SGI и “Релком-Альфа” открыли ящик “Пандоры”
27 февраля на выставке UnixExpo фирмы Silicon Graphics (SGI) и “Релком-Альфа” объявили о сертификации Гостехкомиссией при Президенте России программной системы защиты информации от несанкционированного доступа (НСД) “Пандора”, функционирующей на базе ОС IRIX 6.3 и аппаратных средств фирмы SGI.
ПО “Пандора” построено на основе комплекса средств защиты Gauntlet 3.1.1I фирмы Trusted Information Systems, которые поставляются вместе с компьютером О2 фирмы SGI. Этот комплекс был впервые продемонстрирован осенью прошлого года на выставке Internet/intranet в Москве (см. PC Week/RE, № 47/96, с. 10).
В соответствии с российской классификацией средств защиты информации ПО “Пандора” относится к разряду межсетевых экранов (этот тип продуктов ближе всего к “их” брандмауэрам). Леонид Осовецкий, директор научно-технического центра CIT, проводившего сертификацию “Пандоры”, объяснил, что межсетевые экраны предназначены для обеспечения защиты от НСД на уровне между локальной и глобальной сетью. Они в дальнейшем могут быть дополнены сертифицированными средствами криптографической защиты данных. Помимо межсетевых экранов, отечественная классификация предусматривает наличие средств защиты других типов, в частности продуктов типа “Сетевые средства защиты” (межсетевой экран плюс средства защиты типа Kereros) или “Коллективные средства безопасности”, реализующие функции администратора информационной безопасности в масштабе сети в целом. Сертификация по классу “Межсетевой экран” означает, что продукт обеспечивает защиту уровня Б3 по российской классификации. По мнению г-на Осовецкого, не существует однозначного соответствия между российскими классами безопасности и американской системой, включающей такие уровни, как С2, С3 и т. д.
ПО “Пандора” предназначено для использования в любых сетях на основе протокола TCP/IP. Причем оно функционирует не только на прикладном, но и на транспортном уровне, что позволяет осуществлять протокольно-независимую фильтрацию соединений. Все TCP- и UDP-пакеты обрабатываются на уровне приложений, а не ядра ОС. Это обеспечивает контроль за прохождением всех пакетов через систему.
Система “Пандора” ориентирована на архитектуру клиент-сервер. В процессе обработки сетевого соединения образуются одновременно две связи: между клиентом и “Пандорой” и между “Пандорой” и сервером. В результате становится возможным “спрятать” от внешних пользователей структуру защищаемой сети.
ПО “Пандора” позволяет использовать для аутентификации пользователей как обычный Unix-пароль, так и одноразовые пароли S/Key, MDauth. Предусмотрено также наличие серверов-представителей различных типов, включая:
- POP3-proxy (позволяет использовать APOP-авторизацию и избежать передачи по сети открытого пароля);
- FTP-proxy (можно ограничить использование отдельных команд, например RETR, STOR и т. п.);
- HTTP-proxy (дает возможность контролировать передачу через “Пандору” фреймов, описаний на языках Java и JavaScript).
По словам Владимира Гришина, вице-президента “Релком-Альфа”, комплекс средств защиты “Пандора” предназначен в первую очередь для телекоммуникационных провайдеров, предоставляющих не только транспортные, но и информационные услуги. После получения сертификата Гостехкомиссии о своем желании применять комплекс “Пандора” заявили несколько российских телекоммуникационных провайдеров, в том числе “Роснет”, “Макомнет”, Sprint.
Стоимость “Пандоры” (включая компьютер SGI) составляет 22 тыс. долл.
Телефон фирмы “Релком-Альфа”: (095) 190-6088.
Елена Покатаева
Сертификацию средства “Пандора” осуществлял научно-технический центр CIT (“Критические информационные технологии”) из С.-Петербурга. По словам его директора Леонида Осовецкого, всего в стране сейчас существует около трех десятков подобных испытательных лабораторий. Все вместе они выдали почти 90 сертификатов на средства защиты от НСД различных типов, разработанные отечественными специалистами.
