Комплекс криптографической защиты информации "КЛАН" |
Системы криптографической защиты информации в локальных компьютерных сетях |
Комплекс криптографической защиты информации "КЛАН" Комплекс криптографической защиты (ККЗ) «Клан» предназначен для создания защищенной виртуальной корпоративной сети с механизмами обеспечения безопасности на сетевом уровне на базе незащищенных каналов связи. Областью применения ККЗ являются распределенные ведомственные (корпоративные) сети, поддерживающие протокол IP, и использующие скоростные каналы связи (Ethernet, FastEthernet, ATM). Комплекс криптографической защиты информации "КЛАН", в зависимости от модификации, обеспечивает криптографическую защиту сетей, как обрабатывающих информацию содержащую гос.тайну (до грифа Совершенно Секретно включительно), так и обрабатывающих информацию ограниченного доступа, не содержащую гос.тайну. Для обеспечения безопасности информации, передаваемой за пределы защищенных сегментов, ККЗ предоставляет следующие услуги: 1. Конфиденциальность группа услуг, гарантирующих недоступность информации (открытого текста) для неуполномоченных субъектов при передаче через незащищенные сети. Данная группа включает в себя: 2. Целостность группа услуг, гарантирующих обнаружение любой модификации, включения, удаления или повторной передачи данных. 3. Аутентификация услуга, гарантирующая подтверждение подлинности источника пакета данных. Она заключается в подтверждении подлинности каждого принятого пакета. 4. Управление доступом услуга, обеспечивающая разграничение доступа к ресурсам ВКС. Она заключается в дискреционном управлении доступом к ресурсам ВКС посредством задания правил доступа, основанных на идентификационной информации. 5. Доступность услуга, обеспечивающая защиту от атак, приводящих к несанкционированному занятию информационных ресурсов ВКС. Состав комплекса криптографической защиты информации "КЛАН": Аппаратно-программные устройства криптографической защиты (УКЗ) в двух вариантах исполнения: Аппаратно-программный центр управления ключевой системой (ЦУКС) Центр сбора и анализа информации аудита Все аппаратно-программные устройства выпускаются в двух модификациях : для защиты информации, содержащей гос.тайну и для защиты информации ограниченного доступа, не содержащую гос.тайну. УКЗ являются пограничными устройствами, включаемыми между защищаемыми сегментами сети и незащищенными каналами связи. На каждый канал связи, выходящий за пределы защищенной сети, устанавливаются УКЗ (в случае отдельно стоящей ПЭВМ устанавливается УКЗ-К). УКЗ взаимодействуют между собой через незащищенные каналы связи, причем УКЗ не накладывает никаких ограничений к топологии используемой сети (Единственное требование поддержка Ethernet-каналов и протоколов семейства TCP/IP). Со стороны защищенного сегмента УКЗ выглядит как шлюз по умолчанию (default gateway) для доступа за пределы сегмента. Со стороны незащищенной сети УКЗ выглядит как обычный хост (отдельный узел сети). Таким образом, УКЗ обеспечивает прозрачное взаимодействие сегментов, входящих в состав ВКС по протоколу IP. Средства управления позволяют следить за состоянием всех УКЗ с сети и управлять параметрами их работы как локально, так и удаленно. Для централизованного управления ключевой системой применяется ЦУКС. В случае небольшого количества УКЗ в сети возможно управление ключевой системой в ручном режиме. Технические характеристики. Исполнение Интерфейсы. Поддерживаемые протоколы. Для обеспечения удаленного управления используются протоколы Telnet, SNMP и RMON. Кроме того, для управления ключевой системой используются протоколы собственной разработки, функционирующие поверх протокола IP. Для обеспечения сбора информации аудита используются протоколы Syslog, SNMP и RMON. Для обеспечения передачи зашифрованных данных используется протокол IP SEC (ESP). Производительность |