страница 1страница 2 ... страница 4страница 5
|
|||||||||||||||||||||||||||||||||||||||||||
Похожие работы
|
6 описание системы криптографической защиты информации скзи «Континент» Система криптографической - страница №1/5
6 ОПИСАНИЕ СИСТЕМЫ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ СКЗИ «Континент» Система криптографической защиты информации (СКЗИ) «Континент» предназначена для защиты конфиденциальной информации, не являющейся государственной тайной, при ее хранении на дисках и передаче по каналам связи и разработана для решения задач обеспечения безопасности национальных информационных ресурсов. СКЗИ «Континент» сертифицирована в соответствии с утвержденной Госстандартом Системой сертификации средств криптографической защиты информации РОСС RU 0001.030001 от 15.11.93г. Сертификация в государственной экспертной организации является обязательным требованием при использовании СКЗИ, гарантирует стойкость криптографической системы и определяет условия ее безопасной эксплуатации. Программное обеспечение СКЗИ выполнено в соответствии с российскими государственными стандартами. Алгоритм шифрования выполнен в соответствии с требованиями ГОСТ 28147-89. Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. Цифровая подпись выполнена в соответствии с требованиями ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма. Функция хеширования выполнена в соответствии с требованиями ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хеширования. 6.1.1 Состав комплекса Комплекс “Континент-К” включает в свой состав следующие компоненты:
Центр управления сетью (ЦУС) осуществляет управление работой всех КШ, входящих в состав виртуальной сети. ЦУС осуществляет контроль за состоянием всех зарегистрированных КШ и абонентов сети, проводит рассылку ключевой информации, предоставляет администратору функции удаленного управления КШ и абонентами, обеспечивает получение и хранение содержимого системных журналов КШ, а также ведение журнала событий НСД. Криптографический шлюз (КШ) обеспечивает криптографическую защиту информации при ее передаче по открытым каналам сетей общего пользования и защиту внутренних сегментов сети от проникновения извне. Программа управления обеспечивает отображение состояний КШ, просмотр содержимого системных журналов КШ, изменение настроек маршрутизации и правил фильтрации пакетов. Система криптозащиты информации (Абонентский пункт) программа устанавливаемая на рабочих местах участников сети, обеспечивающая связь с криптошлюзом и получение прав доступа к сетевым ресурсам защищенной сети удаленным абонентам. 6.1.2 Варианты применения комплексаКомплекс “Континент-К” может использоваться в следующих вариантах:
Рисунок 6.1 Защита соединения «точка-точка» Защита соединения «точка-точка» Рисунок 5.1 предполагает использование КШ для защиты данных, передаваемых по неконтролируемой территории между двумя защищенными сегментами территориально разделенных ЛВС через сеть Internet или по выделенному каналу связи. В этом случае обеспечивается шифрование и имитозащита данных, передаваемых между двумя защищенными сегментами разделенной ЛВС. Управление параметрами КШ осуществляется из той ЛВС, в которой установлена программа управления и на криптошлюзе которой установлен центр управления сетью. Защищенная корпоративная VPN-сеть Рисунок 3.2 предполагает, что защищаемые сегменты сети предприятия объединены между собой через каналы передачи данных сети общего пользования (выделенные каналы различной пропускной способности, в т.ч. сеть Internet). В этом случае обеспечивается:
Рисунок 6.2 Защищенная корпоративная сеть Для централизованного управления работой КШ (настройка, контроль состояния, распределение ключей шифрования и т.д.) используются центр управления сетью и программа управления. Центр управления сетью устанавливается на одном из криптошлюзов сети. Программа управления может быть установлена на компьютерах внутри защищаемых центром управления сегментов сети. Оповещение администратора о попытках НСД осуществляется на АРМ управления сетью. Шифрование передаваемой информации для пользователей VPN является прозрачным. 6.1.3 Варианты поставки СКЗИ «Континент» СКЗИ «Континент», в зависимости от желания заказчика, может поставляться в следующих вариантах:
6.2 Основные характеристики СКЗИ «Континент» СКЗИ «Континент» решает следующие задачи:
Развитая система контроля шифратора и обработка ошибочных ситуаций обеспечивают надежную работу. Удобная система меню и контекстные подсказки позволяют оперативно выбирать файлы, сменить рабочий ключ и, таким образом, свести к минимуму потери времени при работе. Дополнительные возможности:
