Сучасні комплекси пост-квантової безпеки державних електронних інформаційних ресурсів
Створення системи безпеки кіберпросторового довкілля національної критичної інформаційної інфраструктури, виявлення вторгнень, криптографічного та стеганографічного захисту інформації. Методи ідентифікації аномальних станів для систем виявлення вторгнень.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | украинский |
| Дата добавления | 10.07.2022 |
| Размер файла | 2,4 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Електронний ключ має електричний USB-інтерфейс для підключення. Апаратна реалізація електронного ключа забезпечує захищеність виконання усіх криптографічних перетворень усередині пристрою та унеможливлює доступ до особистих ключів користувача з боку РС чи ПК клієнта. Мережевий криптомодуль "Гряда-301" ("ІІТ МКМ Гряда-301") призначений для: автентифікації шлюзу захисту перед початком роботи; зберігання та захисту особистого ключа шлюзу захисту; апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні шлюзу. Мережевий криптомодуль має мережевий електричний інтерфейс Ethernet 100/ 1000 для підключення до шлюзу захисту безпосередньо або через комутатори локальної обчислювальної мережі. У засобах комплексу використовуються такі криптографічні алгоритми та протоколи: алгоритм шифрування за ДСТУ ГОСТ 28147:2009; алгоритм ЕП за ДСТУ 4145-2002; алгоритм гешування за ГОСТ 34.311-95; протокол розподілу ключових даних (направлене шифрування).
Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв'язку України № 739 від 18.12.2012 р.
Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв'язку України. Протокол встановлення захищеного сеансу передачі даних між клієнтом та шлюзом захисту реалізовано на основі протоколу взаємної автентифікації з двома проходами згідно стандарту ДСТУ ISO/IEC 9798-3.
Протокол взаємної автентифікації включає: формування клієнтом та передачу даних автентифікації (запиту) на шлюз захисту; обробку запиту від клієнта шлюзом захисту; прийом та обробку відповіді клієнтом від шлюзу захисту. За результатом роботи протоколу на шлюзі захисту та клієнті встановлюються два сеансових ключа та два вектори початкової ініціалізації для поточного шифрування даних у захищеному з'єднанні у дуплексному режимі.
Шифрування даних у захищеному з'єднанні здійснюється за алгоритмом шифрування згідно ДСТУ ГОСТ 28147:2009 у режимі гамування.
Шифрування даних у захищеному з'єднанні здійснюється на основі сеансових ключів та векторів початкової ініціалізації (синхромаркерів), які розподіляються між клієнтом та шлюзом захисту у результаті виконання протоколу взаємної автентифікації.
Організацію ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК). У комплексі використовуються дві підгрупи ключових даних: ключові дані ЦСК; ключові дані клієнтів, шлюзів захисту та адміністратора.
До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо. До ключових даних клієнтів, шлюзів захисту та адміністратора відносяться особисті ключі та сертифікати відповідно клієнтів, шлюзів захисту та адміністратора.
Ключові дані клієнтів, шлюзів захисту та адміністратора призначені для захисту управляючої та службової інформації при передачі між РС адміністратора та шлюзами захисту, а також для встановлення захищених з'єднань між клієнтами та шлюзами захисту та безпосередньо захисту мережевого з'єднання.
В якості носіїв ключової інформації для особистих ключів апаратних шлюзів захисту використовуються електронні ключі "Кристал-1". Шлюзи захисту також підтримують генерацію ключів безпосередньо у пристрої. Під час генерації ключів у шлюзі захисту формується запит на сертифікат, який передається у ЦСК з метою формування сертифікату. Після формування сертифікат (разом із ланцюжком сертифікатів) завантажується у шлюз захисту.
В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися: електронні диски (flash-диски); оптичні компакт-диски (CD); електронні ключі "Кристал-1", "Алмаз-1К" ("ІІТ Е.ключ Алмаз-1К") та ін.; мережевий криптомодуль "Гряда-301" (мікро-пристрій) ("ІІТ МКМ Гряда-301 (мікро-пристрій)") та мережевий криптомодуль "Гряда-301"; інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS # 11.
Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів: формати сертифікатів та списків відкликаних сертифікатів - згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій RFC 5280; формати підписаних даних (даних з ЕП) - згідно ДСТУ ETSI EN 319 1221:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій RFC 5652 (PKCS#7) та 5126; формати захищених даних (зашифрованих даних) - згідно вимог до форматів криптографічних повідомлень та технічних рекомендацій RFC 5652 (PKCS#7); формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) - згідно технічних рекомендацій RFC 2560; формати запитів на формування позначок часу та самих позначок часу (протокол TSP) - згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161; формати особистих ключів - згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12.
Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів клієнтів та шлюзів захисту, надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів.
Програмно-технічний комплекс (ПТК) ЦСК забезпечує: обслуговування сертифікатів клієнтів, шлюзів захисту та адміністратора; надання послуг фіксування часу; надання (за необхідності) засобів генерації особистих та відкритих ключів. В якості ПТК ЦСК має використовуватися комплекс "ІІТ ЦСК-1".
Комплекс захисту інформації у ІР-МЕРЕЖАХ "ІІТ ЗАХИСТ IP-ПОТОКУ"
Призначення комплексу: забезпечення конфіденційності та цілісності конфіденційної інформації, яка передається у розподілених системах на основі ІР- мереж передачі даних.
Комплекс забезпечує: конфіденційність та цілісність інформації (мережевого ІР-потоку), яка передається мережами зв'язку між розподіленими локальними обчислювальними мережами (ЛОМ) або між клієнтами та ЛОМ; організацію централізованого управління засобами захисту мережевого ІР-потоку, організацію централізованої генерації та розподілу ключових даних для використання у цих засобах. Зазначені функції комплекс виконує шляхом застосування механізмів КЗІ, яка передається у вигляді мережевого ІР-потоку між розподіленими ЛОМ або між клієнтами та ЛОМ через зовнішні канали зв'язку.
