6 описание системы криптографической защиты информации скзи «Континент» Система криптографической защиты информации (скзи)

6 ОПИСАНИЕ СИСТЕМЫ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ СКЗИ «Континент»

Система криптографической защиты информации (СКЗИ) «Континент» предназначена для защиты конфиденциальной информации, не являющейся государственной тайной, при ее хранении на дисках и передаче по каналам связи и разработана для решения задач обеспечения безопасности национальных информационных ресурсов. СКЗИ «Континент» сертифицирована в соответствии с утвержденной Госстандартом Системой сертификации средств криптографической защиты информации РОСС RU 0001.030001 от 15.11.93г. Сертификация в государственной экспертной организации является обязательным требованием при использовании СКЗИ, гарантирует стойкость криптографической системы и определяет условия ее безопасной эксплуатации. Программное обеспечение СКЗИ выполнено в соответствии с российскими государственными стандартами. Алгоритм шифрования выполнен в соответствии с требованиями ГОСТ 28147-89. Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.

Цифровая подпись выполнена в соответствии с требованиями ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма.

Функция хеширования выполнена в соответствии с требованиями ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хеширования.

6.1.1 Состав комплекса

Комплекс “Континент-К” включает в свой состав следующие компоненты:

центр управления сетью криптографических шлюзов;
криптографический шлюз;
программа управления сетью криптографических шлюзов;
систему криптозащиты информации «Континент»(абонентский пункт).

Центр управления сетью (ЦУС) осуществляет управление работой всех КШ, входящих в состав виртуальной сети. ЦУС осуществляет контроль за состоянием всех зарегистрированных КШ и абонентов сети, проводит рассылку ключевой информации, предоставляет администратору функции удаленного управления КШ и абонентами, обеспечивает получение и хранение содержимого системных журналов КШ, а также ведение журнала событий НСД.

Криптографический шлюз (КШ) обеспечивает криптографическую защиту информации при ее передаче по открытым каналам сетей общего пользования и защиту внутренних сегментов сети от проникновения извне.

Программа управления обеспечивает отображение состояний КШ, просмотр содержимого системных журналов КШ, изменение настроек маршрутизации и правил фильтрации пакетов.

Система криптозащиты информации (Абонентский пункт) программа устанавливаемая на рабочих местах участников сети, обеспечивающая связь с криптошлюзом и получение прав доступа к сетевым ресурсам защищенной сети удаленным абонентам.

6.1.2 Варианты применения комплекса

Комплекс “Континент-К” может использоваться в следующих вариантах:

защита соединения «точка-точка»;
защищенная корпоративная VPN-сеть.

Рисунок 6.1 Защита соединения «точка-точка»
Защита соединения «точка-точка» Рисунок 5.1 предполагает использование КШ для защиты данных, передаваемых по неконтролируемой территории между двумя защищенными сегментами территориально разделенных ЛВС через сеть Internet или по выделенному каналу связи. В этом случае обеспечивается шифрование и имитозащита данных, передаваемых между двумя защищенными сегментами разделенной ЛВС. Управление параметрами КШ осуществляется из той ЛВС, в которой установлена программа управления и на криптошлюзе которой установлен центр управления сетью.

Защищенная корпоративная VPN-сеть Рисунок 3.2 предполагает, что защищаемые сегменты сети предприятия объединены между собой через каналы передачи данных сети общего пользования (выделенные каналы различной пропускной способности, в т.ч. сеть Internet). В этом случае обеспечивается:

шифрование и имитозащита данных, передаваемых по каналам связи;
аутентификация удаленных абонентов;
фильтрация входящих и исходящих IP-пакетов;
скрытие внутренней структуры каждого защищаемого сегмента сети;
распределение и управление сменой ключей шифрования.

Рисунок 6.2 Защищенная корпоративная сеть

Для централизованного управления работой КШ (настройка, контроль состояния, распределение ключей шифрования и т.д.) используются центр управления сетью и программа управления.

Центр управления сетью устанавливается на одном из криптошлюзов сети. Программа управления может быть установлена на компьютерах внутри защищаемых центром управления сегментов сети.

Оповещение администратора о попытках НСД осуществляется на АРМ управления сетью.

Шифрование передаваемой информации для пользователей VPN является прозрачным.

