- •Федеральное агентство связи
- •1.1. Модель анализа угроз и уязвимостей
- •1.2.Основные понятия и особенности модели
- •1.3. Принцип расчета рисков:
- •1.4. Принципы разбиения шкалы на уровни
- •1.5. Расчет рисков по угрозе информационной безопасности
- •1.6.Задание контрмер
- •1.7. В результате работы алгоритма пользователь системы получает следующие данные:
- •1.8.Пример расчета риска информационной безопасности на основе модели угроз и
- •2.Общие положения об информационной безопасности телекоммуникационных систем
- •2.1. Методы, способы и средства защиты информации
- •Методики защиты
- •3.Виртуальные защищенные сети: виды, характеристики и варианты реализации
- •3.1.Основные компоненты vpn
- •3.2.Состав программно-аппаратного комплекса ViPNet
- •4. Типовые схемы применения технологии ViPNet
- •Типовая схема 2:
- •Типовая схема 3:
- •Незащищенная схема.
- •Информация об исходной схеме сети.
- •Требуемая защита.
- •Комментарии к схеме защиты.
- •Типовая схема 4:
- •Незащищенная схема.
- •Информация об исходной схеме сети.
- •Требуемая защита.
- •Комментарии к схеме защиты.
- •Типовая схема 6:
- •Незащищенная схема.
- •Информация об исходной схеме сети.
- •Требуемая защита.
- •Комментарии к схеме защиты.
- •Типовая схема 7:
- •Комментарии к схеме защиты.
- •Типовая схема 8:
- •Незащищенная схема.
- •Информация об исходной схеме сети.
- •Требуемая защита.
- •Комментарии к схеме защиты.
- •Типовая схема 9:
- •Комментарии к схеме защиты.
- •Типовая схема 10:
- •Типовая схема 11:
- •Комментарии к схеме защиты.
- •Типовая схема 12:
- •5.Задание на проект
Типовая схема 11:
Безопасный доступ из локальной сети в Интернет с использованием технологии «Открытый Интернет».
Незащищенная схема.
Информация об исходной схеме сети.
Адреса в локальных сетях частные.
На входах в локальные сети стоят компьютеры PROXY с реальными адресами.
Локальных сетей может быть сколько угодно.
К открытому Интернету подключается произвольное количество мобильных пользователей.
Требуемая защита.
Требуется защита информационного обмена при прохождении через открытый Интернет.
Требуется частичная защита информационного обмена внутри локальных сетей.
Требуется, чтобы виртуальная защищенная сеть была невидима для всех, кто в нее не входит.
Требуется, чтобы пользователи виртуальной защищенной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов данной виртуальной защищенной сети.
Требуется обеспечить возможность безопасного доступа в открытый Интернет для пользователей виртуальной защищенной сети изнутри локальных сетей.
Схема защиты, обеспечивающая выполнение сформулированных требований.
Комментарии к схеме защиты.
ПО ViPNet [Администратор]устанавливается на один из компьютеров (администратор безопасности) распределенной сети (обычно в центральном офисе).
Данное ПО позволяет:
создать топологию (логическую конфигурацию) VPN-сети и сгенерировать ключевую информацию для объектов VPN-сети, задает названия объектам VPN-сети и разрешает или запрещает связи между ними;
модифицировать (добавить или удалить объекты) VPN-сети с последующей рассылкой обновленной справочной и ключевой информации тем объектам VPN-сети, которых коснулось конкретное изменение;
централизованно обновить установленное ПО в случае выхода новой версии.
ПО ViPNet [Координатор]устанавливается на шлюзы локальных сетей (компьютеры PROXY). IP-адреса таких компьютеров должны быть статическими и реальными.
ViPNet [Координатор] Защищенной Сети выполняет следующие функции:
является сервером IP-адресов, то есть является справочным бюро, которое сообщает объектам VPN о текущем состоянии других объектов VPN (включены или выключены) и их IP-адресах;
является сервером для рассылки обновлений (ПО, справочная и ключевая информация);
является сервером-маршрутизатором для рассылки почтовых сообщений (если используется программа «Деловая Почта») и файлов, посылаемых по «файловому обмену» между объектами VPN;
является Межсетевым Экраном, который запрещает доступ в ЛВС из открытого Интернета;
запрещает доступ к открытым ресурсам, как открытого Интернета, так и локальной сети, если они есть, для всех пользователей защищенной сети.
ViPNet [Координатор]Открытого Интернета выполняет следующие функции:
организовывает доступ к ресурсам открытого Интернета от имени своего IP-адреса для привилегированных пользователей защищенной сети, за счет установленного на этом же компьютере ПО Proxy (например, WinGate, WinRoute и т.д.);
запрещает доступ к ресурсам открытого Интернета для непривилегированных пользователей защищенной сети;
организовывает защищенный туннель между собой и привилегированным пользователем защищенной сети, на время его работы с ресурсами открытого Интернета, без возможности доступа к этому туннелю со стороны всех остальных пользователей защищенной сети;
является Межсетевым Экраном, который запрещает доступ в ЛВС из открытого Интернета.
ПО ViPNet [Клиент]устанавливается на компьютеры всех мобильных пользователей и пользователей защищенной сети.
Данное ПО выполняет следующие функции:
шифрует весь исходящий информационный обмен с другими объектами VPN;
расшифровывает весь входящий информационный обмен от других объектов VPN;
запрещает доступ к ресурсам в открытом Интернете для непривилегированных пользователей защищенной сети;
организовывает доступ к ресурсам открытого Интернета для привилегированных пользователей защищенной сети через защищенный туннель с ViPNet [Координатором] Открытого Интернета;
запрещает взаимодействие со всеми другими пользователями защищенной сети (привилегированными и непривилегированными) и открытыми ресурсами ЛВС, если они есть, на время организации доступа к ресурсам открытого Интернета;
предоставляет большой набор сервисных возможностей для взаимодействия с другими объектами VPN (отправка онлайновых текстовых сообщений, получение информации о включенности конкретного объекта VPN, отправка почтовых сообщений и файлов, и др.);
при старте компьютера сообщает своему серверу IP-адресов (компьютер локальной сети с установленным ПО ViPNet [Координатор] свой текущий IP-адрес;
при выключении компьютера, сообщает своему серверу IP-адресов об этом;
является Персональным Сетевым Экраном, который запрещает доступ с открытых ресурсов на данный компьютер.