Для організації ключової системи (управління ключовими даними) засобів комплексу використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК). Структурні схеми комплексу за розміщенням його складових частин на окремих технічних засобах наведені на рис. 5 та рис. 6. ІР-шифратор призначений для шифрування та контролю цілісності потоку IP-пакетів, що передаються через нього між різними ЛОМ або між клієнтами та ЛОМ і виконує такі функції: шифрування та контроль цілісності ІР-пакетів; інкапсуляцію ІР-пакетів та їх маршрутизацію між мережними інтерфейсами; приймання та передачу технологічної інформації (команд, поточного стану обробки потоку, резервних копій конфігурації тощо) у/від робочої станції адміністратора; прийом та введення в дію ключових даних; встановлення захищених з'єднань з іншими ІР-шифраторами.
РС адміністратора мережі ІР-шифраторів призначена для централізованого управління мережею ІР-шифраторів і виконує такі функції: налагодження конфігурації кожного ІР-шифратора; передачу та приймання управляючої (технологічної) інформації (стан обробки потоку, резервні копії конфігурації і т. ін.) у/від ІР-шифраторів; генерації та завантаження ключових даних у ІР-шифратори.
Рис. 5.Структурна схеми комплексу за розміщенням його складових частин
Рис. 6. Структурна схеми комплексу за розміщенням його складових частин
Клієнт IP-шифраторів призначений для шифрування та контролю цілісності потоку IP-пакетів, що передаються між ним та ІР-шифратором(ами) і виконує такі функції: встановлення захищених з'єднань з ІР-шифраторами; шифрування та контроль цілісності ІР-пакетів.
ІР-шифратори виконують шифрування та контроль цілісності потоків мережних IP-пакетів, що передаються через них між розподіленими ЛОМ або між клієнтами та ЛОМ.
Для забезпечення транзитної передачі даних ІР-шифратори мають два мережних інтерфейси типу Ethernet - внутрішні та зовнішні. До внутрішніх інтерфейсів підключається комунікаційне обладнання ЛОМ, а зовнішні підключаються до зовнішньої мережі передачі даних.
ІР-пакети, отримані через внутрішні мережні інтерфейси із ЛОМ зашифровуються та захищаються контрольною сумою і маршрутизуються на зовнішній інтерфейс для передачі через зовнішній мережі. ІР-пакети, отримані через зовнішні інтерфейси із зовнішньої мережі розшифровуються та перевіряються на цілісність і маршрутизуються на внутрішній інтерфейс для передачі у ЛОМ.
ІР-шифратори підтримують захист ІР-потоку для повнозв'язної топології ЛОМ ("кожний з кожним").
Віддалене управління ІР-шифраторами з РС адміністратора здійснюється через мережі передачі даних з підключенням до одного з інтерфейсів.
ІР-шифратори, що входять до складу комплексу, функціонують у автоматизованому режимі з віддаленим управлінням з РС адміністратора.
Комплекс забезпечує характеристики, що наведені у табл. 3. Типи та характеристики ІР-шифрато- рів наведені у табл. 4.
Таблиця 3 Характеристики комплексу
|
Характеристика |
Значення |
|
|
Кількість захищених з'єднань ІР-шифраторів |
не менше 1024 з'єднань (зв'язок ІР-шифратора з 1024 іншими) |
|
|
Кількість захищених з'єднань з клієнтами |
не менше 4096 з'єднань (зв'язок ІР-шифратора з 4096 клієнтами) |
|
|
Швидкість обробки ІР-потоку (захисту) |
не менше 25 Мбіт/с (до 450 Мбіт/с) |
|
|
Кількість ІР-шифраторів, якими управляє один адміністратор мережі |
не менше 1024 |
Таблиця 4 Типи та характеристики ІР-шифраторів
|
Тип |
Зовнішній вигляд |
Інтерфейси |
Швидкість шифрування, Мбіт/с |
|
|
"Канал-201" (мікро-пристрій) ("ІІТ ІР-шифратор Канал-201 (мікро-пристрій)") |
USB (RNDIS), Ethernet 10/100 |
40 |
||
|
"Канал-201" ("ІІТ ІР-шифратор Канал-201”) |
2 x Ethernet 100/1000 |
125 |
||
|
"Канал-301" ("ІІТ ІР-шифратор Канал-301") |
2 x Ethernet 100/1000, on- ціонально - 2 x Ethernet 100/1000BASE-SX (оптичні, LC) |
1000 (1 Гбіт/c) |
||
|
"Канал-401" ("ІІТ ІР-шифратор Канал-401") |
2 x Ethernet 100/1000, 2 x SFP+ (1000/10000, оптичні SFP-модулі 1000BASE-SX, 10G-SR чи ін.) |
5000 (5 Гбіт/с) |
У засобах комплексу використовуються такі криптографічні алгоритми та протоколи: алгоритм шифрування за ДСТУ ГОСТ 28147:2009; алгоритм ЕП за ДСТУ 4145-2002; алгоритм гешування за ГОСТ 34.311-95; протокол розподілу ключових даних (направлене шифрування). Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв'язку №739 від 18.12.2012 р.
Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв'язку.
Протокол встановлення захищеного сеансу передачі даних між ІР-шифраторами або між клієнтом та IP-шифратором реалізовано на основі протоколу взаємної автентифікації з двома проходами згідно стандарту ДСТУ ISO/IEC 9798-3. Протокол взаємної автентифікації включає: формування ініціатором (ІР-шифратором чи клієнтом) та передачу даних автентифікації (запиту) на ІР-шифратор; обробку запиту IP-шифратором; прийом та обробку відповіді ініціатором від IP-шифратора. За результатом роботи протоколу на IP-шифраторах чи IP-шифраторі та клієнті встановлюються два сеансових ключа та два вектори початкової ініціалізації для поточного шифрування ІР-пакетів у дуплексному режимі.
Шифрування ІР-пакетів здійснюється за алгоритмом шифрування згідно ДСТУ ГОСТ 28147:2009 у режимі гамування. Організацію ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК). У комплексі використовуються дві підгрупи ключових даних: ключові дані ЦСК; ключові дані ІР- шифраторів, адміністратора та клієнтів. До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо. До ключових даних ІР-шифраторів, адміністратора та клієнтів відносяться особисті ключі та сертифікати відповідно ІР-шифраторів, адміністратора та клієнтів. Ключові дані ІР-шифраторів, адміністратора та клієнтів призначені для захисту управляючої та службової інформації при передачі між РС адміністратора та ІР-шифраторами, а також для встановлення захищених з'єднань між ІР-шифраторами або між клієнтами та IP-шифраторами та безпосередньо захисту ІР-потоку.
