Выгружен в юнисерт что это
Выгружен в юнисерт что это
Оглавление
UniCERT обеспечивает сервис для регистрации пользователей, выдачи и удаления цифровых сертификатов. Программные модули UniCERT обеспечивают централизованный контроль и определяют все политики функционирования PKI. Основным преимуществом UniCERT для построения PKI является гибкость. Технология UniCERT содержит три основных уровня:
Схема взаимодействия модулей UniCERT представлена на рисунке 1: 
Рис. 1. Схема взаимодействия основных модулей UniCERT.
Схема взаимодействия модулей UniCERT при выдаче сертификатов представлена на рисунке 2.: 
Рис.2. Схема взаимодействия основных модулей UniCERT при выдаче сертификатов.
 |
| 1. Core Technology |
|
САО обеспечивает интерфейс между системой и администратором. Через САО оператор управляет политикой функционирования Сервера Сертификатов. Через САО также конфигурируются все остальные компоненты UniCERT. САО выдает сертификаты всем элементам UniCERT, определяет политики регистрации пользователей и отправляет эти политики в RAO. Для распределенного администрирования возможно применение нескольких САО с различными правами.
АРМ полнофункциональный модуль, который добавляется к новому или существующему UniCERT.
Timestamp Server обеспечивает высокий уровень безопасности и доверия, необходимый в электронной коммерции.
Сертификаты атрибутов обеспечивают больше, чем просто возможность авторизации, например, Сертификаты Атрибутов могут контролировать доступ пользователей к сетевым ресурсам.
Как и пользовательские атрибуты, сертификаты атрибутов имеют непродолжительное время существования. ACS уменьшает необходимость переиздания сертификатов. Пользовательские сертификаты выпускаются и управляются централизовано, а сертификаты атрибутов могут выдаваться и управляться в распределенном режиме, в соответствии со структурой центров доступа. Поддержка пользовательских атрибутов может передаваться отдельным администраторам.
Roaming позволяет пользователям подписывать транзакции почти из любого броузера, не используя аппаратные средства хранения сертификатов. Используя эту технологию, онлайновые приложения, требующие безопасность транзакций, могут легко быть расширены до больших, распределенных групп пользователей, независимо от места расположения, аппаратуры, ОС и приложений.
DKM обеспечивает выполнение на рабочих станциях централизованной политики управления ключами и сертификатами. DKM самостоятельно выполняет ежедневные задачи по управлению безопасностью.
UniCERT
UniCERT
UniCERT это система PKI (Инфраструктура Открытых Ключей) для закрытых и открытых типов доверительных структур. Термин PKI можно расшифровать как совокупность аппаратного и программного обеспечения, людей и процедур, необходимых для управления, хранения, распределения и отзыва сертификатов, базирующаяся на криптографии с открытым ключом.
В качестве стандарта, описывающего PKI-решения, выступает X.509, развивающийся с 1988 г. и регламентирующий формат цифровых сертификатов. Собственно, с сертификата и начинается универсализация, обеспечивающая единые механизмы защиты для решения различных задач, например:
• внутренний документооборот в корпоративной сети;
• доступ к сетевым устройствам;
• авторизация на уровне операционных систем, СУБД и приложений.
В качестве клиентского ПО для взаимодействия с UniCERT используется Windows. Это обстоятельство существенно облегчает применение сертифицированных российских решений и позволяет разворачивать PKI без излишних правовых проблем, которые возникают при использовании зарубежных продуктов.
Таким решением является криптопровайдер «КриптоПро CSP», разработанный одноименной российской компанией. Применяя криптопровайдер, пользователи Windows могут воспользоваться стандартными программными средствами фирмы Microsoft для реализации решений, основанных на инфраструктуре PKI (браузер Internet Explorer, почтовая программа MS Exchange и MS Outlook, Web-сервер Internet Information Server и т. д.).
Структура
Unicert PKI состоит из базового «Основного» модуля, который необходим для работы ядра системы. Улучшенный и расширенный модули представляют надстройку над ядром, предоставляющие дополнительные сервисы Инфраструктуры Открытых Ключей.
• СА принимает подтвержденные запросы на выдачу или аннулирование сертификатов от Центра Регистрации (RA) и Оператора Сервера Сертификатов (CAO), и возвращает сертификаты и подтверждения аннулирования.