6.1.3 Варианты поставки СКЗИ «Континент»

СКЗИ «Континент», в зависимости от желания заказчика, может поставляться в следующих вариантах:

в виде программы автономного рабочего места (абонентского пункта);
в виде отдельного криптошлюза в комплекте с программой ЦУС и программой рабочего места администратора безопасности;
в виде полного комплекса включающего в себя криптошлюз и необходимое количество абонентских пунктов а также программу ЦУС установленную на шлюзе и рабочее место администратора безопасности.

6.2 Основные характеристики СКЗИ «Континент»

СКЗИ «Континент» решает следующие задачи:

шифрование/расшифровывание информации на уровне файлов, блоков данных;
генерацию электронной цифровой подписи (ЭЦП);
проверку ЭЦП;
обнаружение искажений, вносимых злоумышленниками или вирусами в защищаемую информацию;
сжатие трафика для уменьшения объема передаваемой информации;
доступ в сеть Internet для клиентов корпоративной сети.

Развитая система контроля шифратора и обработка ошибочных ситуаций обеспечивают надежную работу.

Удобная система меню и контекстные подсказки позволяют оперативно выбирать файлы, сменить рабочий ключ и, таким образом, свести к минимуму потери времени при работе.

Дополнительные возможности:

автоматическое определение номера рабочего ключа и его чтение с ключевой дискеты в процессе расшифровки файла и формирования ЭЦП;
шифрование группы файлов на одном ключе с объединением их в один закрытый файл и выборочное расшифровки из этого файла;
оперативная смена ключей при шифровании по справочнику корреспондентов;
ведение журнала регистрации входа (выхода) в систему;
подпись файла 1255 корреспондентами с выборочной или полной проверкой, причем допускаются к проверке ЭЦП, сформированные на ключах, выработанных в разные года;
ведение журнала регистрации протокола проверки ЭЦП;
ведение журнала регистрации подписанных файлов;
ведение журнала регистрации шифрования файлов;
ведение журнала регистрации вывода шифрованных файлов на печать;
стирание открытой информации осуществляется записью последовательности нулей, что исключает ее восстановление без специального оборудования;
защита от несанкционированного доступа к ПО обеспечивается на уровне исполняемых файлов путем запроса пароля при их запуске на исполнение.

Вероятность не обнаружения искажений, вносимых злоумышленниками или вирусами при передаче по каналам связи, составляет 10^-9.

При шифровании файла его размер округляется до кратного 8 в большую сторону, а затем увеличивается на 51+ число получателей48 байт. Размер области памяти при шифровании увеличивается на 37 байт + число получателей48 байт.

Размер файла/области памяти при первой подписи увеличивается на 98 байт и на 87 байт при каждой последующей подписи.

6.3 Состав комплекса «Континент-К»

6.3.1 Криптографический шлюз

Криптографический шлюз представляет собой специализированное программно-аппаратное устройство, функционирующее под управлением сокращенной версии ОС FreeBSD. Он обеспечивает:

-прием и передачу пакетов по протоколам семейства TCP/IP (статическая маршрутизация);

-шифрование передаваемых и принимаемых IP-пакетов (ГОСТ 28147-89, режим гаммирования с обратной связью);

-сжатие защищаемых данных;

-защиту данных от искажения (ГОСТ 28147-89, режим имитовставки);

-фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации;

-скрытие внутренней структуры защищаемого сегмента сети;

-криптографическую аутентификацию удаленных абонентов;

-периодическое оповещение ЦУС о своей активности;

-регистрацию событий, связанных с работой КШ;

-оповещение администратора (в реальном режиме времени) о событиях, требующих оперативного вмешательства;

-идентификацию и аутентификацию администратора при запуске КШ (средствами ЭЗ “Соболь”);

-контроль целостности программного обеспечения КШ до загрузки операционной системы (средствами ЭЗ “Соболь”).

Рисунок 6.4 Обработка исходящих IP-пакетов

Фильтрация IP-пакетов осуществляется в соответствии с установленными администратором правилами на основе IP-адресов отправителя и получателя, допустимых значений полей заголовка, используемых портов UDP/TCP и флагов TCP/IP-пакета. Если пакет не удовлетворят правилам фильтрации, он отвергается. Отправитель пакета получает ICMP-сообщение о недоступности абонента.

При установке КШ автоматически генерируются правила, необходимые для обеспечения защищенного взаимодействия с ЦУС, корректной работы механизма маршрутизации пакетов, обработки управляющего трафика коммуникационного оборудования и обеспечения возможности начала работы VPN-функций без дополнительного конфигурирования.