В якості носіїв ключової інформації для особистих ключів ІР-шифраторів використовуються електронні ключі "Кристал-1" ("ІІТ Е.ключ Кристал-1"). IP- шифратори також підтримують генерацію ключів безпосередньо у пристрої. Під час генерації ключів у ІР-шифраторі формується запит на сертифікат, який передається у ЦСК з метою формування сертифікату. Після формування сертифікат (разом із ланцюжком сертифікатів) завантажується у IP-шифратор. IP-шифратори також підтримують генерацію ключів безпосередньо у пристрої.
Під час генерації ключів у ІР-шифраторі формується запит на сертифікат, який передається у ЦСК з метою формування сертифікату. Після формування сертифікат завантажується у IP-шифратор. В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися: електронні диски (flash-диски); оптичні компакт-диски (CD); електронні ключі "Кристал-1", "Алмаз-1К" ("ІІТ Е.ключ Алмаз-1К"); інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS#11.
Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів: формати сертифікатів та списків відкликаних сертифікатів - згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій RFC 5280; формати підписаних даних (даних з ЕП) - згідно ДСТУ ETSI EN 319 1221:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій RFC 5652 (PKCS#7) та 5126; формати захищених даних (зашифрованих даних) - згідно вимог до форматів криптографічних повідомлень та технічних рекомендацій RFC 5652 (PKCS#7); формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) - згідно технічних рекомендацій RFC 2560; формати запитів на формування позначок часу та самих позначок часу (протокол TSP) - згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161; формати особистих ключів - згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12. Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів ІР-шифраторів, адміністратора та клієнтів, надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів. Програмно-технічний комплекс (ПТК) СК забезпечує: обслуговування сертифікатів ІР-шифраторів, адміністратора та клієнтів, що включає: надання послуг фіксування часу; надання (за необхідності) засобів генерації особистих та відкритих ключів.
Комплекс захисту інформації на носіях "ІІТ ЗАХИЩЕНИЙ ДИСК-4"
Призначення комплексу: забезпечення конфіденційності інформації, яка зберігається на носіях інформації робочих станцій, портативних комп'ютерів та серверів (жорстких дисках, електронних flash-дисках, картах пам'яті тощо) з використанням механізмів та засобів КЗІ. Структурна схема комплексу наведена на рис. 7.
До складу комплексу входять: програмний комплекс захисту інформації на носіях користувача "ІІТ Захищений диск-4. Користувач"; програмний комплекс захисту інформації на носіях сервера "ІІТ Захищений диск-4. Сервер". До складу апаратних засобів комплексу також може входити електронний ключ "Кристал-1" ("ІІТ Е.ключ Кристал-1"). Програмні засоби комплексу забезпечують захист інформації на носіях інформації робочих станцій (РС) та серверів (жорстких дисках, електронних flash-дисках, картах пам'яті тощо).
Захист інформації забезпечується прозорим шифруванням областей дискового простору чи створенням віртуальних логічних дисків, які фізично є зашифрованими областями дисків чи файлами-образами.
Засоби захисту носіїв серверів підтримують автоматичне підключення захищених дисків, аварійне відключення та знищення захищених дисків, забезпечення доступу до них з ЛОМ та ін.
Засоби захисту носіїв портативних комп'ютерів забезпечують шифрування даних на вбудованих та на зовнішніх картах пам'яті. Програмні засоби комплексу можуть використовувати зовнішні апаратні засоби КЗІ, такі як електронні ключі тощо.
Електронний ключ "Кристал-1" ("ІІТ Е.ключ Кристал-1") призначений для апаратної реалізації криптографічних перетворень усередині пристрою та реалізує: автентифікацію користувача перед початком роботи; зберігання та захист особистого ключа користувача.
Електронний ключ має електричний USB-інтерфейс для підключення. У засобах комплексу використовуються такі криптографічні алгоритми та протоколи: алгоритм шифрування за ДСТУ ГОСТ
28147:2009; алгоритм гешування за ГОСТ 34.311-95; протокол розподілу ключових даних (направлене шифрування).
Рис. 7. Структурна схема комплексу "Електронний ключ"
Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв'язку України № 739 від 18.12.2012 р. Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв'язку України. Шифрування секторів захищених дисків виконується в двох режимах: спочатку в режимі простої заміни, а потім в режимі гамування із зворотнім зв'язком згідно ДСТУ ГОСТ 28147:2009.
Шифрування здійснюється на ключі шифрування диску, який зберігається разом із диском. Захист ключа шифрування диску виконується на ключі захисту, який отримується шляхом гешування за ГОСТ 34.311-95 особистого ключа протоколу розподілу ключів.
Довгострокові ключові елементи (ДКЕ) для алгоритму шифрування ДСТУ ГОСТ 28147:2009 постачаються відповідно до вимог Держспецзв'язку України. До ключових даних комплексу відносяться особисті ключі користувачів і серверів, що використовують захищені диски. В якості особистих ключів можуть використовуватися особисті ключ користувачів центру сертифікації ключів (ЦСК, при цьому, в якості ПТК ЦСК має використовуватися комплекс "ІІТ ЦСК- 1").
В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися: електронні диски (flash-диски); оптичні компакт-диски (CD); електронні ключі "Кристал-1", "Ал- маз-1К" ("ІІТ Е.ключ Алмаз-1К") та ін.; мережевий криптомодуль "Гряда-301" (мікро-пристрій) ("ІІТ МКМ Гряда-301 (мікро-пристрій)") та мережевий криптомодуль "Гряда-301"; інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS#11.
Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів (формати особистих ключів - згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12).
Комплекс захисту SAP-системи "IIP ЗАХИСТ SAP"
Повна назва комплексу: комплекс захисту SAP- системи "ІІТ Захист SAP". Призначення комплексу: криптографічний захист інформації у SAP-системі, а саме: автентифікація користувачів SAP-системи та забезпечення конфіденційності і цілісності даних, які передаються між користувачами та сервером системи, з використанням механізмів КЗІ; забезпечення цілісності та неспростовності авторства електронних даних та документів, що циркулюють у системі, з використанням електронного цифрового підпису.