• В соответствии с установленной политикой, СА выдает конечным пользователям личные ключи шифрования, которые сохраняются в Сервере Архивов Ключей (КAS).
• СА несет ответственность за ЭЦП внутри всей PKI и за подпись пользовательских сертификатов. СА также подписывает сертификаты подчиненных СА и других СА, в случае перекрестной сертификации.
• Все сообщения, посылаемые СА, подписываются его ЭЦП.
• Все сообщения, получаемые СА, проверяются на целостность и подлинность отправителя;
• Все данные и журнал регистрации сохраняются в собственной базе данных СА. Каждая запись имеет свой номер.
• СА публикует сертификаты, CRL, ARL в LDAP, каталог стандарта X.500 и на диск;
• СА может отвечать за публикацию CRL и ARL на OCSP-серверах;
• СА генерирует пары ключей для себя и для главного САО;
• СА может проверять уникальность всех сертификатов и открытых ключей.
• Работает под управлением Solaris, HP, Windows 2000, NT;
• Поддержка аппаратных средств хранения ключей и сертификатов (smartcard, eToken);
• Поддержка LDAP и DAP;
• СА может пользоваться различными парами ключей для различных функций: подпись сертификатов, подпись CRL, шифрование данных, шифрование ключей;
• Изменение времени публикации CRL;
• Публикация CRL для OCSP-серверов;
• Поддержка различных алгоритмов шифрования, включая RSA, DSA, EC DSA.
Certificate Authority Operator (CAO) – АРМ Администратора Центра Сертификации, контролирующего все административные функции, как корневого, так и второстепенного СА. САО обеспечивает интерфейс между системой и администратором. Через САО оператор управляет политикой функционирования Сервера Сертификатов. Через САО также конфигурируются все остальные компоненты UniCERT. САО выдает сертификаты всем элементам UniCERT, определяет политики регистрации пользователей и отправляет эти политики в RAO. Для распределенного администрирования возможно применение нескольких САО с различными правами.
• САО направляет утвержденные запросы на получение сертификата в СА. САО сохраняет запросы на удаление сертификатов в базе данных СА;
• САО отвечает за создание и поддержку политики выдачи сертификатов. СА также поддерживает политики функционирования СА и всех RA;
• САО выдает RAO политики выдачи сертификатов (через СА и RA);
• Некоторые сертификаты могут быть аннулированы САО;
• САО может добавлять новые модули в PKI и определять им привилегии;
• САО создает пары ключей для новых модулей;
• Все сообщения, посылаемые САО, подписываются его ЭЦП;
• Все сообщения, получаемые САО, проверяются на целостность и подлинность отправителя;
• Все данные и журнал регистрации сохраняются в базе данных СА. Все записи подписываются САО. Каждая запись имеет уникальный номер.
• Работает на Windows NT и Windows 2000;
• Графический интерфейс пользователя;
• Интерфейс для просмотра журналов регистрации и сертификатов;
• Выдача сертификатов и CRL;
• Поддержка использования аппаратных средств хранения сертификатов и ключей;
• Пользователь индивидуального САО может иметь ограниченные привилегии;
• Возможность подтверждения запроса на отзыв сертификата несколькими САО для удаления сертификата;
• Просмотр обрабатываемых запросов.
• RA пересылает утвержденные запросы на получение и аннулирование сертификатов от RAO в СА. RA получает выданные сертификаты и подтверждения аннулирования сертификатов и делает их доступными для RAO.
• RA пересылает запросы на получение и аннулирование сертификатов от Gateway в RAO и посылает выданные сертификаты и информационные сообщения обратно в Gateway.
• RA отвечает за действительность сертификатов пользователей в течение определенного времени;
• Все сообщения, посылаемые RA, подписываются ЭЦП;
• Все сообщения, получаемые RA, проверяются на целостность и подлинность отправителя;
• Все данные и журнал регистрации хранятся в базе данных RA. Все записи подписываются RA. Каждая запись имеет уникальный номер.
• Работает под управлением Windows NT и Windows 2000.
