Сучасні комплекси пост-квантової безпеки державних електронних інформаційних ресурсів
Створення системи безпеки кіберпросторового довкілля національної критичної інформаційної інфраструктури, виявлення вторгнень, криптографічного та стеганографічного захисту інформації. Методи ідентифікації аномальних станів для систем виявлення вторгнень.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | украинский |
| Дата добавления | 10.07.2022 |
| Размер файла | 2,4 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
СУЧАСНІ КОМПЛЕКСИ ПОСТ-КВАНТОВОЇ БЕЗПЕКИ ДЕРЖАВНИХ ЕЛЕКТРОННИХ ІНФОРМАЦІЙНИХ РЕСУРСІВ
Анна Корченко, Євгенія Іванченко, Наталія Кошкіна, Олександр Кузнецов, Олена Качко, Олександр Потій, Віктор Онопрієнко, Всеволод Бобух
Анотація
На теперішній час в умовах широкого впровадження в економіку, оборонну і безпекову сфери цифрових технологій в усіх провідних державах світу гостро стоїть проблема забезпечення безпеки їх кіберпростору, особливо в умовах нових загроз, що породжуються використанням квантових комп'ютерів. Тому створення в Україні відповідної системи безпеки кіберпросторового довкілля національної критичної інформаційної інфраструктури, зокрема комплексів та засобів виявлення вторгнень, криптографічного та стеганографічного захисту інформації, є сучасною та актуальною проблематикою, що безпосередньо стосується пост-квантової інформаційної та кібербезпеки нашої держави, а також має важливе загальнодержавне та оборонне значення і суттєво впливає на забезпечення національної безпеки України в умовах ведення інформаційних і гібридних війн. Виходячи з актуальності проблеми забезпечення національної безпеки України в умовах ведення інформаційних і гібридних війн, метою є удосконалення систем спеціального призначення за рахунок побудови комплексів криптографічного захисту інформації пост-квантової безпеки Державних електронних інформаційних ресурсів. Реалізовано проекти з розробки та впровадження програмно-технічних комплексів та апаратних засобів КЗІ для надавачів електронних довірчих послуг Збройних сил України, Міністерства внутрішніх справ, Державної прикордонної служби, Державної податкової служби України, Національного банку України, Приватбанку, Укрсіббанку, Альфа банку тощо, включно по два технологічні центри сертифікації ключів для Центрального засвідчувального органу України та засвідчувального центру Національного банку України. Таким чином, розроблені програмно-технічні комплекси та апаратні засоби КЗІ створили безпечне пост-квантове довкілля для державних електронних інформаційних ресурсів.
Ключові слова: мереж передачі даних спеціального призначення, криптографічні засоби, комплекси спеціального призначення, засоби захисту інформації, кіберпростір, пост-квантове довкілля, державні електронні інформаційні ресурси.
Вступ
Корченко А.А., Иванченко Е.В., Кошкина Н.В., Кузнецов А.А., Качко Е.Г., Потый А.В., Оноприенко В.В., Бобух В.А.
Современные комплексы пост-квантовой безопасности государственных электронных информационных ресурсов.
Аннотация. В настоящее время в условиях широкого внедрения цифровых технологий в экономическую, оборонную сферы и сферу безопасности, во всех ведущих странах мира остро стоит проблема обеспечения безопасности их киберпространства, особенно в условиях новых угроз, порождаемых использованием квантовых компьютеров. Поэтому создание в Украине соответствующей системы безопасности киберпространственной окружающей среды национальной критической информационной инфраструктуры, в частности комплексов и средств обнаружения вторжений, криптографической и стеганографической защиты информации, является современной и актуальной проблематикой, которая непосредственно касается пост-квантовой информационной и кибербезопасности нашего государства, а также имеет важное общегосударственное и оборонное значение и существенно влияет на обеспечение национальной безопасности Украины в условиях ведения информационных и гибридных войн. Исходя из актуальности проблемы обеспечения национальной безопасности Украины в условиях ведения информационных и гибридных войн, целью работы является совершенствование систем специального назначения за счет построения комплексов криптографической защиты информации пост-квантовой безопасности государственных электронных информационных ресурсов. В работе реализованы проекты по разработке и внедрению программнотехнических комплексов и аппаратных средств криптографической защиты информации для поставщиков электронных доверительных услуг Вооруженных сил Украины, Министерства внутренних дел, Государственной пограничной службы, Государственной налоговой службы Украины, Национального банка Украины, Приватбанка, УкрСиббанка, Альфа банка и т.д., включительно по два технологических центра сертификации ключей для Центрального удостоверяющего органа Украины и удостоверяющего центра Национального банка Украины. Таким образом, разработанные программно-технические комплексы и аппаратные средства криптографической создали безопасную постквантовую окружающую среду для государственных электронных информационных ресурсов. Ключевые слова: сетей передачи данных специального назначения, криптографические средства, комплексы специального назначения, средства защиты информации, киберпространство, пост-квантовая окружающая среда, государственные электронные информационные ресурсы.
безпека криптографічний інформація вторгнення
Abstract
Korchenko A., Ivanchenko Ye., Koshkina N., Kuznetsov O., Kachko O., Potiy O., Onoprienko V., Bobukh V. Modern developed of post-quantum safety of state-owned electronic information resources.
Currently, in the context of the widespread introduction of digital technologies in the economic, defense and security spheres, in all the leading countries of the world there is an acute problem of ensuring the security of their cyberspace, especially in the context of new threats generated by the use of quantum computers. Therefore, the creation in Ukraine of an appropriate security system for the cyberspace environment, national critical information infrastructure, in particular intrusion detection systems and tools, cryptographic and steganographic information protection, is a modern and topical issue that directly concerns the post-quantum information and cybersecurity of our state, and also has an important national and defense significance and significantly affects the national security of Ukraine in the context of information and hybrid wars. Proceeding from the urgency of the problem of ensuring the national security of Ukraine in the context of information and hybrid wars, the aim of the work is to improve special purpose systems by building complexes of cryptographic information protection of post-quantum security of state electronic information resources.
The work has implemented projects for the development and implementation of software and hardware systems and hardware cryptographic protection of information for providers of electronic trust services of the Armed Forces of Ukraine, the Ministry of Internal Affairs, the State Border Guard Service, the State Tax Service of Ukraine, the National Bank of Ukraine, Privatbank, UkrSibbank, Alfa Bank, etc., including two technological and logical centers for certification of keys for the Central Certification Authority of Ukraine and the Certification Center of the National Bank of Ukraine. Thus, the developed software and hardware systems and cryptographic hardware have created a secure post-quantum environment for state electronic information resources.
