрудников компании >>Смирнов В.А., Трегубов А.Ю. «"Сигнал-КОМ" предлагает. Аутсорсинг в области информационной безопасности»
«PC Week», №36, 2001 октябрь

Вряд ли нужно перечислять все преимущества, обладателем которых становится современное предприятие, получая доступ к ресурсам сети Интернет. Однако прямое использование Интернета, не обеспеченное какими-либо средствами безопасного подключения, может привести к серьезным финансовым потерям. Согласно периодическим отчетам, публикуемым ведущими западными консалтинговыми компаниями, ежегодные убытки, обусловленные недостаточным уровнем защищенности работающих в сети компьютеров, оцениваются десятками миллионов долларов.

В числе основных причин подобных потерь эксперты обычно отмечают следующие:

  • атаки типа «отказ в обслуживании»;
  • несанкционированный доступ (НСД) внешних злоумышленников к корпоративным ресурсам;
  • перехват конфиденциальной информации, передаваемой в открытом виде по незащищенным каналам Интернета;
  • преднамеренная неверная аутентификация и подмена одной из сторон информационного обмена.

Приводимые оценки размера причиненного ущерба однозначно свидетельствуют о том, что при подключении к Интернету корпоративной ИС необходимо обеспечить ее надежную защиту от внешних негативных воздействий. Для решения этой задачи недостаточно одних только организационно-режимных мер, антивирусных пакетов и встроенных в ОС средств ограничения доступа к ресурсам компьютера. Необходимый уровень безопасности корпоративной системы достигается применением специализированных средств защиты - межсетевых экранов (МЭ), или брандмауэров, устанавливаемых на периметре корпоративной сети для контроля внешнего доступа.

Правильно настроенный МЭ позволяет организации, использующей различные публичные сервисы и службы Интернета, обеспечить высокий уровень защищенности от НСД. Однако в ряде случаев одного только межсетевого экранирования оказывается недостаточно, и требуются дополнительные меры по аутентификации сторон информационного обмена и защите информации, передаваемой по открытым Интернет-каналам.

Для обеспечения конфиденциальности и защиты межсетевого трафика некоторые МЭ оснащаются средствами криптографической защиты, а для взаимодействия с мобильными пользователями МЭ дополнительно комплектуются клиентскими программными модулями. Подобные средства представляют собой довольно сложное оборудование, управление которым требует специальной подготовки. Однако в современных условиях не каждая организация может позволить себе содержание квалифицированных специалистов в области защиты информации и информационных технологий. Возможный выход из такой ситуации - поручить обслуживание средств безопасности заслуживающей доверия третьей стороне, другими словами, воспользоваться услугами аутсорсинга. В результате организация защитит собственную ИС, не отвлекаясь от основного бизнеса.

Российская банковская энциклопедия определяет аутсорсинг как «вид функциональных компьютерных услуг, предоставляемых специализированной фирмой своим клиентам». Российский рынок аутсорсинга в сфере информационной безопасности пока только формируется. Однако это формирование весьма динамично, так как все больше российских компаний вовлекается в сферу электронной коммерции, переходя к новым формам ведения бизнеса и открывая свои сети клиентам, поставщикам и партнерам.

Не так давно о предоставлении услуг в области информационной безопасности объявила московская фирма «Сигнал-КОМ». Предлагаемый ею пакет услуг аутсорсинга «Net-PRO Firewall & VPN Security» включает анализ конфигурации сети, используемых протоколов, характера решаемых задач и пр., По результатам обследования формулируется решение по защите корпоративной ИС. Основу решения составляют разработки «Сигнал-КОМ», а именно: «Net-PRO VPN» - программный комплекс, предназначенный для организации защищенных виртуальных TCP/IP-сетей на базе протоколов SOCKS и SSL; и «IPSafe-PRO» - программно-аппаратный комплекдля межсетевого экранирования и защиты информации на базе семейства протоколов IPSec.

