6 описание системы криптографической защиты информации скзи «Континент» Система криптографической защиты информации (скзи) - umotnas.ru o_O
Главная
Поиск по ключевым словам:
Похожие работы
Название работы Кол-во страниц Размер
Система сертификации средств криптографической защиты информации... 1 122.45kb.
Памятка по правилам использования средств криптографической защиты... 1 88.11kb.
«Основы криптографической защиты информации» 1 175.58kb.
Замена ключей криптографической защиты 1 34.08kb.
С. Н. Боранбаев, Б. Т. Туртбаев Автоматизированная программная система... 1 157.47kb.
1. Принципы криптографической защиты информации 2 458.66kb.
Требования фсб (фапси) по обеспечению безопасности информации при... 1 27.37kb.
Правовое регулирование защиты информации 1 64.2kb.
Программа-минимум кандидатского экзамена по специальности 05. 1 48.13kb.
Курсовая работа «Криптографические системы защиты данных» 1 174.69kb.
Защиты средств вычислительной техники и автоматизированных систем... 1 82.59kb.
Дата введения 2002-07-01 гост р 34. 10-2001 1 166.16kb.
Викторина для любознательных: «Занимательная биология» 1 9.92kb.

6 описание системы криптографической защиты информации скзи «Континент» Система криптографической - страница №1/5

6 ОПИСАНИЕ СИСТЕМЫ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ СКЗИ «Континент»

Система криптографической защиты информации (СКЗИ) «Континент» предназначена для защиты конфиденциальной информации, не являющейся государственной тайной, при ее хранении на дисках и передаче по каналам связи и разработана для решения задач обеспечения безопасности национальных информационных ресурсов. СКЗИ «Континент» сертифицирована в соответствии с утвержденной Госстандартом Системой сертификации средств криптографической защиты информации РОСС RU 0001.030001 от 15.11.93г. Сертификация в государственной экспертной организации является обязательным требованием при использовании СКЗИ, гарантирует стойкость криптографической системы и определяет условия ее безопасной эксплуатации. Программное обеспечение СКЗИ выполнено в соответствии с российскими государственными стандартами. Алгоритм шифрования выполнен в соответствии с требованиями ГОСТ 28147-89. Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.

Цифровая подпись выполнена в соответствии с требованиями ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма.

Функция хеширования выполнена в соответствии с требованиями ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хеширования.



6.1.1 Состав комплекса

Комплекс “Континент-К” включает в свой состав следующие компоненты:


  • центр управления сетью криптографических шлюзов;

  • криптографический шлюз;

  • программа управления сетью криптографических шлюзов;

  • систему криптозащиты информации «Континент»(абонентский пункт).

Центр управления сетью (ЦУС) осуществляет управление работой всех КШ, входящих в состав виртуальной сети. ЦУС осуществляет контроль за состоянием всех зарегистрированных КШ и абонентов сети, проводит рассылку ключевой информации, предоставляет администратору функции удаленного управления КШ и абонентами, обеспечивает получение и хранение содержимого системных журналов КШ, а также ведение журнала событий НСД.

Криптографический шлюз (КШ) обеспечивает криптографическую защиту информации при ее передаче по открытым каналам сетей общего пользования и защиту внутренних сегментов сети от проникновения извне.

Программа управления обеспечивает отображение состояний КШ, просмотр содержимого системных журналов КШ, изменение настроек маршрутизации и правил фильтрации пакетов.

Система криптозащиты информации (Абонентский пункт) программа устанавливаемая на рабочих местах участников сети, обеспечивающая связь с криптошлюзом и получение прав доступа к сетевым ресурсам защищенной сети удаленным абонентам.

6.1.2 Варианты применения комплекса

Комплекс “Континент-К” может использоваться в следующих вариантах:


  • защита соединения «точка-точка»;

  • защищенная корпоративная VPN-сеть.






Рисунок 6.1 Защита соединения «точка-точка»
Защита соединения «точка-точка» Рисунок 5.1 предполагает использование КШ для защиты данных, передаваемых по неконтролируемой территории между двумя защищенными сегментами территориально разделенных ЛВС через сеть Internet или по выделенному каналу связи. В этом случае обеспечивается шифрование и имитозащита данных, передаваемых между двумя защищенными сегментами разделенной ЛВС. Управление параметрами КШ осуществляется из той ЛВС, в которой установлена программа управления и на криптошлюзе которой установлен центр управления сетью.

Защищенная корпоративная VPN-сеть Рисунок 3.2 предполагает, что защищаемые сегменты сети предприятия объединены между собой через каналы передачи данных сети общего пользования (выделенные каналы различной пропускной способности, в т.ч. сеть Internet). В этом случае обеспечивается:



  • шифрование и имитозащита данных, передаваемых по каналам связи;

  • аутентификация удаленных абонентов;

  • фильтрация входящих и исходящих IP-пакетов;

  • скрытие внутренней структуры каждого защищаемого сегмента сети;

  • распределение и управление сменой ключей шифрования.

