Особое внимание уделяется мероприятиям, связанные с техническим обеспечением безопасности персональных данных. Единое информационное пространство филиал-ВУЗ требует пристального внимания к информационным каналам и способам их шифрования, которые имеют соответствующие сертификаты и отвечающие требованиям регуляторов. Применяемые средства криптографической защиты информации (СКЗИ) должны использовать только российские алгоритмы шифрования.
Для решения данной проблемы специалисты отдела информационных технологий Кумертауского филиала ГОУ ОГУ обратились к компании «С-Терра СиЭсПи», специализирующейся на разработке и производстве сертифицированных средств криптографической защиты информации на основе российских крипто алгоритмов и стандартов IP Security Architecture (IPSec). Сделав анализ широкого семейства оборудования компании, для организации безопасного туннеля Кумертау-Оренбург был выбран программно-аппаратный комплекс CSP VPN Gate 100V – шлюз безопасности, ориентированный на защиту малых офисов до 200 компьютеров и для каналов с пропускной способностью до 2 Мбит/c.
Для ознакомления с функционалом и интерфейсом данного устройства Кумертауский филиал ГОУ ОГУ запросил для проведения тестирования две «виртуальные машины» CSP VPN Gate 100 у компании «С-Терра СиЭсПи».
Для проведения тестирования компания любезно предоставила виртуальные образы шлюзов, серийные номера средств шифрования, соответствующие лицензии и документацию, а также широкий спектр технической поддержки.
Наиболее подходящий вариант решения поставленной задачи является сценарий «Построения VPN туннеля между двумя подсетями, защищаемые шлюзами безопасности». Он представляет собой простую конфигурацию – две подсети, защищаемые шлюзами безопасности. В качестве защиты подсетей используется VPN туннель. Подсети могут общаться только между собой и только по защищенному каналу. Внутри подсетей трафик является «открытым».
Тестирование проводилось в несколько этапов:
На первом этапе тестировалась виртуальная модель всей системы по предложенным сценариям в программе Cisco Packet Tracer. Созданная модель представлена на рисунке 1.
Рисунок 1 – рабочая модель в программе Cisco Packet Tracer
На втором этапе в отделе информационных технологий был собран стенд, как показано на рисунке 2.
Рисунок 2 – структурная схема работоспособной модели
После продолжительной работы по настройке стенда были получены положительные результаты, что позволило выработать концепцию реализации действующей модели в режиме реального времени. На этом этапе были протестированы все сетевые сервисы, которые планируется использовать в дальнейшем.
Третий этап оказался сам сложным. В серверных Оренбургского государственного университета (г. Оренбург) и Кумертауского филиала ГОУ ОГУ (г. Кумертау) были установлены специальные компьютеры с операционной системой Windows 7 и виртуальными сервисами от фирмы VMware. В каждый компьютер были установлены по одной дополнительной сетевой плате. Компьютеры были подключены, как показано на рисунке 3.
Рисунок 3 – структурная схема действующей модели
На компьютерах были произведены установки образов виртуальных машин, полученных от компании S-terra, и произведены соответствующие настройки. В результате был поднят прямой защищенный канал между Оренбургом и Кумертау. Для проверки скорости нагрузочной способности проверили с помощью кроссплатформенной консольной клиент-серверной программы Iperf. Листинг программы:
«192.168.200.4iperf»
Указанный путь был использован при запуске CMD.EXE в качестве текущей папки.
CMD.EXE не поддерживает пути UNC. По умолчанию выбрана системная папка Windows.
————————————————————
Client connecting to 192.168.200.19, TCP port 5001
TCP window size: 0.01 MByte (default)
————————————————————
[1808] local 192.168.4.2 port 1043 connected with 192.168.200.19 port 5001
[ ID] Interval Transfer Bandwidth
[1808] 0.0- 1.0 sec 0.11 MBytes 0.92 Mbits/sec
[1808] 1.0- 2.0 sec 0.05 MBytes 0.39 Mbits/sec
[1808] 2.0- 3.0 sec 0.00 MBytes 0.00 Mbits/sec
[1808] 3.0- 4.0 sec 0.05 MBytes 0.39 Mbits/sec
[1808] 4.0- 5.0 sec 0.11 MBytes 0.92 Mbits/sec
[1808] 5.0- 6.0 sec 0.09 MBytes 0.79 Mbits/sec
[1808] 6.0- 7.0 sec 0.11 MBytes 0.92 Mbits/sec
[1808] 7.0- 8.0 sec 0.09 MBytes 0.79 Mbits/sec
[1808] 8.0- 9.0 sec 0.09 MBytes 0.79 Mbits/sec
[1808] 9.0-10.0 sec 0.11 MBytes 0.92 Mbits/sec
[1808] 10.0-11.0 sec 0.09 MBytes 0.79 Mbits/sec
[1808] 11.0-12.0 sec 0.11 MBytes 0.92 Mbits/sec
[1808] 12.0-13.0 sec 0.09 MBytes 0.79 Mbits/sec
[1808] 13.0-14.0 sec 0.09 MBytes 0.79 Mbits/sec
[1808] 14.0-15.0 sec 0.11 MBytes 0.92 Mbits/sec
[1808] 15.0-16.0 sec 0.09 MBytes 0.79 Mbits/sec
[1808] 16.0-17.0 sec 0.11 MBytes 0.92 Mbits/sec
[1808] 17.0-18.0 sec 0.09 MBytes 0.79 Mbits/sec
[1808] 18.0-19.0 sec 0.09 MBytes 0.79 Mbits/sec
[1808] 19.0-20.0 sec 0.11 MBytes 0.92 Mbits/sec
[ ID] Interval Transfer Bandwidth
[1808] 0.0-20.4 sec 1.83 MBytes 0.75 Mbits/sec
Для продолжения нажмите любую клавишу . . .
В результате видно, что скорость канала ограничилась техническими характеристиками и особенностью передачи данных по технологии ADSL интернет канала в г. Кумертау. Что вполне достаточно для использования шлюза в данной ситуации.
На следующем этапе в г. Оренбурге в сеть был включен сервер базы данных на основе Oracle. В г. Кумертау с рабочей станции запустили клиентскую часть программы одной из подсистем ИАС ОГУ. Положительный результат и умеренная скорость работы программы позволяет сделать вывод, что в целом тест оборудования прошел успешно, все поставленные задачи были выполнены, ожидаемый результат был получен.
Данный тест показал, что техническая возможность соединения двух удаленных сетей, отвечающих требованиям закона по защите персональных данных, успешно реализована.