Keywords: special purpose data transmission networks, cryptographic tools, special purpose complexes, information protection means, cyberspace, post-quantum environment, state electronic information resources.
На даний час в умовах широкого впровадження в економіку, оборонну і безпекову сфери цифрових технологій в усіх провідних державах світу гостро стоїть проблема забезпечення безпеки їх кіберпростору, особливо в умовах нових загроз, що породжуються використанням квантових комп'ютерів
Для України ця проблема ще більш актуальна, адже з 2014 року проти нашої держави йде широкомасштабна гібридна та інформаційна агресія, одним з ефективних елементів якої є високотехнологічні впливи на державну інформаційну та критичну інфраструктуру.
Тому створення в Україні відповідної системи безпеки кіберпросторового довкілля, національної критичної інформаційної інфраструктури [2], зокрема комплексів та засобів виявлення вторгнень [3, 4], криптографічного [1] та стеганографічного [5] захисту інформації, є сучасною та актуальною проблематикою, що безпосередньо стосується пост-квантової інформаційної та кібербезпеки нашої держави, а також має важливе загальнодержавне та оборонне значення і суттєво впливає на забезпечення національної безпеки України в умовах ведення інформаційних і гібридних війн.
На теперішній час нашій державі створено необхідні засади для розгортання та побудови високотехнологічних пост-квантових безпечних мереж передачі даних спеціального призначення виключно на вітчизняному обладнанні криптографічного захисту інформації (КЗІ).
У [6] авторами роблено основні елементи загальнодержавної системи КЗІ, що стали основою стандартизації систем, комплексів та засобів КЗІ пост-квантової безпеки.
Для України актуальним є створення реальної системи пост-квантової безпеки. Це пов'язане з необхідністю розробки комплексів КЗІ для забезпечення конфіденційності та цілісності інформації, яка передається між клієнтськими і серверними частинами прикладних систем (TCP-з'єднань) або у розподілених системах на основі ІР-мереж передачі даних.
Зазначені функції комплекси повинні виконувати шляхом застосування механізмів КЗІ, яка передається між клієнтом та сервером, зовнішніми каналами зв'язку або у вигляді мережевого ІР-потоку між розподіленими локальними обчислювальними мережами (далі - ЛОМ) або між клієнтами та ЛОМ через зовнішні канали зв'язку.
Мета роботи
Виходячи з актуальності проблеми забезпечення національної безпеки України в умовах ведення інформаційних і гібридних війн, метою роботи є удосконалення систем спеціального призначення за рахунок побудови комплексів КЗІ пост-квантової безпеки державних електронних інформаційних ресурсів.
Постановка задачі
Для досягнення поставленої мети необхідно розробити технічні характеристики та побудувати криптографічні засоби захисту інформації для використання у вітчизняних комплексах спеціального призначення та обґрунтувати доцільність використання окремих рішень та виконаних впроваджень вітчизняних засобів захисту інформації при побудові мереж та комплексів спеціального призначення на рівні держави. Стосовно захисту електронних інформаційних ресурсів, розглянемо основні результати з розробки та дослідження зазначених засобів захисту інформації та їх практичне застосування в пост-кванто- вому довкіллі, основою побудови яких слугували наукові результати, отримані в [6].
Комплекс користувача ЦСК "ІІТ РИСТуВАЧ ЦСК-1"
Комплекс у складі системи електронного документообігу чи іншої прикладної системи (далі - системи) призначений для: автентифікації користувачів системи при підключенні до сервера та забезпечення конфіденційності і цілісності даних, які передаються між користувачами та сервером; забезпечення цілісності та неспростовності авторства електронних даних та документів, що циркулюють у системі, з використанням електронного цифрового підпису.
Зазначені функції комплекс виконує шляхом застосування механізмів КЗІ, яка обробляється у системі. Автентифікація користувачів системи на сервері здійснюється під час підключення користувачів до сервера (встановлення з'єднання з сервером) шляхом реалізації протоколу взаємної автентифікації сторін. Забезпечення конфіденційності та цілісності інформації, яка передається між користувачем та сервером системи під час їх взаємодії, реалізується шляхом шифрування інформації та формування і перевіряння криптографічних контрольних сум.
Забезпечення цілісності та неспростовності авторства електронних даних та документів, що циркулюють у системі, реалізуються шляхом формування та перевіряння електронного цифрового підпису від даних та документів, як на стороні користувача системи так і на стороні сервера. Для організації ключової системи (управління ключовими даними) засобів комплексу використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК). У засобах комплексу використовуються такі криптографічні алгоритми та протоколи: алгоритми шифрування за ДСТУ ГОСТ 28147: 2009 та TDEA і AES за ISO/IEC 18033-3:2010; алгоритми ЕЦП за ДСТУ 4145-2002, RSA за PKCS1 (RFC 3447) та ECDSA за ДСТУ ISO/IEC 14888-3:2014; алгоритми гешування за ГОСТ 34.311-95 та SHA (SHA-1 і SHA-224/256/ 384/512) за ДСТУ ISO/IEC 10118-3:2005; протоколи розподілу ключів за ДСТУ ISO/IEC 15946-3 (пп. 8.2) та RSA за PKCS#1 (RFC 3447).
Протоколи розподілу ключових даних реалізуються згідно ДСТУ ISO/IEC 15946-3 і вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв'язку України № 739 від 18.12.2012 р., та за алгоритмом направленого шифрування RSA згідно PKCS#1 (RFC 3447). Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв'язку України.
Протокол встановлення захищеного сеансу передачі даних користувачем та сервером реалізовано на основі протоколу взаємної автентифікації з двома проходами згідно стандарту ДСТУ ISO/IEC 9798-3. Протокол взаємної автентифікації включає: формування користувачем та передачу даних автентифікації (запиту) на сервер; обробку запиту від користувача сервером; прийом та обробку відповіді користувача від сервера.
За результатом роботи протоколу на сервері та користувачеві встановлюються два сеансових ключа та два вектори початкової ініціалізації для поточного шифрування даних у захищеному з'єднанні у дуплексному режимі.
Шифрування даних у захищеному з'єднанні здійснюється за алгоритмом шифрування згідно ДСТУ ГОСТ 28147:2009 або TDEA чи AES.
В якості криптографічної контрольної суми для контролю цілісності даних у захищеному з'єднанні використовуються коди автентифікації повідомлень (імітовставки), які обчислюються за алгоритмом шифрування згідно ДСТУ ГОСТ 28147:2009 або TDEA чи AES.
