Вайнштейн Ю.В., Демин С.Л., Кирко И.Н., Кучеров М.М., Сомова М.В. Основы информационной безопасности

Подождите немного. Документ загружается.

131

тошлюз "Континент-К" предназначен для работы в необслуживаемом режи-

ме, т.е. в момент его включения или во время его работы не требуется

сутствия обслуживающего персонала для ввода ключей, паролей или иной

информации.

В сети "Континент-К" возможно установить до 5000 криптошлюзов.

Добавление новых и изменение настроек уже установленных компонентов

производятся без вмешательства в процесс функционирования системы.

Комплекс "Континент-К" сертифицирован Гостехкомиссией России

на соответствие третьему классу защищенности для межсетевых экранов и

ФАПСИ на соответствие требованиям ГОСТ 28147-89 и требованиям к

стойкости средств криптографической защиты конфиденциальной информа-

ции. Технические характеристики:

- алгоритм шифрования – ГОСТ 28147-89;

- длина ключа шифрования – 256 бит;

- количество сетевых интерфейсов – до 16;

- пропускная способность (шифрование, имитозащита, туннелирование) –

до 80 Мбит/с;

- пропускная способность абонентского пункта – до 14 Мбит/с;

- увеличение длины IP-пакета – до 36 байт;

- поддержка режима горячего резервирования.

8.4.10. Кейс для транспортировки ноутбуков «ТЕНЬ К1»

"ТЕНЬ К1" предназначен для транспортировки ноутбуков или отдель-

ных накопителей на жестких и магнитных дисках (НЖМД) (стриммерных

картриджей, ZIP дисков) с возможностью экстренного уничтожения инфор-

мации при попытке НСД (рис. 11).

Конструктивно комплекс монтируется в пыле-, влаго-, взрывозащи-

щенный кейс, в котором будет производиться транспортировка ноутбука. За-

щищаемая информация размещается на дополнительном жестком диске, ко-

торый находится в кейсе отдельно от ноутбука в специальном отсеке и со-

единен с ним внешним интерфейсным кабелем. Экстренное уничтожение

информации производится:

132

- автоматически при попытках несанкционированного вскрытия кейса;

- автоматически при попытках несанкциониро-

ванного вскрытии отсека, где находится охраняе-

мый жесткий диск;

- автоматически, по истечению 24 часов авто-

номной работы;

- дистанционно по команде пользователя. Про-

цесс уничтожения не влияет на работоспособ-

ность ноутбука и не зависит от того, происходила

работа;

Рис. 11.

- с информацией в этот момент или нет. Возможен вариант изготовления

комплекса для транспортировки жестких дисков, дискет, аудио-, видео-,

стримерных кассет.

Комплекс может находиться в двух режимах: режим ожидания (РО) и

режим охраны (Р1). В режиме РО происходит тестирование всех основных

узлов, блоков и датчиков. Осуществляется свободный доступ к ноутбуку или

магнитным носителям. В режиме Р1 автоматически происходит уничтожение

информации при попытке НСД или пользователем в любой момент времени

по радиоканалу (дальность до 100 метров). Снятие – постановка в режим ох-

раны осуществляется при помощи бесконтактной электронной Proximity кар-

ты.

Комплекс ТЕНЬ имеет автономный источник питания, обеспечиваю-

щий бесперебойную работу до 24 часов.

Дополнительные возможности:

- уничтожение информации по команде пользователя с любого сотового

телефона по GSM каналу;

- полная защита корпуса, исключающая некорректное вскрытие и высвер-

ливание;

- полное протоколирование работы в реальном времени, фиксирующее в

энергонезависимой памяти последние 96 событий с подробным описанием.

133

8.4.11. Аппаратно – программная система криптографической защиты

сообщений «SX-1»

Аппаратно-программная система SX-1 предназначена для криптогра-

фической защиты передаваемых по каналам связи между ПЭВМ или храня-

щихся в памяти ПЭВМ сообщений (рис. 12).

Рис. 12.

