Компанией накоплен немалый опыт построения информационных систем (ИС) со встроенными механизмами защиты информации, создана одна из наиболее полных в России баз данных по защите информации "Безопасность", разработан ряд методик комплексной оценки защищенности ИС и проведения испытаний межсетевых экранов (МЭ), выполнен ряд исследований защитных средств и возможностей различных сетевых ОС (в том числе Windows NT и Solaris).
Однако "главный козырь" Jet - тесное сотрудничество с Гостехкомиссией Российской Федерации (ГТК РФ). Специалисты Jet принимали непосредственное участие в разработке основных нормативных положений, связанных с обеспечением безопасности ИС "Руководящего документа Межсетевые Экраны", утвержденного 25 июля 1997 г. Этот документ устанавливает требования к МЭ, классифицирует их по уровню защищенности от несанкционированного доступа и дополняет существующие нормативные документы ГТК РФ в отношении характеристик безопасности МЭ, ЛС и распределенных автоматизированных систем.
Функциональная схема комплекса "Застава-Джет"
В конце января компания Jet Infosystems объявила о получении сертификата на единичный экземпляр МЭ "Застава-Джет". Этот межсетевой экран представляет собой функционально-распределенный программно-аппаратный комплекс на базе шлюза SUN Ultra 1 (частота 170 MГц, SCSI диск 2,1 Гбайта, ОЗУ 64 Мбайта) с монтируемыми в компьютер сетевыми интерфейсами Quard Ethernet. Показатель защищенности системы соответствует 2 классу (см. таблицу), что - при соблюдении "Специальных требований и рекомендаций по защите информации, составляющей государственную тайну, от утечки по техническим каналам" - позволяет использовать ее при работе с документами, имеющими грифы "С" и "СС". Следует подчеркнуть, что заявка в ГТК РФ на проведение сертификационных испытаний партии из 100 образцов МЭ "Застава-Джет" (т. е. заявка на получение сертификата на производство) подана только в январе 1998 г.
Показатели защищенности и классы защиты межсетевых экранов | |||||
Показатель защищенности | Классы защищенности | ||||
5 | 4 | 4 | 2 | 1 | |
Управление доступом (фильтрация данных и трансляция адресов) | + | + | + | + | = |
Идентификация и аутентификация | - | - | + | = | + |
Регистрация | - | + | + | + | = |
Администрирование: идентификация и аутентификация | + | = | + | + | + |
Администрирование: регистрация | + | + | + | = | = |
Администрирование: простота использования | - | - | + | = | + |
Целостность | + | = | + | + | + |
Восстановление | + | = | = | + | = |
Тестирование | + | + | + | + | + |
Наличие руководства администратора защиты | + | = | = | = | = |
Тестовая документация | + | + | + | + | + |
Конструкторская (проектная) документация | + | = | + | = | + |
Примечания: "-" нет требований к данному классу; "+" наличие новых или дополнительных требований (по сравнению с предыдущим классом); "=" требования совпадают с требованиями к предыдущему классу. |
Как и любой межсетевой экран, "Застава-Джет" контролирует информационные потоки между сетями за счет разграничения доступа, фильтрации пакетов данных и контроля целостности информационной среды. В состав комплекса входят ОС Solaris 2.5.1 и программные компоненты, показанные на рисунке. Заметим, что часть исходных модулей комплекса составляют службы, принадлежащие известному семейству продуктов Gauntlet. Их коды были переданы Jet Infosystems американской фирмой Trusted Information Systems в соответствии с заключенным между компаниями соглашением. Следует отметить, что брандмауэр Gauntlet стал первым американским ПО, прошедшим сертификацию на соответствие российским стандартам.
По мнению представителей Jet Infosystems, вклад каждой из компаний в систему "Застава-Джет" можно считать почти равноценным. Программисты Jet осуществили доработки на уровне оболочки (с использованием shell script), сконфигурировав Solaris так, чтобы он мог регламентировать работу ряда служб ОС. Они модифицировали некоторые службы Gauntlet и разработали подсистему управления МЭ, в которую вошли средства регистрации и учета запрашиваемых служб, оповещения и сигнализации при нарушении правил фильтрации, контроля за действиями администратора МЭ, поддержки удаленной регистрации по временному паролю и динамического контроля за целостностью программной информационной среды МЭ.