Організацію ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК). У комплексі використовуються дві підгрупи ключових даних: ключові дані ЦСК; ключові дані користувачів та сервера системи.
До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.
До ключових даних користувачів та сервера системи відносяться особисті ключі та сертифікати відповідно користувачів та сервера. В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися: електронні диски (flash-диски); оптичні компакт-диски (CD); електронні ключі "Кристал-1", "Алмаз-1К" ("ІІТ Е.ключ Алмаз-1К"), Aladdin eToken/JaCarta, Автор SecureToken, Технотрейд uaToken, SafeNet iKey, Giesecke&Devrient StarSign, Gemalto IDPrime, ДБОСофт iToken та Ефіт Key; смарт-карти "Карта-1" ("ІІТ Смарт-карта Карта-1"), Техноконсалтинг TEllipse, Aladdin eToken /JaCarta, Автор CryptoCard, Giesecke &Devrient StarSign та ДБОСофт Інтегра; мережевий криптомодуль "Гряда-301" (мікро-пристрій) ("ІІТ МКМ Гряда-301 (мікро-пристрій)") та мережевий криптомодуль "Гряда-301"; інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS#11.
Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів: формати сертифікатів та списків відкликаних сертифікатів - згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій RFC 5280; формати підписаних даних (даних з ЕП) - згідно ДСТУ ETSI EN 319 1221:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій RFC 5652 (PKCS#7) та 5126; формати захищених даних (зашифрованих даних) - згідно вимог до форматів криптографічних повідомлень та технічних рекомендацій RFC 5652 (PKCS#7); формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) - згідно технічних рекомендацій RFC 2560; формати запитів на формування позначок часу та самих позначок часу (протокол TSP) - згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161; формати особистих ключів - згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12.
Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів користувачів та сервера системи, надання послуг фіксування часу, а також надання (за необхідності) користувачам системи засобів генерації особистих та відкритих ключів.
Програмно-технічний комплекс (ПТК) ЦСК забезпечує: обслуговування сертифікатів користувачів та сервера системи; надання послуг фіксування часу; надання користувачам системи (за необхідності) засобів генерації особистих та відкритих ключів.
Для взаємодії з центром сертифікації ключів (використання його інтерактивних служб) користувачі та сервери системи повинні мати можливість мережевого підключення до ЦСК. Усі механізми взаємодії з ЦСК виконують бібліотеки користувача ЦСК.
Зміна статусу сертифікатів (блокування, поновлення або скасування) та знищення особистих ключів користувачів та сервера системи здійснюється у відповідності до порядку, який визначений ЦСК (згідно регламенту ЦСК).В якості ПТК ЦСК має використовуватися комплекс "ІІТ ЦСК-1".
До складу комплексу входять: програмні засоби (бібліотеки) КЗІ (користувача ЦСК) "ІІТ Користувач ЦСК-1"; апаратні засоби КЗІ. До складу апаратних засобів комплексу можуть входити: електронний ключ "Кристал-1" ("ІІТ Е.ключ Кристал-1"); мережевий криптомодуль "Гряда-301" ("ІІТ МКМ Гряда- 301"). Структурна схема комплексу захисту наведена на рис. 1.
Рис. 1. Структурна схема комплексу захисту
Програмні засоби КЗІ реалізують логіку роботи комплексу та інтегровані безпосередньо у користувальницьку та серверну частини системи (користувача та сервер), через визначені інтерфейси. Програмні засоби КЗІ комплексу можуть використовувати зовнішні апаратні засоби КЗІ, такі як електронні ключі, мережеві криптомодулі тощо.
Бібліотеки користувача центру сертифікації ключів (ЦСК) призначені для використання в якості базових засобів КЗІ та виконують наступні функції у їх складі: роботу з носіями ключової інформації (зчитування особистих ключів з носіїв); роботу з файловим сховищем сертифікатів та списків відкликаних сертифікатів (СВС), що включає зашифрування та розшифрування даних, формування та перевірку ЕЦП від даних, захист сеансів передачі даних (захист з'єднань; інтерактивну перевірку статусу сертифікатів у ЦСК за протоколом OCSP (через OCSP-сервер ЦСК); пошук сертифікатів у LDAP-каталозі ЦСК (на LDAP- сервері ЦСК); отримання позначок часу у ЦСК (через TSP-сервер ЦСК) тощо.
Бібліотеки користувача ЦСК інтегруються у зазначену систему (та інші прикладні системи) через визначені інтерфейси (Microsoft CSP, PKCS#11, GSS- API, JCA) і власні та реалізовані для ОС Microsoft Windows, Linux (SuSe/Red Hat/Ubuntu /Cent OS та ін.), UNIX (IBM AIX/Sun Solaris/Free BSD та ін.), Apple macOS/ iOS, Google Android у вигляді бібліотек підключення (DLL/COM, SO, DyLib - 32/64-біта) або у вигляді архівів java-класів для JRE чи java-скриптів тощо. Для всіх бібліотек користувача ЦСК під всі ОС та платформи, що підтримуються, існують приклади використання. Бібліотеки користувача ЦСК інтегровані у різні прикладні системи, серед яких: більше 200 корпоративних та внутрішньовідомчих систем, а також електронних реєстрів тощо; системи електронної пошти (поштові клієнти та сервери): Microsoft Outlook, IBM Lotus Notes, Авіаінтур Захід, ФОСС-Он- Лайн Foss Mail та ін.; офісні пакети: Microsoft Office, Adobe Acrobat та ін.; системи електронного документообігу: Інфо+ АСКОД, ТранслінкКонсалтинг Док- Проф, Софтлайн Мегаполіс та ін.; системи подання звітності у електронному вигляді до Державної податкової служби України, Пенсійного фонду України, Держфінмоніторингу, МВС України та ін.; автоматизовані та інтегровані банківські системи: SAP for Banking, Oracle FlexCube та ін.; власні засоби та комплекси КЗІ.
Електронний ключ призначений для апаратної реалізації криптографічних перетворень усередині пристрою у складі засобів користувача системи. Мережевий криптомодуль призначений для апаратної реалізації криптографічних перетворень усередині модуля у складі сервера системи. На сервері системи встановлюються та використовуються наступні складові частини комплексу: програмний комплекс захисту сервера, який включає бібліотеки користувача ЦСК (для відповідної серверної ОС); апаратний засіб КЗІ - мережевий криптомодуль.
