ї суб'єктів та об'єктів доступу в корпоративній мережі.
АРМ адміністратора безпеки. Встановлюється на виділеному комп'ютері у складі корпоративної мережі. Надає адміністратору безпеки інтерфейс налаштування VPN, інструментальні засоби обробки аудиту.
В СЗІ «Панцир» для ідентифікації суб'єктів та об'єктів доступу введена окрема логічна сутність «Ідентифікатор суб'єкта / об'єкта» (ID), яка, в загальному випадку, ніяк не пов'язана ні з конкретним комп'ютером, ні з облікової записом користувачів, заведених на комп'ютері.
При створенні на сервері VPN суб'єкта / об'єкта доступу адміністратор безпеки створює його ідентифікатор, і, відповідно до того, що ця сутність ідентифікує (користувача або комп'ютер) розміщує даний ідентифікатор при установці клієнтської частини СЗІ у відповідному ресурсі комп'ютера (об'єкт реєстру або файловий об'єкт) для його подальшої ідентифікації, або надає даний ідентифікатор на зовнішньому носії користувачеві (Flash-пристрій, електронний ключ або смарт-карта).
Дана сутність не є секретною інформацією, передається по каналах зв'язку у відкритому вигляді, служить для ідентифікації суб'єкта / об'єкта на сервері VPN і взаємної ідентифікації суб'єктів / об'єктів у складі корпоративної VPN.
При призначенні ідентифікатора суб'єкту / об'єкту на сервері VPN адміністратор безпеки відносить його або до корпоративних, або до довіреною (привласнюючи ідентифікатором відповідну додаткову логічну сутність «тип суб'єкта / об'єкта»).
Корпоративні суб'єкти / об'єкти зможуть взаємодіяти тільки з корпоративними суб'єктами / об'єктами (на яких встановлюються клієнтські частини СЗІ), весь трафік між ними буде шифруватися).
Довірені суб'єкти / об'єкти зможуть взаємодіяти, як з корпоративними суб'єктами / об'єктами (на яких встановлюються клієнтські частини СЗІ), весь трафік між ними буде шифруватися, так і з зовнішніми стосовно корпоративної VPN суб'єктами / об'єктами по відкритих каналах зв'язку.
Рішення щодо реалізації ключової політики в СЗІ засноване на використанні двох типів симетричних ключів шифрування: ключ шифрування трафіку між клієнтської і серверної частинами (технологічний ключ) і сеансові ключі шифрування між парами клієнтських частин.
При створенні суб'єкта / об'єкта доступу на сервері VPN, разом із призначенням ідентифікатора і його типу (корпоративний або довірений), адміністратором безпеки генерується технологічний ключ (для кожного суб'єкта / об'єкта генерується свій технологічний ключ). Залежно від того, що являє собою сутність суб'єкт / об'єкт (користувача або комп'ютер), адміністратор розміщує технологічний ключ при установці клієнтської частини СЗІ в ресурсі комп'ютера (об'єкт реєстру або файловий об'єкт), або надає технологічний ключ на зовнішньому носії користувачеві (Flash-пристрій , електронний ключ або смарт-карта), на цьому ж носії повинен розташовуватися ідентифікатор користувача
Технологічний ключ є секретною інформацією, можливість несанкціонованого доступу до якої повинна запобігати, ключ не повинен передаватися по каналу зв'язку у відкритому вигляді.
Технологічний ключ використовується для отримання в зашифрованому вигляді клієнтською частиною VPN таблиці сеансових ключів суб'єкта / об'єкта для обміну інформацією з ін...