• Поддержка использования аппаратных средств хранения сертификатов и пользовательских ключей;
• RA может автоматически подтверждать запросы, приходящие от Gateway, без вмешательства RAO;
• RAO получает запросы на получение сертификата от Gateway или напрямую от пользователя;
• RAO подтверждает или отвергает пользовательские запросы на получение сертификата;
• RAO может генерировать пользовательские ключи;
• RAO посылает подтвержденные запросы на получение и аннулирование сертификатов в RA;
• Все сообщения, посылаемые RAO, подписываются ЭЦП;
• Все сообщения, получаемые RAO, проверяются на целостность и подлинность отправителя;
• Все данные и журнал регистрации хранятся в базе данных RA. Все записи подписываются RAO. Каждая запись имеет уникальный номер.
• Работает под управлением Windows NT и Windows 2000.
• Графический интерфейс пользователя;
• Возможность просмотра журналов регистрации и сертификатов;
• Поддержка использования аппаратных средств хранения сертификатов и пользовательских ключей;
• Возможность использования нескольких распределенных RAO.
• Gateway получает запросы на получение сертификатов от удаленных пользователей и отсылает запросы RA. Gateway принимает сертификаты от RA и пересылает их конечным пользователям;
• E-mail Gateway принимает запросы на получение сертификатов в соответствии со стандартом PKCS#10, присланные электронной почтой на порт POP3. Gateway отсылает обратно сертификаты в форме PKCS#7 и информационное сообщение по электронной почте;
• Web Gateway принимает запросы на получение сертификатов через HTTP сервис. Gateway записывает в файл выданный сертификат и отправляет по электронной почте на URL, где пользователь может получить сертификат.
• Web Gateway также принимает запросы на аннулирование сертификатов через HTTP сервис. Gateway также обеспечивает подтверждение подлинности или отвержение Web страниц.
• VPN Gateway принимает запросы на получение сертификатов через HTTP сервис и обслуживает информационные страницы. Gateway записывает в файл выданный сертификат и отправляет по электронной почте URL, где VPN клиент может получить сертификат.
• VPN Gateway принимает запросы на получение сертификатов в стандарте SCEP и отправляет сертификаты в том же стандарте. SCEP это стандарт используемый оборудованием и ПО Cisco.
• Работает под управлением Windows NT и Windows 2000.
• Графический интерфейс пользователя;
• Web Gateway принимает запросы на получение сертификатов от Netscape Communicator и MS Internet Explorer;
• VPN Gateway может возвращать сертификаты в форматах PEM, DER, PKCS#7.
Token Manager – сервис, обеспечивающий поддержку криптографических аппаратных устройств Token Manager обеспечивает следующие функции:
• Изменение Личных Идентификационных Номеров (PIN) в идентификаторах;
• Изменение программных приложений для работы с идентификаторами и т.д.
WebRAO – сервис, простого и безопасного подтверждение сертификатов с использованием стандартного web-браузера;
• WebRAO принимает удаленные запросы на получение сертификатов от RA и напрямую от пользователей;
• WebRAO утверждает или отбрасывает запросы на получение сертификатов;
• WebRAO Server может удалять или временно отстранять выпущенные им сертификаты;
• WebRAO может генерировать пользовательские ключи;
• WebRAO отправляет подтвержденные запросы на получение и удаление сертификатов в RA через WebRAO Server;
• Все сообщения, посылаемые WebRAO, подписываются ЭЦП;
• Все сообщения, получаемые WebRAO, проверяются на целостность и подлинность отправителя;
• Все сообщения, получаемые и отсылаемые WebRAO, шифруются по стандарту PKCS#7;
• Все данные и журнал регистрации сохраняются в базе данных RA. Все записи подписываются WebRAO. Каждая запись имеет уникальный номер.
• Работает на Netscape Communicator и Microsoft Internet Explorer.
• Простой пользовательский интерфейс;
• Возможность просмотра журнала регистрации и сертификатов.
WebRAO Server – Сервер, подключения операторов к удаленной службе регистрации через Internet.
• Использование существующих личных идентификационных номеров или паролей для автоматизации регистрации. Функция позволяет выдавать личные идентификационные номера и пароли для аутентификации ограниченному числу пользователей (например, служащим организации). Организация может получить идентификационные номера и получать сертификаты по этим номерам без прохождения стандартной процедуры регистрации. ARM предлагает большой набор функций для предоставления сертификатов сторонним организациям.
Key Archive Server (KAS) – Сервер, выполняющий функции архивирования, хранению и восстановления личных ключей шифрования, уменьшает риски потери данных и затраты на их восстановление.
• KAS зашифровывает личные ключи шифрования по алгоритму 3-DES. Ключи для шифрования (DEK) создаются отдельно для каждого архивного ключа. Зашифрованные личные ключи хранятся в базе данных.
