Реферат: Системы защиты информации
(Windows NT 4.0 и Windows 2000).
«КРИПТОН-ЗАМОК/PCI» обладает следующими возможностями:
§ идентификация и аутентификация пользователей до запуска BIOS
компьютера(большой выбор типов ключевых носителей (смарт-карты с открытой и
защищенной памятью, микропроцессорные смарт-карты, Тouch Мemory),
§ создание нескольких профилей защиты, надежное разграничение ресурсов
компьютера, принудительная загрузка операционной системы (ОС) с выбранного
устройства в соответствии с индивидуальными настройками администратора для
каждого пользователя;
§ блокировка компьютера при НСД, накопление и ведение электронного
журнала событий (в собственной энергонезависимой памяти);
§ подсчет эталонных значений контрольных сумм объектов и проверка
текущих значений контрольных сумм (рассчитываются по алгоритму вычисления
хэш-функции по ГОСТ Р34.11-94), экспорт/импорт списка проверяемых объектов на
гибкий магнитный диск;
§ интеграция в другие системы безопасности (сигнализация, пожарная
охрана и пр.);
§ организация бездисковых рабочих мест на основе встроенного Флеш-
диска 16 Мбайт.
Алгоритм кодирования аутентифицирующей информации в «КРИПТОН-ЗАМОК/PCI» - в
соответствии с требованиями ГОСТ 28147-89.
Администратор имеет возможность разрешить некоторым пользователям
осуществлять загрузку ОС с накопителя на гибком магнитном диске (НГМД) или CD
ROM. Во всех других случаях «КРИПТОН-ЗАМОК/PCI» загружает ОС только через
сетевой адаптер, произведенный фирмой «АНКАД», или с одного из накопителей на
жёстком магнитном диске (НЖМД) компьютера, который специально подготовлен
администратором.
Одна из главных отличительных особенностей «КРИПТОН-ЗАМОК/PCI» - это его
модульная структура, которая позволяет настраивать и дорабатывать его под
разнообразные требования заказчиков.
«КРИПТОН-ЗАМОК/PCI» поставляется в нескольких модификациях:
§ одноконтурная модель - для рабочего места одного пользователя;
§ многоконтурная модель - создание нескольких контуров безопасности,
т.е. осуществляется загрузка конфигурации компьютера в соответствии с
индивидуальными настройками системы для каждого пользователя, разделение
пользователей по физическим дискам (информация одного пользователя не
доступна другому).
§ модель с функциями работы со сменными дисками(компьютер должен быть
оснащен контейнером Mobile Rack для шины IDE) - загрузка программной среды с
того или иного сменного НЖМД и доступ пользователя к нему разрешается только
после успешной идентификации диска, список зарегистрированных сменных дисков
хранится в памяти "КРИПТОН-ЗАМОК/PCI", количество сменных магнитных дисков на
одном устройстве "КРИПТОН-ЗАМОК/PCI" - до 32.
6.2. Crypton ArcMail
Средство криптографической защиты информации (СКЗИ) Crypton ArcMail
обеспечивает конфиденциальность, проверку авторства и целостности файлов,
каталогов и областей памяти. Crypton ArcMail в едином сервисе предоставляет
функции архивирования, электронной цифровой подписи (ЭЦП) и шифрования.
Crypton ArcMail создает подписанный и/или зашифрованный архив, который можно
отправлять адресату (адресатам) по открытым каналам связи, в т.ч. по сети
Интернет.
Мастер ключей (доступен в версии Администратора) позволяет создавать
секретные и открытые ключи и сертифицировать открытые ключи. Для генерации
ключей используется датчик случайных чисел программного шифратора Crypton
Emulator или аппаратного устройства КРИПТОН, в комплекте с которыми (по выбору
потребителя) поставляется Crypton ArcMail.
Применяя программу интерактивной обработки файлов, можно по щелчку
правой кнопки мыши вызывать функции создания зашифрованных и/или подписанных
архивов, проверки подписи и расшифрования архивов, поступивших от других
абонентов.
Утилита командной строки позволяет встраивать функции архивирования,
шифрования и ЭЦП в продукты других разработчиков.
Crypton ArcMail поставляется как в виде прикладной программы для конечных
пользователей, так и в виде библиотеки функций.
