А. Средства защиты информации в информационных сетях

В так называемой группе А к наиболее известным программно-аппаратным средствам относятся:

>• система защиты от НСД «Спектр-Z»;

>• система Secret Net;

>• программно-аппаратный комплекс защитыDAALLAS LOCK;

>• программно-аппаратная система «Криптон-Вето»;

>• система криптографической защиты информации «Верба-0»;

>• криптографический комплекс «Шифратор IP потоков»(ШИП).

СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА «СПЕКТР-Z»

Спектр-Z — это комплексная система защиты, устанавливаемая на различные по классу ПЭВМ типа IBM PC (настольные, портативные, переносные), работающие под управлением операционных систем Windows'95 или Windows'98 всех версий.

Спектр-Z по своим характеристикам соответствует требованиям руководящих документов (РД) Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 3-му классу защищенности и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»!») классу защищенности 1В, а также требованиям технических условий № ТУ 4012-001-13194780-99.

Система сертифицирована в 1999 г. Гостехкомиссей при Президенте РФ. Сертификат соответствия №251. Основные возможности системыСпектр-Z:

>• обеспечение защиты от НСД широкого круга современных и проектируемых программных комплексов и баз данных без дополнительных трудозатрат на разработку средств защиты в рамках каждого отдельного проекта, как для автоматизированной системы на базе отдельной рабочей станции, так и в рамках автоматизированной системы на базе локальной сети;

>• создание защищенного рабочего места для работы с Internet;

>• обеспечение управления полномочиями пользователей (полный доступ, только чтение, нет доступа, режим преобразования) для логических дисков;

>• блокировка клавиатуры, монитора и мыши при отсутствии зарегистрированного пользователя;

>• ограничение работы пользователя заданным множеством дискет, сформированных администратором безопасности;

>• обнаружение атаки компьютерных вирусов и случайных или преднамеренных искажений программ и данных;

>• учет работы пользователей на компьютере.

СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА SECRET NET

Система Secret Net. Предназначена для защиты информации, хранимой и обрабатываемой в локальных вычислительных сетях под управлением операционной системы Novell NetWare.

Версия 2.1 системы сертифицирована в 1996г. Гостехкомиссей при Президенте РФ (сертификат соответствия №38) no классу защищенности «3» и может быть использована для зашиты информации в автоматизированных системах до класса 1В включительно.

Базовая версия системы позволяет защищать как автономные компьютеры, так и рабочие станции локальной сети, работающие под управлением ОС MS-DOS (Pt-DOS) 3.30-6.22, Windows 3.хх и Windows for Workgroups, Novell NetWare (v3.1X и 4.Х).

Версия 3.0 системы сертифицирована в 1997г. Гостехкомиссей при Президенте РФ (сертификат соответствия № 80) по классу защищенности «3» и также может быть использована для зашиты информации в автоматизированных системах до класса 1В включительно.

Эта версия системы позволяет обеспечить защиту хранимой и обрабатываемой информации в сетях Novell NetWare с PC под управлением не только MS-DOS и Windows 3.11, но и Windows'95 for Workgroups, Novell NetWare (v3.1X и 4.Х).

В 1997 г. была создана и сертифицирована по 3-му классу система Secret Net NT для работы в ЛВС на основе сетевой ОС Windows NT.

СистемаSecret Net обеспечивает:

>• аутентификацию пользователей при помощи специальных аппаратных средств (Touch Memory и Smart Card) при возможности расширения номенклатуры используемых аппаратных средств аутентификации;

>• дискреционное (избирательное) управление доступом пользователей к данным, хранимым на локальных дисках компьютеров, а также к различным устройствам (принтерам, коммуникационным портам);

>• полномочное (мандатное) управление доступом как к локальным, так и к сетевым файлам и каталогам с использованием трех степеней конфиденциальности (общедоступная, конфиденциальная и строго конфиденциальная);

>• подключение средств криптографической защиты данных;

>• подробную регистрацию событий, происходящих в системе и имеющих отношение к ее безопасности, а также гибкое управление регистрацией;

>• постепенное (при необходимости) включение механизмов защиты;

>• динамическое присвоение пользователям полномочий по доступу к сетевым ресурсам при запуске программ;

>• централизованное управление средствами защиты;

>• оперативный контроль (мониторинг) за работой пользователей;

>• контроль целостности программ, используемых ОС и пользователем;

>• гибкость настройки и простоту в эксплуатации системы.

Существуют различные модификации системыSecret Net,напримерSecret Net NTилиSecret Net Win.