• KAS шифрует DEK, и результат сохраняется в базе данных KAS.
• Все сообщения, посылаемые KAS, подписываются ЭЦП;
• Все сообщения, получаемые KAS, проверяются на целостность и подлинность отправителя;
• Все данные и журнал регистрации сохраняются в базе данных KAS. Все записи подписываются KAS. Каждая запись имеет уникальный номер.
• Работает под управлением Windows NT.
• Графический интерфейс пользователя;
• Возможность просмотра журналов и базы ключей;
• Возможность восстановления личных ключей;
• Поддержка аппаратных носителей сертификатов.
• Интеграция с MS Active Directory;
• Уменьшенные администраторские издержки;
• Позволяет различным СА публиковать сертификаты в различных разделах или каталогах;
• Возможность конфигурирования мест публикации сертификатов облегчает интеграцию с существующими приложениями;
• Позволяет PKI использовать существующие каталоги;
• Может поддерживаться существующая структура каталогов;
• Гибкость и контроль каталогов;
• Публикация сертификатов на АРМ, разгружается работа СА.
АРМ полнофункциональный модуль, который добавляется к новому или существующему UniCERT.
• Публикует сертификаты и CRL в каталоги, использующие протокол LDAP v3.
• Поддерживает MS Active Directory;
• Публикует сертификаты, используя существующие возможности каталогов;
• Уведомляет пользователей при публикации сертификата;
• Возможность публикации сертификатов из различных СА в различные каталоги;
• Поддержка точки распределения CRL;
• Расширенные возможности восстановления;
Attribute Certificate Server (ACS) – Сервер, обеспечивающий контроль доступа к ресурсам (их системе безопасности) на основе ролей, повышающий эффективность и гибкость PKI-решений. (Сервер сертификатов атрибутов).
• Сертификаты атрибутов криптографически связаны с пользовательскими сертификатами, и не могут использоваться отдельно;
• Упрощенное управление сертификатов;
• Освобождение пользовательских сертификатов от атрибутов уменьшает потребность в переиздании пользовательских сертификатов и CRL;
• Использование мало живущих сертификатов атрибутов позволяет удалять эти сертификаты до того, как информация выйдет из времени, уменьшая потребность в перевыпуске;
• Децентрализация администрирования атрибутной информации. Атрибуты могут поддерживаться в локальных офисах, где больше знаний об атрибутах;
• Поддержка стандартных СА-решений, включая UniCERT;
• Возможность взаимодействия с ODBC базами данных;
• Легко встраиваются в новые и существующие приложения;
• Простой интерфейс для упрощения администрирования ACS;
Timestamp Server (TSS) – Сервер, обеспечивающий услуги по проверке существования документа в конкретный момент времени. (Сервер меток времени).
Timestamp Server обладает следующими преимуществами для предоставления гарантий в электронном бизнесе.
• Полное доверие временным меткам, использующим PKI инфраструктуру;
• Минимизация возможных обманов и судебных тяжб, т.к. Timestamp Server гарантирует подлинность даты и времени электронной сделки;
• Мало ощутим на бюджете организации, имеет маленькую стоимость внедрения и сопровождения; Свойства Timestamp Server:
• Полная длина ключей;
• Поддержка стандарта Х.509;
• Различные временные сервисы могут работать на одной машине, использовать различные источники времени или быть настроенными на различные временные зоны;
• Информацию о времени можно получать как из системных часов, так и из доверенных источников;
• Взаимодействие с аппаратными средствами хранения сертификатов;
• Встраивается в другие пользовательские приложения;
• Поддерживает некоторые СА, включая UniCERT.
Timestamp Server обеспечивает высокий уровень безопасности и доверия, необходимый в электронной коммерции. Roaming позволяет пользователям подписывать транзакции почти из любого броузера, не используя аппаратные средства хранения сертификатов. Используя эту технологию, онлайновые приложения, требующие безопасность транзакций, могут легко быть расширены до больших, распределенных групп пользователей, независимо от места расположения, аппаратуры, ОС и приложений.
Roaming Server – Сервер, позволяющий пользователям подписывать транзакции, используя секретный ключ, без использования аппаратных средств.