На засобах користувачів системи (робочих станціях чи портативних комп'ютерах - РС та ПК) встановлюються та використовуються наступні складові частини комплексу: програмний комплекс захисту користувача, який включає бібліотеки користувача ЦСК (для відповідної ОС); апаратний засіб КЗІ - електронний ключ. Електронний ключ "Кристал-1" призначений для: автентифікації користувача системи перед початком роботи; зберігання та захисту особистого ключа користувача; апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні користувача.
Електронний ключ має електричний USB-інтерфейс для підключення. Апаратна реалізація електронного ключа забезпечує захищеність виконання усіх криптографічних перетворень усередині пристрою та унеможливлює доступ до особистих ключів користувача з боку РС чи ПК користувача.
Мережевий криптомодуль "Гряда-301" призначений для: автентифікації сервера системи перед початком роботи; зберігання та захисту особистого ключа сервера; апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні сервера.
Мережевий криптомодуль має мережевий електричний інтерфейс Ethernet 100/ 1000 для підключення до сервера системи безпосередньо або через комутатори локальної обчислювальної мережі. Апаратна реалізація мережевого криптомодуля забезпечує захищеність виконання усіх криптографічних перетворень усередині модуля та унеможливлює доступ до особистих ключів сервера з боку сервера системи.
Програмно-технічний комплекс центру сертифікації КЛЮЧІВ (ЦСК) "ІІТ ЦСК-1"
Призначення комплексу: реалізація ЦСК регламентних процедур та механізмів обслуговування сертифікатів відкритих ключів користувачів ЦСК (далі - користувачів), надання послуг фіксування часу, надання користувачам засобів ЕЦП та шифрування, а також засобів генерації особистих і відкритих ключів. Технічні засоби комплексу об'єднані у ЛОМ з використанням внутрішньої комунікаційної мережі з наявністю підключення до зовнішніх комунікаційних мереж.
Окремі технічні засоби комплексу ізольовані від мереж передачі даних. Порядок експлуатації комплексу у складі ЦСК відповідає вимогам правил посиленої сертифікації. Структурна схема комплексу наведена нижче (рис. 2).
Рис. 2. Структурна схема комплексу
Комплекс забезпечує реалізацію регламентних процедур та механізмів роботи ЦСК, пов'язаних з: обслуговуванням сертифікатів відкритих ключів (далі - сертифікатів) користувачів, що включає: реєстрацію користувачів, сертифікацію відкритих ключів користувачів, розповсюдження сертифікатів, управління статусом сертифікатів, розповсюдження інформації про статус сертифікатів; надання послуг фіксування часу; надання користувачам засобів ЕЦП та шифрування даних, а також засобів генерації та управління ключами.
Комплекс забезпечує виконання наступних функцій, пов'язаних з обслуговуванням ЦСК сертифікатів користувачів: реєстрацію користувачів; сертифікацію відкритих ключів користувачів; розповсюдження сертифікатів відкритих ключів користувачів; управління статусом сертифікатів відкритих ключів користувачів та розповсюдження інформації про статус сертифікатів. Комплекс забезпечує виконання наступних функцій, пов'язаних з наданням ЦСК послуг фіксування часу: приймання та реєстрацію запитів користувачів на формування позначок часу; формування позначок часу; передачу сформованих позначок часу користувачам; внесення сформованих позначок часу у базу даних; зберігання сформованих позначок у базі даних; архівування бази даних позначок часу. До складу комплексу входять засоби користувачів у складі: засобів генерації особистих і відкритих ключів користувачів, які призначені для генерації особистого та відкритого ключів користувача, формування та передачу запиту на формування сертифіката користувача до ЦСК, отримання, перевірку, зберігання та використання сформованого сертифікату, формування та передачу запитів на блокування, скасування та поновлення сертифіката користувача до ЦСК; засобів ЕЦП та шифрування даних користувачів.
До складу комплексу входять такі технічні засоби: робочі станції (РС) обслуговуючого персоналу (адміністратора безпеки, системного адміністратора та адміністратора реєстрації); центральні сервери (сервери ЦСК); внутрішнє комунікаційне обладнання локальної обчислювальної мережі (ЛОМ); сервери взаємодії; міжмережевий екран (МЕ) та система виявлення втручань (IDS); комунікаційне обладнання для підключення до зовнішніх комунікаційних мереж (ЗКМ); РС генерації ключів користувачів (ізольована); РС віддалених адміністраторів реєстрації (відокремлені).
Окремо (до складу програмно-технічного комплексу відокремленого пункту реєстрації) входить РС віддаленого адміністратора. РС адміністратора безпеки, адміністратора сертифікації, системного адміністратора, адміністратора реєстрації, центральні сервери та сервери взаємодії мають взаємодіяти через внутрішню комунікаційну мережу на основі кабельної мережі та комутаторів і утворювати ЛОМ. Центральні сервери, сервери взаємодії, їх ДБЖ, мережевий комутатор, комутатор терміналів, МЕ, а також криптомодулі і мережні криптомодулі мають бути розміщені у екранованій шафі чи у звичайні шафі у екранованому приміщенні.
У випадку, якщо функції центральних серверів, що пов'язані з формуванням сертифікатів та списків відкликаних сертифікатів (під час яких використовується особистий ключ ЦСК) виконує РС адміністратора сертифікації, вона має бути реалізована на основі ПЕОМ у захищеному виконанні або розміщена у екранованій кабіні чи екранованому приміщенні. Сервери можуть бути з'єднані у окрему ЛОМ з використанням власного комутатора та підключатися до комутатора РС через електричний кабель або волоконно-оптичну лінію зв'язку (ВОЛЗ). Можливе також об'єднання комутаторів серверів та РС у один спільний комутатор ЛОМ. У цьому випадку РС обслуговуючого персоналу підключають до комутатора окремими електричними кабелями чи ВОЛЗ.
Сервери взаємодії мають підключатися до зовнішньої комунікаційної мережі через зовнішній МЕ (із вбудованою IPS). Для підключення серверів взаємодії до комутатора та до МЕ мають використовуватися різні мережні адаптери.
МЕ з IPS мають підключатися до зовнішньої комунікаційної мережі через комунікаційне обладнання оператора послуг передачі даних через електричний кабель або через ВОЛЗ. У випадку використання для такого підключення ВОЛЗ, мають використовуватися або оптичні мережні порти МЕ або конвертори довкілля.
