Удаленный администратор ФПСУ-IP

Программный комплекс «Удаленный администратор «ФПСУ-IP» состоит из программного обеспечения «Удаленный администратор «ФПСУ-IP» и специального устройства «VPN-Key/UA».

УА ФПСУ-IP позволяет осуществлять централизованное дистанционное управление работой группы (до 32000) комплексов «ФПСУ-IP» и контроль их функционирования с рабочей станции.

Каждый «ФПСУ-IP» допускает управление и контроль со стороны тридцати двух (32) удалённых администраторов, причём каждый из администраторов может иметь исключительные права на осуществление отдельных операций по дистанционному управлению.

Главный принцип защищенного дистанционного администрирования «ФПСУ‑IP» - обеспечение взаимной идентификации и строгой двухсторонней аутентификации «ФПСУ-IP» и УА ФПСУ-IP. Для этого «ФПСУ-IP» и УА ФПСУ-IP должны быть взаимно зарегистрированы, т.е. каждый УА ФПСУ-IP должен зарегистрировать свои «ФПСУ-IP» и сам быть зарегистрированным этими «ФПСУ-IP», получив при регистрации от локальных администраторов «ФПСУ-IP» конкретные полномочия.

Каждый УА ФПСУ-IP должен иметь уникальное имя (задается пользователем УА ФПСУ-IP), контролируемое «ФПСУ-IP» в процессе регистрации удаленного администратора. «ФПСУ-IP» регистрируются на УА ФПСУ-IP по уникальному серийному номеру. Регистрация производится путём обмена открытыми ключами, вырабатываемыми самостоятельно каждой из регистрируемых сторон. Впоследствии эти данные используются в процессе обращения удалённого администратора к «ФПСУ-IP» с целью обеспечения взаимной идентификации и двухсторонней аутентификации, кроме того, они могут быть использованы УА ФПСУ-IP для установки режима идентификации администратора при запуске и для немедленного восстановления работы администратора после аварий внутреннего накопителя данных компьютера удаленного администратора.

УА ФПСУ-IP предоставляет пользователю (при наличии зарегистрированных полномочий) следующие возможности:

•регистрация новых «ФПСУ-IP» в программе УА ФПСУ-IP, или удаление их из списка зарегистрированных «ФПСУ-IP»;

•внесение изменений в ранее установленные данные «ФПСУ-IP»;

•ограничение или запрет доступа к работе с УА ФПСУ-IP другим лицам;

•запрос, получение (как по сети, так и посредством передачи на носителе), просмотр и анализ конфигурации и правил фильтрации, установленных на подконтрольных «ФПСУ-IP»;

•согласованное изменение и установка (как по сети, так и посредством передачи на носителе) правил фильтрации для группы подконтрольных «ФПСУ-IP» и режимов их работы, причём изменения конфигурации «ФПСУ-IP» могут войти в силу как немедленно, так и в указываемый удаленным администратором момент времени;

•синхронизация времени на подконтрольных «ФПСУ-IP» с текущим временем рабочей станции, на которой функционирует УА ФПСУ-IP, как в автоматическом, так и в ручном режимах;

•запрос, получение, просмотр, анализ и обработка указанной по виду и времени регистрационной информации о событиях на подконтрольных «ФПСУ-IP» как в автоматическом режиме с заданным периодом времени, так и в режиме непосредственного обращения;

•автоматический мониторинг состояния «ФПСУ-IP»;

•программирование автоматического анализа получаемой мониторинговой информации с оперативно отображаемой графической и многоуровневой звуковой сигнализацией событий по попыткам нарушения правил фильтрации, изменению самих правил фильтрации, изменению даты и времени, установке дополнительного или изменению установленного программного обеспечения, перезагрузке подсистемы фильтрации и т.д.;

•дистанционная установка ключей парно выборочной связи, применяемых «ФПСУ-IP» для создания VPN-туннелей друг с другом;