Основные характеристики
Алгоритм шифрования
.......................................................... ГОСТ 28147-89
Алгоритм ЭЦП
....................................................................... ГОСТ
Р 34.10-94
Алгоритм функции хэширования ...................................... ГОСТ Р
34.11-94
Длина секретного ключа, бит .................................................256
Длина открытого ключа, бит
................................................... 512 или 1024
Схема управления ключами ................... асимметричная, симметричная
Возможность сертификации открытых ключей позволяет использовать Сrypton
ArcMail в архитектуре PKI (Public Key Infrastructure - инфраструктура
открытых ключей).
6.3. КРИПТОН-Шифрование
Позволяет шифровать файлы, обеспечивая их конфиденциальность. Зашифрованную
информацию можно хранить на любых носителях (в т.ч. дисках персонального
компьютера), передавать по сети Internet и другим открытым каналам связи, не
опасаясь, что с содержимым зашифрованных файлов ознакомятся посторонние.
Алгоритм шифрования .....................................................
ГОСТ 28147-89
Длина ключа шифрования, бит .................................................256
(количество возможных комбинаций ключей - 1077)
Количество уровней ключевой системы ...................... 3
(главный ключ - пользовательский/сетевой ключ - сеансовый ключ)
Схема управления ключами .............................................
симметричная
Длина пароля, символов, не менее ..............................................4
Мастер ключей шифрования (поставляется в версии Администратора) позволяет
создавать ключи и управлять ими.
Расширение Проводника Windows обеспечивает возможность интерактивной
обработки файлов: достаточно щелкнуть правой кнопкой мыши, чтобы зашифровать,
расшифровать, перешифровать или уничтожить файл (с невозможностью
восстановления).
Утилита командной строки позволяет встраивать функции шифрования в другие
продукты (почтовые системы, системы "банк -клиент" и т.п.).
6.4. КРИПТОН-Подпись
Реализует функции электронной цифровой подписи (ЭЦП), обеспечивая проверку
авторства и целостности файлов.
Электронная цифровая подпись служит аналогом подписи ответственного лица и
печати организации; один и тот же файл может быть подписан несколько раз
(бухгалтером, главбухом, директором и т.д.).
Возможность сертификации открытых ключей позволяет использовать КРИПТОН-
Подпись в архитектуре PKI (Public Key Infrastructure - инфраструктура
открытых ключей).
Алгоритм ЭЦП
.................................................................. ГОСТ Р
34.10-94
Алгоритм функции хэширования ............................ ГОСТ Р 34.11-94
Длина секретного ключа, бит .................................................256
Длина открытого ключа, бит ............................................ 1024
Схема управления ключами ..........................................
асимметричная
Длина пароля секретного ключа, символов, не менее .................... 4
Мастер ключей подписи (поставляется в версии Администратора) позволяет
создавать секретные и открытые ключи и сертифицировать открытые ключи.
Расширение Проводника Windows по щелчку правой кнопкой мыши вызывает
функции простановки, проверки и удаления подписи.
Утилита командной строкипозволяет встраивать функции ЭЦП в другие продукты.
6.5. КРИПТОН-IP
Аппаратно-программный комплекс
Криптографический IP-маршрутизатор
для MS-DOS
Криптографический маршрутизатор КРИПТОН-IP предназначен для построения
защищенных виртуальных частных сетей (VPN), позволяющих объединять локальные
компьютерные сети путем передачи данных через глобальные сети открытого доступа
(например, Internet).
КРИПТОН-IP обеспечивает маршрутизацию IP-пакетов в глобальных сетях и их
конфиденциальность, а также защищает локальные сети от вторжения извне.
Криптографическая защита данных реализована методом прозрачного шифрования
IP-пакетов при обмене ими по открытым каналам связи. Для защиты от НСД
локальных компьютерных сетей используются методы фильтрации IP-пакетов по
определенным правилам с аутентификацией их источников и получателей, а также
методы сокрытия IP-адресов.
КРИПТОН-IP позволяет также осуществлять криптографическую защиту файлов
данных. Для контроля целостности и авторства файлов формируется их
электронная цифровая подпись (ЭЦП).
Криптографическим ядром КРИПТОН-IP является аппаратный шифратор КРИПТОН-4К/16
(в программно-аппаратной конфигурации) или программный шифратор Crypton LITE
(в программной конфигурации).
