«Информзащита» берется за сектор виртуальных частных сетей

Виктор Попов («Информзащита»): «Наш подход к интеграции известен зарубежным партнерам и встречает их понимание»

1 декабря теперь известен не только как День борьбы со СПИДом, но и как Всемирный день защиты информации. Отмечают его по традиции семинарами и конференциями.

НИП «Информзащита» собрала в этот день семинар для администраторов сетей и систем безопасности «Решения по информационной безопасности в сетях Windows». Таких сетей большинство: около 95% рабочих станций в стране используют ПО Microsoft, и 55% всех серверов работают на Windows NT, причем наблюдается тенденция к увеличению этой доли. Конечно, лучшее решение проблемы — не использовать незащищенные ОС наподобие Windows 95/98 на критически важных объектах. Но если альтернативы нет, то «Информзащита» готова помочь. Ее ключевыми продуктами обеспечения информационной безопасности являются программно-аппаратные системы семейства Secret Net.

«Информзащита» провела уже порядка 65 тыс. инсталляций этих систем по стране, самой крупной из них по сей день остается инсталляция в ГАС «Выборы», произведенная в 1994-1995 годах. Другими важнейшими заказчиками этой системы являются управления Центробанка и многие силовые структуры.

В процессе проектирования и разработки находятся агенты для маршрутизаторов, межсетевых экранов, а также интерфейсы к криптомаршрутизаторам «Континент-К» собственного производства и системам обнаружения атак компании Internet Security Systems. «Наш подход к комплексной интеграции известен зарубежным партнерам и встречает понимание, — сообщил ведущий специалист НИП 'Информзащита' Виктор Попов. — Это отражается либо в виде инвестиций в проекты, либо в форме предоставления открытых спецификаций к внешним продуктам».

Располагая лицензией ФАПСИ на производство защищенных систем с использованием шифровальных средств, «Информзащита», разумеется, не преминула встроить в систему Secret Net функции, обеспечивающие прозрачное шифрование данных и усиленную аутентификацию пользователя. Клиентское криптоядро системы, реализованное на алгоритме ГОСТ 28147-89, представляет собой прикладную программу нулевого кольца операционной системы Windows, поэтому внешние криптосредства неприменимы в системе Secret Net, ибо являются прикладными программами второго и третьего уровней. Усиленная аутентификация пользователей и контроль целостности загружаемого ПО осуществляются функциями ЭЦП и хеширования на основе ГОСТ 3410 и 3411.

В последнее время все больший вес в структуре бизнеса НИП «Информзащита» набирают криптошлюзы «Континент-К», служащие аппаратной основой для построения защищенных частных сетей (VPN — virtual private network). В области VPN компания имеет собственное видение проблемы, отличающее ее от более именитых конкурентов. В частности, «Информзащита» сознательно не использует международный стандарт IPSec, так как он, по мнению ее технического директора Андрея Степаненко, является причиной высоких накладных расходов при передаче трафика по сети. Для сравнения он привел официальные данные о том, что инкапсуляция IP-пакета по стандарту IPSec увеличивает длину каждого пакета на 85 байт, тогда как в используемом алгоритме «Континент-К» добавка составляет всего 36 байт на пакет (в режиме компрессии заголовка — 26 байт).

Как считают в «Информзащите», дополнительные 85 и 36 байт на пакет заметно не сказываются на быстродействии многих бизнес-приложений Internet, которые обмениваются пакетами длиной 1500 байт. Однако существует ряд приложений, имеющих стандартную порцию обмена данными не более 100 байт. Сюда относятся, например, приложение «Операционный день» Центробанка или приложения IP-телефонии. В этих случаях замедление будет оцениваться в разы.

«Континент-К» позиционируется разработчиками как узкоспециализированный продукт. Он поддерживает базовые функции IP-маршрутизации, однако его рекомендуется ставить в разрыв между стандартным маршрутизатором типа Cisco и локальной сетью. В сертификате Гостехкомиссии «Континент-К» значится как межсетевой экран с возможностью VPN. Поэтому, как подчеркнул Степаненко, развивая свой продукт, компания не стремится конкурировать с Cisco или другими производителями каналообразующего оборудования, чего нельзя сказать о производителях сетевых продуктов прикладного уровня. Центробанк уже рекомендовал своим региональным управлениям использовать для построения защищенных сетей VPN-шлюз «Континент-К». А в ближайших планах «Информзащиты» стоит выход в свет абонентского пункта «Континент-К» для мобильных пользователей, программного решения под Windows 9x или Windows 2000.