Вредоносное ПО (malware) - это назойливые или опасные программы,...
ОАНО «ВОЛЖСКИЙ УНИВЕРСИТЕТ ИМЕНИ В.Н. ТАТИЩЕВА»
ФАКУЛЬТЕТ «ИНФОРМАТИКА И ТЕЛЕКОММУНИКАЦИИ»
Кафедра «Информатика и системы управления»
КУРСОВАЯ РАБОТА
по дисциплине: «Методы и средства защиты компьютерной информации»
тема: «Защита каналов связи »
Студент группы ИС-506
Утятников А.А.
Преподаватель:
М.В. Самохвалова
Тольятти 2007
Введение
Защита информации в каналах связи и создание защищённых телекоммуникационных систем
Удаленный доступ к информационным ресурсам. Защита информации, передаваемой по каналам связи
1 Решения на базе сертифицированных криптошлюзов
2 Решения на базе протокола IPSec
Технологии информационной безопасности в информационно-телекоммуникационных системах (ИТС)
Заключение
Введение
Защита (безопасность) информации является неотъемлемой составной частью общей проблемы информационной безопасности, роль и значимость которой во всех сферах жизни и деятельности общества и государства на современном этапе неуклонно возрастают.
Производство и управление, оборона и связь, транспорт и энергетика, банковское дело, финансы, наука и образование, средства массовой информации всё больше зависят от интенсивности информационного обмена, полноты, своевременности, достоверности и безопасности информации.
В связи с этим проблема безопасности информации стала предметом острой озабоченности руководителей органов государственной власти, предприятий, организаций и учреждений независимо от их организационно-правовых форм и форм собственности.
Бурное развитие средств вычислительной техники открыло перед человечеством небывалые возможности по автоматизации умственного труда и привело к созданию большого числа разного рода автоматизированных информационно-телекоммуникационных и управляющих систем, к возникновению принципиально новых, так называемых информационных технологий.
При выработке подходов к решению проблемы компьютерной, информационной безопасности следует всегда исходить из того, что защита информации и вычислительной системы не является самоцелью. Конечной целью создания системы компьютерной безопасности является защита всех категорий субъектов, прямо или косвенно участвующих в процессах информационного взаимодействия, от нанесения им ощутимого материального, морального или иного ущерба в результате случайных или преднамеренных воздействий на информацию и системы ее обработки и передачи.
1. Защита информации в каналах связи и создание защищённых
телекоммуникационных систем
В условиях нарастающих интеграционных процессов и создания единого информационного пространства во многих организациях ЛАНИТ предлагает провести работы по созданию защищенной телекоммуникационной инфраструктуры, связывающей удаленные офисы фирм в единое целое, а также обеспечение высокого уровня безопасности информационных потоков между ними.
Применяемая технология виртуальных частных сетей позволяет объединять территориально распределенные сети как с помощью защищенных выделенных каналов, так и виртуальных каналов, проходящих через глобальные общедоступные сети. Последовательный и системный подход к построению защищенных сетей предполагает не только защиту внешних каналов связи, но и эффективную защиту внутренних сетей путем выделения замкнутых внутренних контуров VPN. Таким образом, применение технологии VPN позволяет организовать безопасный доступ пользователей в Интернет, защитить серверные платформы и решить задачу сегментирования сети в соответствии с организационной структурой.
Защита информации при передаче между виртуальными подсетями реализуется на алгоритмах асимметричных ключей и электронной подписи, защищающей информацию от подделки. Фактически данные, подлежащие межсегментной передаче, кодируются на выходе из одной сети, и декодируются на входе другой сети, при этом алгоритм управления ключами обеспечивает их защищенное распределение между оконечными устройствами. Все манипуляции с данными прозрачны для работающих в сети приложений.
2. Удаленный доступ к информационным ресурсам. Защита
информации, передаваемой по каналам связи
При межсетевом взаимодействии между территориально удаленными объектами компании возникает задача обеспечения безопасности информационного обмена между клиентами и серверами различных сетевых служб. Сходные проблемы имеют место и в беспроводных локальных сетях (Wireless Local Area Network, WLAN), а также при доступе удаленных абонентов к ресурсам корпоративной информационной системы. В качестве основной угрозы здесь рассматривается несанкционированное подключение к каналам связи и осуществление перехвата (прослушивания) информации и модификация (подмена) передаваемых по каналам данных (почтовые сообщения, файлы и т.п.).
Для защиты данных, передаваемых по указанным каналам связи, необходимо использовать соответствующие средства криптографической защиты. Криптопреобразования могут осуществляться как на прикладном уровне (или на уровнях между протоколами приложений и протоколом TCP/IP), так и на сетевом (преобразование IP-пакетов).
В первом варианте шифрование информации, предназначенной для транспортировки по каналу связи через неконтролируемую территорию, должно осуществляться на узле-отправителе (рабочей станции - клиенте или сервере), а расшифровка - на узле-получателе. Этот вариант предполагает внесение существенных изменений в конфигурацию каждой взаимодействующей стороны (подключение средств криптографической защиты к прикладным программам или коммуникационной части операционной системы), что, как правило, требует больших затрат и установки соответствующих средств защиты на каждый узел локальной сети. К решениям данного варианта относятся протоколы SSL, S-HTTP, S/MIME, PGP/MIME, которые обеспечивают шифрование и цифровую подпись почтовых сообщений и сообщений, передаваемых с использованием протокола http.
Второй вариант предполагает установку специальных средств, осуществляющих криптопреобразования в точках подключения локальных сетей и удаленных абонентов к каналам связи (сетям общего пользования), проходящим по неконтролируемой территории. При решении этой задачи необходимо обеспечить требуемый уровень криптографической защиты данных и минимально возможные дополнительные задержки при их передаче, так как эти средства туннелируют передаваемый трафик (добавляют новый IP-заголовок к туннелируемому пакету) и используют различные по стойкости алгоритмы шифрования. В связи с тем, что средства, обеспечивающие криптопреобразования на сетевом уровне полностью совместимы с любыми прикладными подсистемами, работающими в корпоративной информационной системе (являются «прозрачными» для приложений), то они наиболее часто и применяются. Поэтому, остановимся в дальнейшем на данных средствах защиты информации, передаваемой по каналам связи (в том числе и по сетям общего доступа, например, Internet). Необходимо учитывать, что если средства криптографической защиты информации планируются к применению в государственных структурах, то вопрос их выбора должен решаться в пользу сертифицированных в России продуктов.