Программно-аппаратная конфигурация КРИПТОН-IP обладает дополнительными
функциями:
- Загрузка ключей со смарт-карт, минуя шину данных системного блока
КМ; - Наличие энергонезависимой памяти для хранения уникальных
данных (ключей шифрования); - Мониторинг целостности
системного и прикладного ПО до загрузки ОС и в процессе работы; -
Разграничение доступа к программным средствам и данным с регистрацией
процесса доступа в электронном журнале.
Возможна работа комплекса с двумя типами ключевых систем: асимметричной
(с использованием открытых ключей) или симметричной (на основе полной
матрицы ключей).
При использовании асимметричной ключевой системы ключевая информация
генерируется и обрабатывается с помощью программ работы с ЭЦП.
При работе с симметричной ключевой системой необходимо дополнительно
использовать программно-аппаратный комплекс, предназначенный для
генерации/конвертации ключевой информации и создания ключевых носителей для
всех используемых в данной сети комплексов КРИПТОН-IP. ПО рекомендуется
устанавливать на выделенном персональном компьютере.
В ПО применено средство криптографической защиты информации (СКЗИ) "Crypton
ArcMail", имеющее сертификат ФАПСИ (регистрационный номер СФ/120-0278 от 30
июня 1999 года, выдан ООО фирма "АНКАД").
КРИПТОН-IP принят на сертификацию в ФАПСИ (в том числе для применения его в
целях защиты сведений, составляющих государственную тайну).
Основные функционально-технические характеристики КРИПТОН-IP:
Шифрование данных | алгоритм ГОСТ 28147-89 | Скорость шифрования данных | 1,5 Мбайт/с | Электронная цифровая подпись | алгоритм ГОСТ Р 34.10/11-94 | Производительность шифрования пакетов данных (при длине пакета 1,5 К и симметричной ключевой системе) | 1,2-1,8 Мбит/с | Носители ключей | дискеты, смарт-карты | Операционная среда (ОС) компьютера | MS-DOS 6.22 и выше |
Программно-аппаратная конфигурация комплекса КРИПТОН-IP
- Программа криптографической маршрутизации.
Реализует методы криптографической защиты и автоматическую
маршрутизацию пакетов при их приеме/передаче по сети обмена данными. -
Устройство криптографической защиты данных (УКЗД) КРИПТОН-4К/16.
УКЗД имеет свое локальное программное обеспечение (BIOS), которое
выполняет: загрузку ключей шифрования данных до загрузки операционной
среды компьютера; контроль целостности операционной среды до загрузки
MS-DOS; аппаратное шифрование данных. - Адаптер
смарт-карт SA-101i .
Обеспечивает ввод ключевой информации в УКЗД со смарт-карт, минуя шину
компьютера. - Система криптографической защиты информации от
НСД КРИПТОН-ВЕТО 2.0.
Обеспечивает управление процессом контроля целостности операционной
среды компьютера; шифрование данных и ЭЦП; разграничение доступа к
ресурсам компьютера; регистрацию событий в аппаратном журнале. Система
сертифицирована Гостехкомиссией по классу 1В.
Программно-аппаратная конфигурация комплекса КРИПТОН-IP
Crypton ArcMail (сертификат ФАПСИ)
- Устройство криптографической защиты данных (УКЗД)
КРИПТОН-4К/16. - Адаптер смарт-карт SA-101i с открытой
памятью. - Система криптографической защиты информации от
НСД КРИПТОН-ВЕТО 2.0. - Программа Keys Convert Utility
v2.0, конвертор ключевых систем.
Программа обеспечивает генерацию полной матрицы ключей и/или их
конвертацию в нужные форматы. - Программа Crypton ArcMail
v1.3 защиты электронных документов.
Программа обеспечивает сертификацию ключей и создание баз данных ключей.
Типичная схема подключения локальной компьютерной сети к глобальной сети
(Internet) с использованием криптографического маршрутизатора (КМ)
КРИПТОН-IP (Рис. 6.5.1.).
Crypton API v2.25.
Рис. 6.5.1.