• Администратор создает центральную политику управления PKI, которая выполняется на рабочих станциях с помощью DKM;
• Политика распространяется в безопасном режиме, как XML документ;
• DKM обеспечивает выполнение задач управления ключами, таких как переиздание и обновление ключей, без участия пользователя;
• Ключи генерируются в соответствии с центральными правилами;
• Пользователь не должен управлять Сервером Сертификатов или каталогами;
• Поддержка Windows NT и 2000;
• Работает со стандартными PKI, включая UniCERT.
Управление сертификатами
Выпуск, отзыв и приостановление действия сертификатов UniCERT предоставляет следующие функции по выпуску, отзыву и приостановлению действия сертификатов: • Выпуск сертификатов выполняется оператором центра регистрации на основе политик, заданных оператором центра сертификации, после идентификации личности клиента; • Удаление или приостановление действия сертификатов выполняется оператором центра сертификации; • Выпуск сертификатов посредством Web, e-mail и VPN; • Отзыв сертификатов посредством Web и e-mail.
UniCERT поддерживает публикацию в Сервисы Каталогов и Active Diretory по протоколу LDAP, так же поддерживают DAP. Списки отзыва сертификатов В случае компрометации сертификата или криптографических ключей, сертификат должен быть немедленно отозван Центром Сертификации и внесен в список отзыва сертификатов, доступный для всех пользователей инфраструктуры открытых ключей. В расширениях сертификатов, так называемых Точках распространения Списков Отзыва Сертификатов (CDP), находится унифицированный указатель информационного ресурса (стандартизованная строка символов, указывающая местонахождение документа в сети Internet) с информацией о месте расположения списков отзыва. На основании этой информации клиент сможет получать актуальные Списки Отзыва Сертификатов. Поддерживаемый указатель информационного ресурса может быть ассоциирован с LDAP, HTTP, FTP или Х.500 ресурсом. Списки отзыва сертификатов публикуются вручную или периодически в файловую систему (HTTP и FTP), Active Directory или Сервис Директорий при помощи LDAP.
Управление Инфраструктурой Открытых Ключей
Средства управления PKI
Управление Политиками
Хранение параметров и настроек PKI
При проектировании и построении Инфраструктуры Открытых Ключей следует принимать во внимание особенности реализации хранения параметров и настроек PKI, так же в соответствии с профилем защиты PKI необходимо предотвратить доступ неавторизированных пользователей к конфигурационной информации PKI. Всю необходимую для функционирования информацию UniCERT хранит в базе данных Oracle, используя при этом систему безопасности сервера базы данных.
Выгружен в юнисерт что это
Практически все российские разработки средств ИБ связаны с криптографией. Наиболее емким является сегмент сетевой безопасности, а наиболее динамично развивающимися — сегменты 3А и ЭЦП. Однако идти в ногу со временем многим разработчикам в этой отрасли мешает зависимость от госсектора.
Рынок средств криптографической защиты информации (СКЗИ) подразумевает те решения, в которых применяются криптографические технологии, средства и алгоритмы — шифрование информации, ее хэширование, а также электронная цифровая подпись (ЭЦП) данных. В таких координатах на рынке СКЗИ можно выделить четыре больших сегмента.
Системы управления доступом (системы разграничения доступа) используют технологии аутентификации с применением электронных идентификаторов (Touch Memory, eToken, или биометрической идентификационной информации.
Средства сетевой защиты информации (VPN), используют шифрование передаваемых данных и защищают их целостность (методами вычисления имитоприставки или хэшированием). Эти криптографические методы предусмотрены в распространенных сегодня протоколах защищенной сетевой передачи данных (наиболее известный из них — IPSec).
Системы ЭЦП используют сам алгоритм электронной цифровой подписи, относящийся к разряду асимметричных криптографических алгоритмов, а также инфраструктуру управления открытыми ключами PKI (Publiс Key Infrastructure) с применением сертификатов открытых ключей, которые выдаются удостоверяющими центрами (УЦ).
Также можно отдельно рассматривать услуги по консалтингу, аудиту, аутсорсингу систем, построенных во всех перечисленных выше сегментах.
Шифрование склоняется к аппаратной реализации
Данный сегмент наполняют продукты многих реализовавших аппаратным или программных способом отечественный алгоритм криптографической защиты ГОСТ программы архивного или абонентского шифрования данных, прозрачного шифрования файлов и т.д.
