Современный бизнес невозможно представить себе без компьютерных сетевых и Интернет-технологий, но часто их внедрение приводит к незапланированным затратам и усложнению взаимодействия между подразделениями компании. Также часто происходит утечка конфиденциальной информации через открытые компьютерные сети.

Технология ViPNet предлагает решение перечисленных проблем и предназначена для создания целостной системы доверительных отношений и безопасного функционирования технических средств и информационных ресурсов корпоративной сети, взаимодействующей также и с внешними техническими средствами и информационными ресурсами.

Основополагающей идеей технологии вот уже более 10 лет является комплексный подход к обеспечению информационной безопасности. С целью реализации данной идеи компания "Инфотекс" развивала собственные запатентованные продукты в области корпоративных сетевых решений и средств защиты информации, осуществляла управление крупными проектами по созданию корпоративных сетей. Примерами являются управление проектом создания выделенной корпоративной сети Сбербанка РФ (1992-1993 гг), создание корпоративной защищенной сети для ЦБ РФ на базе системы спутниковой связи (1994), выпуск программно-аппаратного комплекса "Корпоративная наложенная сеть Инфотекс" (1992-1998 гг).

В настоящее время технология ViPNet представляет собой программно-аппаратный комплекс, позволяющий организовать виртуальную сеть в которой доверительность отношений, безопасность коммуникаций и технических средств, достоверность информационных ресурсов достигается путем создания в телекоммуникационной инфраструктуре корпоративной сети интегрированной виртуальной защищенной среды, которая включает в себя:

- распределенную систему межсетевых и персональных сетевых экранов, защищающую информационные ресурсы и пользователей как от внешних, так и внутренних сетевых атак;
- распределенную систему межсетевого и персонального шифрования трафика любых приложений и операционной системы, гарантирующую целостность и конфиденциальность информации, как на внешних, так и внутренних коммуникациях, и обеспечивающую разграничение доступа к техническим и информационным ресурсам;
- систему электронной цифровой подписи (ЭЦП) и шифрования информации на прикладном уровне, обеспечивающую достоверность и юридическую значимость документов и совершаемых действий;
- систему создания и работы с виртуальными защищенными дисками для хранения на жестком диске компьютера конфиденциальной информации пользователей с защитой от несанкционированного доступа;
- систему контроля и управления связями, правами и полномочиями защищенных объектов корпоративной сети, обеспечивающую автоматизированное управление политиками безопасности в корпоративной сети;
- комбинированную систему управления ключами, включающую подсистему асимметричного распределения ключей, обеспечивающую информационную независимость пользователей в рамках заданных политик безопасности от центральной администрации;
- систему, обеспечивающую защищенное взаимодействие между разными виртуальными частными сетями путем согласования между администрациями сетей допустимых межобъектных связей и политик безопасности.

В состав программно-аппаратного комплекса ViPNet [Удостоверяющий центр] входят:

- ПО ViPNet [Центр управления сетью] (ЦУС) предназначено для регистрации пользователей и управления безопасностью созданной инфраструктуры ЭЦП.
- ПО ViPNet [Удостоверяющий и ключевой центр] (УКЦ) предназначено для выпуска цифровых сертификатов как собственных пользователей (сотрудников организации), так и внешних пользователей (физических и/или юридических лиц), которые должны иметь возможность использовать в отношениях с организацией ЭЦП (например, в системах "клиент-банк").
- ПО ViPNet [Центр регистрации] предназначено для регистрации внешних пользователей (физических и/или юридических лиц) и получения для них в УКЦ цифровых сертификатов.
- ПО ViPNet [Координатор] предназначено для выполнения функций межсетевого экрана и сервера управляющих и почтовых сообщений, через который осуществляется взаимодействие с УКЦ.
- ПО ViPNet [КриптоСервис], предназначено для обеспечения необходимой функциональности работы с электронной цифровой подписью "Домен-К" (подпись, проверка подписи и т.д.), а также для автоматизированного защищенного обновления ключей, справочников и сертификатов электронной цифровой подписи.

Особое внимание следует обратить на то, что VPN является обязательным элементом в структуре Удостоверяющего Центра (УЦ), который, в свою очередь, совмещает в себе функции "классического" УЦ и функции удаленного центра регистрации пользователей как филиала УЦ.