Данный пакет программ обеспечивает программный интерфейс к устройствам
криптографической защиты данных (УКЗД) серии “Криптон” для приложений Win32 и
программ ДОС в режиме эмуляции ДОС в операционных средах Windows 95/98/NT
4.0, Solaris 2.x, 7, 8 ( x86, Sparc). В состав данного пакета программ входят
драйверы УКЗД для Windows 95/98/NT 4.0, драйверы поддержки ДОС-приложений в
режиме эмуляции ДОС, Win32-приложение, тестирующее УКЗД.
Рис. 6.5.2.
Универсальность интерфейса, предоставляемого пакетом программ Crypton API,
состоит в том, что предоставляемый программам интерфейс идентичен независимо от
конкретного УКЗД серии "Криптон" (или даже его программного эмулятора) и
независимо от типа ключевого носителя, подключаемого через интерфейс SCApi.
Эмулятор подключается к Crypton API аналогично драйверу УКЗД серии "Криптон".
Схема работы Cripton API представлена Рис. 6.5.2.
6.6. КРИПТОН AncNet
Аппаратно-программный комплекс
Аппаратно-программный комплекс «КРИПТОН AncNet» предназначен для защищенной
передачи данных в сети (в том числе и с высоким уровнем грифа секретности) и
защиты компьютера сети от несанкционированного вмешательства посторонних лиц
в его работу.
Комплекс КРИПТОН AncNet обеспечивает :
§ прием и передачу кадров формата Ethernet II по протоколам семейства
TCP/IP версия 4;
§ шифрование данных в соответствии с ГОСТ 28147-89;
§ контроль целостности передаваемой информации;
§ защиту от НСД аппаратно-программных ресурсов компьютера;
§ идентификацию и аутентификацию пользователя при запуске компьютера
до запуска BIOS;
§ контроль целостности загружаемой ОС;
§ блокировку запуска компьютера при НСД;
§ регистрацию событий НСД;
§ аппаратную блокировку от несанкционированной загрузки операционной
системы с гибкого диска и CD-ROM диска.
Основные технические характеристики :
Скорость передачи данных по сети ..10/100Мбит/с;
Поддерживаемые протоколы ..Fast Ethernet 802.3,
2000 Edition; 802.3U;802.3X
Сетевая среда.............100 Base-FX, 10/100Base-TX, 10Base-T, 10Base-FL
(с использованием стандартных трансиверов)
Режимы работы в сети ....................................Full/Half duplex
Способ защиты данных ..................................... Прозрачное шифрование
информационной части IP пакета
Стандарт системной шины ....................PCI Local bus Rev. 2.1, 2.2
Режим обмена по шине PCI............................................Bus Master
Алгоритм шифрования........................................................
ГОСТ 28147-89
Скорость шифрования ......................................................9
Мбайт/с
Носитель ключевой информации.........................................Touch
Memory
В состав комплекса «КРИПТОН AncNet» входят: модуль сетевого шифратора и
подсистема защиты от НСД на базе аппаратно-программного модуля доверенной
загрузки.
Подсистема защиты данных при передаче в сети реализована на базе Модуля
сетевого шифратора и обеспечивает абонентское шифрование информации,
передаваемой между компьютерами, объединенными в сеть с помощью активного и
пассивного сетевого оборудования. Шифрование информационной части IP пакета
реализуется аппаратно, с последующей передачей пакета в канал.
Система защиты от НСД комплекса КРИПТОН AncNet строится на базе АПМДЗ,
который устанавливается на компьютер, подключенный к вычислительной сети, и
обеспечивает контроль доступа пользователя к компьютеру и контроль
загружаемой операционной системы (ОС).
Разграничение доступа пользователей к аппаратным ресурсам рабочего места
настраивается администратором на основе настройки индивидуальных прав
(полномочий) каждого пользователя.
6.7. КРИПТОН-IDE
Аппаратно-программный комплекс
Аппаратно-программный комплекс «КРИПТОН-IDE» предназначен для защиты
информации на жестком магнитном диске (в том числе и с высоким уровнем грифа
секретности) и защиты компьютера от несанкционированного вмешательства
посторонних лиц в его работу.
Комплекс «КРИПТОН-IDE» обеспечивает :
§ "прозрачное" шифрование (криптографическое преобразование)
информации, передаваемой между хост-контроллером на системной плате
компьютера и жёстким магнитным диском;
§ шифрование данных в соответствии с ГОСТ 28147-89;
§ защиту от НСД аппаратно-программных ресурсов компьютера;
§ идентификацию и аутентификацию пользователя при запуске компьютера
до запуска BIOS;
§ контроль целостности загружаемой ОС;
§ блокировку запуска компьютера при НСД;
§ регистрацию событий НСД;
§ аппаратную блокировку от несанкционированной загрузки операционной
системы с гибкого диска, CD-ROM диска DVD-диска и с USB FLASH диска.