В системе SX-1 впервые в отечественной и зарубежной криптографиче-

ской практике реализован “хаотический” поточный шифр.

Система SX-1 обеспечивает:

- криптографическое преобразование передаваемых (принимаемых) или

сформированных текстовых и (или) графических сообщений, оформленных в

виде файлов, и запись их на жесткий или гибкий диски;

- высокую стойкость ключевых данных к их компрометации при любых

действиях злоумышленников и обслуживающего аппаратно-программное

средство персонала;

- гарантированное выполнение заданных функций не менее 2 лет без смены

системного ключа.

Система SX-1 включает:

1. плату с однокристальной ЭВМ (ОЭВМ), устанавливаемую в слот ISA

ПЭВМ IBM PC/AT (или размещаемую в отдельном контейнере размером

140х110х35 мм) и подключаемую к ПЭВМ с помощью разъема СОМ;

134

2. специальное программное обеспечение (СПО), устанавливаемое в ПЭВМ

с ОС Windows 9X.

Перечислим основные характеристики системы:

- Вероятность угадывания системного ключа с k-ой попытки - не более k2

240

- Вероятность угадывания сеансового ключа с k-ой попытки - не более k10

- Скорость криптографического преобразования – не менее 190000 бит/с.

- Использование для шифрования данных криптостойких алгоритмов шиф-

рования с длиной ключа от 128 бит;

- Возможность подключения сертифицированного ФАПСИ криптографиче-

ского модуля "Криптон" производства фирмы "Анкад", или платы "Криптон",

реализующих алгоритм шифрования ГОСТ 28147-89 с длиной ключа 256 бит;

- Формирование уникальных ключей шифрования на основе последова-

тельности случайных чисел.

Для установки системы необходимо:

- Инсталлировать систему SX-1 с входящего в комплект поставки гибкого

диска, строго следуя пунктам инструкции, последовательно отображаемым

на экране дисплея ПЭВМ.

- Подключить к разъемам контейнера с однокристальной ЭВМ провод пи-

тания от входящего в комплект поставки адаптера и входящий в комплект

поставки кабель, предназначенный для подключения контейнера к ПЭВМ.

- Подключить контейнер с помощью кабеля к разъему COM.

- Подключить адаптер к сети переменного тока напряжением 220 В 50 Гц.

Для исключения потери системой SX-1 работоспособного состояния

необходимо пользоваться только входящими в комплект поставки адаптера-

ми.

Для того, чтобы произвести кодирование файлов необходимо:

1. Запустить систему SX-1.

2. В подменю “Установки” меню “Опции” выбрать последовательный порт,

к которому подключен контейнер системы SX-1 с однокристальной ЭВМ

(COM1, COM2, COM3 или COM4). Для ПЭВМ типа “lop-top” – COM1.

3. Выбрать режим кодирования, нажав на клавишу “Coder”, и файл, предна-

значенный для кодирования. Если контейнер подключен именно к выбран-

135

ному с помощью подменю “Установки” порту, то система потребует ввода

персонального конфиденциального ключа, в противном случае будет отмече-

на ошибка в инициализации порта.

4. Осуществить ввод персонального конфиденциального ключа, представ-

ляющего собой любое из целых чисел от 1 до 2147483647.

5. Сохранить закодированный файл (файл с расширением .crp) на жестком

или гибком дисках. При необходимости удалить исходный файл.

Для того, чтобы произвести декодирование файлов необходимо:

1. Запустить систему SX-1, если она не запущена.

2. Выбрать режим декодирования, нажав на клавишу “Decoder”, и файл,

предназначенный для декодирования. Если номер последовательного порта

ПЭВМ, к которому подключен контейнер системы, соответствует номеру,

выбранному в подменю “Установки”, то система потребует ввода персональ-

ного конфиденциального ключа, в противном случае будет отмечена ошибка

в инициализации порта.

3. Осуществить ввод персонального конфиденциального ключа.

4. Сохранить полученный декодированный файл на жестком или гибком

дисках.