Удостоверяющий центр (УЦ) предназначен для обслуживания следующих запросов: на издание сертификатов ЭЦП, на отзыв, приостановление и возобновления приостановленного действия сертификатов абонентов, сформированных на сетевых узлах или в Центрах Регистрации для внешних пользователей.
Программное обеспечение УЦ обеспечивает следующую функциональность:

1. Генерация секретных и открытых ключей Главных абонентов УЦ, сертификатами которых заверяются сертификаты пользователей.
2. Первое издание сертификата подписи абонентов происходит в УЦ вместе с генерацией секретного ключа для него. Дальнейшее переиздание сертификата может происходить как в УЦ одновременно с формированием нового секретного ключа (для задач, требующих централизованной генерации и распределения ключей), так и по запросу пользователя корпоративной сети, сформированного на его сетевом узле.
3. Издание и регистрация сертификатов ЭЦП по запросу абонентов сети. Запрос на сертификат представляет собой шаблон сертификата, содержащий информацию об абоненте, его новый открытый ключ подписи, предполагаемый срок действия сертификата, а также другие параметры, соответствующие стандарту X.509. Запрос может быть зарегистрирован или автоматически или в результате действий администратора УЦ. Запрос может быть отклонен. После заполнения полей сертификата сертификат через Центр управления отправляется к пользователю на компьютер.
4. Отзыв сертификатов, приостановление действия сертификатов, возобновление действия сертификатов ЭЦП абонентов сети. Эти действия выполняются администратором УЦ. Справочник отозванных сертификатов рассылается абонентам сети.
5. Регистрация справочников сертификатов ЭЦП главных абонентов других УЦ ViPNet. После просмотра сертификатов главных абонентов других УЦ и принятия их производится подпись такого справочника своим главным абонентом (кросс сертификация). Заверенный справочник рассылается по сети в соответствии со связями своих абонентов, и используются при проверке сертификатов ЭЦП абонентов других УЦ, приславших подписанную информацию на какой-либо узел своей сети.
6. Регистрация справочников отозванных сертификатов ЭЦП из других УЦ ViPNet. Такие справочники поступают из других сетей автоматически, заверяются главным абонентом и рассылаются по сети в соответствии со связями абонентов сети. Импорт справочников отозванных сертификатов из УЦ других производителей не производится. Доступ к ним осуществляется в процессе проверки подписи по пути, указанному в ЭЦП.
7. Обслуживание запросов внешних пользователей. Внешний пользователь регистрируется на одном из пунктов регистрации Администратором программы ViPNet [Центр Регистрации] (ЦР). Администратор ЦР создает запрос на сертификат ЭЦП для внешнего пользователя и отсылает его в УЦ для издания сертификата. Запрос на сертификат перед отправкой в УЦ подписывается ключом подписи этого Администратора. После введения в действие сертификата внешний пользователь сможет пользоваться им (подписывать документы) на любом узле сети с установленным ПО ViPNet. Администратор ЦР может создавать запросы на отзыв, приостановление действия, возобновление действия приостановленного сертификата ЭЦП внешних пользователей.
8. Издание и регистрация сертификатов ЭЦП для внешних пользователей выполняется только по запросу из Центра регистрации. Запрос может быть зарегистрирован или отклонен. Вторичные запросы на сертификаты, если в них нет изменений, и выдача сертификатов могут обрабатываться и выдаваться автоматически. Сертификаты через ЦУС отправляется в УЦ
9. Отзыв сертификатов, приостановление действия сертификатов, возобновление действия сертификатов ЭЦП внешних пользователей может происходить по запросу из ЦР, или самим Администратором УЦ без запроса из ЦР. Справочники отозванных сертификатов рассылаются по узлам сети.
10. Просмотр запросов и сертификатов ЭЦП. В программе УЦ возможен просмотр любых запросов, сертификатов, действующих списков отзыва, сохранение их в файл или вывод на печать.
11. Разбор конфликтных ситуаций и экспертизы правомочности и подлинности электронных документов, подписанных ЭЦП, производится в соответствии с Документом "СКЗИ "Домен-К". Порядок разбора конфликтных ситуаций, связанных с применением ЭЦП".
12. Сервисные функции УЦ.

При необходимости легко могут быть созданы подведомственные Центры управления и УКЦ (Корпоративные УЦ) с делегированием им прав по выдаче сертификатов и автоматическим взаимодействием между собой. При этом, работа ведомственных УЦ сертифицируется Корневым Удостоверяющим центром.
Используя описанную технологию, компания "Инфотекс" успешно реализовала более 50 проектов по созданию систем информационной безопасности для ряда корпоративных заказчиков (Центральный Банк РФ, Внешэкономбанк, Министерство иностранных дел, Управление Федеральной Почтой Связи, Управление Федерального Казначейства, Министерство Путей Сообщения, Пенсионный фонд РФ и др.). Причем более чем 10-летний опыт совершенствования идеи комплексного подхода к обеспечению информационной безопасности позволяет сейчас эффективно использовать структуру удостоверяющих центров корпоративного уровня.


Чефранова Анна, ведущий специалист отдела Сопровождения и Клиентских проектов комании Инфотекс