.1 Решения на базе сертифицированных криптошлюзов
Для реализации второго варианта и обеспечения конфиденциальности и достоверности информации, передаваемой между объектами компании по каналам связи, можно использовать сертифицированные криптошлюзы (VPN-шлюзы). Например, Континент-К, VIPNet TUNNEL, ЗАСТАВА-Офис компаний НИП «Информзащита», Инфотекс, Элвис+. Эти устройства обеспечивают шифрование передаваемых данных (IP-пакетов) в соответствии с ГОСТ 28147-89, а также скрывают структуру локальной сети, защищают от проникновения извне, осуществляют маршрутизацию трафика и имеют сертификаты Гостехкомиссии РФ и ФСБ (ФАПСИ).
Криптошлюзы позволяют осуществить защищенный доступ удаленных абонентов к
ресурсам корпоративной информационной системы (рис. 1). Доступ производится с
использованием специального программного обеспечения, которое устанавливается
на компьютер пользователя (VPN-клиент) для осуществления защищенного
взаимодействия удаленных и мобильных пользователей с криптошлюзом. Программное
обеспечение криптошлюза (сервер доступа) проводит идентификацию и
аутентификацию пользователя и осуществляет его связь с ресурсами защищаемой
сети.
Рисунок 1. - «Удаленный доступ по защищенному каналу с
использованием криптошлюза»
С помощью криптошлюзов можно формировать виртуальные защищенные каналы в сетях общего пользования (например, Internet), гарантирующие конфиденциальность и достоверность информации и организовывать виртуальные частные сети (Virtual Private Network - VPN), которые представляют собой объединение локальных сетей или отдельных компьютеров, подключенных к сети общего пользования в единую защищенную виртуальную сеть. Для управления такой сетью обычно используется специальное программное обеспечение (центр управления), которое обеспечивает централизованное управление локальными политиками безопасности VPN-клиентов и криптошлюзов, рассылает для них ключевую информацию и новые конфигурационные данные, обеспечивает ведение системных журналов. Криптошлюзы могут поставляться как программные решения, так и как аппаратно-программные комплексы. К сожалению, большинство из сертифицированных криптошлюзов не поддерживает протокол IPSec и, поэтому они функционально не совместимы с аппаратно-программными продуктами других производителей.
.2 Решения на базе протокола IPSec
Протокол IP Security (IPSec) является базовым для построения систем безопасности сетевого уровня, представляет собой набор открытых международных стандартов и поддерживается большинством производителей решений по защите сетевой инфраструктуры. Протокол IPSec позволяет организовать на сетевом уровне потоки защищенных и аутентичных данных (IP-пакетов) между различными взаимодействующими принципалами, включая компьютеры, межсетевые экраны, маршрутизаторы, и обеспечивает:
· аутентификацию, шифрование и целостность передаваемых данных (IP-пакетов);
· защиту от повторной передачи пакетов (replay attack);
· создание, автоматическое обновление и защищенное распространение криптографических ключей;
· использование широкого набора алгоритмов шифрования (DES, 3DES, AES) и механизмов контроля целостности данных (MD5, SHA-1). Существуют программные реализации протокола IPSec, использующие российские алгоритмы шифрования (ГОСТ 28147-89), хеширования (ГОСТ Р 34.11-94), электронной цифровой подписи (ГОСТ Р 34.10-94);
· аутентификацию объектов сетевого взаимодействия на базе цифровых сертификатов.
Текущий набор стандартов IPSec включает в себя базовые спецификации, определенные в документах RFC (RFC 2401-2412, 2451). Request for Comments (RFC) - серия документов группы Internet Engineering Task Force (IETF), начатая в 1969 году и содержащая описания набора протоколов Internet. Архитектура системы определена в RFC 2401 «Security Architecture for Internet Protocol», а спецификации основных протоколов в следующих RFC:
· RFC 2402 «IP Authentication Header» - спецификация протокола AH, обеспечивающего целостность и аутентификацию источника передаваемых IP-пакетов;
· RFC 2406 «IP Encapsulating Security Payload» - спецификация протокола ESP, обеспечивающая конфиденциальность (шифрование), целостность и аутентификацию источника передаваемых IP-пакетов;
· RFC 2408 «Internet Security Association and Key Management Protocol» - спецификация протокола ISAKMP, обеспечивающего согласование параметров, создание, изменение, уничтожение защищенных виртуальных каналов (Security Association - SA) и управление необходимыми ключами;
· RFC 2409 «The Internet Key Exchange» - спецификация протокола IKE (включает в себя ISAKMP), обеспечивающего согласование параметров, создание, изменение и уничтожение SA, согласование, генерацию и распространение ключевого материала, необходимого для создания SA.
Протоколы AH и ESP могут использоваться как совместно, так и отдельно. Протокол IPSec для обеспечения безопасного сетевого взаимодействия использует симметричные алгоритмы шифрования и соответствующие ключи. Механизмы генерации и распространения таких ключей предоставляет протокол IKE.
Защищенный виртуальный канал (SA) - важное понятие в технологии IPSec. SA - направленное логическое соединение между двумя системами, поддерживающими протокол IPSec, которое однозначно идентифицируется следующими тремя параметрами:
· индексом защищенного соединения (Security Parameter Index, SPI - 32-битная константа, используемая для идентификации различных SA c одинаковыми IP-адресом получателя и протоколом безопасности);
· IP-адресом получателя IP-пакетов (IP Destination Address);
· протоколом безопасности (Security Protocol - один из AH или ESP протоколов).
В качестве примера, на рисунке 2 приводится решение удаленного доступа по
защищенному каналу компании Cisco Systems на базе протокола IPSec. На компьютер
удаленного пользователя устанавливается специальное программное обеспечение
Cisco VPN Client. Существуют версии данного программного обеспечения для
различных операционных систем - MS Windows, Linux, Solaris.
Рисунок 2. - «Удаленный доступ по защищенному каналу с
использованием VPN-концентратора»
VPN Client взаимодействует с Cisco VPN Series 3000 Concentrator и создает защищенное соединение, которое называется IPSec-туннелем, между компьютером пользователя и частной сетью, находящейся за VPN-концентратором. VPN-концентратор представляет собой устройство, которое терминирует IPSec-туннели от удаленных пользователей и управляет процессами установки защищенных соединений с VPN-клиентами, установленными на компьютерах пользователей. К недостаткам такого решения можно отнести отсутствие поддержки компанией Cisco Systems российских алгоритмов шифрования, хеширования и электронной цифровой подписи.