8.4.12. Межсетевой экран и шифратор IP-протоков

Предназначен для межсетевого экранирования и криптографической

защиты данных при создании виртуальных частных сетей (Virtual Private

Network) в сетях общего доступа (рис. 13).

За счет сжатия информации комплекс обеспечивает заметное повыше-

ние скорости передачи данных, имеет возможность одновременной поддерж-

ки до 1024 криптографически защищенных соединений при скорости шифро-

вания суммарного IP-потока "на проходе" до 90 Мбит/с. В комплексе исполь-

зуются только собственные реализации всех протокольных стеков TCP/IP,

алгоритмов автоматизированного управления комплексами и заложенными

в них средствами криптозащиты.

Перечислим основные характеристики:

136

1. Производительность – обеспечивается скорость передачи IP-потоков от 65

Mбит/с и выше при включении всех режимов защиты (фильтра-

ция+сжатие+шифрование).

2. Алгоритм шифрования – ГОСТ 28147-89

3. Ключевая система/централизованное распределение ключей – симмет-

ричная/централизованное.

4. ОС/стек протоколов – 32 разрядная DОS-подобная /собственный.

5. Обрабатываемые уровни ЭМВОС – сетевой + транспортный, сеансовый и

прикладной (выборочно).

6. Тип и количество интерфейсов – 2; 10/100Ethernet, FDDI.

7. VPN-протокол/избыточность/сжатие данных – собственный/не более

22 байт на пакет/за счет проходного сжатия данных достигается эффект уско-

рения информационных взаимодействий.

8. Поддержка служб QoS – организация до 8 независимых VPN-туннелей

в рамках попарных соединений с установкой приоритетов потоков информа-

ции.

9. Управление и мониторинг комплексов – локальное и удаленное, механиз-

мами "отката" сбоев. До 1024 комплексов на один АРМ. Обеспечивается на-

глядное (графическое) отображение состояния работы защищаемых сетей,

сигнализация нештатных событий, тотальный аудит информационных и

управленческих взаимодействий.

10. Протокол удаленного управления комплексами – собственный туннель-

ный протокол со строгой двухсторонней аутентификацией согласно Х.509.

11. Собственная безопасность - полный аудит событий и действий персонала,

разграничение доступа с помошью iButton и USB-Key. Использование специ-

альных процедур маршрутизации и поддержки VPN-туннелей с применением

адаптивного управления потоками данных в целях повышения устойчивости

(живучести) систем.

12. Эффективное противостояние активным и пассивным информационным

воздействиям разведывательного характера – сокрытие реальной топологии

VPN, NAT, сокрытие фактов применения комплексов, проксирование прото-

колов SMNP/SMNP-Trap, Telnet, TFTP, HTTP управления пограничными

маршрутизаторами, корректная эмуляция отсутствия используемых,

но скрываемых адресов и сервисов.

137

13. Возможность каскадного включения комплексов – обеспечивает выделе-

ние отдельных сегментов сетей в изолированные зоны повышенной защи-

щенности.

14. Удаленный клиент (программное обеспечение для встречной работы с

"ФПСУ-IP" + USB-Key) – для Windows 98, NT, 2000.

Рис. 13. Типовая схема применения комплекса

Контрольные вопросы

1. В чем состоят слабые стороны аппаратных средств защиты информации?

2. Какие принципы защиты информации обеспечивают рациональный уро-

вень защиты и позволяют сократить затраты?

3. От каких параметров зависит ИБ в КЗ?

4. Чем отличается информационное и энергетическое скрытие?

5. Что такое информационный портрет?

6. Какие существуют способы изменения информационного портрета?

7. Каких результатов позволяет достичь информационное скрытие?

8. В чем заключается принципиальное отличие информационного скрытия

путем изменения информационного портрета от дезинформирования?

9. По каким причинам дезинформирование относят к числу наиболее эффек-

тивных способов защиты информации?

10. Какие существуют способы дезинформамирования?

138

ГЛАВА 9. ОБЩАЯ ХАРАКТЕРИСТИКА

КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ

9.1. Сущность и задачи комплексной защиты информации

Комплексная защита информации (КЗИ) – совокупность людей, проце-

дур и оборудования, защищающих информацию от несанкционированного

доступа, модификации либо отказа доступа.

