Большая энциклопедия промышленного шпионажа - Каторин Юрий Федорович - Страница 199

Основные функции программно-аппаратной системы «Криптон-Вето»:

>• обеспечение защищенности информации в случае кражи жесткого диска или ПК;

>• обеспечение защиты от несанкционированного включения компьютера;

>• разграничение полномочий пользователей по доступу к ресурсам ПК;

>• проверка целостности используемых программных средств в момент - включения системы;

>• проверка целостности программы в момент ее запуска на выполнение;

>• запрещение запуска на выполнение посторонних программ;

>• обеспечение «прозрачного» шифрования информации при обращении к защищенному диску;

>• обнаружение искажений, вызванных вирусами, ошибками пользователей, техническими сбоями или действиями злоумышленника.

Основным аппаратным элементом системы является серийно выпускаемая и аттестованная ФАПСИ плата КРИПТОН-4, с помощью которой проверяется целостность системы и выполняется шифрование по ГОСТ 28147-89.

Принцип работы программно-аппаратной системы заключается в следующем.

Жесткий диск разбивается на логические диски. Первый логический диск (С) отводится для размещения системных программ и данных. Последний — под систему защиты от НСД и доступен только администратору. Остальные логические диски предназначены для хранения информации и программ пользователей. Эти диски можно разделить по степени конфиденциальности защищаемой информации. Функции администратора заключаются в определении степени конфиденциальности информации на каждом из логических дисков и определении круга лиц, имеющих доступ к этим дискам.

По форме хранения информации диски подразделяются на открытые и шифруемые; по виду доступа;

>• доступные для чтения и записи;

>• доступные только для чтения;

>• недоступные (заблокированные).

Недоступный диск не виден обычному пользователю (в DOS), а следовательно, и не провоцирует его на несанкционированный доступ к информации. Для шифрования информации на каждом логическом диске используется свой ключ.

Для разграничения полномочий администратор формирует список пользователей, в котором указывает:

>• идентификатор пользователя;

>• уровень доступа к конфиденциальной информации;

>• права доступа к логическим дискам.

Для исключения возможности установки на ПК посторонних программ администратор определяет перечень программных продуктов, разрешенных к запуску на данном компьютере. Разрешенные программы подписываются им методом электронной цифровой подписи.

Для аутентификации пользователей используются:

>• пароль;

>• специальные ключи, выполненные в виде ключевой дискеты, электронной карточки (смарт-карты) или таблетки (Touch-Memory).

С целью исключения загрузки ПК в обход системы защиты загрузка осуществляется только с жесткого диска. При включении компьютера (до загрузки операционной системы) с «винчестера» аппаратно проверяется целостность ядра системы безопасности, системных областей жесткого диска, таблицы полномочий пользователей. Затем управление передается проверенному ядру системы безопасности, которое, в свою очередь, проверяет целостность операционной системы. В процессе работы ПК загружаются ключи только тех дисков, к которым пользователю разрешен доступ.

Для протоколирования процесса работы ведется Журнал, просмотр которого возможен только администратором. Для защиты информации от просмотра администратором пользователь может закрыть ее средствами абонентского шифрования.

СИСТЕМА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ «ВЕРБА-0»

Система криптографической защиты информации (СКЗИ) представляет собой программно-аппаратный комплекс, предназначенный для ЗИ при ее хранении и передаче по каналам связи.

СКЗИ «Верба-0» решает следующие задачи:

>• шифрование/расшифрование информации на уровне файлов;

>• генерацию электронной цифровой подписи (ЭЦП);

>• проверку (ЭЦП).

Система поставляется в следующих основных вариантах:

>• в виде автономного рабочего места;

>• в виде модулей, встраиваемых в ПО заказчика.

СКЗИ «Верба-0» в различных модификациях функционирует под управлением операционных систем MS DOS v.5.0 и выше, Windows'95, Windows NT, UNIX (HP UX) на персональных ЭВМ, совместимых с IBM PC/ AT. Требуемый объем оперативной памяти не более 155 кбайт. Кроме того, необходим накопитель на гибком магнитном диске.

Алгоритм шифрования выполнен в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая».

Цифровая подпись выполнена в соответствии с требованиями ГОСТ Р34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

Функция хэширования выполнена в соответствии с требованиями ГОСТ Р34.11-94 «Информационная технология. Криптографическая защита информации. Функция хэширования».

Ключи шифрования симметричные, ключи для ЭЦП — асимметричные.

При обработке информации на ПЭВМ СКЗИ «Верба-0» обеспечивает следующие показатели.

СКЗИ «Верба-0» имеет сертификат ФАПСИ №124-0264 от 10.04.99 г.

Таблица 2.1.

Операции /PC/AT 486/33, ISA /PC/AT 486/100 VESA

Шифрование /200 Кб/с /520 Кб/с

Вычисление хэш-функции /120 Кб/с /330 Кб/с

Формирование ЭЦП /0,3с /0,04 с

Проверка ЭЦП /0,7с /0,2 с

КРИПТОГРАФИЧЕСКИЙ КОМПЛЕКС «ШИФРАТОР IP ПОТОКОВ» (ШИП)

Криптографический комплекс «Шифратор IP потоков» предназначен для решения следующих вопросов:

>• обеспечение конфиденциальности и целостности информации, передаваемой в сетях общего пользования;

>• создание защищенных подсетей передачи конфиденциальной информации;

>• объединение локальных вычислительных сетей в единую защищенную сеть;

>• закрытие доступа к ресурсам локальной сети или отдельных компьютеров из сети общего пользования;

>• организация единого центра управления защищенной подсетью.

Криптографический комплекс «ШИП» обеспечивает:

>• закрытие передаваемых данных на основе использования функций шифрования в соответствии с ГОСТ 28147-89;

>• контроль целостности передаваемой информации;

>• аутентификацию абонентов (узлов сети);

>• защиту доступа к локальной сети и закрытие IP адресов подсети;

>• создание защищенных подсетей в сетях общего пользования;

>• защиту от НСД ресурсов самого шифратора;

>• передачу контрольной информации в «Центр управления ключевой системой защищенной IP сети;

>• поддержку протоколов маршрутизации RIP II, OSPF, BGP;

>• фильтрацию IP, ICMP, TCP- соединений на этапе маршрутизации и при приеме/передаче в канал связи;

>• поддержку инкапсуляции IPX в IP (в соответствии с RFC-1234);

>• поддержку инкапсуляции IP в Х.25 и Frame Relay.

Шифратор IP потоков содержит плату «Кулон» с интерфейсом ISA, используемую для защиты от НСД при загрузке системы и для получения от датчика случайных чисел последовательностей, необходимых для реализации процедуры шифрования.

Криптографический комплекс «ШИП» имеет сертификат ФАПСИ № СФ/124-0815 от 10.04.97 г.

Б. Межсетевые экраны

Межсетевой экран (МЭ) — это локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль информации, поступающей в автоматизированную систему и/или выходящей из нее.

В настоящее время на мировом рынке представлено более 50 различных межсетевых экранов, отличающихся платформами функционирования, функциональными возможностями и производительностью.

Функциональные требования к МЭ, используемым в РФ для защиты информации, регламентированы Руководящим документом (РД) Государственной технической комиссии при Президенте Российской Федерации «Межсетевые экраны. Защита от несанкционированного доступа к информации. Классификация межсетевых экранов и требования по защите информации» (см п.2.1.5).