Основные технические характеристики «Net-PRO VPN» и «IPSafe-PRO» приведены в таблице:

Характеристики IPSafe-PRO Net-PRO VPN
Сертификация ГТК Нет 3 класс защищенности
Сертификация ФАПСИ Используется криптоядро из состава сертифицированного ФАПСИ СКЗИ «Крипто-КОМ 3.0» Используется криптоядро из состава сертифицированного ФАПСИ СКЗИ «Крипто-КОМ 3.0»
Реализация защиты, уровень Сетевой Сеансовый
Протоколы для VPN IPSec (ESP, RFC 2406) SOCKS, SSL
Конфигурация сервера ПЭВМ формата Booksize с двумя Ethernet-интерфейсами в точке соединения ЛВС с Интернетом ПО «Net-PRO VPN Server» - шифрующий МЭ в точке соединения ЛВС с Интернетом
ОС Усиленное ядро FreeBSD Windows NT/2000
Услуги безопасности
1. Конфиденциальность Шифрование Шифрование
2. Аутентификация источника IP-адреса и вычисление криптографической контрольной суммы Использование сертификатов X.509 или паролей
3. Целостность передаваемых данных Вычисление криптографической контрольной суммы Вычисление криптографической контрольной суммы
4. Защита от анализа трафика Туннельный режим, добавление символов к шифруемым данным -
5. Управление доступом к ресусам Фильтрация по адресам, портам, протоколам Фильтрация по цифровым сертификатам, адресам, портам, протоколам, дате/времени
6. Маскирование топологии ЛВС Трансляция сетевых адресов Использование Proxy (SOCKS)-технологии, псевдонимов
Реализация ГОСТ 28147-89 Есть Есть
Другие криптографические алгоритмы RC5, 3DES, DES, SHA, MD5 RC2, RC4, IDEA, 3DES, DES, MD5, SHA, RSA
Клиентская часть «Net-PRO IP Win» - криптографический «драйвер» сетевого уровня, прозрачный для пользователя «Net-PRO VPN Client» - клиентский криптографический модуль, прозрачный для TCP/IP-приложений
Защищаемые конфигурации Межсетевое взаимодействие, удаленный доступ, внутренний сетевой трафик Межсетевое взаимодействие, удаленный доступ, внутренний сетевой трафик
Тип ключевой системы Симметричная Асимметричная
Механизмы распределения ключей Ручное распределение Автоматическая распределение сеансовых ключей в рамках SSL-сессии
Взаимодействие с VPN других производителей При использовании протокола ESP При использовании протоколов SOCKS, SSL и сертификатов Х.509
Дополнительные сведения Возможно исполнение на базе промышленного ПК с поддержкой интерфейсов G.703, G.704, V.35, RS-232 и пр. Надежный контроль доступа к ресурсам корпоративной сети с использованием цифровых сертификатов Х.509 как для внешних, так и для внутренних пользователей

Функциональные возможности «Net-PRO VPN» и «IPSafe-PRO» обеспечивают заказчику безопасное взаимодействие корпоративной сети с Интернетом, организацию аутентифицированного доступа внешних и внутренних пользователей к корпоративным ресурсам и контроль доступа внутренних пользователей (сотрудников предприятия) к внешним ресурсам. Использование указанных средств позволяет создавать распределенные VPN-сети, организовывать защищенное взаимодействие между центральной сетью предприятия, сетями удаленных офисов, партнеров и клиентов, а также обеспечивать защищенный доступ мобильных пользователей к корпоративной сети.

Программа аутсорсинга «Net-PRO Firewall & VPN Security» предполагает бесплатную установку и настройку комплексов «Net-PRO» на защищаемых объектах в соответствии с политикой безопасности и проектными требованиями.

Последующее абонементное обслуживание установленных средств защиты включает:

  • контроль конфигурации,
  • модификацию правил защиты при изменении топологии сети и требований безопасности,
  • модернизацию и обновление используемых версий,
  • анализ статистики и отчетов с целью выявления возможных брешей в защите.

Дистанционное управление оборудованием и сетью заказчика осуществляется через Интернет по защищенному соединению из центра управления, расположенного в офисе «Сигнал-КОМ». При необходимости специалисты «Сигнал-КОМ» могут предложить заказчику консалтинговые услуги по составлению политики безопасности, разработке архитектуры и методологии защиты.

Пакет услуг «Net-PRO Firewall & VPN Security» делает аутсорсинг в области информационной безопасности привлекательным решением для небольших и средних компаний. Организация безопасного подключения сети предприятия к Интернету обойдется заказчику в 50 долл. в месяц (без реализации функций защиты трафика между удаленными пользователями и ресурсами ЛВС). Создание полноценной VPN, объединяющей несколько ЛВС и обеспечивающей гарантированную защиту межсетевого трафика и трафика удаленных пользователей, составит дополнительно 30 долл. в месяц за каждую защищаемую ЛВС и до 10 долл. за рабочее место удаленного или мобильного пользователя.