3. Технологии информационной безопасности в информационно-
телекоммуникационных системах (ИТС)
телекоммуникационный защита информация канал связь
Эффективная поддержка процессов государственного управления с использованием средств и информационных ресурсов (ИИР) возможна только в том случае, если система будет обладать свойством «защищенности», которое обеспечивается реализацией комплексной системы защиты информации, включающей базовые компоненты защиты - систему управления доступом на объекты ИТС, систему видеонаблюдения и систему безопасности информации.
Краеугольным камнем комплексной системы защиты является система безопасности информации, концептуальные положения которой вытекают из особенностей построения системы и составляющих ее подсистем и понятия «защищенной» системы, которое может быть сформулировано следующим образом:
Защищенная ИТС - информационно-телекоммуникационная система, обеспечивающая устойчивое выполнение целевой функции в рамках заданного перечня угроз безопасности и модели действий нарушителя.
Перечень угроз безопасности и модель действий нарушителя определяется широким спектром факторов, включающих эксплуатационный процесс ИТС, возможные ошибочные и несанкционированные действий обслуживающего персонала и пользователей, отказы и сбои оборудования, пассивные и активные действия нарушителей.
При построении ИТС органам государственной власти (ОГВ) целесообразно рассматривать три базовые категории угроз безопасности информации, которые могут привести к нарушению выполнения основной целевой функции системы - эффективная поддержка процессов государственного управления:
· отказы и сбои в аппаратных средствах системы, аварийные ситуации и т.п. (события без участия человека);
· ошибочные действия и непреднамеренные несанкционированные действия обслуживающего персонала и абонентов системы;
Несанкционированные действия нарушителя могут относиться к пассивным действиям (перехват информации в канале связи, перехват информации в технических каналах утечки) и к активным действиям (перехват информации с носителей информации с явным нарушением правил доступа к информационным ресурсам, искажение информации в канале связи, искажение, включая уничтожение, информации на носителях информации с явным нарушением правил доступа к информационным ресурсам, введение дезинформации).
Со стороны нарушителя могут осуществляться также активные действия, направленные на анализ и преодоление системы защиты информации. Данный тип действия целесообразно выделить в отдельную группу, поскольку, преодолев систему защиты, нарушитель может выполнять действия без явного нарушения правил доступа к информационным ресурсам.
В указанном выше типе действий целесообразно выделить возможные действия, направленные на внедрение аппаратно-программных закладок в оборудование ИТС, что в первую очередь определяется использованием зарубежного оборудования, элементной базы и программного обеспечения.
На основе анализа архитектуры ИТС и угроз может быть сформирована общая архитектура системы безопасности информации, включающая следующие основные подсистемы:
· подсистему управления системой безопасности информации;
· подсистему безопасности в информационной подсистеме;
· подсистему безопасности в телекоммуникационной подсистеме;
· подсистему безопасности при межсетевом взаимодействии;
· подсистему выявления и противодействия активным действиям нарушителей;
· подсистему выявления и противодействия возможным аппаратно-программным закладкам.
Следует отметить, что последние три подсистемы, в общем случае, являются компонентами второй и третьей подсистем, но с учетом сформулированных выше особенностей, целесообразно их рассматривать как отдельные подсистемы.
Основой системы безопасности информации в ИТС и каждой из ее подсистем является Политика безопасности в ИТС и ее подсистемах, ключевыми положениями которой являются требования использования следующих базовых механизмов и средств обеспечения безопасности информации:
· идентификация и аутентификация абонентов ИТС, оборудования ИТС, обрабатываемой информации;
· контроль информационных потоков и жизненного цикла информации на базе меток безопасности;
· управление доступом к ресурсам ИТС на основе сочетания дискреционной, мандатной и ролевой политик и межсетевого экранирования;
· криптографическая защита информации;
· технические средства защиты;
· организационные и режимные меры.
Приведенный перечень механизмов защиты определяется целями системы защиты информации в ИТС, среди которых будем выделять следующие пять основных:
· управление доступом к информационным ресурсам ИТС;
· обеспечение конфиденциальности защищаемой информации;
· контроль целостности защищаемой информации;
· неотрицаемость доступа к информационным ресурсам;
· готовность информационных ресурсов.
Реализация указанных механизмов и средств защиты базируется на интеграции аппаратно-программных средств защиты в аппаратно-программные средства ИТС и обрабатываемую информацию.
Отметим, что под термином «информация» в ИТС понимаются следующие виды информации:
· пользовательская информация (информация, необходимая для управления и принятие решений);
· служебная информация (информация, обеспечивающая управлением оборудованием ИТС);
· специальная информация (информация, обеспечивающая управление и работу средств защиты);
· технологическая информация (информация, обеспечивающая реализацию всех технологий обработки информации в ИТС).
При этом защите подлежат все перечисленные виды информации.
Важно отметить, что без применения автоматизированных средств управления системой безопасности информации невозможно обеспечить устойчивую работу системы безопасности в территориально-распределенной системе обработки информации, взаимодействующей как с защищенными, так и не защищенными системами в контуре ИТС и обрабатывающей информацию различного уровня конфиденциальности.
Основными целями подсистемы управления безопасностью информации являются:
· формирование, распределение и учет специальной информации, используемой в подсистемах защиты (ключевая информация, парольная информация, метки безопасности, права доступа к информационным ресурсам и т.п.);
· конфигурирование и управление средствами обеспечения безопасности информации;
· согласование политик безопасности во взаимодействующих системах, включая специальную информацию;
· мониторинг системы безопасности;
· актуализация Политики безопасности в ИТС с учетом различных периодов эксплуатации, внедрения в ИТС новых технологий обработки информации.
Реализация подсистемы управления безопасностью информации требует создания единого центра управления, взаимодействующего с локальными центрами управления безопасностью телекоммуникационной и информационной подсистемам ИТС, центрами управления безопасностью информации во взаимодействующих сетях и агентами безопасности информации на объектах системы.
Архитектура системы управления безопасностью информации должна быть фактически идентична архитектуре самой ИТС, а с точки зрения ее реализации должны выполняться следующие принципы:
· центр управления безопасностью информации и локальные центры управления должны реализовываться на выделенных аппаратно-программных средствах с использованием отечественных средств;
· агенты управления безопасностью должны интегрироваться в аппаратно-программные средства рабочих мест системы с возможностью независимого от них управления со стороны центра и локальных центров.
Подсистема безопасности информации в информационной подсистеме ИТС - одна из наиболее сложных подсистем как с точки зрения механизмов защиты, так и их реализации.
