Требования к аппаратным СЗИ и принципы аппаратной защиты, реализованные в СЗИ НСД семейства «Аккорд», уже стали фактическим стандартом и применяются всеми крупными разработчиками средств защиты, действующими на российском рынке СЗИ.
Применение сильной аппаратной поддержки в комплексах СЗИ НСД семейства «Аккорд» позволило выйти на новый уровень в развитии средств защиты информации. Как известно, для построения автоматизированных систем по классам защищённости 1Д–1А требуется установка правил разграничения доступа к ее информационным ресурсам. Для реализации функций разграничения доступа пользователей к информационным ресурсам и создания изолированной программной среды (ИПС) программистами ОКБ САПР разработано специальное программное обеспечение, поддерживающее все типы контроллеров «Аккорд», включая работу с датчиком случайных чисел. Это такие комплексы СЗИ НСД, как «Аккорд-1.95» (MS DOS, Windows 9x), «Аккорд-1.95-00» (Windows 9x), «Аккорд-NT/2000» (Windows NT/2000/ХР).
Особенностью комплексов «Аккорд-1.95-00» и «Аккорд-NT/2000» является то, что в данных версиях, кроме дискреционного, реализован мандатный принцип доступа субъектов к информационным ресурсам. Специальное программное обеспечение, реализующее функции разграничения доступа, позволяет администратору безопасности информации описать любую не противоречивую политику безопасности на основе наиболее полного набора атрибутов (более 15 атрибутов по доступу к файлам и каталогам) и меток конфиденциальности объектов (файлов) и процессов (программ), с помощью которых осуществляется их обработка.
Следующим этапом стала разработка основ защиты локальных вычислительных сетей с применением программно-аппаратных средств защиты от НСД к информации. Для полноценной защиты локальной вычислительной сети ОКБ САПР предлагает комплексную технологию:
-установку на рабочих станциях СЗИ «Аккорд АМДЗ» с ПО «Аккорд-1.95», «Аккорд-1.95-00», «Аккорд-NT/2000»;
-установку подсистемы контроля целостности на каждом файл-сервере;
-установку подсистемы распределенного аудита и управления;
-установку подсистемы усиленной аутентификации.
Управление вышеперечисленными подсистемами в локальных вычислительных сетях обеспечивается с помощью автоматизированного рабочего места администратора безопасности (АРМ АБИ). Данная технология позволяет администратору безопасности информации однозначно опознавать авторизованных пользователей и зарегистрированные рабочие станции в сети; в режиме реального времени контролировать задачи, выполняемые пользователями; в случае несанкционированных действий блокировать рабочие станции, с которых такие действия осуществлялись; удаленно вести администрирование. Особый интерес представляет подсистема усиленной аутентификации, суть которой заключается в дополнительном механизме проверки подлинности рабочих станций. Процедура проверки подлинности выполняется не только в момент подключения станции, но и с установленной администратором периодичностью. Подсистема предотвращает как подмену локальной станции или сервера, так и подключение в ЛВС нелегальных станций / серверов. Усиленная аутентификация в ЛВС основана на применении математических методов, позволяющих однозначно опознать участников диалога.
Как известно, невозможно решить все вопросы обработки информации в АС только средствами защиты от НСД к защищаемой информации. Поэтому необходимо также обеспечить юридическую доказательность подлинности электронных документов. Специалистами ОКБ САПР предложен и реализован новый путь — разработка контролируемой технологии обработки электронных документов в вычислительных системах — технология защиты электронных документов с использованием защитных кодов аутентификации (ЗКА). Данная технология уже используется в банковских платежных системах с целью предотвращения попыток злоумышленников ввести фиктивные или модифицировать обрабатываемые электронные банковские документы, а также с целью организации сквозного контроля при прохождении электронных документов всех предписанных этапов их существования (создание, обработка, передача, хранение, окончательный зачет). Это обеспечивается установкой на документ ЗКА. В результате электронный документ на каждом этапе обработки имеет два ЗКА, первый из которых позволяет авторизовать и проконтролировать его целостность на предыдущем этапе обработки, а второй является его индивидуальным признаком на текущем.
Технологическая защита электронного документооборота реализуется всеми типами контроллеров семейства «Аккорд». Кроме того, для реализации данной технологии при использовании других СЗИ НСД в ОКБ САПР разработаны эффективные устройства: блок установки кодов аутентификации (БУКА), изделие «ШИПКА» (Шифрование, Аутентификация, Подпись, Коды Аутентификации).
