- Криптошлюз
-
Криптошлюз (криптографический шлюз, vpn-шлюз, криптомаршрутизатор) — аппаратно-программный комплекс криптографической защиты трафика данных, голоса, видео на основе шифрования пакетов по протоколам IPsec AH и/или IPsec ESP при установлении соединения, соответствующий требованиям к средствам криптографической защиты информации (СКЗИ[1]) ФСБ России и обеспечивающий базовую функциональность современного VPN-устройства.
Содержание
Назначение
Криптошлюз предназначен для обеспечения информационной безопасности организации, защиты её информационных сетей от вторжения со стороны сетей передачи данных (Интернет), обеспечения конфиденциальности при передаче информации по открытым каналам связи (VPN), а также организации безопасного доступа пользователей к ресурсам сетей общего пользования.
Криптошлюз обеспечивает базовую функциональность современного VPN-устройства:
- конфиденциальность и целостность потока IP-пакетов;
- маскировку топологии сети за счет инкапсуляции трафика в защищенный туннель;
- прозрачность для NAT;
- аутентификацию узлов сети и пользователей;
- унификацию политики безопасности для мобильных и «внутренних» пользователей (динамическое конфигурирование корпоративных IP-адресов для удаленных пользователей «внутри VPN»).
Криптошлюзы представлены как в сегменте VPN устройств, так и в сегменте унифицированных устройств (UTM) объединяющих несколько средств безопасности в одном.
Отличие криптошлюзов от обычных VPN маршрутизаторов заключается в том, что они работают на основе протокола IPSec и обеспечивают защиту информации, передаваемой по каналам связи, используя алгоритмы, которые отвечают требованиям российских криптографических стандартов (ГОСТ 28147-89 и ГОСТ Р 34.10-2001)[2].
Доступ к ресурсам информационной системы
Криптошлюзы позволяют осуществить защищенный доступ удаленных абонентов к ресурсам корпоративной информационной системы. Доступ производится с использованием специального программного обеспечения, установленным на компьютере пользователя (VPN-клиент) для осуществления защищенного взаимодействия удаленных и мобильных пользователей с криптошлюзом.
Программное обеспечение криптошлюза (сервер доступа) проводит идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищаемой сети. С помощью криптошлюзов формируют виртуальные защищенные каналы в сетях общего пользования (например, Internet), которые гарантируют конфиденциальность и достоверность информации, и организовывать виртуальные частные сети (Virtual Private Network – VPN), представляющие собой объединение локальных сетей или отдельных компьютеров, подключенных к сети общего пользования в единую защищенную виртуальную сеть. Для управления такой сетью обычно используется специальное программное обеспечение (центр управления), которое обеспечивает централизованное управление локальными политиками безопасности VPN-клиентов и криптошлюзов, рассылает для них ключевую информацию и новые конфигурационные данные, обеспечивает ведение системных журналов.
Примечания
- ↑ Типовые требования по организации и обеспечению функционирования шифро- (крипто-) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены 8 Центром ФСБ России от 21.02.2008 № 149/6/6-622)
- ↑ Алексей Чернобровцев Криптошлюзы по-русски. Computerworld Россия № 22. Открытые системы (2010). Архивировано из первоисточника 13 сентября 2012. Проверено 28 февраля 2012.
Литература
- Жданов, О. Н., Золотарев, В. В. Методы и средства криптографической защиты информации: Учебное пособие. — Красноярск: СибГАУ, 2007. — 217 с.
Ссылки
- Объединение локальных сетей офисов и удаленных филиалов. logic-soft. Архивировано из первоисточника 25 мая 2012. Проверено 28 февраля 2012.
- Компоненты АПКШ «Континент» 3.5. Компания «Код Безопасности». Архивировано из первоисточника 25 мая 2012. Проверено 28 февраля 2012.
- Константин Кузовкин Удаленный доступ к информационным ресурсам. Защита информации, передаваемой по каналам связи. i-teco. Архивировано из первоисточника 25 мая 2012. Проверено 28 февраля 2012.
На эту статью не ссылаются другие статьи Википедии. Пожалуйста, воспользуйтесь подсказкой и установите ссылки в соответствии с принятыми рекомендациями.Категория:- Информационная безопасность
Wikimedia Foundation. 2010.