к которым пользователю разрешен доступ.

Для протоколирования процесса работы ведется Журнал, просмотр которого возможен только администратором. Для защиты информации от просмотра администратором пользователь может закрыть ее средствами абонентского шифрования.

СИСТЕМА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ «ВЕРБА-0»

Система криптографической защиты информации (СКЗИ) представляет собой программно-аппаратный комплекс, предназначенный для ЗИ при ее хранении и передаче по каналам связи.

СКЗИ «Верба-0» решает следующие задачи:

>• шифрование/расшифрование информации на уровне файлов;

>• генерацию электронной цифровой подписи (ЭЦП);

>• проверку (ЭЦП).

Система поставляется в следующих основных вариантах:

>• в виде автономного рабочего места;

>• в виде модулей, встраиваемых в ПО заказчика.

СКЗИ «Верба-0» в различных модификациях функционирует под управлением операционных систем MS DOS v.5.0 и выше, Windows'95, Windows NT, UNIX (HP UX) на персональных ЭВМ, совместимых с IBM PC/ AT. Требуемый объем оперативной памяти не более 155 кбайт. Кроме того, необходим накопитель на гибком магнитном диске.

Алгоритм шифрования выполнен в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая».

Цифровая подпись выполнена в соответствии с требованиями ГОСТ Р34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

Функция хэширования выполнена в соответствии с требованиями ГОСТ Р34.11-94 «Информационная технология. Криптографическая защита информации. Функция хэширования».

Ключи шифрования симметричные, ключи для ЭЦП — асимметричные.

При обработке информации на ПЭВМ СКЗИ «Верба-0» обеспечивает следующие показатели.

СКЗИ «Верба-0» имеет сертификат ФАПСИ №124-0264 от 10.04.99 г.

Таблица 2.1.

Операции /PC/AT 486/33, ISA /PC/AT 486/100 VESA

Шифрование /200 Кб/с /520 Кб/с

Вычисление хэш-функции /120 Кб/с /330 Кб/с

Формирование ЭЦП /0,3с /0,04 с

Проверка ЭЦП /0,7с /0,2 с

КРИПТОГРАФИЧЕСКИЙ КОМПЛЕКС «ШИФРАТОР IP ПОТОКОВ» (ШИП)

Криптографический комплекс «Шифратор IP потоков» предназначен для решения следующих вопросов:

>• обеспечение конфиденциальности и целостности информации, передаваемой в сетях общего пользования;

>• создание защищенных подсетей передачи конфиденциальной информации;

>• объединение локальных вычислительных сетей в единую защищенную сеть;

>• закрытие доступа к ресурсам локальной сети или отдельных компьютеров из сети общего пользования;

>• организация единого центра управления защищенной подсетью.

Криптографический комплекс «ШИП» обеспечивает:

>• закрытие передаваемых данных на основе использования функций шифрования в соответствии с ГОСТ 28147-89;

>• контроль целостности передаваемой информации;

>• аутентификацию абонентов (узлов сети);

>• защиту доступа к локальной сети и закрытие IP адресов подсети;

>• создание защищенных подсетей в сетях общего пользования;

>• защиту от НСД ресурсов самого шифратора;

>• передачу контрольной информации в «Центр управления ключевой системой защищенной IP сети;

>• поддержку протоколов маршрутизации RIP II, OSPF, BGP;

>• фильтрацию IP, ICMP, TCP- соединений на этапе маршрутизации и при приеме/передаче в канал связи;

>• поддержку инкапсуляции IPX в IP (в соответствии с RFC-1234);

>• поддержку инкапсуляции IP в Х.25 и Frame Relay.

Шифратор IP потоков содержит плату «Кулон» с интерфейсом ISA, используемую для защиты от НСД при загрузке системы и для получения от датчика случайных чисел последовательностей, необходимых для реализации процедуры шифрования.

Криптографический комплекс «ШИП» имеет сертификат ФАПСИ № СФ/124-0815 от 10.04.97 г.

Б. Межсетевые экраны

Межсетевой экран (МЭ) — это локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль информации, поступающей в автоматизированную систему и/или выходящей из нее.