Вероятность не обнаружения искажений, вносимых злоумышленниками или вирусами при передаче по каналам связи, составляет 10-9. При шифровании файла его размер округляется до кратного 8 в большую сторону, а затем увеличивается на 51+ число получателей48 байт. Размер области памяти при шифровании увеличивается на 37 байт + число получателей48 байт. Размер файла/области памяти при первой подписи увеличивается на 98 байт и на 87 байт при каждой последующей подписи. -прием и передачу пакетов по протоколам семейства TCP/IP (статическая маршрутизация); -шифрование передаваемых и принимаемых IP-пакетов (ГОСТ 28147-89, режим гаммирования с обратной связью); -сжатие защищаемых данных; -защиту данных от искажения (ГОСТ 28147-89, режим имитовставки); -фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; -скрытие внутренней структуры защищаемого сегмента сети; -криптографическую аутентификацию удаленных абонентов; -периодическое оповещение ЦУС о своей активности; -регистрацию событий, связанных с работой КШ; -оповещение администратора (в реальном режиме времени) о событиях, требующих оперативного вмешательства; -идентификацию и аутентификацию администратора при запуске КШ (средствами ЭЗ “Соболь”); -контроль целостности программного обеспечения КШ до загрузки операционной системы (средствами ЭЗ “Соболь”). Рисунок 6.4 Обработка исходящих IP-пакетов Обработка исходящих IP-пакетов представлена на Рисунке 3.4. Все IP-пакеты, поступившие от внутренних абонентов защищаемого сегмента, вначале подвергаются фильтрации. Фильтрация IP-пакетов осуществляется в соответствии с установленными администратором правилами на основе IP-адресов отправителя и получателя, допустимых значений полей заголовка, используемых портов UDP/TCP и флагов TCP/IP-пакета. Если пакет не удовлетворят правилам фильтрации, он отвергается. Отправитель пакета получает ICMP-сообщение о недоступности абонента. При установке КШ автоматически генерируются правила, необходимые для обеспечения защищенного взаимодействия с ЦУС, корректной работы механизма маршрутизации пакетов, обработки управляющего трафика коммуникационного оборудования и обеспечения возможности начала работы VPN-функций без дополнительного конфигурирования. IP-пакеты, удовлетворяющие правилам фильтрации, обрабатываются блоком криптографической защиты и передаются на внешний интерфейс криптошлюза. криптошлюз-отправитель обеспечивает его сжатие, зашифровывание и имитозащиту, инкапсуляцию в новый IP-пакет, в котором в качестве IP-адреса приемника выступает IP-адрес криптошлюза -получателя, а в качестве IP-адреса источника выступает IP-адрес криптошлюза -отправителя. IP-пакеты, адресованные абонентам, внешним по отношению к VPN-сети (Web-сайты, ftp-серверы), передаются в открытом виде. Это позволяет использовать КШ при доступе к общедоступным ресурсам сетей общего пользования в качестве межсетевого экрана пакетного уровня. Обработка входящих пакетов представлена на Рисунке 3.5. Входящие IP-пакеты от открытых абонентов блоком криптографической защиты не обрабатываются и поступают непосредственно в фильтр IP-пакетов. Рисунок 6.5 Обработка входящих IP-пакетов Для пакетов, полученных от абонентов VPN, блок криптографической защиты осуществляет проверку целостности пакетов и расшифровывает их, после чего пакеты поступают в фильтр IP-пакетов. Если целостность пакета нарушена, то пакет отбрасывается без расшифровки и без оповещения отправителя пакета с генерацией сообщения о НСД. Криптографический шлюз осуществляет регистрацию следующих событий:
Перечень регистрируемых событий при эксплуатации криптошлюза определяется администратором. При регистрации события фиксируются:
Оповещение о событиях, требующих вмешательства администратора, осуществляется по протоколу SNMP. Оповещения передаются в открытом виде на ЦУС, откуда могут быть получены консолью управления. Криптографический шлюз обеспечивает сжатие передаваемых данных об однотипных событиях. Локальная сигнализация о событиях, требующих вмешательства администратора, осуществляется путем вывода соответствующих сообщений на монитор криптошлюза. 6.3.2 Центр управления сетью Центр управления сетью осуществляет управление работой всех криптошлюзов, входящих в состав системы защиты. ЦУС осуществляет контроль состояния всех зарегистрированных криптошлюзов, проводит рассылку ключевой информации, предоставляет администратору функции удаленного управления криптошлюзами, обеспечивает получение и хранение содержимого системных журналов криптошлюза, а также ведение журнала событий НСД. ЦУС обеспечивает:
Программное обеспечение ЦУС устанавливается на одном из криптошлюзов защищаемой сети. 6.3.3 Программа управления Программа управленияпредназначена для централизованного управления всеми криптошлюзами, работающими под управлением одного ЦУС. Эта программа позволяет:
Программа управления предназначена для работы на компьютерах, оснащенных процессорами семейства Intel x86 или совместимыми с ними, и функционирующих под управлением ОС Windows 2000 (и выше) или ОС Windows 98/ME. На этих компьютерах должны быть установлены компоненты, обеспечивающие работу с сетевыми протоколами семейства TCP/IP. следующая страница >> |
|