Система Secret Net NT предназначена для обеспечения защиты информации в ЛВС на основе сетевой ОС Windows NT. Она обеспечивает:

>• аутентификацию пользователей при помощи специальных аппаратных средств (Touch Memory и Smart Card);

>• полномочное управление доступом пользователям к данным;

>• возможность подключения средств криптографической защиты данных как передаваемых по локальной сети, так и хранимых на магнитных дисках;

>• централизованное управление доступом пользователей к совместно используемым ресурсам (каталогам и принтерам);

>• оперативный контроль (мониторинг) за работой пользователей;

>• оповещение администратора безопасности о событиях НСД;

>• подробную регистрацию событий, происходящих в системе и имеющих отношение к ее безопасности, а также гибкое управление регистрацией;

>• централизованный сбор и анализ содержимого системных журналов;

>• контроль целостности программ, используемых ОС и пользователем.

Для сетей Windows NT разработаны как клиентский вариант, устанавливаемый на рабочей станции, так и сервер управления доступом, устанавливаемый либо на контроллере домена, либо на рабочей станции сети.

Система Secret Net Win предназначена для обеспечения защиты информации в локальных вычислительных сетях на основе Windows'95. Secret Net Win обеспечивает:

>• аутентификацию пользователей при помощи специальных аппаратных средств (Touch Memory и Smart Card);

>• избирательное (дискреционное) разграничение доступа пользователям

к каталогам, файлам и системам, в том числе и в одноранговой сети;

>• полномочное управление доступом пользователям к данным;

>• поддержку централизованного управления доступом пользователей к совместно используемым данным;

>• оперативный контроль (мониторинг) за работой пользователей;

>• подключение средств криптографической защиты данных;

>• оповещение администратора безопасности о событиях НСД;

>• подробную регистрацию событий, происходящих в системе и имеющих отношение к ее безопасности, а также гибкое управление регистрацией.

Существует клиентский вариантSecret Net Win для работы с серверами управления доступом на платформах Windows NT и Novell NetWare.

Secret Net Remote Tools — Специальное программное средство, предназначенное для управления удаленными рабочими станциями в сети Novell NetWare, оснащенными системой Secret Net. Она позволяет:

>• с разрешения администратора системы устанавливать удаленное соединение с рабочими станциями как собственной локальной сети, так и любой другой локальной сети на основе ОС Novell NetWare, с которой есть связь по протоколу TCP/IP и в которой присутствует сервер управления доступом системы Secret Net;

>• подключать средства криптографической защиты для шифрования данных, передаваемых по каналу связи;

>• просматривать содержимое экрана (только текстовые режимы) и управлять клавиатурой рабочей станции сети.

Данное программное средство функционирует в среде ОС MS-DOS и Novel NetWare.

Осуществление аутентификациипользователей осуществляется с помощью аппаратных средств:

Secret Net Card — обеспечивает ввод имени и пароля пользователя до загрузки ОС, а также управление загрузкой компьютера с гибких магнитных дисков.

Secret Net TM Card — выполняет функции Secret Net Card, а также обеспечивает аутентификацию пользователя при помощи Touch Memory.

Secret Net Smart Card — выполняет функции Secret Net Card, а также обеспечивает аутентификацию пользователя при помощи SmartCard.

ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС ЗАЩИТЫ DAALLAS LOCK

Версия DAALLAS LOCK 4.1. Предназначена для работы в операционной

среде Windows'95. Система защиты сертифицирована Государственной технической комиссией по 3-му классу защищенности (сертификат № 181 от 02.06.98).

Программное обеспечение содержит:

>• модуль контроля целостности;

>• встроенную антивирусную защиту;

>• возможность назначения пользователю списка разрешенных и запрещенных задач;

>• регистрация событий, относящихся к доступу к компьютерной информации;

>• блокировка экрана и клавиатуры в отсутствие пользователя.

Аппаратная часть содержит:

>• в качестве основного средства идентификации — электронную карту iButton (Touch Memory*);

>• контроллер КТ-331, содержащий собственный процессор, флэш-память и ROM-BIOS; он позволяет обеспечивать выполнение процедуры опознания пользователя на любом ПК, независимо от типа ОС и совместимость с любым ПО.

Особенности сетевой версии:

>• вход в сеть по электронной карте Touch Memory;

>• удаленная работа с матрицами доступа: сравнение, изменение, обновление базы;

>• просмотр на мониторе администратора безопасности экранов подключенных рабочих станций в режиме реального времени;

>• графическое отображение топологии сети;

>• эмуляция клавиатуры удаленной рабочей станции;

>• просмотр списков пользователей и журналов любых рабочих станций с установленным комплексом DAALLAS LOCK;

>• оперативная блокировка действий пользователей рабочих станций в критических ситуациях.