Сложность этой подсистемы определяется тем, что именно в данной подсистеме выполняется основной объем обработки информации, при этом в ней сосредоточены основные ресурсы по доступу к информации абонентов системы - абоненты непосредственно имеют санкционированный доступ как к информации, так и к функциям ее обработки. Именно поэтому основу данной подсистемы составляет система управления доступом к информации и функциям ее обработки.
Базовым механизмом реализации санкционированного доступа к информации и функциям ее обработки является механизм защиты информационных ресурсов от несанкционированных действий, основными компонентами которого являются:
· организационно-технические средства управления доступом к объектам системы, информации и функциям ее обработки;
· система регистрации и учета работы системы и абонентов системы;
· подсистема обеспечения целостности;
· криптографическая подсистема.
Основой реализации отмеченной защиты является архитектурное построение информационной составляющей ИТС - создание логически и информационно выделенных объектов информационного компонента ИТС (банки данных, информационно-справочные комплексы, ситуационные центры). Это позволит реализовать криптографически независимые изолированные объекты, функционирующие по технологии клиент-сервер и не предоставляющие непосредственного доступа к хранилищам информации и функциям ее обработки - вся обработки производится по санкционированного запросу пользователей на базе предоставленных им полномочий.
Для санкционированного предоставления информационных ресурсов абонентам применяются следующие методы и механизмы:
· метки безопасности информации;
· идентификация и аутентификация абонентов и оборудования системы;
· криптографическая защита информации при хранении;
· криптографический контроль целостности информации при хранении.
При реализации подсистемы безопасности в телекоммуникационном компоненте ИТС необходимо учитывать наличие каналов связи как на контролируемой, так и на не контролируемой территории.
Обоснованным способом защиты информации в каналах связи является криптографическая защита информации в каналах связи на не контролируемой территории в сочетании с организационно-техническими средствами защиты информации в каналах связи на контролируемой территории, с перспективой перехода на криптографическую защиту информации во всех каналах связи ИТС, в том числе с использованием методов технологии VPN. Ресурсом защиты информации в телекоммуникационной подсистеме (с учетом наличия нарушителей с легальным доступом к телекоммуникационным ресурсам) является разграничение доступа к телекоммуникационным ресурсам с регистрацией потоков информации и регламента работы абонентов.
Типовым решением защиты информации в каналах связи является применение абонентского и линейного контуров защиты в сочетании с алгоритмическими и техническими средствами защиты, обеспечивающих (как напрямую, так и косвенно), следующие механизмы защиты:
· защита от утечки информации в каналы связи и в технические каналы;
· контроль сохранности информации при передаче по каналам связи;
· защита от возможных атак нарушителя по каналам связи;
· идентификация и аутентификация абонентов;
· управление доступом к ресурсам системы.
Подсистема безопасности при межсетевом обмене в ИТС основывается на следующих механизмах безопасности:
· управлении доступом к ресурсам межсетевого обмена (межсетевое экранирование);
· идентификации и аутентификации абонентов (включая криптографические способы аутентификации);
· идентификации и аутентификации информации;
· криптографической защиты информации в каналах связи на неконтролируемой территории, а в перспективе - во всех каналах связи;
· криптографической изоляции взаимодействующих систем.
Важное значение в рассматриваемой подсистеме имеет реализация технологии виртуальных частных сетей (VPN), свойства которых во многом решают вопросы как защиты информации в каналах связи, так и противодействия атакам нарушителей со стороны каналов связи.
· одной из функций ИТС является принятие решений по управлению как отдельными ведомствами и предприятиями, так и государством в целом на основе аналитической обработки информации;
· не исключается существование нарушителей среди абонентов, взаимодействующих с ИТС систем.
Подсистема выявления и противодействия активным действиям нарушителя реализуется на двух основных компонентах: аппаратно-программных средствах выявления и противодействия возможным атакам нарушителей по каналам связи и архитектуре защищенной сети.
Первый компонент - компонент выявления возможных атак, предназначен для защиты в тех подсистемах ИТС, в которых принципиально возможны действия нарушителя в части атак на информационные ресурсы и оборудование ИТС, второй компонент - предназначен для исключения таких действий или существенное их затруднение.
Основными средствами второго компонента являются аппаратно-программные средства, обеспечивающие реализацию методов защиты в соответствии с технологией виртуальных частных сетей (VPN) как при взаимодействии различных объектов ИТС в соответствии с их структурой, так внутри отдельных объектов и подсетей на базе межсетевых экранов или межсетевых экранов со встроенными средствами криптографической защиты.
Подчеркнем, что наиболее эффективное противодействие возможным атакам обеспечивают криптографические средства линейного контура защиты и межсетевого криптографического шлюза для внешних нарушителей и средства управления доступом к информационным ресурсам для легальных пользователей, относящихся к категории нарушителя.
Подсистема выявления и противодействия возможным аппаратно-программным закладкам реализуется комплексом организационно-технических мероприятий при изготовлении и эксплуатации оборудования ИТС, включающем следующие основные мероприятия:
· специальную проверку оборудования и элементной базы зарубежного производства;
· эталонирование программного обеспечения;
· проверка свойств элементной базы, влияющих на эффективность системы защиты;
· проверку целостности программного обеспечения с использованием криптографических алгоритмов.
Одновременно с другими задачами вопрос противодействия возможным аппаратно-программным закладкам обеспечивают и другие средства защиты:
· линейный контур криптографической защиты, обеспечивающий защиту от активизации возможных программных закладок по каналам связи;
· архивирование информации;
· резервирование (дублирование аппаратных средств).
Средствами ИТС на различных объектах системы пользователям ОГВ могут предоставляться различные услуги по передаче информации и информационному обслуживанию, включая:
· защищенную подсистему документооборота;
· удостоверяющие центры;
· защищенную подсистему передачи телефонной информации, данных и организации видеоконференции;
· защищенную подсистему официального информирования, включая создание и обслуживание официальных сайтов руководителей федерального и регионального уровней.
Отметим, что защищенная подсистема документооборота жестко связана с удостоверяющими центрами, обеспечивающими реализацию механизма цифровой подписи.
Рассмотрим более подробно интеграцию средств обеспечения безопасности информации в систему электронного документооборота, в подсистему передачи телефонной информации, подсистему официального информирования и официальный сайт руководителей различного уровня.
Базовым механизмом защиты информации в системе электронного документооборота является цифровая электронная подпись, обеспечивающая идентификацию и аутентификацию документов и абонентов, а также контроль их целостности.