Сюда же входят библиотеки криптографических функций, предназначенные для встраивания шифрования на низком уровне в любые сторонние информационные системы или приложения; ставшие довольно популярными криптопровайдеры — средства для работы с функциями и средствами шифрования от через интерфейс распространенных платформ (чаще всего — ОС Windows); программы еще более высокого уровня, дополняющие криптографическими функциями отдельные приложения, например офисные приложения Microsoft или почтовые программы.
Присутствуют и продукты, реализующие вместо ГОСТ иные алгоритмы шифрования — западные или собственной разработки. Часто производители в своей рекламе называют их «кодированием».
Основными тенденциями изменений в этом относительно стабильном сегменте, как отмечали многие эксперты, является увеличение функциональности и комплексности продуктов, а также сдвиг в сторону аппаратных реализаций их более экономичного использования и надежности.
Сегмент 3А растет быстрее всех
Этот сегмент демонстрирует наибольший рост на рынке ИБ, что связано с новым повсеместным приоритетом — защитой от внутренних угроз. Большую роль здесь играют технологии «ААА», или «3А» (авторизации, аутентификации, администрирования).
Повсеместно развернулось применение электронных индентификаторов — или которые используются как единые аппаратные носители для всевозможных аутентификационных сведений: ключевой информации пользователей, цифровых сертификатов, для доступа в помещения.
Биометрическая идентификация также развивается достаточно динамично, хотя данное направление не пользуется сегодня в России большой популярностью. Чаще всего биометрические технологии применяются в системах контроля доступа. Однако нельзя не отметить роль государственной программы биометрических паспортов, придавшей сегменту мощное второе дыхание. Положительная сторона проекта — ожидаемый рост популярности биометрических технологий прежде всего в повседневной жизни, что докажет ее удобство и надежность. Технически система биопаспортов создается на программных продуктах с открытыми кодами, на отечественных программных и аппаратных компонентах — в том числе отечественной будет микросхема энергонезависимой памяти для паспорта, данные в которой будут защищены ЭЦП.
Решения ЭЦП продолжают набирать популярность, несмотря на все несовершенство закона «Об ЭЦП». По данным статистики, в 2005 г. число пользователей ЭЦП и — Удостоверяющих центров (УЦ) — в России выросло в 2 раза.. Лидируют в использовании ЭЦП банки, финансовые учреждения, крупные компании, применяющие ее в банковских операциях (в том числе в для физических лиц), при сдаче налоговой отчетности. ЭЦП является важнейшим элементом защиты в любых системах электронного документооборота, требующих аутентификации и контроля целостности информации.
Активность и довольно высокая конкуренция характерна и для сектора много подобных проектов внедряется в регионах. Наиболее известными и распространенными отечественными признаны средства компании «КриптоПро», на которых работают почти 300 УЦ по всей России.
Развитие систем УЦ в России вообще является одним из приоритетных государственной политики, реализация которого возложено на Росинформтехнологии (ФАИТ), уполномоченный государственный орган в области использования ЭЦП. В проекте «электронного правительства» также заложено использование PKI в Центре управления информационными ресурсами, где будут храниться открытые ключи для защищенного межведомственного документооборота
Технологические тенденции развития сегмента ЭЦП сегодня — применение, так же, как и в сегменте средств шифрования, криптопровайдеров и криптодрайверов, работающих на уровне ядра операционной системы через ее обычные интерфейсы, что позволяет вызывать функции ЭЦП из любых приложений. Интегрируются продукты ЭЦП и с самими приложениями.
Сетевая безопасность не стоит на месте
Данный сегмент – наиболее емкий на рынке ИБ. Разнообразные решения имеют тенденцию сливаться, так, наиболее крупным кластером этого сегмента (65 %) признают комплексные продукты VPN и межсетевого экранирования; нередко они дополняются также системами обнаружения или предотвращения атак, антивирусными или антиспамовыми средствами и т.д.
В принципе, это уже достаточно разработанное поле, хорошо изученное потребителями, но есть и новые веяния. Компьютерная отрасль не так давно приросла направлением «тонких клиентов» — компьютерных терминалов, управляемых с сервера и лишенных выполняемых приложений и сохраняемых данных. Для России это пока и вовсе новшество, занимающее очень скромную долю рынка, но производители таких решений, как западные компании так и их отечественные партнеры, провидят его грядущий быстрый рост — на ежегодно, по некоторым экспертным оценкам.