Рисунок 6.2 Защищенная корпоративная сеть


Для централизованного управления работой КШ (настройка, контроль состояния, распределение ключей шифрования и т.д.) используются центр управления сетью и программа управления.

Центр управления сетью устанавливается на одном из криптошлюзов сети. Программа управления может быть установлена на компьютерах внутри защищаемых центром управления сегментов сети.

Оповещение администратора о попытках НСД осуществляется на АРМ управления сетью.

Шифрование передаваемой информации для пользователей VPN является прозрачным.



6.1.3 Варианты поставки СКЗИ «Континент»

СКЗИ «Континент», в зависимости от желания заказчика, может поставляться в следующих вариантах:



  • в виде программы автономного рабочего места (абонентского пункта);

  • в виде отдельного криптошлюза в комплекте с программой ЦУС и программой рабочего места администратора безопасности;

  • в виде полного комплекса включающего в себя криптошлюз и необходимое количество абонентских пунктов а также программу ЦУС установленную на шлюзе и рабочее место администратора безопасности.

6.2 Основные характеристики СКЗИ «Континент»

СКЗИ «Континент» решает следующие задачи:



  • шифрование/расшифровывание информации на уровне файлов, блоков данных;

  • генерацию электронной цифровой подписи (ЭЦП);

  • проверку ЭЦП;

  • обнаружение искажений, вносимых злоумышленниками или вирусами в защищаемую информацию;

  • сжатие трафика для уменьшения объема передаваемой информации;

  • доступ в сеть Internet для клиентов корпоративной сети.

Развитая система контроля шифратора и обработка ошибочных ситуаций обеспечивают надежную работу.

Удобная система меню и контекстные подсказки позволяют оперативно выбирать файлы, сменить рабочий ключ и, таким образом, свести к минимуму потери времени при работе.

Дополнительные возможности:


  • автоматическое определение номера рабочего ключа и его чтение с ключевой дискеты в процессе расшифровки файла и формирования ЭЦП;

  • шифрование группы файлов на одном ключе с объединением их в один закрытый файл и выборочное расшифровки из этого файла;

  • оперативная смена ключей при шифровании по справочнику корреспондентов;

  • ведение журнала регистрации входа (выхода) в систему;

  • подпись файла 1255 корреспондентами с выборочной или полной проверкой, причем допускаются к проверке ЭЦП, сформированные на ключах, выработанных в разные года;

  • ведение журнала регистрации протокола проверки ЭЦП;

  • ведение журнала регистрации подписанных файлов;

  • ведение журнала регистрации шифрования файлов;

  • ведение журнала регистрации вывода шифрованных файлов на печать;

  • стирание открытой информации осуществляется записью последовательности нулей, что исключает ее восстановление без специального оборудования;

  • защита от несанкционированного доступа к ПО обеспечивается на уровне исполняемых файлов путем запроса пароля при их запуске на исполнение.

Вероятность не обнаружения искажений, вносимых злоумышленниками или вирусами при передаче по каналам связи, составляет 10-9.

При шифровании файла его размер округляется до кратного 8 в большую сторону, а затем увеличивается на 51+ число получателей48 байт. Размер области памяти при шифровании увеличивается на 37 байт + число получателей48 байт.

Размер файла/области памяти при первой подписи увеличивается на 98 байт и на 87 байт при каждой последующей подписи.

6.3 Состав комплекса «Континент-К»

6.3.1 Криптографический шлюз

Криптографический шлюз представляет собой специализированное программно-аппаратное устройство, функционирующее под управлением сокращенной версии ОС FreeBSD. Он обеспечивает:

-прием и передачу пакетов по протоколам семейства TCP/IP (статическая маршрутизация);

-шифрование передаваемых и принимаемых IP-пакетов (ГОСТ 28147-89, режим гаммирования с обратной связью);

-сжатие защищаемых данных;

-защиту данных от искажения (ГОСТ 28147-89, режим имитовставки);

-фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации;

-скрытие внутренней структуры защищаемого сегмента сети;

-криптографическую аутентификацию удаленных абонентов;

-периодическое оповещение ЦУС о своей активности;

-регистрацию событий, связанных с работой КШ;

-оповещение администратора (в реальном режиме времени) о событиях, требующих оперативного вмешательства;

-идентификацию и аутентификацию администратора при запуске КШ (средствами ЭЗ “Соболь”);

-контроль целостности программного обеспечения КШ до загрузки операционной системы (средствами ЭЗ “Соболь”).

Рисунок 6.4 Обработка исходящих IP-пакетов


    Обработка исходящих IP-пакетов представлена на Рисунке 3.4. Все IP-пакеты, поступившие от внутренних абонентов защищаемого сегмента, вначале подвергаются фильтрации.

Фильтрация IP-пакетов осуществляется в соответствии с установленными администратором правилами на основе IP-адресов отправителя и получателя, допустимых значений полей заголовка, используемых портов UDP/TCP и флагов TCP/IP-пакета. Если пакет не удовлетворят правилам фильтрации, он отвергается. Отправитель пакета получает ICMP-сообщение о недоступности абонента.