Для організації ключової системи (управління ключовими даними) засобів комплексу використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК).
Структурна схема комплексу за розміщенням його складових частин на окремих технічних засобах наведена на рис. 8.До складу комплексу входять: програмний комплекс захисту SAP-клієнта "ІІТ Захист SAP. Клієнт"; програмний комплекс захисту SAP-сервера "ІІТ Захист SAP. Сервер"; програмний комплекс віддаленого моніторингу захисту SAP-сервера "ІІТ Захист SAP. Віддалений монітор сервера". До складу апаратних засобів можуть входити: електронний ключ "Кристал-1" ("ІІТ Е.ключ Кристал-1"); мережевий криптомодуль "Гряда-301" ("ІІТ МКМ Гряда- 301"). Програмні засоби КЗІ реалізують логіку роботи комплексу та інтегровані безпосередньо у клієнтську та серверну частини SAP-системи (SAP-клієнта та SAP-сервер), через визначені у SAP-системі механізми та інтерфейси КЗІ.
Рис. 8. Структурна схема комплексу
Програмні засоби КЗІ комплексу можуть використовувати зовнішні апаратні засоби КЗІ, такі як електронні ключі, мережні криптомодулі тощо. SNC-бібліотеки (бібліотеки захисту з'єднань) у складі SAP-клієнта та SAP-сервера призначені для реалізації механізмів автентифікації користувачів SAP-системи на сервері під час підключення користувачів до сервера (встановлення з'єднання з сервером), шляхом реалізації протоколу взаємної автентифікації сторін, та забезпечення конфіденційності і цілісності інформації, яка передається між користувачами та сервером SAP- системи під час їх взаємодії, шляхом шифрування інформації та формування і перевіряння криптографічних контрольних сум.
Протокол взаємної автентифікації сторін (встановлення захищеного з'єднання) включає наступні шаги (етапи): формування та передачу запиту від користувача SAP-системи на сервер; обробку запиту від користувача сервером (що включає, в тому числі, перевірку чинності сертифіката користувача), формування та відправку відповіді за результатами обробки запиту; прийом та обробку відповіді від сервера користувачем та прийняття рішення про успішність встановлення захищеного з'єднання (що аналогічно включає і перевірку чинності сертифіката сервера).
SSF-бібліотека (бібліотека захищеного зберігання та пересилання) у складі SAP-клієнта та SAP- сервера призначена для забезпечення цілісності та неспростовності авторства електронних даних та документів, що циркулюють у SAP-системі, шляхом формування та перевіряння електронного цифрового підпису від даних та документів, як на стороні користувача SAP-системи, так і на стороні сервера.
Бібліотеки користувача центру сертифікації ключів (ЦСК) призначені для використання SNC- та SSF-бібліотеками в якості базових засобів КЗІ та виконують наступні функції у їх складі: роботу з носіями ключової інформації (зчитування особистих ключів з носіїв); роботу з файловим сховищем сертифікатів та списків відкликаних сертифікатів (СВС); зашифрування та розшифрування даних; формування та перевірку ЕЦП від даних; захист сеансів передачі даних (захист з'єднань); інтерактивну перевірку статусу сертифікатів у ЦСК за протоколом OCSP (через OCSP- сервер ЦСК); пошук сертифікатів у LDAP-каталозі ЦСК (на LDAP-сервері ЦСК); отримання позначок часу у ЦСК (через TSP-сервер ЦСК) тощо.
Засоби управління та моніторингу стану захисту клієнта призначені для встановлення параметрів SNC- та SSF-бібліотек, параметрів бібліотеки користувача ЦСК, а також моніторингу та відображення стану їх роботи. Засоби управління захистом сервера призначені для встановлення параметрів SNC- та SSF- бібліотек, а також параметрів бібліотеки користувача ЦСК.
Агент моніторингу захисту SAP-сервера призначений для зберігання інформації про стан та статистику функціонування програмних засобів захисту сервера (списку активних захищених з'єднань SNC- бібліотеки тощо), а також ведення журналів реєстрації подій та надання доступу до цієї інформації засобам віддаленого моніторингу. Інформацію про стан та статистику функціонування до агента моніторингу передають SNC- та SSF-бібліотеки.
Програмний комплекс віддаленого моніторингу захисту SAP-сервера призначений для отримання від агента моніторингу сервера та відображення інформації про стан і статистику функціонування програмних засобів захисту та подій з журналів реєстрації.
SNC-бібліотеки (бібліотеки захисту з'єднань) реалізовані у відповідності до визначених розробником SAP-системи специфікацій програмних інтерфейсів: інтерфейсу GSS-API v2, який реалізує всі механізми КЗІ згідно з міжнародними технічними рекомендаціями RFC-2078; інтерфейс SNC-адаптера, який визначений у внутрішньому технічному документі компанії SAP та призначений для безпосередньої інтеграції бібліотеки у SAP-клієнт та SAP-сервер, і є проміжним інтерфейсом між GSS-API v2 та SAP-системою. SSF-бібліотеки (бібліотеки захищеного зберігання та пересилання) реалізовані у відповідності до визначеної розробником SAP-системи специфікації програмного інтерфейсу SSF-API. Зазначений інтерфейс визначений у внутрішньому технічному документі компанії SAP.
Електронний ключ призначений для апаратної реалізації криптографічних перетворень усередині пристрою у складі користувача SAP-системи. Мережевий криптомодуль призначений для апаратної реалізації криптографічних перетворень усередині модуля у складі сервера SAP-системи.
Електронний ключ "Кристал-1" ("ІІТ Е.ключ Кристал-1") призначений для: автентифікації користувача SAP-системи перед початком роботи; зберігання та захисту особистого ключа користувача; апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні користувача SAP-системи.
Електронний ключ має електричний USB-інтерфейс для підключення. Апаратна реалізація електронного ключа забезпечує захищеність виконання усіх криптографічних перетворень усередині пристрою та унеможливлює доступ до особистих ключів користувача з боку РС чи ПК користувача SAP-системи.
Мережевий криптомодуль "Гряда-301" ("ІІТ МКМ Гряда-301") призначений для: автентифікації сервера SAP-системи перед початком роботи; зберігання та захисту особистого ключа сервера; апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні сервера SAP-системи.