В настоящее время на мировом рынке представлено более 50 различных межсетевых экранов, отличающихся платформами функционирования, функциональными возможностями и производительностью.

Функциональные требования к МЭ, используемым в РФ для защиты информации, регламентированы Руководящим документом (РД) Государственной технической комиссии при Президенте Российской Федерации «Межсетевые экраны. Защита от несанкционированного доступа к информации. Классификация межсетевых экранов и требования по защите информации» (см п.2.1.5).

На российском рынке сетевых средств защиты информации представлено более десяти МЭ, сертифицированных по требованиям Гостехкомиссии России (табл.2.6.2.).

Все они сочетают в себе возможности пакетной фильтрации и фильтрации на прикладном уровне. Краткие технические характеристики некоторых МЭ приведены в табл.2.6.3. В таблице не представлены МЭ, сертифицированные по схеме единичного экземпляра.

Естественно, что использование МЭ приводит к снижению производительности сети. Изменение пропускной способности различных МЭ в зависимости от нагрузки приведено на рис 2.6.2 на с. 780.

В. Программно-аппаратные средства защиты конфиденциальной информации в персональном компьютере

Secret Disk. Программно-аппаратное средство Secret Disk предназначено для защиты конфиденциальной информации на ПК, прежде всего типа Notebook.

Основные возможности:

>• защита данных осуществляется с помощью профессиональных алгоритмов шифрования;

>• генерация ключей самим пользователем;

>• двойная аутентификация пользователя (аппаратная и по паролю);

Таблица 2.6.2. Сертифицированные межсетевые экраны

Название межсетевого экрана /Класс защищенности в соответствии с руководящим документом (РД) и номер сертификата

МЭ «Пандора» версии 3.1.1 — СЗИ в сетях передачи данных по протоколу TCP/IP /Класс «ЗБ» по РД «AC» — № 73; Класс «З» по РД «МЭ» — № 183.

МЭ «Black Hole» версии BSDI-OS — автоматизированная система разграничения доступа /Класс «ЗБ» по РД «AC» — № 79; Класс «З» по РД «МЭ» — № 184.

МЭ «Застава» /Класс «З» по РД «МЭ» — № 145,155.

Аппаратно-программный комплекс «Застава-Джет» /Класс «2» по РД «СВТ» — № 146.

МЭ «Cyber Guard» версии 4.0 /Класс «З» по РД «СВТ» — № 171.

МЭ «AltaVista FireWall 97» /Класс «З» по РД «СВТ» —№173.

Аппаратно-программные комплексы на базе маршрутизаторов Bay Networks: Advanced Remote Node, Access Stack Node 2 (ASN2), BackBone Node (BN) /Класс «4» по РД «СВТ» — № 175.

Система защиты информации «FireWall-1» версии 3.Оb /Класс «4» по РД «СВТ» — № 190.

МЭ «FireWall-1/Plus for Windows NT» /Класс «4» по РД «СВТ» — № 194.

МЭ «Cisco FIX FireWall» /Класс «З» по РД «МЭ» — № 197, 222.

Программный комплекс «Межсетевой экран Застава-Джет-РС» /Класс «2» по РД «МЭ» — № 200.

Программный комплекс «Межсетевой экран FireWall-1/VPN-1» версии 4.0., Service Pack 2 /Класс «4» по РД «МЭ» — № 230.

Аппаратно-программный комплекс «МЭ WatchGuard»/Класс «4» по РД «МЭ» — № 236.

>• гашение экрана и блокировка клавиатуры при отключении идентификатора, нажатии заданной комбинации клавиш или длительной неактивности пользователя;

>• наличие режима работы под принуждением — в критической ситуации вводится специальный аварийный пароль, при котором система на некоторое время подключает секретный диск, стирает личный ключ шифрования и имитирует сбой операционной системы.

Таблица 2.6.3. Технические характеристики некоторых видов МЭ

Технические параметры и характеристики /MЭ «Black Hole» /МЭ «Суbеr Guard» версии 4.0 /MЭ "AltaVista FireWall 97" /MЭ «Gauntlet»

Характеристики рабочей станции /В комплект поставки рабочая