При установке КШ автоматически генерируются правила, необходимые для обеспечения защищенного взаимодействия с ЦУС, корректной работы механизма маршрутизации пакетов, обработки управляющего трафика коммуникационного оборудования и обеспечения возможности начала работы VPN-функций без дополнительного конфигурирования.



IP-пакеты, удовлетворяющие правилам фильтрации, обрабатываются блоком криптографической защиты и передаются на внешний интерфейс криптошлюза. криптошлюз-отправитель обеспечивает его сжатие, зашифровывание и имитозащиту, инкапсуляцию в новый IP-пакет, в котором в качестве IP-адреса приемника выступает IP-адрес криптошлюза -получателя, а в качестве IP-адреса источника выступает IP-адрес криптошлюза -отправителя.

IP-пакеты, адресованные абонентам, внешним по отношению к VPN-сети (Web-сайты, ftp-серверы), передаются в открытом виде. Это позволяет использовать КШ при доступе к общедоступным ресурсам сетей общего пользования в качестве межсетевого экрана пакетного уровня.

Обработка входящих пакетов представлена на Рисунке 3.5. Входящие IP-пакеты от открытых абонентов блоком криптографической защиты не обрабатываются и поступают непосредственно в фильтр IP-пакетов.


Рисунок 6.5 Обработка входящих IP-пакетов

Для пакетов, полученных от абонентов VPN, блок криптографической защиты осуществляет проверку целостности пакетов и расшифровывает их, после чего пакеты поступают в фильтр IP-пакетов. Если целостность пакета нарушена, то пакет отбрасывается без расшифровки и без оповещения отправителя пакета с генерацией сообщения о НСД.

IP-пакеты, удовлетворяющие правилам фильтрации, передаются через внутренний интерфейс внутренним абонентам.

Криптографический шлюз осуществляет регистрацию следующих событий:



  • загрузку и инициализацию системы и ее программный останов;

  • вход (выход) администратора криптошлюза в систему (из системы);

  • запросы на установление виртуальных соединений между криптошлюзами, между криптошлюзом и Центром управления;

  • результат фильтрации входящих/исходящих пакетов;

  • попытки НСД;

  • любые нештатные ситуации, происходящие при работе криптошлюза;

  • информацию о потере и восстановлении связи на физическом уровне протоколов.

Перечень регистрируемых событий при эксплуатации криптошлюза определяется администратором. При регистрации события фиксируются:

  • дата, время и код регистрируемого события;

  • адрес источника и адрес получателя (при фильтрации), включая порты протоколов TCP, IP

  • результат попытки осуществления регистрируемого события - успешная или неуспешная (или результат фильтрации);

  • идентификатор администратора криптошлюза, предъявленный при попытке осуществления регистрируемого события (для событий локального/удаленного управления).

Оповещение о событиях, требующих вмешательства администратора, осуществляется по протоколу SNMP. Оповещения передаются в открытом виде на ЦУС, откуда могут быть получены консолью управления. Криптографический шлюз обеспечивает сжатие передаваемых данных об однотипных событиях.

Локальная сигнализация о событиях, требующих вмешательства администратора, осуществляется путем вывода соответствующих сообщений на монитор криптошлюза.



6.3.2 Центр управления сетью

Центр управления сетью осуществляет управление работой всех криптошлюзов, входящих в состав системы защиты. ЦУС осуществляет контроль состояния всех зарегистрированных криптошлюзов, проводит рассылку ключевой информации, предоставляет администратору функции удаленного управления криптошлюзами, обеспечивает получение и хранение содержимого системных журналов криптошлюза, а также ведение журнала событий НСД.

ЦУС обеспечивает:



  • аутентификацию криптошлюза и консолей управления;

  • контроль текущего состояния всех криптошлюзов системы;

  • хранение информации о состоянии системы защиты (сети криптошлюзов);

  • централизованное управление криптографическими ключами и настройками каждого криптошлюза сети;

  • взаимодействие с программой управления;

  • регистрацию событий по управлению и изменению параметров криптошлюза;

  • получение журналов регистрации от всех имеющихся криптошлюзов и их хранение.

Программное обеспечение ЦУС устанавливается на одном из криптошлюзов защищаемой сети.

6.3.3 Программа управления

    Программа управления предназначена для централизованного управления всеми криптошлюзами, работающими под управлением одного ЦУС. Эта программа позволяет:

  • отображать информацию о текущем состоянии всех имеющихся криптошлюзах;

  • добавлять в систему новые криптошлюзы, изменять сведения о существующий криптошлюзах или удалять криптошлюз;

  • централизованно управлять настройками криптошлюза;

  • управлять правилами маршрутизации криптошлюза;

  • управлять ключами шифрования;

  • анализировать содержание журналов регистрации криптошлюза.

Программа управления предназначена для работы на компьютерах, оснащенных процессорами семейства Intel x86 или совместимыми с ними, и функционирующих под управлением ОС Windows 2000 (и выше) или ОС Windows 98/ME. На этих компьютерах должны быть установлены компоненты, обеспечивающие работу с сетевыми протоколами семейства TCP/IP.
следующая страница >>