Поскольку особенности системы документооборота ИТС определяются наличием информационного обмена между различными объектами и ведомствами (включая возможный информационный обмен между защищенными и незащищенными системами), а также использованием различных технологий обработки документов в различных ведомствах, то реализация защищенного документооборота с учетом сформулированных факторов требует выполнения следующих мероприятий:
· унификации формата документов в различных ведомствах;
· согласование политик безопасности в различных ведомствах.
Разумеется, что отмеченные требования могут быть решены частично и использованием шлюзов между взаимодействующими системами.
Удостоверяющие центры по своей сути представляют собой распределенную базу данных, обеспечивающих реализацию цифровой подписи в системе документооборота. Несанкционированный доступ к информационным ресурсам этой базы данных полностью разрушает свойство защищенности электронного документооборота. Отсюда вытекают основные особенности системы защиты информации на удостоверяющих центрах:
· управление доступом к ресурсам базы данных удостоверяющих центров (защита от НСД к ресурсам);
· обеспечение устойчивой работы удостоверяющих центров в условиях возможных отказов и сбоев, аварийных ситуациях (защита от разрушения информации баз данных).
Реализация указанных механизмов может быть выполнена в два этапа: на первом этапе механизмы защиты реализуются с использованием организационно-технических мер защиты и режимных мероприятий, включая использование отечественной сертифицированной операционной системы, а на втором - производится интеграция криптографических способов защиты в аппаратно-программные средства при хранении и обработке информации на удостоверяющих центрах.
Особенности защиты трафика различного вида, передаваемого в ИТС, (телефонного трафика, данных и трафика видеоконференцсвязи), можно разделить на два класса:
· особенности защиты абонентского оборудования, которые определяются необходимостью защиты информации различного типа в том числе и одновременно (видеоинформация и речь, а, возможно, и данные), а также необходимостью защиты информации различного типа от утечки в технические каналы.
· особенности защиты оборудования системы передачи информации определенного вида, которые определяются необходимостью защиты от несанкционированного доступа к услугам телефонной связи, передачи данных, конференцсвязи и ее ресурсам.
Для указанных классов базовыми механизмами защиты являются:
· технические средства защиты информации от утечки в технические каналы, реализуемые стандартными средствами;
· управление доступом к ресурсам, обеспечивающим организацию связи различных видов, в основе которого лежит идентификация и аутентификация возможных подключений различных пользователей и оборудования к оборудованию связи.
Особенностью защищенной подсистемы официального информирования является наличие потоков информации в двух направлениях - от ИТС к внешним системам, включая отдельных граждан страны, а также от внешних систем к ИТС (информационный обмен с незащищенными объектами).
На основе информации, поступающей от внешних систем, вырабатываются решения в интересах как отдельных организаций, ведомств и регионов, так и государства в целом, а от информации, поступающих во внешние системы, зависит исполнение выработанных решений также на всех уровнях государственного управления.
Поэтому, в первом случае основными требованиями, предъявляемыми к функционированию системы с точки зрения ее безопасности являются целостность предоставляемой информации, оперативность предоставления информации, включая ее обновление, достоверность источника информации, контроль доведения информации до получателя.
Во втором случае - достоверность предоставляемой информации, достоверность источника информации, оперативность доведения информации, а также контроль доведения информации до получателя. В основном перечисленные требования обеспечиваются стандартными механизмами защиты (криптографические способы контроля целостности информации, идентификации и аутентификации абонентов и информации).
Отличительной особенностью, характерной для данной подсистемы является необходимость контроля достоверности информации, поступающей от внешних систем и являющейся исходным материалом для выработки решений, в том числе и в интересах государства. Эта задача решается с использованием аналитических методов контроля достоверности информации, обеспечивающих устойчивость выработанных решений в условиях поступления недостоверной информации, и организационно-технических мер, обеспечивающих подтверждение поступающей информации.
Главными целями системы защиты информации на сайте руководителей федерального и регионального уровней являются исключение попадания на сайт информации, не предназначенной для этого, а также обеспечение целостности информации, представленной на сайте.
Базовый механизм защиты, реализованный на сайте должен обеспечивать управление доступом к сайту со стороны внутренней системы, обеспечивающей предоставление информации на сайт, а также управление доступом со стороны внешних систем к ресурсам сайта.
Реализация защиты основана на создании «демилитаризованной» зоны на основе межсетевых экранов (шлюзов), обеспечивающих:
Фильтрацию информации в направлении от внутренней системы к сайту с контролем доступа к сайту со стороны внутренней системы (идентификацией и аутентификацией источника информации) и фильтрацию информации с использованием меток безопасности;
Контроль целостности информационных ресурсов на сайте и обеспечение устойчивой работы сайта в условиях возможных искажений информации;
контроль доступа со стороны внешних систем к ресурсам сайта;
фильтрацию запросов, поступающих на сайт со стороны внешних систем.
Одним из важнейших вопросов при решении задач обеспечения безопасности информации является совершенствование нормативной базы в части безопасности информации.
Необходимость совершенствования нормативной базы определяется двумя основными факторами - наличием информационного обмена между различными ведомствами, наличием большого количества видов и типов информации, циркулирующей в ИТС.
В части обеспечения безопасности информации в ИТС совершенствование нормативной базы необходимо проводить по следующим направлениям:
· создание единых требований по обеспечению безопасности информации и на их основе единой концепции обеспечения безопасности, обеспечивающей возможность согласования политик безопасности в различных ведомствах и ИТС в целом, включая различные периоды эксплуатации;
· создание единого стандарта на документальную информацию, обеспечивающего внедрение унифицированных меток безопасности и снижающего затраты на трансляцию документов при межведомственном взаимодействии;
· создание положений межведомственного взаимодействия,
обеспечивающих постоянный мониторинг безопасности информации при
межведомственном взаимодействии.
Заключение
В данной курсовой работе были рассмотрены следующие принципы:
· архитектура ИТС и базовые технологии обработки информации в ИТС должны создаваться с учетом эволюционного перехода на средства отечественной разработки;
· автоматизированные рабочие места ИТС системы безопасности информации должны создаваться на аппаратно-программной платформе отечественного производства (ЭВМ отечественной сборки, отечественная операционная система, отечественные программные средства);
· архитектура ИТС и базовые технологии обработки информации в ИТС должны создаваться с учетом возможности использования на первом этапе действующих аппаратно-программных средств защиты с последующей заменой их на перспективные средства защиты информации.