Для забезпечення централізованого моніторингу роботи складових частин комплексу до його складу може входити система моніторингу. Серверна частина системи моніторингу може встановлюватися на РС системного адміністратора або на окремий сервер моніторингу, а на всі сервери та РС комплексу мають бути встановлені агенти системи моніторингу. Взаємодія сервера з агентами моніторингу здійснюється за внутрішнім протоколом, а з іншими вузлами - за стандартними протоколами моніторингу (syslog, SNMP тощо). Комплекс взаємодіє з ПТК центрів та ІТС інших зовнішніх користувачів через сервери взаємодії. Функціональною основою комплексу є спеціалізовані апаратні та програмні засоби КЗІ і включає: програмний комплекс ЦСК "ІІТ ЦСК-1"; мережевий криптомодуль "Гряда-301" (мікро-пристрій) ("ІІТ МКМ Гряда-301 (мікро-пристрій)"); мережевий криптомодуль "Гряда-301" ("ІІТ МКМ Гряда- 301"); програмний комплекс віддаленого адміністратора реєстрації ЦСК "ІІТ ЦСК-1. Віддалений адміністратор реєстрації"; програмний комплекс користувача ЦСК "ІІТ Користувач ЦСК-1"; електронний ключ "Кристал-1" ("ІІТ Е.ключ Кристал-1"). Мережевий криптомодуль "Гряда-301" (мікро-пристрій) призначений для апаратної реалізації формування ЕЦП і у складі центральних серверів чи РС адміністратора сертифікації і забезпечує використання та захист особистого ключа ЦСК. Особистий ключ ЦСК генерується, зберігається та використовується тільки у середині пристрою. Мережевий криптомодуль "Гряда-301" призначений для апаратної реалізації криптографічних перетворень у складі центральних серверів ЦСК (CMP, TSP та OCSP).
У складі програмного забезпечення користувачів ЦСК може використовуватися апаратний електронний ключ "Кристал-1". Електронний ключ призначений для апаратної реалізації криптографічних перетворень. Апаратна реалізація забезпечує захищеність процесу виконання криптографічних перетворень та унеможливлює доступ до особистих ключів з боку апаратно-програмного довкілля.
Комплекс забезпечує функціональні характеристики, що наведені у табл. 1 та надавати доступ до ЦСК користувачам цілодобово 7 днів на тиждень.
Центральні сервери та сервери взаємодії можуть функціонувати автоматизовано. Існує можливість роботи серверів у різних режимах - основний чи резервний з повним чи частковим дублюванням функцій. Функціональні характеристики та режими експлуатації комплексу не залежать від типів та характеристик технічних засобів (РС, серверів та комунікаційного обладнання). У засобах комплексу використовуються такі криптографічні алгоритми та протоколи: алгоритми шифрування за ДСТУ ГОСТ 28147:2009 та TDEA і AES за ISO/IEC 18033-3:2010; алгоритми ЕЦП за ДСТУ 4145-2002, RSA за PKCS#1 (RFC 3447) та ECDSA за ДСТУ ISO/IEC 14888-3:2014; алгоритми гешування за ГОСТ 34.311-95 та SHA (SHA-1 і SHA-224/256/384/512) за ДСТУ ISO/IEC 10118-3:2005; протоколи розподілу ключів за ДСТУ ISO/IEC 159463 (пп. 8.2) та RSA за PKCS#1 (RFC 3447).
Протоколи розподілу ключових даних реалізуються згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) і вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв'язку України № 739 від 18.12.2012 р., та за алгоритмом направленого шифрування RSA згідно PKCS#1 (RFC 3447).
Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв'язку України. У ключовій системі комплексу виділені дві підгрупи ключових даних: службові ключові дані; ключові дані користувачів.
До складу службових відносяться: особистий ключ та сертифікат ЦСК; особисті ключі та сертифікати серверів ЦСК (CMP, TSP та OCSP); особисті ключі та сертифікати адміністраторів реєстрації та віддалених адміністраторів реєстрації. Особистий ключ ЦСК зберігається та застосовується тільки у криптомодулі, що входить до складу сервера ЦСК або РС адміністратора сертифікації. Особистий ключ ЦСК використовується для формування ЕЦП сертифікатів та списків відкликаних сертифікатів.
Сертифікат ЦСК використовується для перевірки ЕЦП, що накладається за допомогою особистого ключа ЦСК. Особисті ключі серверів ЦСК (OCSP та TSP) використовується для формування ЕЦП від позначок часу та інформації про статус сертифікатів.
Сертифікати серверів ЦСК використовується для перевірки ЕЦП, що накладається за допомогою відповідних особистих ключів серверів ЦСК.
Особисті ключі адміністраторів реєстрації та віддалених адміністраторів реєстрації призначені для формування ЕЦП запитів на формування сертифікатів, а також запитів на блокування, поновлення та скасування, а сертифікати - для перевірки ЕЦП від вказаних типів даних.
Ключі віддалених адміністраторів реєстрації призначені також для шифрування даних, що передаються між РС віддаленого адміністратора реєстрації та ЦСК (CMP-сервером ЦСК).
Таблиця 1 Функціональні характеристики комплексу
|
Показник |
Значення |
|
|
Кількість користувачів, яких обслуговує комплекс |
не менше 1 000 000 |
|
|
Кількість користувачів, які можуть зареєструватися |
не менше 5 000 за добу |
|
|
Кількість користувачів, які одночасно мають доступ до сервера взаємодії (LDAP-каталогу та web-сторінки) |
не менше 5 000 |
|
|
Час обробки запитів користувачів на формування, блокування, поновлення та скасування сертифікатів сервером ЦСК |
не більше 1 с(не менше 100 запитів/c) |
|
|
Час обробки запитів зовнішніх користувачів на визначення статусу сертифіката |
не більше 1 с(не менше 500 запитів/c) |
|
|
Час обробки запитів зовнішніх користувачів на формування позначки часу |
не більше 1 с (не менше 500 запитів/c) |
До ключових даних користувачів відносяться особисті ключі та сертифікати користувачів. В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися: електронні диски (flash-диски); оптичні компакт-диски (CD); електронні ключі "Кристал-1", "Алмаз-1К" ("ІІТ Е.ключ Алмаз-1К"), Aladdin eToken/JaCarta, Автор SecureToken, SafeNet iKey, Giesecke&Devrient StarSign, Gemalto IDPrime, ДБОСофт iToken та Ефіт Key; смарт-карти "Карта-1" ("ІІТ Смарт-карта Карта- 1"), Техноконсалтинг TEllipse, Aladdin eToken/Ja Carta, Автор CryptoCard, Giesecke &Devrient StarSign та ДБОСофт Інтегра; мережевий криптомодуль "Гряда-301" (мікро-пристрій) ("ІІТ МКМ Гряда-301 (мікро-пристрій)") та мережевий криптомодуль "Гряда-301"; інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS#11.
Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів: формати сертифікатів та списків відкликаних сертифікатів - згідно ДСТУ ISO/IEC 95948:2006 та технічних рекомендацій RFC 5280; формати підписаних даних (даних з ЕП) - згідно ДСТУ ETSI EN 319 122-1:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій RFC 5652 (PKCS#7) та 5126; формати захищених даних (зашифрованих даних) - згідно вимог до форматів криптографічних повідомлень та технічних рекомендацій RFC 5652 (PKCS#7); формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) - згідно технічних рекомендацій RFC 2560; формати запитів на формування позначок часу та самих позначок часу (протокол TSP) - згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161; формати особистих ключів - згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12.
Комплекс захисту електронної пошти "ІІТ ЗАХИЩЕНА ЕЛЕКТРОННА ПОШТА"
Призначення комплексу: захист електронних поштових повідомлень при передачі та зберіганні. Захист забезпечується шляхом підпису повідомлень з використанням електронного цифрового підпису, а також шифруванням повідомлень користувача у поштовому клієнті (та сервері) при передачі та зберіганні.
Для організації ключової системи (управління ключовими даними) засобів комплексу використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК).
Структурна схема комплексу за розміщенням його складових частин на окремих технічних засобах наведена на рис. 3.
До складу комплексу входять: програмні засоби КЗІ (програмні засоби захисту електронної пошти "ІІТ Захищена електронна пошта" для різних поштових клієнтів; бібліотеки користувача ЦСК зі складу програмного комплексу користувача ЦСК "ІІТ Користувач ЦСК-1"); апаратні засоби КЗІ.
До складу апаратних засобів комплексу можуть входити: електронний ключ "Кристал-1" ("ІІТ Е.ключ Кристал-1"); мережевий криптомодуль "Гряда-301" ("ІІТ МКМ Гряда-301").
Засоби захисту електронної пошти реалізують наступні функції: зашифрування електронних повідомлень; розшифрування електронних повідомлень; зашифрування та підпис електронних повідомлень; розшифрування та перевірку електронних повідомлень; відображення інформації про відправника захищеного електронного повідомлення та ін.
Програмні засоби захисту електронної пошти реалізують логіку роботи комплексу та інтегровані безпосередньо у поштові клієнти (та поштові сервери), через визначені механізми та інтерфейси.
Засоби захисту електронної пошти інтегровано у поштові клієнти Microsoft Outlook, IBM Lotus Notes, Авіаінтур Захід, ФОСС-Он-Лайн FossMail та ін., а також у спеціалізовані поштові сервери для окремих поштових клієнтів. Програмні засоби захисту електронної пошти можуть функціонувати у ОС Microsoft Windows 2000/ XP/2003 Server /7/ 2008 Server, Linux (SUSE/ Red Hat /Slackware та ін.) та UNIX (AIX/Solaris/BSD та ін.). Програмні засоби КЗІ комплексу можуть використовувати зовнішні апаратні засоби КЗІ, такі як електронні ключі, мережні криптомодулі тощо. Бібліотеки користувача центру сертифікації ключів (ЦСК) призначені для використання в якості базових засобів КЗІ. Електронний ключ призначений для апаратної реалізації криптографічних перетворень усередині пристрою у складі засобів поштового клієнта.
Мережевий криптомодуль призначений для апаратної реалізації криптографічних перетворень усередині модуля у складі поштового сервера системи.
Електронний ключ "Кристал-1" призначений для: автентифікації користувача (поштового клієнта) перед початком роботи; зберігання та захисту особистого ключа користувача; апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні користувача.
Рис. 3. Структурна схема комплексу
Електронний ключ має електричний USB-інтерфейс для підключення. Апаратна реалізація електронного ключа забезпечує захищеність виконання усіх криптографічних перетворень усередині пристрою та унеможливлює доступ до особистих ключів користувача з боку РС чи ПК користувача.
Мережевий криптомодуль "Гряда-301" призначений для: автентифікації поштового сервера перед початком роботи; зберігання та захисту особистого ключа сервера; апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні сервера.
Мережевий криптомодуль має мережевий електричний інтерфейс Ethernet 100/1000 для підключення до поштового сервера безпосередньо або через комутатори локальної обчислювальної мережі.
У засобах комплексу використовуються такі криптографічні алгоритми та протоколи: алгоритм шифрування за ДСТУ ГОСТ 28147:2009; алгоритм ЕП за ДСТУ 4145-2002; алгоритм гешування за ГОСТ 34.311-95; протокол розподілу ключових даних (направлене шифрування).
Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв'язку №739 від 18.12.2012 р. Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв'язку. Організацію ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК).
У комплексі використовуються дві підгрупи ключових даних: ключові дані ЦСК; ключові дані клієнтів (користувачів) та серверів.
До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.
До ключових даних клієнтів (користувачів) та серверів відносяться особисті ключі та сертифікати відповідно користувачів та серверів.
В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися: електронні диски (flash-диски); оптичні компакт-диски (CD); електронні ключі "Кристал-1", "Ал- маз-1К" ("ІІТ Е.ключ Алмаз-1К") та ін.; мережевий криптомодуль "Гряда-301" (мікро-пристрій) ("ІІТ МКМ Гряда-301 (мікро-пристрій)") та мережевий криптомодуль "Гряда-301"; інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS# 11.
Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів: формати сертифікатів та списків відкликаних сертифікатів - згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій RFC 5280; формати підписаних даних (даних з ЕП) - згідно ДСТУ ETSI EN 319 122-1:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій RFC 5652 (PKCS#7) та 5126; формати захищених даних (зашифрованих даних) - згідно вимог до форматів криптографічних повідомлень та технічних рекомендацій RFC 5652 (PKCS#7); формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) - згідно технічних рекомендацій RFC 2560; формати запитів на формування позначок часу та самих позначок часу (протокол TSP) - згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161; формати особистих ключів - згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12. Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів клієнтів (користувачів) та серверів, надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів.
Програмно-технічний комплекс (ПТК) ЦСК забезпечує: обслуговування сертифікатів клієнтів (користувачів) та серверів; надання послуг фіксування часу; надання (за необхідності) засобів генерації особистих та відкритих ключів. В якості ПТК ЦСК має використовуватися комплекс "ІІТ ЦСК-1".
Комплекс захисту мережних з'єднань (TCP/IP) "ІІТ ЗАХИСТ З'ЄДНАНЬ-2"
Призначення комплексу: забезпечення конфіденційності та цілісності інформації, яка передається між клієнтськими та серверними частинами прикладних програмних систем (TCP-з'єднань).
