Безопасность персональных коммуникаций

Безопасность персональных коммуникаций

С.Д.Рябко
генеральный директор ЗАО "С-Терра СиЭсПи", к.ф.- м.н.

СОЗДАВАЯ решения для защиты межсетевых взаимодействий, системы удаленного доступа, беспроводные решения, нам часто приходится сталкиваться с запросами заказчиков на технические средства для защиты персональных коммуникаций руководства. Действительно, руководитель предприятия и его оперативный штаб работают с наиболее ценной информацией: это производственная, финансовая и рыночная стратегия предприятия, важнейшие решения, анализ, сводная корпоративная отчетность. Цена этой информации иногда сопоставима с ценой материальных активов предприятия.

Проблема заключается в том, что коммуникации руководства в основном недокументальны. Руководители, безусловно, пользуются документами, но большую и наиболее значимую часть их коммуникаций составляют телефонные переговоры, селекторные совещания, видеоконференции. Часто именно в этой среде и передается наиболее ценная информация. Соответственно заказчики требовали от нас мультисервисного решения, которое могло бы обеспечить стойкую и однородную защиту для всех этих видов коммуникаций.

Шлюз CSP VPN Gate 100V

Требования на мультимедийный VPN-шлюз выставляются довольно жесткие. Выполняя криптографическую обработку трафика, он должен вносить минимальные задержки, исключать потери данных, не нарушать стабильность потока пакетов. Особенно трудно выполнить данные требования при наличии одновременно голосового и интенсивного трафика данных (так называемые мультисервисные, или конвергентные сети).

Решение этих проблем мы смогли предложить с выходом версии 2.1 продуктов CSP VPN™. Сегодня наши шлюзы "умеют" защищать голос, видеосигнал и данные, обеспечивая при этом приоритетную обработку мультимедийного трафика. Компактный и надежный шлюз CSP VPN™ Gate 100V позиционируется нами как изделие для персональной защиты коммуникаций руководства.

Как правило, в сеть защищенных коммуникаций руководства необходимо включить рабочие места секретарей, референтов, советников. В этом случае наряду с продуктом CSP VPN™ Gate 100V могут в качестве малобюджетного решения использоваться программный телефон и продукт CSP VPN™ Client.

Система защиты

С точки зрения структуры система защиты чрезвычайно проста. Один интерфейс устройства подключается к корпоративной сети, два других используются для подключения персонального компьютера и IP-телефона или системы видеоконференций.

Политика безопасности шлюза позволяет обеспечить доступ к корпоративным серверам (серверы руководителей, как правило, выделяются в отдельный сегмент), серверам голосовой почты, процессору вызовов IP-телефонии (Call manager) и к партнерским абонентским устройствам. Политика безопасности формируется таким образом, что все коммуникации "упаковываются" в криптографически стойкий туннель. Проникнуть в такую сеть может только владелец секретного ключа, который в отличие, например, от пароля, невозможно подобрать. Таким образом, ресурсы сети руководства полностью изолированы, за исключением узла доступа в корпоративную сеть общего пользования и в Интернет, оборудуемого адекватным набором средств защиты.

Важно подчеркнуть, что конфиденциальность обменов данными и переговоров обеспечивается из конца в конец-от одного руководителя к другому. Разговор получается "на двоих", никто посторонний (даже если он является пользователем той же защищенной сети) не может его прослушать.

Если руководитель использует мобильное рабочее место, то наряду с "кабинетным" решением мы рекомендуем установить на ноутбук VPN-клиент для работы из дома или в командировке. Целесообразно также оборудовать ноутбук, на случай потери или хищения, дополнительными средствами защиты информации (электронный ключ аутентификации и система шифрования диска).

Развитие

В настоящее время компании "С-Терра СиЭсПи" и "Аладдин" работают над двумя проектами. Это централизованная система управления правами доступа и аутентификацией пользователей на основе продукта Aladdin Token Management System и система аутентификации в сети персональных коммуникаций, обеспечивающая блокирование сервиса VPN при изъятии устройства аутентификации из ноутбука, что эквивалентно полному отключению оборудования в кабинете руководителя.