Выполнение этих требований обеспечит непрерывность и заданную
эффективность защиты информации в переходный период от использования в ИТС
технологий обработки информации в сочетании с технологиями защиты информации к
использованию в ИТС защищенных технологий обработки информации.
Список используемой литературы
1. Константин Кузовкин. Удаленный доступ к информационным ресурсам. Аутентификация. // Директор информационной службы - 2003 - №9.
2. Константин Кузовкин. Защищенная платформа для Web-приложений. // Открытые системы - 2001 - №4.
Алексей Лукацкий. Неизвестная VPN. // Компьютер-Пресс - 2001 - №10.
Интернет-ресурсы: http://www.niia.ru/document/Buk_1, www.i-teco.ru/article37.html.
Андрей Субботин Материал приводится с разрешения редакции.
В настоящее время наблюдается резкий рост объемов информации (в том числе и конфиденциальной), передаваемой по открытым каналам связи. По обычным телефонным каналам осуществляется взаимодействие между банками, брокерскими конторами и биржами, удаленными филиалами организаций, проводятся торги ценными бумагами. Поэтому все более актуальной становится проблема защиты передаваемой информации. Несмотря на то, что конкретные реализации систем защиты информации могут существенно отличаться друг от друга из-за различия процессов и алгоритмов передачи данных, все они должны обеспечивать решение триединой задачи:
конфиденциальность информации (доступность ее только для того, кому она предназначена);
целостность информации (ее достоверность и точность, а также защищенность ее преднамеренных и непреднамеренных искажений);
готовность информации (в любой момент, когда в ней возникает необходимость).
Основными направлениями решения этих задач являются некриптографическая и криптографическая защита. Некриптографическая защита включает в себя организационно-технические меры по охране объектов, снижению уровня опасных излучений и созданию искусственных помех. Ввиду сложности и объемности данной темы некриптографическая защита в рамках данной статьи рассматриваться не будет.
Криптографическая защита в большинстве случаев является более эффективной и дешевой. Конфиденциальность информации при этом обеспечивается шифрованием передаваемых документов или всего трафика работы.
Первый вариант более прост в реализации и может использоваться для работы практически с любыми системами передачи электронной почты. Наиболее часто применяются алгоритмы шифрования DES, RSA, ГОСТ 28147-89, "Веста-2".
Второй вариант можно использовать только в специально разработанных системах, и в этом случае требуется алгоритм высокого быстродействия, так как необходима обработка потоков информации в режиме реального времени. Данный вариант можно считать более безопасным по сравнению с первым, так как шифруются не только передаваемые данные, но и сопроводительная информация, которая включает в себя обычно типы данных, адреса отправителя и получателя, маршруты прохождения и многое другое. Такой подход существенно усложняет задачу введения в систему ложной информации, а также дублирование перехваченной ранее подлинной информации.
Целостность передаваемой по открытым каналам связи информации обеспечивается использованием специальной электронной подписи, которая позволяет установить авторство и подлинность информации. Электронная подпись в настоящее время широко применяется для подтверждения юридической значимости электронных документов в таких системах обмена информации, как Банк - Банк, Банк - Филиал, Банк - Клиент, Биржа - Брокерская контора и т. п. Из наиболее распространенных алгоритмов электронной подписи можно назвать такие, как RSA, PGP, ElGamal.
Готовность информации в большинстве случаев обеспечивается организационно-техническими мерами и установкой специального отказоустойчивого оборудования. Выбор того или иного алгоритма криптографического преобразования обычно сопряжен с большими трудностями. Приведем несколько характерных примеров.
Положим, разработчик системы защиты утверждает, что полностью реализовал в ней требования ГОСТ 28147-89. Этот ГОСТ был опубликован, но не полностью. Не были опубликованы некоторые специальные криптографические подстановки, от которых существенно зависит ее криптостойкость. Таким образом, в правильности реализации ГОСТ можно быть уверенным только при наличии сертификата ФАПСИ, которого у большинства разработчиков нет.
Разработчик системы защиты сообщает, что у реализовал алгоритм RSA. При этом он умалчивает о том, что реализация должна лицензироваться фирмой RSA Data Security Inc. (патент США # 4 405 829). Более того, вывоз из США реализаций RSA с длиной ключа более 40 бит запрещен (криптостойкость такого ключа оценивается специалистами примерно в несколько дней работы обычного компьютера с процессором Pentium).
Разработчик системы защиты сообщает, что в ней реализован алгоритм PGP, который широко применяется у нас в стране благодаря бесплатно распространявшимся до 1995 г. его исходным текстам через BBS США. Здесь две проблемы. Первая - электронная подпись сделана на базе алгоритма RSA и, с точки зрения охраны авторских прав, также должна лицензироваться фирмой RSA Data Security Inc. Вторая - распространяемые программы нечувствительны к вмешательству в их работу, поэтому с помощью специального криптовируса можно легко получить секретный ключ для формирования электронной подписи.
В заключение хочется с сожалением отметить, что в нашей стране практически отсутствует нормативно-методическая база, с помощью которой можно было бы обоснованно сопоставлять предлагаемые системы защиты информации и выбирать наиболее оптимальные решения.
Задача реализация корпоративной сети компании в рамках одного здания может быть решена относительно легко. Однако на сегодня инфраструктура компаний имеет географически распределенные отделы самой компании. Реализация защищенной корпоративной сети в таком случае задача более сложного плана. В таких случаях зачастую используют безопасные vpn сервера .
Концепция построения виртуальных защищенных сетей VPN
В концепции создании виртуальных сетей VPN лежит простая идея — если в глобальной сети есть 2 узла, которым нужно обменяться данными, то между ними нужно создать виртуальный защищенный туннель для реализации целостности и конфиденциальности данных, передающих через открытые сети.
Основные понятие и функции сети VPN
При наличии связи между корпоративной локальной сетью и сетью Интернет возникают двух типов:
- несанкционированный доступ к ресурсам локальной сети через вход
- несанкционированный доступ к информации при передаче через открытую сеть Интернет
Защита данных при передаче по открытым каналам основана на реализации виртуальных защищенных сетей VPN. Виртуальной защищенной сетью VPN называют соединение локальные сетей и отдельных ПК через открытую сеть в единую виртуальную корпоративную сеть. Сеть VPN разрешает с помощью туннелей VPN создавать соединения между офисами, филиалами и удаленными пользователями, при этом безопасно транспортировать данные (рис.1).
