3.2 Программные и аппаратные средства защиты пэвм

Для обмена информацией с вышестоящими организациями будет использоваться ViPNet Client, для доступа к защищённой сети медицинских учреждений. ViPNet Client - это программный комплекс для ОС семейства Windows, выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования. Выбор данного средства защиты обусловлен приказом ФОМС, на базе сети которого создаётся защищённая сеть медицинских учреждений.

Клиент состоит из набора взаимосвязанных программных модулей: [Монитор] - совместно с низкоуровневым драйвером шифрования и фильтрации трафика отвечает за реализацию функций:

Персонального сетевого экрана - надежно защищает рабочую станцию/сервер от возможных сетевых атак, как из глобальной (Интернет), так и из локальной сети. При этом:

Осуществляется фильтрация защищенного и открытого трафиков по множеству параметров («белый» и «черный» списки IP-адресов, порты, протоколы);

Реализуется режим «stealth» (режим инициативных соединений), позволяющий сделать невидимым компьютер защищенной сети из открытой сети;

Обеспечивается обнаружение и блокировка типичных сетевых атак (элементы IDS).

Шифратора IP-трафика - обеспечивает защиту (конфиденциальность, подлинность и целостность) любого вида трафика (приложений, систем управления и служебного трафика ОС), передаваемого между любыми объектами защищенной сети, будь то рабочие станции, файловые серверы, серверы приложений.

Высокая производительность шифрующего драйвера, поддерживающего современные многоядерные процессоры, позволяет в реальном времени защищать трафик служб голосовой и видеосвязи в сетях TCP/IP и обеспечивать одновременную работу множества пользовательских сессий.

Поддерживается прозрачная работа через устройства статической и динамической NAT/PAT маршрутизации при любых способах подключения к сети.

Чат-клиента - позволяет пользоваться услугами встроенного сервиса обмена защищенными сообщениями и организации чат-конференций между объектами защищенной сети ViPNet, на которых установлены ViPNet Client или ViPNet Coordinator (Windows).

Клиента службы обмена файлами - позволяет обмениваться между объектами защищенной сети ViPNet любыми файлами без установки дополнительного ПО (например, FTP-сервера/клиента) или использования функций ОС по общему доступу к файлам через сеть.

Обмен файлами производится через защищенную транспортную сеть ViPNet с гарантированной доставкой и «докачкой» файлов при обрыве связи. [Контроль приложений] - программа, которая позволяет контролировать сетевую активность приложений и компонент операционной системы.

При этом можно формировать «черный» и «белый» списки приложений, которым запрещено или разрешено работать в сети, а также задавать реакцию на сетевую активность неизвестных приложений.

В большинстве случаев это позволяет предотвратить несанкционированную сетевую активность вредоносного ПО, например, программ-«троянов». [Деловая Почта] - программа, которая выполняет функции почтового клиента защищенной почтовой службы, функционирующей в рамках защищенной сети ViPNet, и позволяет:

формировать и отсылать письма адресатам защищенной сети через простой графический интерфейс пользователя;

- осуществлять многоадресную рассылку;

- использовать встроенные механизмы ЭЦП для подписи, в том числе множественной, текста письма и его вложений;

- контролировать все этапы «жизни» письма благодаря встроенному механизму обязательного квитирования писем;

- встроенная функция аудита к истории удаления писем;

- архивы писем;

- автоматическая обработка входящих сообщений;

Любой отправитель корреспонденции может быть однозначно идентифицирован. Поэтому этот сервис ViPNet является идеальным решением для внутрикорпоративного обмена документами и письмами. MFTP - программа, выполняющая функции обмена служебной информацией между узлами защищенной сети (обновления ключей шифрования, связей узлов, программного обеспечения) и конвертами с письмами «Деловой Почты» и конвертами «Файлового Обмена».

Криптопровайдер ViPNet CSP - ViPNet Client содержит встроенный криптопровайдер, реализующий стандартный для разработчиков прикладных систем под ОС Windows интерфейс Microsoft CryptoAPI 2.0.