Общими чертами всех программ Gauntlet являются простота исходного кода (не более 2 тыс. строк) и верифицируемость, что позволяет обеспечить высокую степень их безошибочности, т.е. внутренней надежности. Важнейший принцип работы продуктов Gauntlet - "все, что не разрешено, запрещено". Если какая-либо служба или агент не существует, то соответствующий пакет просто не будет пропущен через МЭ. Работа с данными регламентируется правилом минимизации привилегий: с системными привилегиями выполняются лишь небольшие фрагменты кода; ни одна программа, работающая с информацией из внешней сети, не имеет полных системных привилегий.
Служба фильтрации сетевых пакетов поддерживает как сетевой, так и транспортный уровни (согласно модели ISO/OSI), а службы прикладного уровня, разработанные Gauntlet, обеспечивают передачу файлов, работу терминальных служб, электронной почты, служб Web, сетевой печати и ряда других. В набор служб Gauntlet входит также служба имен, которая совместно с почтовым шлюзом позволяет "скрыть" от внешнего мира внутренние имена и адреса. Серверная служба аутентификации Gauntlet дает возможность использовать программно генерируемые одноразовые пароли и аутентификационные карточки фирм-производителей ПО.
Разработчики Jet внесли свою лепту и в модули, входящие в шлюз приложений. Используя средства разработки Generic Proxy, они добавили к его основным службам-посредникам (Telnet, FTP, Rsh, HTTP, SQL, NetShow, VDOLive, SNMP и др.) несколько новых агентов-посредников (proxy-service). Эти агенты осуществляют фильтрацию пакетов данных на уровне приложений (в частности, программистами Jet был создан шлюз IPX). Для каждого агента или службы существует общий и уникальный наборы параметров (ими может управлять администратор МЭ), однозначно определяющие его конфигурацию. Кроме того, в системе "Застава-Джет" можно иметь несколько разных конфигураций одной и той же службы (например, для определенных групп пользователей, для всех остальных клиентов сети) и создавать так называемые конфигурационные наборы.
Все эти функции дают возможность администратору МЭ создавать изощренные правила работы различных служб через внешнюю сеть.
Надежность работы комплекса гарантируется внутренним аудитом системы МЭ, протоколированием всех соединений и событий блокировки соединений, а также средствами оповещения администратора МЭ о попытках несанкционированного доступа. Резервное копирование всех файлов и системы, а также восстановление при сбоях обеспечиваются средствами Solaris.
"Застава-Джет" пока не оснащена современными средствами криптозащиты, имеющими сертификат ФАПСИ, но все еще впереди. В существующую конфигурацию комплекса будут интегрированы средства "ШИП" (шифратор информационных потоков), которые полностью соответствуют требованиям ГОСТ и имеют сертификат ФАПСИ. Они выпускаются Московским отделением Пензенского научно-исследовательского электротехнического института, известным в России разработчиком программных средств криптографической защиты информации (место комплекса "ШИП" в функциональной схеме МЭ показано на рисунке пунктиром). Программно-аппаратный комплекс "ШИП" имеет модульную архитектуру и состоит из распределенной сети шифраторов IP-потоков и единого центра управления и мониторинга подсистемы.
В настоящее время Jet проводит внутренние испытания интегрируемого комплекса. Компания планирует подать в марте 1998 г. заявку в ГТК РФ на сертификацию системы защиты с рабочим названием "Еж", включающей в себя комплексы "Застава-Джет" и "ШИП".
Межсетевым экраном называется локальное (однокомпонентное) или функционально-распределенное средство (комплекс), которое реализует контроль за информацией, поступающей в автоматизированную систему и/или выходящей из нее, и обеспечивает защиту автоматизированной системы посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) автоматизированной системе.
"Руководящий документ Межсетевые Экраны" ГТК РФ
Галина Большова - обозреватель журнала "Сети".