ВУЗ:
Составители:
136
Рис. 7.2. Защищенная корпоративная сеть
Для централизованного управления работой КШ (настройка, контроль состояния,
распределение ключей шифрования и т.д.) используются центр управления сетью и программа
управления. Центр управления сетью устанавливается на одном из криптошлюзов сети.
Программа управления может быть установлена на компьютерах внутри защищаемых центром
управления сегментов сети. Оповещение администратора о попытках НСД осуществляется на
АРМ управления сетью. Шифрование передаваемой информации для пользователей VPN является
прозрачным.
В аппаратно-программном комплексе используется симметричная ключевая система.
Криптографическое соединение между КШ в сети осуществляется на ключах парной связи.
Шифрование каждого пакета производится на индивидуальном ключе, который формируется из
ключа парной связи. Для шифрования данных используется алгоритм ГОСТ 28147-89 в режиме
гаммирования с обратной связью. Имитозащита данных осуществляется с использованием
алгоритма ГОСТ 28147-89 в режиме имитовставки. Ключи парной связи генерируются центром
управления сетью для каждого КШ сети и для каждого АП при помощи специальной программы.
Передача ключей на КШ с ЦУС производится по защищенному каналу связи (на ключе связи с
ЦУС). В качестве ключевого носителя для ключа связи с ЦУС используется дискета. Ключи
парной связи хранятся на диске в зашифрованном виде (на ключе хранения). Ключ хранения
находится в защищенной энергонезависимой памяти ЭЗ “Соболь”. Для защиты соединения между
управляющей консолью и ЦУС используется специальный административный ключ. Этот ключ
хранится на ключевом диске администратора системы. Плановая смена ключей на КШ
осуществляется из ЦУС по каналу связи в защищенном виде на ключе связи с ЦУС.
Криптографический шлюз представляет собой специализированное программно-
аппаратное устройство, функционирующее под управлением сокращенной версии ОС FreeBSD.
Он обеспечивает:
• прием и передачу пакетов по протоколам семейства TCP/IP (статическая маршрутизация);
• шифрование передаваемых и принимаемых IP-пакетов (ГОСТ 28147-89, режим гаммирования
с обратной связью);
• сжатие защищаемых данных;
• защиту данных от искажения (ГОСТ 28147-89, режим имитовставки);
• фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации;
• скрытие внутренней структуры защищаемого сегмента сети;
• криптографическую аутентификацию удаленных абонентов;
• периодическое оповещение ЦУС о своей активности;
• регистрацию событий, связанных с работой КШ;
• оповещение администратора (в реальном режиме времени) о событиях, требующих
оперативного вмешательства;
Рис. 7.2. Защищенная корпоративная сеть
Для централизованного управления работой КШ (настройка, контроль состояния,
распределение ключей шифрования и т.д.) используются центр управления сетью и программа
управления. Центр управления сетью устанавливается на одном из криптошлюзов сети.
Программа управления может быть установлена на компьютерах внутри защищаемых центром
управления сегментов сети. Оповещение администратора о попытках НСД осуществляется на
АРМ управления сетью. Шифрование передаваемой информации для пользователей VPN является
прозрачным.
В аппаратно-программном комплексе используется симметричная ключевая система.
Криптографическое соединение между КШ в сети осуществляется на ключах парной связи.
Шифрование каждого пакета производится на индивидуальном ключе, который формируется из
ключа парной связи. Для шифрования данных используется алгоритм ГОСТ 28147-89 в режиме
гаммирования с обратной связью. Имитозащита данных осуществляется с использованием
алгоритма ГОСТ 28147-89 в режиме имитовставки. Ключи парной связи генерируются центром
управления сетью для каждого КШ сети и для каждого АП при помощи специальной программы.
Передача ключей на КШ с ЦУС производится по защищенному каналу связи (на ключе связи с
ЦУС). В качестве ключевого носителя для ключа связи с ЦУС используется дискета. Ключи
парной связи хранятся на диске в зашифрованном виде (на ключе хранения). Ключ хранения
находится в защищенной энергонезависимой памяти ЭЗ “Соболь”. Для защиты соединения между
управляющей консолью и ЦУС используется специальный административный ключ. Этот ключ
хранится на ключевом диске администратора системы. Плановая смена ключей на КШ
осуществляется из ЦУС по каналу связи в защищенном виде на ключе связи с ЦУС.
Криптографический шлюз представляет собой специализированное программно-
аппаратное устройство, функционирующее под управлением сокращенной версии ОС FreeBSD.
Он обеспечивает:
• прием и передачу пакетов по протоколам семейства TCP/IP (статическая маршрутизация);
• шифрование передаваемых и принимаемых IP-пакетов (ГОСТ 28147-89, режим гаммирования
с обратной связью);
• сжатие защищаемых данных;
• защиту данных от искажения (ГОСТ 28147-89, режим имитовставки);
• фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации;
• скрытие внутренней структуры защищаемого сегмента сети;
• криптографическую аутентификацию удаленных абонентов;
• периодическое оповещение ЦУС о своей активности;
• регистрацию событий, связанных с работой КШ;
• оповещение администратора (в реальном режиме времени) о событиях, требующих
оперативного вмешательства;
136
Страницы
- « первая
- ‹ предыдущая
- …
- 133
- 134
- 135
- 136
- 137
- …
- следующая ›
- последняя »