Мережевий криптомодуль має мережевий електричний інтерфейс Ethernet 100/ 1000 для підключення до сервера SAP-системи безпосередньо або через комутатори локальної обчислювальної мережі. Апаратна реалізація мережевого криптомодуля забезпечує захищеність виконання усіх криптографічних перетворень усередині модуля та унеможливлює доступ до особистих ключів сервера з боку сервера SAP- системи. У засобах комплексу використовуються такі криптографічні алгоритми та протоколи: алгоритм шифрування за ДСТУ ГОСТ 28147:2009; алгоритм ЕП за ДСТУ 4145-2002; алгоритм гешування за ГОСТ 34.311-95; протокол розподілу ключових даних (направлене шифрування).
Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв'язку №739 від 18.12.2012 р. Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв'язку України. Протокол встановлення захищеного сеансу передачі даних між SAP-клієнтом та SAP-сервером реалізовано на основі протоколу взаємної автентифікації з двома проходами згідно стандарту ДСТУ ISO/IEC 9798-3.
За результатом роботи протоколу на сервері та клієнті встановлюються два сеансових ключа та два вектори початкової ініціалізації для поточного шифрування даних у захищеному з'єднанні у дуплексному режимі.
Шифрування даних у захищеному з'єднанні здійснюється за алгоритмом шифрування згідно ДСТУ ГОСТ 28147:2009 у режимі гамування. В якості криптографічної контрольної суми для контролю цілісності даних у захищеному з'єднанні використовуються імітовставки, які обчислюються за алгоритмом шифрування згідно ДСТУ ГОСТ 28147:2009 у режимі вироблення імітовставки. Шифрування даних та обчислення імітовставок у захищеному з'єднанні здійснюється на основі сеансових ключів та векторів початкової ініціалізації (синхромаркерів), які розподіляються між клієнтом та сервером у результаті виконання протоколу взаємної автентифікації.
Організацію ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК). У комплексі використовуються дві підгрупи ключових даних: ключові дані ЦСК; ключові дані користувачів та сервера SAP-системи. До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.
До ключових даних користувачів та сервера SAP-системи відносяться особисті ключі та сертифікати відповідно користувачів та сервера.
В якості носіїв ключової інформації для особистих ключів можуть використовуватися: електронні диски (flash-диски); оптичні компакт-диски (CD); електронні ключі "Кристал-1", "Алмаз-1К" ("ІІТ Е.ключ Алмаз-1К") та ін.; мережевий криптомодуль "Гряда- 301" (мікро-пристрій) ("ІІТ МКМ Гряда-301 (мікро- пристрій)") та мережевий криптомодуль "Гряда-301"; інші носії, електронні ключі, смарт-карти та крипто- модулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS#11.
Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів: формати сертифікатів та списків відкликаних сертифікатів - згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій RFC 5280; формати підписаних даних (даних з ЕП) - згідно ДСТУ ETSI EN 319 1221:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій RFC 5652 (PKCS#7) та 5126; формати захищених даних (зашифрованих даних) - згідно вимог до форматів криптографічних повідомлень та технічних рекомендацій RFC 5652 (PKCS#7); формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) - згідно технічних рекомендацій RFC 2560; формати запитів на формування позначок часу та самих позначок часу (протокол TSP) - згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161; формати особистих ключів - згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12.
Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів користувачів та сервера, надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів.
Програмно-технічний комплекс (ПТК) ЦСК забезпечує: обслуговування сертифікатів клієнтів користувачів та сервера; надання послуг фіксування часу; надання (за необхідності) засобів генерації особистих та відкритих ключів. В якості ПТК ЦСК має використовуватися комплекс "ІІТ ЦСК-1".
Засоби електронного цифрового підпису (ЕЦП) для платформи ORACLE FLEXCUBE "ІІТ ЕЦП ДЛЯ ORACLE FLEXCUBE".
Призначення засобів: забезпечення цілісності та неспростовності авторства електронних даних та документів, що циркулюють у платформі, з використанням електронного цифрового підпису.
Зазначені функції засоби виконують шляхом застосування механізмів ЕЦП. Для організації ключової системи (управління ключовими даними) засобів використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК). Структурна схема засобів за розміщенням їх складових частин на окремих технічних засобах наведена на рис. 9.
Рис. 9. Структурна схема комплексу
До складу засобів входять: засоби ЕЦП для FlexCube-клієнта у складі бібліотеки користувача ЦСК для web-оглядача "ІІТ Користувач ЦСК-1. Бібліотека FlexCube (Active-X)" (Active-X-бібліотека ЕЦП), яка включає бібліотеку користувача ЦСК "ІІТ Користувач ЦСК-1. Бібліотека підпису"; програмний комплекс сервера ЕЦП для FlexCube-сервера у складі: програмний комплекс віддаленого моніторингу бібліотек користувача ЦСК "ІІТ Користувач ЦСК-1. Віддалений моніторинг бібліотек".
До складу апаратних засобів можуть входити: електронний ключ "Кристал-1" ("ІІТ Е.ключ Кристал- 1") чи електронний ключ "Алмаз-1К" ("ІІТ Е.ключ Ал- маз-1К"); мережевий криптомодуль "Гряда-301" ("ІІТ МКМ Гряда-301").
Програмні засоби ЕЦП реалізують логіку роботи засобів та інтегровані безпосередньо у клієнтську та серверну частини платформи Oracle FlexCube (FlexCube-клієнта та FlexCube-сервер), через визначені у платформі Oracle FlexCube механізми та інтерфейси ЕЦП.
Програмні засоби КЗІ можуть використовувати зовнішні апаратні засоби КЗІ, такі як електронні ключі, мережні криптомодулі тощо.
Active-X-бібліотека ЕЦП у складі FlexCube-клієнта, який виконується безпосередньо у web-оглядачі, призначена для забезпечення цілісності та неспростовності авторства електронних даних та документів, що обробляються клієнтом (користувачем), шляхом формування та перевіряння ЕЦП від даних та документів на стороні клієнта.
Web-служба ЕЦП у складі сервера ЕЦП, який підключений до FlexCube-сервера та доступний за протоколом SOAP, призначена для забезпечення цілісності та неспростовності авторства електронних даних та документів, що обробляються FlexCube-сервером, шляхом формування та перевіряння ЕЦП від даних та документів на стороні сервера.