Версия DAALLAS LOCK 5.0. Система предназначена для работы на любом IBM- совместимом компьютере под управлением ОС WindowsNTWorkstation. Позволяет поддерживать работу до 32 зарегистрированных пользователей.

Основное отличие от версии 4.1. — наличие инструмента Secure File Deletion, позволяющего гарантированно стирать уничтоженные файлы путем затирания их места на диске нулевым кодом.

ПРОГРАММНО-АППАРАТНАЯ СИСТЕМА «КРИПТОН-ВЕТО»

Система «Криптон-Вето» предназначена для защиты ПК с процессором не ниже 386 под управлением MS DOS и выше. Windows 3.1, Windows'95. Персональный компьютер при этом может использоваться в качестве:

>• абонентского пункта;

>• центра коммутации пакетов;

>• центра выработки ключей.

Система ограничивает круг лиц и их права по доступу к информации на персональном компьютере. Ее реализация основана на технологиях «прозрачного» шифрования логических дисков по алгоритму ГОСТ 28147-89 и электронной цифровой подписи по ГОСТ 34.10/11-94. Система сертифицирована по классу 1В (сертификат № 178 от 29 апреля 1998 г.) по требованиям Гостехкомиссии РФ к защищенности автоматизированных систем от несанкционированного доступа.

Основные функции программно-аппаратной системы «Криптон-Вето»:

>• обеспечение защищенности информации в случае кражи жесткого диска или ПК;

>• обеспечение защиты от несанкционированного включения компьютера;

>• разграничение полномочий пользователей по доступу к ресурсам ПК;

>• проверка целостности используемых программных средств в момент - включения системы;

>• проверка целостности программы в момент ее запуска на выполнение;

>• запрещение запуска на выполнение посторонних программ;

>• обеспечение «прозрачного» шифрования информации при обращении к защищенному диску;

>• обнаружение искажений, вызванных вирусами, ошибками пользователей, техническими сбоями или действиями злоумышленника.

Основным аппаратным элементом системы является серийно выпускаемая и аттестованная ФАПСИ плата КРИПТОН-4, с помощью которой проверяется целостность системы и выполняется шифрование по ГОСТ 28147-89.

Принцип работы программно-аппаратной системы заключается в следующем.

Жесткий диск разбивается на логические диски. Первый логический диск (С) отводится для размещения системных программ и данных. Последний — под систему защиты от НСД и доступен только администратору. Остальные логические диски предназначены для хранения информации и программ пользователей. Эти диски можно разделить по степени конфиденциальности защищаемой информации. Функции администратора заключаются в определении степени конфиденциальности информации на каждом из логических дисков и определении круга лиц, имеющих доступ к этим дискам.

По форме хранения информации диски подразделяются на открытые и шифруемые; по виду доступа;

>• доступные для чтения и записи;

>• доступные только для чтения;

>• недоступные (заблокированные).

Недоступный диск не виден обычному пользователю (в DOS), а следовательно, и не провоцирует его на несанкционированный доступ к информации. Для шифрования информации на каждом логическом диске используется свой ключ.

Для разграничения полномочий администратор формирует список пользователей, в котором указывает:

>• идентификатор пользователя;

>• уровень доступа к конфиденциальной информации;

>• права доступа к логическим дискам.

Для исключения возможности установки на ПК посторонних программ администратор определяет перечень программных продуктов, разрешенных к запуску на данном компьютере. Разрешенные программы подписываются им методом электронной цифровой подписи.

Для аутентификации пользователей используются:

>• пароль;

>• специальные ключи, выполненные в виде ключевой дискеты, электронной карточки (смарт-карты) или таблетки (Touch-Memory).

С целью исключения загрузки ПК в обход системы защиты загрузка осуществляется только с жесткого диска. При включении компьютера (до загрузки операционной системы) с «винчестера» аппаратно проверяется целостность ядра системы безопасности, системных областей жесткого диска, таблицы полномочий пользователей. Затем управление передается проверенному ядру системы безопасности, которое, в свою очередь, проверяет целостность операционной системы. В процессе работы ПК загружаются ключи только тех дисков, к которым пользователю разрешен доступ.

Для протоколирования процесса работы ведется Журнал, просмотр которого возможен только администратором. Для защиты информации от просмотра администратором пользователь может закрыть ее средствами абонентского шифрования.

СИСТЕМА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ «ВЕРБА-0»

Система криптографической защиты информации (СКЗИ) представляет собой программно-аппаратный комплекс, предназначенный для ЗИ при ее хранении и передаче по каналам связи.