Комплекс забезпечує: автентифікацію клієнтської частини прикладних програмних систем при підключенні до серверної частини; встановлення захищеного TCP-з'єднання між клієнтом та сервером; шифрування даних TCP-з'єднання, які передаються між клієнтом та сервером. Зазначені функції комплекс виконує шляхом застосування механізмів КЗІ, яка передається між клієнтом та сервером.
Комплекс підтримує взаємодію клієнтських та серверних частин (програмного забезпечення) прикладних програмних систем за протоколом TCP/IP. Для організації ключової системи (управління ключовими даними) засобів комплексу використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК). Структурна схема комплексу за розміщенням його складових частин на окремих технічних засобах наведена на рис. 4. До складу комплексу входять: шлюз захисту (програмний комплекс "ІІТ Захист з'єднань-2. Шлюз захисту" або апаратний засіб - шлюз захисту "ІІТ ШЗ Бар'єр-301/ 301 (міні-пристрій)/301 (мікро-пристрій)"); програмний комплекс управління (віддаленого) шлюзами захисту "ІІТ Захист з'єднань-2. Віддалене управління шлюзами захисту"; програмний комплекс агента моніторингу шлюзів захисту "ІІТ Захист з'єднань-2. Агент моніторингу шлюзів захисту"; програмний комплекс моніторингу шлюзів захисту "ІІТ Захист з'єднань-2. Монітор шлюзів захисту"; програмний комплекс клієнта захисту "ІІТ Захист з'єднань-2. Клієнт"; proxy-клієнт захисту (програмний комплекс "ІІТ Захист з'єднань-2. Proxy захисту", далі - proxy захисту); програмний комплекс агента моніторингу proxy захисту "ІІТ Захист з'єднань-2. Агент моніторингу proxy захисту"; програмний комплекс моніторингу proxy захисту "ІІТ Захист з'єднань-2. Монітор proxy захисту"; програмний комплекс VPN-шлюзу "ІІТ Захист з'єднань-2. VPN-шлюз";
програмний комплекс VPN-клієнта "ІІТ Захист з'єднань-2. VPN-клієнт". До складу апаратних засобів комплексу також можуть входити: електронний ключ "Кристал-1" ("ІІТ Е.ключ Кристал-1"); мережевий криптомодуль "Гряда-301" ("ІІТ МКМ Гряда-301").
Шлюз захисту призначений для реалізації механізмів захисту сервера та виконує наступні функції: автентифікацію клієнтів захисту при підключенні до сервера; встановлення захищеного TCP-з'єднання з клієнтом в разі успішної автентифікації; встановлення відкритого TCP-з'єднання з сервером; прийом та розшифрування даних TCP-з'єднання від клієнта та передачі їх на сервер; прийом та зашифрування даних TCP-з'єднання від сервера та передачі їх клієнту; приймання та передачу управляючої (технологічної) інформації (моніторинг захисту тощо); прийом та введення в дію ключових даних. Програмний комплекс шлюзу захисту є серверною частиною комплексу захисту з'єднань та встановлюється на окремий мережевий вузол - шлюз захисту або безпосередньо на сервер, який захищається. Шлюз захисту у вигляді апаратного засобу є окремим пристроєм та виконаний у вигляді системної платформи у металевому корпусі висотою 1U та реалізує всі функції шлюзу захисту як окремого мережевого вузла. Типи та характеристики шлюзів захисту у вигляді апаратних засобів наведені у табл. 2. Встановлення параметрів та моніторинг стану роботи шлюзу захисту у вигляді апаратного засобу здійснюється віддалено через програмний комплекс управління шлюзами. Шлюз захисту у вигляді апаратного засобу підтримує також передачу події реєстрації за протоколом syslog та видачу інформації про стан функціонування та статистику роботи за протоколом SNMP. РС адміністратора з віддаленим управлінням призначена для управління шлюзами та постійного моніторингу роботи шлюзу і виконує наступні функції: налагодження конфігурації шлюзу захисту; передачу та приймання управляючої (технологічної) інформації (стан обробки з'єднань, список активних захищених з'єднань, резервні копії конфігурації і т.ін.) у/від шлюзу захисту; генерації та завантаження ключових даних у шлюз.
Агент моніторингу призначений для отримання результатів роботи шлюзу(ів) захисту і виконує наступні функції: отримання статистики роботи шлюзу захисту; надання можливості підключення моніторами шлюзу захисту для отримання даних моніторингу. Монітор шлюзів захисту призначений для відображення результатів моніторингу роботи шлюзу(ів) захисту і виконує наступні функції: отримання та відображення статистики роботи шлюзу(ів) захисту; перегляд журналів реєстрації шлюзу захисту; сповіщення адміністратора при виявленні збоїв або відмов у роботі шлюзу. Клієнт захисту з'єднань призначений для реалізації механізмів захисту клієнтських підключень та виконує наступні функції: ініціювання процесу автентифікації клієнта на шлюзі захисту при підключенні до сервера; встановлення захищеного TCP-з'єднання зі шлюзом захисту; зашифрування даних TCP-з'єднання при передачі на сервер; розшифрування даних TCP-з'єднання при прийомі з сервера. Proxy захисту є варіантом клієнтської частини комплексу та встановлюється біля РС (ПК) клієнтів. При цьому, клієнтські засоби захисту не встановлюються на РС (ПК) клієнтів. Але клієнтське програмне забезпечення повинне здійснювати підключення не до сервера, а до proxy, який буде перенаправляти їх у захищеному вигляді до сервера через шлюз захисту.
Рис. 4. Структурна схема комплексу
Таблиця 2 Типи та характеристики шлюзів захисту
|
Тип |
Зовнішній вигляд |
Інтер-фейси |
Швидкість шифрування, Мбіт/с |
Кількість автентифікацій клієнтів, автентифікацій/c |
|
|
" Бар' єр-301" (міні-пристрій) ("ІІТ ШЗ "Бар'єр-301 (міні-при- стрій)") |
2 x Ethernet 100 |
40 |
10 |
||
|
" Бар' єр-301" (міні-пристрій) ("ІІТ ШЗ "Бар'єр-301 (міні-при- стрій)") |
2 x Ethernet 100/1000 |
125 |
50 |
||
|
"Бар'єр-301" ("ІІТ ШЗ "Бар'єр- 301") |
2 x Ethernet 100/1000 Опционально - 2 x Ethernet 100/1000BASE-SX (оптичні, LC) |
250 |
100 |
Монітор proxy захисту призначений для відображення результатів моніторингу роботи proxy захисту. Шлюз та клієнт захисту підтримують взаємодію клієнтських та серверних частин (клієнта та сервера) прикладних систем за протоколом TCP/IP. Під час встановлення клієнтською частиною прикладної системи TCP-з'єднання з сервером, клієнт захисту автентифікується на відповідному шлюзі захисту. Шлюз захисту при підключенні клієнта захисту проводить процедуру його автентифікації та в разі успішної автентифікації встановлює захищене TCP-з'єднання з клієнтом та відкрите TCP-з'єднання з сервером. Після проведення автентифікації (встановлення захищеного TCP-з'єднання - сеансу передачі даних) клієнт та шлюз захисту здійснюють шифрування даних (TCP-з'єднання), які передаються між клієнтом та сервером.