Бібліотеки користувача центру сертифікації ключів (ЦСК) призначені для використання Active-X- бібліотекою та web-службою ЕЦП в якості базових засобів КЗІ та виконують наступні функції у їх складі: роботу з носіями ключової інформації (зчитування особистих ключів з носіїв); роботу з файловим сховищем сертифікатів та списків відкликаних сертифікатів (СВС); зашифрування та розшифрування даних; формування та перевірку ЕЦП від даних; захист сеансів передачі даних (захист з'єднань); інтерактивну перевірку статусу сертифікатів у ЦСК за протоколом OCSP (через OCSP-сервер ЦСК); пошук сертифікатів у LDAP-каталозі ЦСК (на LDAP-сервері ЦСК); отримання позначок часу у ЦСК (через TSP-сервер ЦСК) тощо.
Програмний комплекс віддаленого моніторингу бібліотек користувача ЦСК призначений для отримання від агента моніторингу бібліотек та відображення інформації про стан і статистику функціонування програмних засобів та подій з журналів реєстрації.
Зберігання інформації про стан та статистику функціонування програмних засобів, а також ведення журналів реєстрації подій та надання доступу до цієї інформації засобам віддаленого моніторингу здійснює агент моніторингу бібліотек. Інформацію про стан та статистику функціонування до агента моніторингу передають бібліотеки користувача ЦСК.
Active-X-бібліотека ЕЦП реалізована у вигляді Active-X-об'єкту у відповідності до визначених розробником платформи Oracle FlexCube специфікацій програмних інтерфейсів та доступна FlexCube-клієнту через виклики JavaScript-функції.
Web-служба ЕЦП реалізована у відповідності до визначеної розробником платформи Oracle Flex Cube специфікацій та доступна FlexCube-серверу за протоколом SOAP через java-модулі (JAX-WS) чи PL/SQL-модулі.
Електронний ключ призначений для апаратної реалізації криптографічних перетворень усередині пристрою у складі користувача платформи Oracle FlexCube. Мережевий криптомодуль призначений для апаратної реалізації криптографічних перетворень усередині модуля у складі сервера платформи Oracle FlexCube. Електронний ключ "Кристал-1" ("ІІТ Е.ключ Кристал-1") призначений для: автентифікації користувача платформи Oracle FlexCube перед початком роботи; зберігання та захисту особистого ключа користувача; апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні користувача платформи.
Електронний ключ має електричний USB-інтерфейс для підключення. Апаратна реалізація електронного ключа забезпечує захищеність виконання усіх криптографічних перетворень усередині пристрою та унеможливлює доступ до особистих ключів користувача з боку РС чи ПК користувача платформи Oracle FlexCube.
Мережевий криптомодуль "Гряда-301" ("ІІТ МКМ Гряда-301") призначений для: автентифікації сервера ЕЦП перед початком роботи; зберігання та захисту особистого ключа сервера; апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні сервера ЕЦП.
Мережевий криптомодуль має мережевий електричний інтерфейс Ethernet 100/ 1000 для підключення до сервера ЕЦП безпосередньо або через комутатори локальної обчислювальної мережі. Апаратна реалізація мережевого криптомодуля забезпечує захищеність виконання усіх криптографічних перетворень усередині модуля та унеможливлює доступ до особистих ключів сервера з боку сервера ЕЦП.
У засобах використовуються такі криптографічні алгоритми та протоколи: алгоритм шифрування за ДСТУ ГОСТ 28147: 2009; алгоритм ЕП за ДСТУ 41452002; алгоритм гешування за ГОСТ 34.311-95; протокол розподілу ключових даних (направлене шифрування).
Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв'язку №739 від 18.12.2012 р.
Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв'язку. Організацію ключової системи засобів виконує центр сертифікації ключів (ЦСК).
У засобах використовуються дві підгрупи ключових даних: ключові дані ЦСК; ключові дані користувачів та сервера ЕЦП. До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.
До ключових даних користувачів та сервера ЕЦП відносяться особисті ключі та сертифікати відповідно користувачів та сервера.
В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися: електронні диски (flash-диски); оптичні компакт-диски (CD); електронні ключі "Кристал-1", "Ал- маз-1К" ("ІІТ Е.ключ Алмаз-1К") та ін.; мережевий криптомодуль "Гряда-301" (мікро-пристрій) ("ІІТ МКМ Гряда-301 (мікро-пристрій)") та мережевий криптомодуль "Гряда-301"; інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS# 11.
Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів: формати сертифікатів та списків відкликаних сертифікатів - згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій RFC 5280; формати підписаних даних (даних з ЕП) - згідно ДСТУ ETSI EN 319 1221:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій RFC 5652 (PKCS#7) та 5126; формати захищених даних (зашифрованих даних) - згідно вимог до форматів криптографічних повідомлень та технічних рекомендацій RFC 5652 (PKCS#7); формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) - згідно технічних рекомендацій RFC 2560; формати запитів на формування позначок часу та самих позначок часу (протокол TSP) - згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161; формати особистих ключів - згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12.
Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів користувачів та сервера, надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів.
Програмно-технічний комплекс (ПТК) ЦСК забезпечує: обслуговування сертифікатів клієнтів користувачів та сервера; надання послуг фіксування часу; надання (за необхідності) засобів генерації особистих та відкритих ключів. В якості ПТК ЦСК має використовуватися комплекс "ІІТ ЦСК-1".
Засоби захисту входу в контролер домену MICROSOFT ACTIVE DIRECTORY "ІІТ ЗАХИЩЕНИЙ ВХІД"
Призначення засобів: автентифікація користувачів операційних систем (ОС) Microsoft Windows в контролері домену Microsoft Active Directory при вході в ОС та при доступі до ресурсів.
Зазначені функції засоби виконують шляхом застосування механізмів КЗІ.
Автентифікація користувачів в контролері домену здійснюється під час входу користувача до ОС з його робочій станції (РС) чи портативному комп'ютері (ПК) з використанням апаратних засобів КЗІ (носіїв ключової інформації) користувача, таких як електронні ключі та смарт-карти. Для організації ключової системи (управління ключовими даними) засобів користувачів та контролера домену використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК). Структурна схема засобів за розміщенням їх складових частин на окремих технічних засобах наведена на рис. 10.