Рисунок — 1
Туннель VPN являет собой соединение, проходящее через открытую сеть, где транспортируются криптографически защищенные пакеты данных. Защита данных при передаче по туннелю VPN реализована на следующих задачах:
- криптографическое шифрование транспортируемых данных
- аутентификация пользователей виртуальной сети
- проверка целостности и подлинности передаваемых данных
VPN-клиент являет собой программный или аппаратный комплекс, работающий на основе персонального компьютера. Его сетевое ПО изменяется для реализации шифрования и аутентификации трафика.
VPN-сервер — также может быть программным или аппаратным комплексом, реализующий функции сервера. Он реализует защиту серверов от несанкционированного доступа из других сетей, а также организацию виртуальной сети между клиентами, серверами и шлюзами.
Шлюз безопасности VPN — сетевое устройство, подключаемое к 2 сетям и реализует функции аутентификации и шифрования для множества хостов, находящихся за ним.
Суть туннелирования заключается в том, чтобы инкапсулировать (упаковать) данные в новый пакет. Пакет протокола более низкого уровня помещается в поле данных пакета протокола более высокого или такого же уровня (рис.2). Сам процесс инкапсуляции не защищает от искажения или несанкционированного доступа, он разрешает защитить конфиденциальность инкапсулированных данных.
Рисунок — 2
При прибытии пакета в конечную точка виртуального канала из него извлекается внутренний исходных пакет, расшифровывают и используют дальше по внутренней сети (рис.3).
Рисунок — 3
Также инкапсуляция решает проблему конфликта двух адресов между локальными сетями.
Варианты создания виртуальных защищенных каналов
При создании VPN есть два популярных способа(рис.4):
- виртуальных защищенный канал между локальными сетями (канал ЛВС-ЛВС)
- виртуальный защищенных канал между локальной сетью и узлом (канал клиент-ЛВС)
Рисунок — 4
Первый метод соединения разрешает заменить дорогие выделенные каналы между отдельными узлами и создать постоянно работающие защищенные каналы между ними. Здесь шлюз безопасности служит интерфейсом между локальной сетью и туннелем. Многие предприятия реализуют такой вид VPN для замены или дополнения к .
Вторая схема нужна для соединения с мобильными или удаленными пользователями. Создания туннеля инициирует клиент.
С точки зрения информационной безопасности самым лучшим вариантом является защищенный туннель между конечными точками соединения. Однако такой вариант ведет к децентрализации управления и избыточности ресурсов, ибо нужно ставить VPN на каждом компьютере сети. Если внутри локальной сети, которая входит в виртуальную, не требует защиты трафика, тогда в качестве конечной точки со стороны локальной сети может выступать или маршрутизатор этой же сети.
Методы реализации безопасности VPN
При создании защищенной виртуальной сети VPN подразумевают, что передаваемая информация будет иметь критерии защищаемой информации , а именно: конфиденциальность, целостность, доступность. Конфиденциальность достигается с помощью методов асимметричного и симметричного шифрования. Целостность транспортируемых данных достигается с помощью . Аутентификация достигается с помощью одноразовых/многоразовых паролей, сертификатов, смарт-карт, протоколов .
Для реализации безопасности транспортируемой информации в виртуальных защищенных сетях, нужно решить следующие задачи сетевой безопасности:
- взаимная аутентификация пользователей при соединении
- реализация конфиденциальности, аутентичности и целостности транспортируемых данных
- управление доступом
- безопасность периметра сети и
- управление безопасностью сети
VPN-решения для создания защищенных сетей
Классификация сетей VPN
На основе глобальной сети Интернет можно реализовывать почти все виды трафика. Есть разные схемы классификации VPN. Самая распространенная схема имеет 3 признака классификации:
- рабочий уровень модели OSI
- архитектура технического решения VPN
- метод технической реализации VPN
Защищенный канал — канал между двумя узлами сети, вдоль определенного виртуального пути. Такой канал можно создать с помощью системных методов, основанных на разных уровнях модели OSI (рис.5).
Рисунок — 5
Можно заметить, что VPN создаются на достаточно низких уровнях. Причина такова, что чем ниже в стеке реализованы методы защищенного канала, тем проще их реализовать прозрачными для приложений. На канальном и сетевом уровнях зависимость приложений от протоколов защиты исчезает. Если для защиты информации реализован протокол из верхних уровней, то способ защиты не зависит от технологии сети, что можно считать плюсом. Однако приложение становится зависимым от конкретного протокола защиты.
VPN канального уровня . Методы на таком уровня разрешают инкапсулировать трафик третьего уровня (и более высоких) и создавать виртуальные туннели типа точка-точка. К таким относят VPN-продукты на основе протокола .
VPN сетевого уровня . VPN-продукты такого уровня реализуют инкапсуляцию IP в IP. К примеру используют протокол .
VPN сеансового уровня . Некоторые VPN реализуют подход «посредники каналов», такой метод работает над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступною сеть Интернет для каждого сокета отдельно.
Классификация VPN по архитектуре технического решения
Делят на:
- внутрикорпоративные VPN — нужны для реализации защищенной работы между отделами внутри компании
- VPN с удаленным доступом — нужны для реализации защищенного удаленного доступа к корпоративным информационным ресурсам
- межкорпоративные VPN — нужны между отдельными частями бизнеса разнесенных географически
Классификация VPN по методу технической реализации
Делят на:
- VPN на основе маршрутизаторов — задачи защиты падают на устройство маршрутизатора
- VPN на основе межсетевых экранов — задачи защиты падают на устройство межсетевого экрана
- VPN на основе программных решений — применяется ПО, которое выигрывает в гибкости и настройке, однако проигрывает в пропускной способности
- VPN на основе специальных аппаратных устройствах — устройства, где шифрование реализовано специальными отдельными микросхемами, реализуют высокую производительность за большие деньги
Редактор Vi - универсальный полноэкранный текстовый редактор в среде UNIX . Редактор Vi присутствует в любой системе Linux (даже минимальной конфигурации) и обязательно запустится из командной строки Linux в самой катастрофической ситуации. У пользователя, таким образом, всегда сохранится возможность отредактировать конфигурационные файлы для приведения системы в рабочее состояние. Поэтому каждому пользователю Linux необходимы хотя бы основные навыки работы в Vi .
Основные понятия
В любой момент при работе в редакторе Vi вы находитесь в одном из трёх режимов редактора:
- командный режим (command mode );
- режим ввода (insert mode );
- режим последней строки (last line mode ).