СКЗИ «Верба-0» решает следующие задачи:

>• шифрование/расшифрование информации на уровне файлов;

>• генерацию электронной цифровой подписи (ЭЦП);

>• проверку (ЭЦП).

Система поставляется в следующих основных вариантах:

>• в виде автономного рабочего места;

>• в виде модулей, встраиваемых в ПО заказчика.

СКЗИ «Верба-0» в различных модификациях функционирует под управлением операционных систем MS DOS v.5.0 и выше, Windows'95, Windows NT, UNIX (HP UX) на персональных ЭВМ, совместимых с IBM PC/ AT. Требуемый объем оперативной памяти не более 155 кбайт. Кроме того, необходим накопитель на гибком магнитном диске.

Алгоритм шифрования выполнен в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая».

Цифровая подпись выполнена в соответствии с требованиями ГОСТ Р34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

Функция хэширования выполнена в соответствии с требованиями ГОСТ Р34.11-94 «Информационная технология. Криптографическая защита информации. Функция хэширования».

Ключи шифрования симметричные, ключи для ЭЦП — асимметричные.

При обработке информации на ПЭВМ СКЗИ «Верба-0» обеспечивает следующие показатели.

СКЗИ «Верба-0» имеет сертификат ФАПСИ №124-0264 от 10.04.99 г.

Таблица 2.1.

Операции /PC/AT 486/33, ISA /PC/AT 486/100 VESA

Шифрование /200 Кб/с /520 Кб/с

Вычисление хэш-функции /120 Кб/с /330 Кб/с

Формирование ЭЦП /0,3с /0,04 с

Проверка ЭЦП /0,7с /0,2 с

КРИПТОГРАФИЧЕСКИЙ КОМПЛЕКС «ШИФРАТОР IP ПОТОКОВ» (ШИП)

Криптографический комплекс «Шифратор IP потоков» предназначен для решения следующих вопросов:

>• обеспечение конфиденциальности и целостности информации, передаваемой в сетях общего пользования;

>• создание защищенных подсетей передачи конфиденциальной информации;

>• объединение локальных вычислительных сетей в единую защищенную сеть;

>• закрытие доступа к ресурсам локальной сети или отдельных компьютеров из сети общего пользования;

>• организация единого центра управления защищенной подсетью.

Криптографический комплекс «ШИП» обеспечивает:

>• закрытие передаваемых данных на основе использования функций шифрования в соответствии с ГОСТ 28147-89;

>• контроль целостности передаваемой информации;

>• аутентификацию абонентов (узлов сети);

>• защиту доступа к локальной сети и закрытие IP адресов подсети;

>• создание защищенных подсетей в сетях общего пользования;

>• защиту от НСД ресурсов самого шифратора;

>• передачу контрольной информации в «Центр управления ключевой системой защищенной IP сети;

>• поддержку протоколов маршрутизации RIP II, OSPF, BGP;

>• фильтрацию IP, ICMP, TCP- соединений на этапе маршрутизации и при приеме/передаче в канал связи;

>• поддержку инкапсуляции IPX в IP (в соответствии с RFC-1234);

>• поддержку инкапсуляции IP в Х.25 и Frame Relay.

Шифратор IP потоков содержит плату «Кулон» с интерфейсом ISA, используемую для защиты от НСД при загрузке системы и для получения от датчика случайных чисел последовательностей, необходимых для реализации процедуры шифрования.

Криптографический комплекс «ШИП» имеет сертификат ФАПСИ № СФ/124-0815 от 10.04.97 г.

Б. Межсетевые экраны

Межсетевой экран (МЭ) — это локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль информации, поступающей в автоматизированную систему и/или выходящей из нее.

В настоящее время на мировом рынке представлено более 50 различных межсетевых экранов, отличающихся платформами функционирования, функциональными возможностями и производительностью.

Функциональные требования к МЭ, используемым в РФ для защиты информации, регламентированы Руководящим документом (РД) Государственной технической комиссии при Президенте Российской Федерации «Межсетевые экраны. Защита от несанкционированного доступа к информации. Классификация межсетевых экранов и требования по защите информации» (см п.2.1.5).

На российском рынке сетевых средств защиты информации представлено более десяти МЭ, сертифицированных по требованиям Гостехкомиссии России (табл.2.6.2.).

Все они сочетают в себе возможности пакетной фильтрации и фильтрации на прикладном уровне. Краткие технические характеристики некоторых МЭ приведены в табл.2.6.3. В таблице не представлены МЭ, сертифицированные по схеме единичного экземпляра.

Естественно, что использование МЭ приводит к снижению производительности сети. Изменение пропускной способности различных МЭ в зависимости от нагрузки приведено на рис 2.6.2 на с. 780.

Наши рекомендации