Рис. 10. Структурна схема комплексу
До складу засобів входять програмні засоби інтеграції носіїв ключової інформації (в т.ч. і апаратних засобів КЗІ) користувачів в ОС - програмний комплекс захисту входу користувача "ІІТ Захищений вхід. Користувач" для ОС Microsoft Windows, який включає: міні-драйвери смарт-карт носіїв ключів (як апаратних засобів КЗІ так і віртуальних); віртуального драйвера смарт-карт; програмних засобів (бібліотек) КЗІ (користувача ЦСК) "ІІТ Користувач ЦСК-1".
До складу апаратних засобів КЗІ користувачів можуть входити: електронний ключ "Кристал-1" ("ІІТ Е.ключ Кристал-1"); електронний ключ "Алмаз-1К" ("ІІТ Е.ключ Алмаз-1К"); смарт-карта "Карта-1" ("ІІТ Смарт-карта Карта-1").
Програмні засоби інтегруються безпосередньо у підсистему автентифікації ОС на стороні користувача контролеру домену Microsoft Active Directory.
Програмні засоби для автентифікації на контролері домену можуть використовувати зовнішні апаратні засоби КЗІ (носії ключової інформації) користувача, такі як електронні ключі та смарт-карти.
Міні-драйвер смарт-карт призначений для інтеграції апаратних засобів КЗІ (носіїв ключової інформації) у підсистему автентифікації ОС на стороні користувача та забезпечення розпізнавання апаратних засобів у підсистемі автентифікації ОС та їх використання в процесі автентифікації на контролері домену.
Віртуальний драйвер смарт-карт використовуються для носіїв ключової інформації та апаратних засобів КЗІ (наприклад, електронних ключів), які не є смарт-картами та потребують емуляції поведінки смарт-карти у ОС з метою їх розпізнавання ОС на стороні користувача в якості смарт-карти.
Бібліотеки користувача центру сертифікації ключів (ЦСК) призначені для використання міні- драйвером смарт-карт в якості базових засобів КЗІ та виконують наступні функції у їх складі: роботу з носіями ключової інформації (зчитування особистих ключів з носіїв) та взаємодію з апаратними засобами КЗІ); роботу з файловим сховищем сертифікатів та списків відкликаних сертифікатів (СВС); інтерактивну перевірку статусу сертифікатів у ЦСК за протоколом OCSP (через OCSP-сервер ЦСК); пошук сертифікатів у LDAP-каталозі ЦСК (на LDAP-сервері ЦСК) тощо.
Електронні ключі, смарт-карти чи інші носії ключової інформації (апаратні засоби КЗІ) призначені для зберігання особистого ключа автентифікації користувача на контролері домену. Програмні засоби інтеграції носіїв ключової інформації (апаратних засобів КЗІ) користувачів в ОС встановлюються та використовуються виключно на стороні користувача на його РС (ПК). Для автентифікації користувачів на контролері домену (сервері) має бути налаштована служба Microsoft Active Directory та створений і налаштований домен, а користувачі, які мають автентифікуватися в контролері, повинні бути користувачами створеного домену. На контролері домену не здійснюється встановлення жодних складових частин засобів.
В якості ОС користувачів, в які інтегровано засоби автентифікації, можуть використовуватися ОС Microsoft Windows XP/ Vista/7/8/8.1/10. В якості ОС контролера домену (сервера) можуть використовуватися ОС Microsoft Windows 2003/2008/2012/ 2016/2019 Server. У засобах використовуються такі криптографічні алгоритми та протоколи: алгоритми шифрування TDEA і AES за ISO/IEC 18033-3:2010; алгоритм ЕЦП RSA за PKCS# 1 (RFC 3447); алгоритми гешування SHA (SHA-1 і SHA-224/256/384/512) за ДСТУ ISO/IEC 10118-3:2005; протокол розподілу ключів RSA за PKCS#1 (RFC 3447). Автентифікація користувача на контролері домену здійснюється за протоколом Kerberos, який реалізований штатними засобами ОС користувача та контролера домену. Під час автентифікації штатні засоби ОС користувача здійснюють звертання (використовують) міні-драйвер смарт-карт для виконання криптографічних перетворень.
У засобах використовуються дві підгрупи ключових даних: ключові дані ЦСК; ключові дані користувачів та контролера домену. До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів тощо. До ключових даних користувачів та контролера домену відносяться особисті ключі та сертифікати відповідно користувачів та контролера домену. В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися: електронні ключі "Кристал-1", "Алмаз-1К" ("ІІТ Е.ключ Алмаз-1К") та ін.; інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS#11.
Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів: формати сертифікатів та списків відкликаних сертифікатів - згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій RFC 5280; формати підписаних даних (даних з ЕП) - згідно ДСТУ ETSI EN 319 1221:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій RFC 5652 (PKCS#7) та 5126; формати захищених даних (зашифрованих даних) - згідно вимог до форматів криптографічних повідомлень та технічних рекомендацій RFC 5652 (PKCS#7); формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) - згідно технічних рекомендацій RFC 2560; формати запитів на формування позначок часу та самих позначок часу (протокол TSP) - згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161; формати особистих ключів - згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12.
Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів користувачів та контролера домену, а також надання (за необхідності) користувачам і контролеру домену засобів генерації особистих та відкритих ключів. Програмно-технічний комплекс (ПТК) ЦСК забезпечує: обслуговування сертифікатів користувачів та контролера домену; надання користувачам та контролеру домену (за необхідності) засобів генерації особистих та відкритих ключів. Для взаємодії з центром сертифікації ключів (використання його інтерактивних служб) користувачі та контролер домену повинні мати можливість мережевого підключення до ЦСК. Усі механізми взаємодії з ЦСК виконують бібліотеки користувача ЦСК. Зміна статусу сертифікатів (блокування, поновлення або скасування) та знищення особистих ключів користувачів та контролера домену здійснюється у відповідності до порядку, який визначений ЦСК (згідно регламенту ЦСК).
В якості ПТК ЦСК має використовуватися комплекс "ІІТ ЦСК-1". Далі наведемо розроблені і впроваджені апаратні засоби КЗІ.