К ИБ же «тонкие клиенты» имеют прямое отношение, представляя собой рабочее место с идеальным сочетанием невысокой стоимости и отличных возможностей для защиты и разграничения доступа. Так, «тонкий клиент» можно оснастить встроенным ПО с ограниченным набором функций, нужных заказчику, и в том числе со специальными средствами защиты информации и передачи ее по каналу связи с сервером. Спектр целевых потребителей этой технологии очень широк — от государственных учреждений с их специфическими требованиями к ИБ до финансовых и телекоммуникационных организаций. Решения защиты информации для «тонких клиентов» на отечественном рынке уже предлагает фирма «АНКАД».
Рост масштабов телекоммуникационных сетей и усложнение их гетерогенной структуры ставят в области ИБ другие актуальные задачи: повышение производительности средств сетевой безопасности и улучшение масштабируемости систем ИБ, а также защиту данных в разнородных каналах связи для разнообразных сетевых пользователей. Современные мультисервисные сети используют каналы связи 10Гбит\с и более; за таким быстрым развитием не успевают российские средства шифрования по алгоритму ГОСТ, как программные, так и аппаратные, которым необходимы для этого специализированные микросхемы ускорения шифрования трафика.
Плохо и то, что в России не приняты единые стандарты на протоколы защищенного обмена данными, и средства безопасности зачастую трудно поддаются совмещению в единой масштабной сети. Эксперты высказываются за принятие в качестве стандарта IKE\IPsec, на котором уже построены ряд отечественных с шифрованием и ЭЦП по ГОСТ: VipNet от «Инфотекст», «Континент» от «Информзащиты», VPN от семейство «Застава» от «Элвис Плюс».
Развиваются и решения для удаленного доступа мобильных пользователей, например: «Базовый доверенный модуль» от «Элвис Плюс», объединяющий функции межсетевого экрана, средства построения VPN и защиты ресурсов компьютера от несанкционированного доступа. Другой пример — «ИВК Север» от компании «ИВК» для работы мобильных пользователей на ПК, ноутбуках, КПК или смартфонах даже в труднодоступных районах и передачи данных через спутниковые и сотовые телефоны и др.. При этом обеспечена надежность и ИБ, достаточная для критически важных приложений, так как основа решения — система «ИВК Юпитер», сертифицирована Гостехкомиссией до уровня работы с гостайной.
Распространение сетей беспроводной и сотовой связи делает все острее проблемы безопасности в этих сетях. Уже есть единичные отечественные продукты шифрования голоса для мобильных телефонов: с 2004 года НТЦ «Атлас» продает шифротелефон со сквозным шифрованием переговоров, а в феврале 2006 фирма выпустила программный Voice Coder Mobile, шифрующий по ГОСТ голос при передаче по технологиям GSM и GPRS. Последний продукт ориентирован на защиту от прослушивания корпоративных и частных переговоров, а также может служить средством построения VPN с использованием
Масштабные государственные проекты в сфере ИТ и ИБ, которые начаты недавно и рассчитаны на годы, означают, что государство еще длительное время будет оставаться самым приоритетным потребителем на рынке ИБ. Оно же диктует требования к решениям и «правила поведения» на рынке.
Это накладывает отпечаток на конкурентное поведение фирм ИБ, на технический прогресс их продуктов и решений, на возможности их выхода из своеобразного замкнутого круга с государством и продвижения своего бизнеса на открытом рынке.
Разработка современных и конкурентоспособных СКЗИ требует вложений в исследования технологий и спроса, а потом — в продвижение и рекламу. Однако сегодняшним игрокам рынка ИБ проще продавать то, что уже сделано под крупные заказы государства, а не заниматься никем не оплачиваемой разработкой на свой страх и риск. Побочный эффект этого — несовместимость российских СКЗИ на базе одного ГОСТа между собой и с западными решениями. Сильная конкуренция с западными на открытом пространстве также не обещает спокойной жизни и больших прибылей отечественным компаниям. Закономерен вывод: обосновавшись однажды на рынке государственных никто не стремится его покидать. По крайней мере, пока не изменяться его установки или внешние условия.
Изменения могут произойти с принятием новых российских законов и стандартов в области ИБ — более современных, согласованных, пригодных к практическому применению, открывающих новые горизонты для рынка ИБ. Как мы видим, этот процесс уже идет.
Елена Панасенко/ CNews Analytics