Рисунок 3.3 - Главное окно ViPNet Client

Для защиты клиентских машин от вирусных атак должно быть использовано антивирусное программное обеспечение. На основе сравнения нескольки антивирусов (рисунок 3.4) выбор антивируса был сделан в пользу ESET NOD32 Antivirus, который помимо высокой эффективности, обладает кроссплатформенностью и может использоваться на компьютерах как под управлением Windows, так и Linux. NOD32 прошёл сертификацию ФСТЭК и подходит для защиты ИСПДн до 1 класса включительно.

Рисунок 3.4 - Сравнительная характеристика антивирусов

Для контроля доступа к критически важным ресурсам предполагается использовать аппаратно-программную систему защиты информации «МДЗ-Эшелон».

Модуль доверенной загрузки «МДЗ-Эшелон» является единственным в своем роде программным средством защиты от несанкционированного доступа, обеспечивающим контроль целостности, идентификацию и аутентификацию до передачи управления операционной системе.

В отличие от распространенных аппаратно-программных модулей доверенной загрузки, «МДЗ-Эшелон» не подвержен атакам на модификацию BIOS.

Технические характеристики:

поддержка аппаратной платформы семейства Intel x86 c BIOS PnP фирм «Phoenix-AWARD» и «AMI» с установленным жестким диском стандартов PATA, SATA и/или SCSI и CD-ROM стандартов PATA, SATA и др.;

поддержка любых ОС, установленных на отдельный раздел жесткого диска:Windows, QNX, Linux, WinCE c boot-сектором, FreeBSD и др. ;

объем, занимаемый на жестком диске: около 24 Мб;

требуемый объем в микросхеме FLASH BIOS - около 6 Кб;

первичная авторизация пользователя до загрузки ОС;

при успешной авторизации - контроль целостности среды путем вычисления контрольных сумм элементов файловой системы, связанных с пользователем и последующим сравнением с эталонными значениями;

поддержка BIOS с ядрами AWARD-Phoenix 4.5,6.0 и AMIBIOS 7.0, 8.0;

поддержка виртуальных машин VMWare, Bochs, VirtualPC.

Полученный сертификат соответствия ФСТЭК России № 1872 от 10.07.2009 г. позволяет использовать модуль доверенной загрузки «МДЗ-Эшелон» как в системах защиты персональных данных, так и для защиты сведений, составляющих государственную тайну, до грифа «совершенно секретно» включительно.

Кроме того, модуль доверенной загрузки «МДЗ-Эшелон» имеет сертификат Минобороны России № 815 на соответствие Приказу МО РФ, в том числе:

требованиям руководящего документа Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», 1999 г. - по второму уровню контроля;

требованиям руководящего документа Гостехкомиссии «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», 1992 г. - по 3 классу (в части требований «идентификации и аутентификации» подсистемы управления доступом и «целостность КСЗ» подсистемы обеспечения целостности);

криптографическим и инженерно-криптографическим требованиям ВС РФ;

требованиям по соответствию реальных и декларируемых в документации функциональных возможностей (ТУ);

на соответствие заданию по безопасности ИЦ-ЭШ.586.

Обоснованность выбора данного средства защиты приведена в таблице 3.1.

Таблица 3.1 - Сравнение аппаратно-программных средств защиты

Название	«МДЗ-Эшелон»	АПМДЗ «КРИПТОН-ЗАМОК»	ПАК «Соболь»
Поддерживаемые ОС	позволяет загружать любую ОС, установленную на отдельный раздел жесткого диска, включая МСВС и Windows (QNX, Linux, WinCE c boot-сектором, FreeBSD)	Windows 95/98/NT 4.0/2000/XP/2003	Windows начиная с 2000; FreeBSD версии 5.3, 6.2, 6.3 или 7.2; Trustverse Linux XP Desktop 2008 Secure Edition; МСВС 3.0
Поддержка файловых систем	NTFS, FAT 32, FAT 16, UFS, EXT3, EXT2	FAT12, FAT16, FAT32 и NTFS	NTFS, FAT 32, FAT 16, UFS, EXT3, EXT2
Стоимость	4400 руб.	5500 руб.	7850 руб.