•дистанционная установка общесистемных ключей «ФПСУ-IP/Клиентов», применяемых при создании VPN-туннелей между «ФПСУ-IP/Клиентами» и «ФПСУ-IP»;

•регистрация и изменение параметров работы «ФПСУ-IP/Клиентов» с «ФПСУ-IP»;

•дистанционная установка дополнительного программного обеспечения (различных опциональных утилит) «ФПСУ-IP» или замена существующего программного обеспечения (в частности, дистанционное обновление установленных программных модулей);

•непосредственный дистанционный контроль за процессами фильтрации, приема/передачи пакетов и данных, идентификации и аутентификации «ФПСУ-IP/Клиентов», удалённых «ФПСУ-IP» и удалённых администраторов.

Права удалённых администраторов на доступ к подсистемам «ФПСУ-IP» устанавливает локальный администратор «ФПСУ-IP» при регистрации на нём удаленного администратора.

Всем зарегистрированным на «ФПСУ-IP» удалённым администраторам автоматически предоставляется право на опрос текущего состояния «ФПСУ-IP» (мониторинг) и получение данных о работе его абонентов и «ФПСУ-IP/Клиентов». Кроме того, при соответствующих указаниях локального администратора любому из удаленных администраторов может быть предоставлена возможность контролировать работу локальных и других удалённых администраторов этого «ФПСУ-IP», а также право на чтение и изменение конфигурации «ФПСУ-IP».

Право на согласование времени УА ФПСУ-IP и «ФПСУ-IP» может быть выдано лишь одному из зарегистрированных удаленных администраторов.

В подсистеме УА ФПСУ-IP реализованы следующие механизмы защиты от НСД программной и информационной частей:

•идентификация и аутентификация удалённого администратора при запуске УА ФПСУ-IP;

•защита работы УА ФПСУ-IP путем блокировки любых действий до введения пароля;

•создание и поддержка баз регистрационных данных с осуществлением автоматического поиска их по заданным условиям для анализа;

•обеспечение и контроль целостности программных модулей и баз данных накопленной регистрационной информации на ПЗУ компьютера.

При установлении соединения между «ФПСУ-IP» и УА ФПСУ-IP используется открытый ключ администратора УА ФПСУ-IP. Закрытый ключ уникален для каждого пользователя УА ФПСУ-IP и хранится в USB-устройстве «VPN-Key/UA» для УА ФПСУ-IP.

Без подключенного к USB-порту компьютера устройства «VPN-Key/UA», в котором хранится ключ УА, запуск УА ФПСУ-IP и управление ФПСУ-IP невозможны.

При извлечении устройства «VPN-Key/UA» из USB-порта рабочей станции интерфейс УА ФПСУ-IP становится недоступен пользователю. Таким образом, USB-устройство «VPN-Key/UA» является необходимым для эксплуатации УА ФПСУ-IP физическим ключом, основным средством идентификации и аутентификации администратора УА ФПСУ-IP при запуске и работе с УА ФПСУ-IP.

Ключ УА может быть выдан из «VPN-Key/UA» и записан на специальный носитель, который должна храниться в недоступном посторонним лицам месте. Это позволяет оперативно восстанавливать работу УА ФПСУ-IP (без перерегистрации со всеми подконтрольными «ФПСУ-IP») при авариях внутреннего накопителя или других отказах аппаратуры компьютера, требующих переустановки программного обеспечения.

Удалённый администратор «ФПСУ-IP» имеет возможность осуществить дополнительный контроль целостности ПО УА ФПСУ-IP посредством использования специальной программы контроля целостности программных модулей с использованием нелинейного алгоритма расчета - вычислением значения их хэш-функций и сравнения результатов с априорно известными контрольными данными.

УА ФПСУ-IP может сохранять свои рабочие установки в специальном архиве резервной копии, что позволяет быстро восстанавливать его работу после аварий и сбоев внутреннего накопителя без повторной настройки.