IP-пакеты, удовлетворяющие правилам фильтрации, обрабатываются блоком криптографической защиты и передаются на внешний интерфейс криптошлюза. криптошлюз-отправитель обеспечивает его сжатие, зашифровывание и имитозащиту, инкапсуляцию в новый IP-пакет, в котором в качестве IP-адреса приемника выступает IP-адрес криптошлюза -получателя, а в качестве IP-адреса источника выступает IP-адрес криптошлюза -отправителя.

IP-пакеты, адресованные абонентам, внешним по отношению к VPN-сети (Web-сайты, ftp-серверы), передаются в открытом виде. Это позволяет использовать КШ при доступе к общедоступным ресурсам сетей общего пользования в качестве межсетевого экрана пакетного уровня.

Обработка входящих пакетов представлена на Рисунке 3.5. Входящие IP-пакеты от открытых абонентов блоком криптографической защиты не обрабатываются и поступают непосредственно в фильтр IP-пакетов.

Рисунок 6.5 Обработка входящих IP-пакетов

Для пакетов, полученных от абонентов VPN, блок криптографической защиты осуществляет проверку целостности пакетов и расшифровывает их, после чего пакеты поступают в фильтр IP-пакетов. Если целостность пакета нарушена, то пакет отбрасывается без расшифровки и без оповещения отправителя пакета с генерацией сообщения о НСД.

IP-пакеты, удовлетворяющие правилам фильтрации, передаются через внутренний интерфейс внутренним абонентам.

Криптографический шлюз осуществляет регистрацию следующих событий:

загрузку и инициализацию системы и ее программный останов;
вход (выход) администратора криптошлюза в систему (из системы);
запросы на установление виртуальных соединений между криптошлюзами, между криптошлюзом и Центром управления;
результат фильтрации входящих/исходящих пакетов;
попытки НСД;
любые нештатные ситуации, происходящие при работе криптошлюза;
информацию о потере и восстановлении связи на физическом уровне протоколов.

Перечень регистрируемых событий при эксплуатации криптошлюза определяется администратором. При регистрации события фиксируются:

дата, время и код регистрируемого события;
адрес источника и адрес получателя (при фильтрации), включая порты протоколов TCP, IP
результат попытки осуществления регистрируемого события - успешная или неуспешная (или результат фильтрации);
идентификатор администратора криптошлюза, предъявленный при попытке осуществления регистрируемого события (для событий локального/удаленного управления).

Оповещение о событиях, требующих вмешательства администратора, осуществляется по протоколу SNMP. Оповещения передаются в открытом виде на ЦУС, откуда могут быть получены консолью управления. Криптографический шлюз обеспечивает сжатие передаваемых данных об однотипных событиях.

Локальная сигнализация о событиях, требующих вмешательства администратора, осуществляется путем вывода соответствующих сообщений на монитор криптошлюза.

6.3.2 Центр управления сетью

Центр управления сетью осуществляет управление работой всех криптошлюзов, входящих в состав системы защиты. ЦУС осуществляет контроль состояния всех зарегистрированных криптошлюзов, проводит рассылку ключевой информации, предоставляет администратору функции удаленного управления криптошлюзами, обеспечивает получение и хранение содержимого системных журналов криптошлюза, а также ведение журнала событий НСД.

ЦУС обеспечивает:

аутентификацию криптошлюза и консолей управления;
контроль текущего состояния всех криптошлюзов системы;
хранение информации о состоянии системы защиты (сети криптошлюзов);
централизованное управление криптографическими ключами и настройками каждого криптошлюза сети;
взаимодействие с программой управления;
регистрацию событий по управлению и изменению параметров криптошлюза;
получение журналов регистрации от всех имеющихся криптошлюзов и их хранение.

Программное обеспечение ЦУС устанавливается на одном из криптошлюзов защищаемой сети.

6.3.3 Программа управления

Программа управления

отображать информацию о текущем состоянии всех имеющихся криптошлюзах;
добавлять в систему новые криптошлюзы, изменять сведения о существующий криптошлюзах или удалять криптошлюз;
централизованно управлять настройками криптошлюза;
управлять правилами маршрутизации криптошлюза;
управлять ключами шифрования;
анализировать содержание журналов регистрации криптошлюза.

Программа управления предназначена для работы на компьютерах, оснащенных процессорами семейства Intel x86 или совместимыми с ними, и функционирующих под управлением ОС Windows 2000 (и выше) или ОС Windows 98/ME. На этих компьютерах должны быть установлены компоненты, обеспечивающие работу с сетевыми протоколами семейства TCP/IP.
следующая страница >>