Клієнт захисту здійснює зашифрування даних, які відправляються від клієнта до сервера та перенаправляє їх до шлюзу, і навпаки - розшифровує дані, які приходять від сервера через шлюз.
Шлюз захисту здійснює розшифрування даних, які надходять від клієнта захисту та перенаправляє їх до сервера, і навпаки - зашифровує дані, які приходять від сервера та перенаправляє їх клієнту захисту.
VPN-шлюз призначений для реалізації механізмів створення віртуальної VPN-мережі та виконує наступні функції: створення віртуального мережевого інтерфейсу; отримання через шлюз захисту даних (MAC-кадрів) від VPN-клієнтів та передачі їх у віртуальний мережевий інтерфейс або комутації MAC- кадрів між VPN-клієнтами; отримання даних з віртуального мережевого інтерфейсу та передачі їх відповідному VPN-клієнту через шлюз захисту.
VPN-клієнт призначений для реалізації механізмів створення клієнтського підключення віртуальної VPN-мережі та виконує наступні функції: створення віртуального мережевого інтерфейсу; отримання даних (MAC-кадрів) з віртуального мережевого інтерфейсу та передачі їх на VPN-шлюз через клієнта захисту; отримання через клієнт захисту даних з VPN-шлюзу та передачі їх у віртуальний мережевий інтерфейс.
VPN-шлюз може бути інтегрований безпосередньо у шлюз захисту (програмний комплекс чи апаратний засіб). У випадку інтеграції VPN-шлюзу безпосередньо у шлюз захисту управління та моніторинг стану роботи VPN-шлюзу здійснюється шлюзом захисту. VPN-шлюз також підтримує можливість використання зовнішнього DHCP-сервера для динамічного надання VPN-клієнтам IP-адрес. У випадку інтеграції VPN-шлюзу безпосередньо у апаратний шлюз захисту, може використовуватися вбудований DHCP-сервер шлюзу захисту. Взаємодія VPN-клієнта з VPN- шлюзом здійснюється за протоколом TCP/IP. Для захисту мереженого з'єднання між VPN-клієнтом та VPN-шлюзом використовується клієнт захисту та шлюз захисту.
VPN-клієнт може також бути інтегрований безпосередньо у клієнта захисту. Електронний ключ призначений для апаратної реалізації криптографічних перетворень усередині пристрою у складі засобів клієнта захисту.
Мережевий криптомодуль призначений для апаратної реалізації криптографічних перетворень усередині модуля у складі програмного шлюзу захисту. Електронний ключ "Кристал-1" ("ІІТ Е.ключ Кристал-1") призначений для: автентифікації користувач (клієнта) перед початком роботи; зберігання та захисту особистого ключа користувач (клієнта); апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні клієнта.
Подобные документы
Структура сучасних систем виявлення вторгнень (СВВ), аналіз її методів і моделей. Характеристика основних напрямків розпізнавання порушень безпеки захищених систем в сучасних СВВ. Перелік недоліків існуючих СВВ та обґрунтування напрямків їх вдосконалення.
реферат [467,9 K], добавлен 12.03.2010Схема виявлення атак на основі сигнатур. Сучасні тенденції у галузі розподілених систем виявлення комп’ютерних атак. Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми. Фізичне проектування бази даних підсистеми.
дипломная работа [2,2 M], добавлен 19.07.2014Сучасні тенденції у галузі розподілених систем виявлення комп’ютерних атак. Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми. Розробка узгодженого інтерфейсу взаємодії користувача з підсистемою, візуалізації даних.
дипломная работа [2,4 M], добавлен 16.07.2014Забезпечення захисту інформації. Аналіз системи інформаційної безпеки ТОВ "Ясенсвіт", розробка моделі системи. Запобігання витоку, розкраданню, спотворенню, підробці інформації. Дослідження та оцінка ефективності системи інформаційної безпеки організації.
курсовая работа [1,6 M], добавлен 27.04.2014Сутність, типи, архітектура, управління, швидкість реакції та інформаційні джерела СВВ. Особливості документування існуючих загроз для мережі і систем. Контроль якості розробки та адміністрування безпеки. Спільне розташування та поділ Host і Target.
реферат [28,0 K], добавлен 12.03.2010Широке використання інформаційних технологій у всіх сферах життя суспільства. Інформація як об’єкт захисту. Основні види загроз безпеки інформації в комп’ютерних мережах. Несанкційований доступ до інформації і його мета. Порушники безпеки інформації.
реферат [253,2 K], добавлен 19.12.2010Способи здійснення атак на відмову та пароль. Захист інформації від несанкціонованого доступу та від її витоку в комп'ютерних системах. Використання міжмережевих екранів, системи виявлення вторгнень, засобів аналізу захищеності в комунікаційних системах.
презентация [300,2 K], добавлен 14.08.2013Криптографія – математичні методи забезпечення інформаційної безпеки та захисту конфіденційності. Огляд існуючих методів пошуку нових алгоритмів шифрування. Розробка системи оцінки ефективності криптографічних систем. Найпоширеніші методи шифрування.
дипломная работа [1,2 M], добавлен 13.06.2015Вразливість інформації в автоматизованих комплексах. Концепція захисту інформації. Комплекс основних задач при розробці політики безпеки. Стратегія та архітектура захисту інформації. Політика безпеки інформації. Види забезпечення безпеки інформації.
реферат [243,2 K], добавлен 19.12.2010Основні поняття безпеки інформаційних технологій. Законодавчі вимоги і регулювання інформаційної безпеки в мережах. Класифікація шкідливих програм. Приклади цінності інформації. Методи шахрайства. Програмний захист від витікання інформаційних даних.
курсовая работа [171,9 K], добавлен 08.12.2015