Рассмотрим задачи КЗИ:

1. Регламентация действий пользователей с целью защиты информации;

2. Обучение и установление юридической ответственности за выполнение

правил информационной безопасности (ИБ);

3. Явный и скрытый контроль за порядком информационного обмена;

4. Блокирование всех возможных каналов утечки;

5. Выявление закладных устройств в технических средствах (ТС) и про-

граммном обеспечении (ПО);

6. Обнаружение зондирований, навязываний и излучений;

7. Обеспечение санкционированного доступа в физическое и информаци-

онное пространство;

8. Обнаружение вторжений в физическое и информационное пространство;

9. Обнаружение возгораний, затоплений и иных чрезвычайных

ситуаций (ЧС);

10. Обеспечение резервирования важной информации;

11. Организация оборота физических носителей защищаемой

информации;

12. Обеспечение достоверности электронного документооборота ЭЦП;

13. Шифрование информации на любых этапах обработки;

14. Восстановление ключевых структур при компрометации;

15. Генерация, распределение и хранение ключей и паролей;

16. Регистрация событий и обнаружение нарушений;

17. Расследование во взаимодействии с правоохранительными органами

нарушений политики безопасности;

18. Непрерывный контроль и управление КЗИ.

9.2. Стратегии комплексной защиты информации

139

Осознание необходимости стратегического подхода в организации

безопасной информационной среды формируется у руководителей по мере

осознания важности, многоаспектности и трудности защиты информации.

Стратегия – общая направленность в организации деятельности с уче-

том объективных потребностей, возможных условий осуществления и воз-

можностей предприятия. Различают три вида стратегий: оборонительная, на-

ступательная и упреждающая стратегии. Основные характеристики стратегий

комплексной защиты информации приведены в табл. 7.

Таблица 7

Основные характеристики стратегий комплексной защиты информации

Наименование

характеристики

Стратегии комплексной защиты информации

Оборонительная Наступательная Упреждающая

Возможный

уровень защиты

Достаточно высок,

но только в отно-

шении известных

угроз

Очень высок, но

только в пределах

существующих

представлений о

природе угроз и

возможностях их

проявления

Уровень защиты

гарантированно

очень высок

Необходимые ус-

ловия реализации

Наличие методов и

средств реализации

1. Наличие перечня

и характеристик

полного множества

потенциально воз-

можных угроз

2. Наличие развито-

го арсенала методов

и средств защиты

3. Наличие возмож-

ности влиять на ар-

хитектуру ИС и тех-

нологию обработки

информации

Наличие защи-

щенных инфор-

мационных тех-

нологий

140

Продолжение табл. 7

Наименование

характеристики

Стратегии комплексной защиты информации

Оборонительная Наступательная Упреждающая

Ресурсоемкость Незначительная по

сравнению с други-

ми стратегиями

Значительная (с

ростом требований

по защите растет по

экспоненте)

1. Высокая в пла-

не капитальных

затрат

2. Незначитель-

ная в каждом

конкретном слу-

чае при наличии

унифицирован-

ной защищенной

информационной

технологии

Рекомендации по

применению

Невысокая степень

секретности защи-

щаемой информа-

ции и не очень

большие ожидае-

мые потери

Достаточно высокая

степень секретности

защищаемой ин-

формации и воз-

можность значи-

тельных потерь при

нарушении защиты

Перспективная

Оборонительная стратегия защиты – защита от уже известных угроз,

осуществляемая автономно, без влияния на существующую ИС.

Наступательная стратегия защиты – защита от всего множества по-

тенциальных угроз. Архитектура информационной системы и технология ее

функционирования обязаны учитывать потребности защиты.

Упреждающая стратегия защиты – создание изначально такой ин-

формационной среды, в которой угрозы не имели бы условий для возникно-

вения.

9.3. Этапы построения КЗИ для различных стратегий

Основные этапы построения стратегий КЗИ приведены в табл. 8.