Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
с VPN других организаций (при использовании (при использовании (если не ФПСУ-IP)
ими SKIP) ими SKIP)
Собственная безопасность
Защита целостности среды Нет Нет Да (по классу Ia)
Защита целостности ПО Да (контрольные Да (контрольные Да (по классу 1 а)
суммы) суммы)
Разграничение полномочий Да (средства Нет Да (с помощью TM)
обслуживающего персонала FreeBSD) Нет
Защита используемой Да (главные ключи Да (средствами Да (собственными
ключевой информации грузятся с дискеты) ОС Solaris) средствами)
Аутентификация программных Нет Нет Да (хэш-функции)
модулей/дополнений
Характеристики производительности (пропускная способность)
В режиме шифрования 8 Мбит/с 8 Мбит/с 11 Мбит/с
(Pentium 200) (Pentium 200) (Pentium 200)
Дополнительные возможности
Open CryptoAPI™ Нет Да Да
Стоимостные характеристики
Цена Н/д $2500-3000 $1000-1500
Таблица П. 1.2. Результаты сравнения .
Параметр Относительный ШИП Застава ФПСУ-IP
вес, %
Сертификация в ГТК или ФАПСИ 15 3 4 4
и общие характеристики
Функции управления доступом 20 4 4 4
Администрирование 10 3 5 4
Протоколирование событий/ 5 3 4 4
формирование отчетов
VPN-параметры 30 4 4 4
Собственная безопасность 5 3 2 5
Производитйльность 15 4 4 5
Итого 100 3,65 4 4,2
14-3
ПРИЛОЖЕНИЕ 2
СИСТЕМА САНКЦИОНИРОВАННОГО ДОСТУПА К РЕСУРСАМ КОРПОРАТИВНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Здесь рассматривается класс информационных систем повышенной сложности, которые обычно называют корпоративными информационными системами или системами масштаба предприятия. Как правило, любая корпоративная информационная система состоит из ряда подсистем (сбора данных, технологической обработки данных, управления предприятием, поддержки принятия решения, информационно-аналитическая и т.д.).
При построении систем масштаба предприятия для сокращения общих затрат, связанных с их установкой и эксплуатацией, желательно объединять все входящие в этот класс подсистемы в один комплекс и придерживаться следующих основополагающих правил:
• поддержка открытых стандартов, подразумевающая соответствие общепринятым стандартам;
• масштабируемость, означающая, что программное обеспечение должно работать с приемлемой производительностью без внесения в него существенных изменений при увеличении мощности и количества используемого оборудования;
• многозвенность; принцип многозвенности означает, что каждый уровень системы (клиент, Web-сервер, сервер приложений, сервер баз данных) отвечает и реализует функции, наиболее присущие ему;
• аппаратно-платформенная независимость программного обеспечения, используемого при разработке системы;
• коммуникативность. Этот принцип означает, что различные уровни системы могут взаимодействовать между собой как по данным, так и по приложениям.
Система доступа к ресурсам информационной системы
419
Подход к построению системы санкционированного доступа к ресурсам корпоративных информационных систем основан на архитектуре «клиент-сервер» и Web-технологии.
В настоящее время наиболее развивающейся технологией для построения корпоративных И С является intranet, которая предусматривает специфические решения реализации приложений архитектуры «клиент-сервер».
Под термином «intranet» подразумевается многообразие технологий и протоколов, разработанных для глобальной сети Internet, в закрытой корпоративной сети, что предусматривает:
• применение в качестве транспортного протокола TCP/IP;
• применение встроенных средств защиты и аутентификации (IPSec, SSL, SHTTP, S/MIME SESAME, Kerberos 5 и т.п.);
• использование при разработке приложений технологии WWW в архитектуре «клиент-Web-сервер приложений-сервер баз данных»;
Вместе с тем Web-технологии при всех своих заметных преимуществах создают и новые технические проблемы, такие как масштабируемость, управление сеансами и состоянием, трудности с защитой потока данных и возможными изменениями стандартов:
• масштабируемость - прикладные программы Web в период пиковых нагрузок могут вести себя непредсказуемым образом. Большие загрузки, создаваемые запросами пользователей, требуют высокоэффективной архитектуры аппаратной и программной платформы, которые должны допускать масштабируемость ресурсов;
• управление сеансом и состоянием. В WWW-среде клиентское и серверное ПО, к сожалению, является слабосвязаииым. Прикладные программы сервера должны хранить информацию о состоянии сеанса при переходе от одной страницы к другой, например, если необходимо избежать требования повторного ввода пользователем имени и пароля для доступа к новой странице;
• централизованное управление ресурсами и разграничение доступа. Как правило, управление ресурсами и разграничение доступа ориентировано на отдельный WWW-сервер и не охватывает все информационные ресурсы корпорации;
• защита. Проблемы защиты становятся первостепенными, когда компании делают внутренние базы данных доступными для внешних пользователей. Установление подлинности пользователя и безопасность передачи данных становится большой проблемой в среде Web из-за огромного количества потенциально анонимных пользователей;