При запуске редактора Vi вы оказываетесь в командном режиме . В этом режиме можно давать команды для редактирования файлов или перейти в другой режим. Например, вводя x в командном режиме мы удаляем символ, на который указывает курсор. Клавиши-стрелки перемещают курсор по редактируемому файлу. Как правило, команды, используемые в командном режиме, состоят из одного или двух символов.
Основной ввод и редактирование текста осуществляется в режиме ввода . При использовании редактора Vi основное время, скорее всего, будет проводиться именно в этом режиме. Переход в режим ввода из командного режима осуществляется командой i (сокращение от insert ). Находясь в режиме ввода, можно вводить текст в то место, куда указывает курсор. Выход из режима ввода в командный режим осуществляется клавишей Esc .
Режим последней строки - специальный режим, в котором редактору даются сложные команды. При вводе этих команд они отображаются в последней строке экрана (отсюда пошло название режима). Например, если ввести в командном режиме команду: , то осуществится переход в режим последней строки, и можно будет вводить такие команды, как wq (записать файл и покинуть редактор Vi ) или q! (выйти из редактора Vi без сохранения изменений). В режиме последней строки обычно вводятся команды, название которых состоит из нескольких символов. В этом режиме в последнюю строку вводится команда, после чего нажимается клавиша Enter , и команда исполняется.
Запуск редактора Vi
Для уяснения всех концепций редактора Vi запустим его и создадим новый файл по имени test :
$ vi test ~ ~ ~ ~ ~ ~ "test"
Колонка символов ~ обозначает пустые строки, курсор находится в начале первой строки.
Ввод текста
Редактор Vi сейчас находится в командном режиме. Нажмём клавишу i , и редактор перейдёт в режим ввода текста. Теперь вводим, например, следующий текст:
Многие пользователи предпочитают наделенный сказками редактор Emacs. ~ ~ ~ ~ ~
Введите любое количество строк, после каждой нажимая клавишу Enter . Исправлять опечатки можно с помощью клавиши Backspace . Для выхода из режима ввода и возвращения в командный режим нажмём клавишу Esc .
В командном режиме для движения по файлу можно использовать клавиши-стрелки. Если в файле всего одна строка, то при попытке нажать клавишу со стрелкой вверх либо вниз редактор, возможно, будет подавать звуковой сигнал.
Помимо команды i , есть ещё несколько способов вставить текст. Так, команда a начинает вставлять текст после текущего положения курсора, а не прямо в текущую. В связи с тем, что текст был набран с опечаткой приведём с помощью клавиш-стрелок курсор к пробелу, разделяющему слова наделенный и сказками . Теперь нажмем клавишу a (редактор перейдёт в режим ввода) и введём под, после чего нажмём клавишу Esc и вернёмся в командный режим. На экране будет следующее:
Для введения текста со следующей строки, используем команду o . Нажмём эту клавишу и введём одну-две строки текста:
Многие пользователи предпочитают наделенный подсказками редактор Emacs. Выбор текстового редактора обычно является вопросом индивидуального вкуса. ~ ~ ~ ~
Удаление текста
В командном режиме каждое нажатие клавиши x удаляет символ, на который указывает курсор.
Можно удалять целые строки командой dd (т. е. нажав клавишу d два раза подряд). Если курсор стоит на второй строке, и вы введёте команду dd , на экране останется следующее:
Многие пользователи предпочитают наделенный подсказками редактор Emacs. ~ ~ ~ ~ ~
Для удаления слова, на которое показывает курсор, можно использовать команду dw . Подведите курсор к слову наделенный и введите dw , затем к слову подсказками и снова введите dw . Результат будет следующим:
Многие пользователи предпочитают редактор Emacs. ~ ~ ~ ~ ~
Изменение текста
Отдельные части текста можно заменять на другие; для этого используется команда R . Подведите курсор к первому символу в слове Emacs , нажмите клавишу R и введите слово vi :
Многие пользователи предпочитают редактор vi. ~ ~ ~ ~ ~
Действие команды R напоминает действие команд i и a , однако при команде R новый текст не вставляется, а стирает старый.
Команда r заменяет один символ, а именно тот, на который указывает курсор.
С помощью команды ~ можно поменять регистр буквы, на которую указывает курсор (с верхнего на нижний и наоборот). Подведем курсор к первому символу в слове vi и дадим команду ~ :
Многие пользователи предпочитают редактор Vi. ~ ~ ~ ~ ~
Команды для движения курсора
Помимо клавиш-стрелок для движения курсора можно использовать клавиши h , j , k и l . Они будут сдвигать курсор соответственно влево, вниз, вверх и вправо. Этими командами можно воспользоваться, если (по какой-либо причине) клавиши-стрелки действуют неправильно. Команда w перемещает курсор на начало следующего слова; команда b перемещает курсор на начало предыдущего слова.
Команда (клавиша ноль) перемещает курсор на начало текущей строки, а команда $ перемещает курсор в её конец.
При редактировании больших файлов для перелистывания целых экранов вперёд (т. е. вниз) и назад (вверх) используются команды соответственно C trl-F и Ctrl-B .
Для перемещения курсора в конец файла, используется команда G , а команда 10G , например, поместит курсор на строку с номером 10 . Для того, чтобы переместить курсор в начало файла, можно использовать команду 1G .
Команды движения курсора можно совмещать с другими командами, например, с командами удаления текста. Например, команда d$ удалит все, что находится между текущим положением курсора и концом строки; команда dG удалит все, что находится между текущим положением курсора и концом файла и т. д.
Сохранение изменений и выход из редактора Vi
Для выхода из редактора Vi без сохранения изменений, сделанных в файле, используется команда:q! .
Для выхода из редактора Vi с сохранением сделанных изменений используется команда:wq .
Переключение между файлами
Для того, чтобы приступить к редактированию другого файла, используется команда:e , которую следует вводитьтолько после сохранения сделанных изменений командой:w , в противном случае Vi откажется приступить к редактирования следующего файла.
Вставка содержимого других файлов
Включить в текущий файл содержимое другого файла можно командой:r . Например, команда:r foo.txt вставит содержимое файла foo.txt в текст начиная с текущего положения курсора.
Помощь в работе с редактором Vi
Как и в случае с любой программой в системе Linux в первую очередь следует обратиться к экранной документации программы Vi . Обычно (кроме режимов восстановления после системных сбоев) доступна более современная и улучшенная версия Vi - Vim , имеющий аналогичный Vi интерфейс и массу дополнительных возможностей. Подробное руководство по Vim можно получить, запустив этот редактор и отдав команду:help .