Електронний ключ "Кристал-1Д"
Засіб (див. рис. 11) виконує наступні функції: автентифікацію оператора ЕОМ при доступі до ключа; генерацію ключів; зберігання ключів у внутрішній пам'яті та захист їх від НСД; формування і перевірку ЕП; розподіл ключових даних та шифрування даних; зберігання довільних даних у внутрішній пам'яті та захист їх від НСД; контроль цілісності і працездатності вбудованого програмного забезпечення та ін.
Засіб призначений для захисту службової інформації. Електронний ключ виконаний у вигляді малогабаритного знімного USB-пристрою. Конструктивно електронний ключ виконаний на двошаровій друкованій платі, яка залита компаундом, що формує захисний шар та встановлена у металевий корпус, що формує зовнішній вигляд засобу. На друкованій платі встановлюються електроні компоненти та USB- з'єднувач типу А-plug (виделка). Швидкість формування ЕП - 100 мс. Швидкість розподілу ключових даних - 800 мс. Швидкість шифрування - 800 Кбіт/с.
IP-шифратор "Канал-101ДЕ"
IP-шифратор (див. рис. 12) виконує наступні функції: шифрування та контроль цілісності ІР-пакетів; інкапсуляцію ІР-пакетів та їх маршрутизацію між мережними інтерфейсами; приймання та передачу управляючої (технологічної) інформації; прийом та введення в дію ключових даних; встановлення захищених з'єднань з іншими ІР-шифраторами.
Засіб призначений для захисту службової інформації. IP-шифратор виконаний у вигляді окремого малогабаритного мережевого пристрою. Конструктивно IP-шифратор є мініатюрною системною платформою у металевому корпусі та має 2 мережних інтерфейси Ethernet 100Base-TX. Швидкість шифрування - не менше 30 Мбіт/ с (до 40 Мбіт/с).
Рис. 12. P-шифратор "Канал-101ДЕ"
IP-шифратор "Канал-201Д"
IP-шифратор (див. рис. 13) виконує наступні функції: шифрування та контроль цілісності ІР-пакетів; інкапсуляцію ІР-пакетів та їх маршрутизацію між мережними інтерфейсами; приймання та передачу управляючої (технологічної) інформації; прийом та введення в дію ключових даних; встановлення захищених з'єднань з іншими ІР-шифраторами. Засіб призначений для захисту службової інформації. IP- шифратор виконаний у вигляді окремого мережевого вузла.
Рис. 13. IP-шифратор "Канал-201Д"
Конструктивно IP-шифратор є системною платформою у металевому корпусі висотою 2U та може встановлюватись в 19-ти дюймову стійку за допомогою полки. Засіб має 2 дуплексні оптичні мережні інтерфейси Ethernet 100Base-SX (тип роз'єму - FC). Засіб має систему спеціального захисту від витоку інформації каналами ПЕМВН. Швидкість шифрування - не менше 75 Мбіт/ с (до 100 Мбіт/ c).
IP-шифратор "Канал-301Д"
IP-шифратор (див. рис. 14) виконує наступні функції: шифрування та контроль цілісності ІР-пакетів; інкапсуляцію ІР-пакетів та їх маршрутизацію між мережними інтерфейсами; приймання та передачу управляючої (технологічної) інформації; прийом та введення в дію ключових даних; встановлення захищених з'єднань з іншими ІР-шифраторами.
Подобные документы
Структура сучасних систем виявлення вторгнень (СВВ), аналіз її методів і моделей. Характеристика основних напрямків розпізнавання порушень безпеки захищених систем в сучасних СВВ. Перелік недоліків існуючих СВВ та обґрунтування напрямків їх вдосконалення.
реферат [467,9 K], добавлен 12.03.2010Схема виявлення атак на основі сигнатур. Сучасні тенденції у галузі розподілених систем виявлення комп’ютерних атак. Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми. Фізичне проектування бази даних підсистеми.
дипломная работа [2,2 M], добавлен 19.07.2014Сучасні тенденції у галузі розподілених систем виявлення комп’ютерних атак. Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми. Розробка узгодженого інтерфейсу взаємодії користувача з підсистемою, візуалізації даних.
дипломная работа [2,4 M], добавлен 16.07.2014Забезпечення захисту інформації. Аналіз системи інформаційної безпеки ТОВ "Ясенсвіт", розробка моделі системи. Запобігання витоку, розкраданню, спотворенню, підробці інформації. Дослідження та оцінка ефективності системи інформаційної безпеки організації.
курсовая работа [1,6 M], добавлен 27.04.2014Сутність, типи, архітектура, управління, швидкість реакції та інформаційні джерела СВВ. Особливості документування існуючих загроз для мережі і систем. Контроль якості розробки та адміністрування безпеки. Спільне розташування та поділ Host і Target.
реферат [28,0 K], добавлен 12.03.2010Широке використання інформаційних технологій у всіх сферах життя суспільства. Інформація як об’єкт захисту. Основні види загроз безпеки інформації в комп’ютерних мережах. Несанкційований доступ до інформації і його мета. Порушники безпеки інформації.
реферат [253,2 K], добавлен 19.12.2010Способи здійснення атак на відмову та пароль. Захист інформації від несанкціонованого доступу та від її витоку в комп'ютерних системах. Використання міжмережевих екранів, системи виявлення вторгнень, засобів аналізу захищеності в комунікаційних системах.
презентация [300,2 K], добавлен 14.08.2013Криптографія – математичні методи забезпечення інформаційної безпеки та захисту конфіденційності. Огляд існуючих методів пошуку нових алгоритмів шифрування. Розробка системи оцінки ефективності криптографічних систем. Найпоширеніші методи шифрування.
дипломная работа [1,2 M], добавлен 13.06.2015Вразливість інформації в автоматизованих комплексах. Концепція захисту інформації. Комплекс основних задач при розробці політики безпеки. Стратегія та архітектура захисту інформації. Політика безпеки інформації. Види забезпечення безпеки інформації.
реферат [243,2 K], добавлен 19.12.2010Основні поняття безпеки інформаційних технологій. Законодавчі вимоги і регулювання інформаційної безпеки в мережах. Класифікація шкідливих програм. Приклади цінності інформації. Методи шахрайства. Програмний захист від витікання інформаційних даних.
курсовая работа [171,9 K], добавлен 08.12.2015