“ШИПКА” содержит микропроцессор с встроенным программным обеспечением, аппаратный датчик случайных чисел, подключается через имеющийся интерфейс — шину USB — и может выполнять операции:
-шифрование по ГОСТ 28147-89;
-хеширование по ГОСТ Р 34.11-94;
-формирование и проверка электронной цифровой подписи по ГОСТ Р 34.10-94;
-выработка и проверка защитных кодов аутентификации.
В последней модификации изделия имеется защищенный электронный диск объемом 16 Мбайт, 32, 64 или 128 Мбайт для записи пользовательской информации.
Любая система защиты информации — это комплекс организационно-технических мероприятий, который включает в себя совокупность правовых норм, организационных мер и программно-технических средств защиты, направленных на противодействие угрозам объекту информатизации с целью сведения до минимума возможного ущерба пользователям и владельцам системы. Без организационных мер, наличия четкой организационно-распорядительной системы на объекте информатизации эффективность любых технических СЗИ снижается.
Поэтому ОКБ САПР большое внимание уделяет вопросам разработки нормативно-технической и методической документации, комплектов организационно-распорядительных документов по политике защиты объектов информатизации в соответствии с действующим законодательством РФ. Совместно с Федеральным государственным унитарным предприятием «Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации» (ВНИИПВТИ) активно участвует в научных работах в области защиты информации, прежде всего в разработке:
-концептуальных и теоретических основ защиты электронных документов;
-теории применения программно-технических средств защиты от НСД к информации;
-управления защитой информации в локальных и корпоративных вычислительных сетях различного назначения.
В настоящее время ОКБ САПР является признанным разработчиком и производителем программно-аппаратных средств защиты информации от несанкционированного доступа, передовых методов управления защитой информации и технологий защищенного электронного документооборота на их основе.
ОКБ САПР является лицензиатом ФСБ, Гостехкомиссии России и ФАПСИ, имеет аттестованное Гостехкомиссией России производство средств защиты информации от несанкционированного доступа и широкую дилерскую сеть в большинстве субъектов Российской Федерации, ведет активную работу по подготовке специалистов в области защиты информации.
2.4 Оптимизация аппаратных средств криптографической защиты нформации (АСКЗИ).
В последнее время возрос интерес к современным аппаратным средствам криптографической защиты информации (АСКЗИ). Это обусловлено, прежде всего, простотой оперативностью их внедрения. Для этого достаточно у абонентов на передающей и приемной сторонах иметь аппаратуру АСКЗИ и комплект ключевых документов, чтобы гарантировать конфиденциальность циркулирующей в автоматизированных системах управления (АСУ) информации.
Современные АСКЗИ строятся на модульном принципе, что дает возможность комплектовать структуру АСКЗИ по выбору заказчика.
1. Структура АСКЗИ
При разработке современных АСКЗИ приходится учитывать большое количества факторов, влияющих на эффективность их развития, что усложняет нахождение аналитических оценок по выбору обобщенного критерия оптимальности их структуры.
К современным АСКЗИ как элементу АСУ предъявляют повышенные требования по безопасности , надежности и быстродействию обработки циркулирующей в системе информации.
Безопасность обеспечивается гарантированной стойкостью шифрования и выполнением специальных требований , выбор которых обусловлен криптографическими стандартами.
Надежность и быстродействие обработки информации зависят от состава выбранной структуры АСКЗИ включает в себя ряд функционально завешенных узлов и блоков, обеспечивающих заданную надежность и быстродействие. К ним относятся:
-входные устройства, предназначенные для ввода информации;
-устройства преобразования информации, предназначенные для передачи информации от входных устройств на устройства вывода в зашифрованном, расшифрованном или открытом виде;
-устройства вывода, предназначенные для вывода информации на соответствующие носители.
2. Модель АСКЗИ
Для нахождения обобщенного критерия оценки оптимальности структуры современной АСКЗИ достаточно рассмотреть основную цепь прохождения информации: адаптеры ввода, входные устройства, состоящие из клавиатуры, трансмиттера или фотосчитывателя, шифратора, устройства преобразования и устройство вывода. Остальные узлы и блоки не оказывают существенного влияния на прохождение информации.