Основные технические характеристики :
Интерфейс ЖМД ............... ATA/ATAPI -6 для IDE устройств и ANSI x3.298-1997;
Способ защиты данных ........Прозрачное шифрование
Электропитание..............от источников питания компьютера
Алгоритм шифрования........................................................
ГОСТ 28147-89
Скорость шифрования ................................................ 70 Мбит/с
Носитель ключевой
иформации................................................Touch Memory
В состав комплекса «КРИПТОН - IDE» входят: модуль шифратора жёсткого диска и
подсистема защиты от НСД на базе аппаратно-программного модуля доверенной
загрузки.
Подсистема защиты данных при работе с жестким диском реализована на базе
платы шифратора жёсткого диска и обеспечивает «прозрачное» шифрование
информации, передаваемой между хост-контроллером на системной плате
компьютера и жестким магнитным диском. Шифрование реализуется аппаратно.
Система защиты от НСД комплекса «КРИПТОН-IDE» строится на базе АПМДЗ, который
устанавливается на компьютер и обеспечивает контроль доступа пользователя к
компьютеру и контроль загружаемой операционной системы (ОС).
Разграничение доступа пользователей к аппаратным ресурсам рабочего места
настраивается администратором на основе настройки индивидуальных прав
(полномочий) каждого пользователя.
6.8. Crypton Disk
Средство защиты информации от несанкционированного доступа Crypton Disk
подключается к шифратору (программному эмулятору или аппаратному КРИПТОНу) и
позволяет создавать секретные логические диски, содержимое которых шифруется в
прозрачном (незаметном для пользователя) режиме и доступно только для владельца
диска. При чтении какой-либо программной информации с секретного диска эта
информация расшифровывается, а при записи - зашифровывается.
Crypton Disk не требует от пользователя дополнительных усилий: для доступа к
секретному диску его владельцу достаточно предъявить носитель ключей и ввести
пароль. Секретный диск существует в виде файла-контейнера (можно запретить
незарегистрированным пользователям случайное или преднамеренное уничтожение
файлов-контейнеров); для законного владельца секретный диск предстает в виде
еще одного логического диска.
Crypton Disk позволяет пользователям закрывать доступ ко всем логическим
дискам по истечении установленного времени и/или комбинации горячих клавиш.
6.9. Crypton Lock
Случалось ли Вам забывать пароль для входа в операционную систему? А, может,
от Вас уходил системный администратор, который не оставил своего пароля?
Или Ваши сотрудники раздают пароли для входа в сеть направо и налево, и Вы
никогда не знаете, сколько пользователей находится в сети и кто они?
ВЫ МОЖЕТЕ ЗАБЫТЬ О ПРОБЛЕМАХ С ПАРОЛЕМ (Рис. 6.9.1.).
Модуль санкционированного доступа Crypton
Lock для Windows NT 4.0/2000 позволит Вам:
§ хранить пароль в защищенной памяти брелока e Token для шины USB;
§ обеспечить вход в систему только зарегистрированных пользователей по
предъявлении брелока;
§ блокировать систему на время отсутствия
Рис. 6.9.1.
оператора на рабочем месте. Администратору безопасности достаточно один раз
ввести пароли в память брелоков и раздать брелоки пользователям; сообщать
пароли пользователям не нужно.
От пользователя потребуется лишь получить брелок (так же, например, как ключи от
помещения) и предъявить его при входе в систему, сообщив свое имя для
регистрации. ПАРОЛЬ ТЕПЕРЬ МАТЕРИАЛЕН, его можно хранить и учитывать,
как любой материальный объект.
Для работы модуля Crypton Lock необходимы операционная система Windows NT 4.0
или 2000 и сам брелок.
При покупке брелока в Фирме АНКАД предоставляется возможность также хранить в
его памяти ключи шифрования и электронной цифровой подписи для продуктов
серии КРИПТОН/Crypton: КРИПТОН®Шифрование, КРИПТОН®Подпись, Crypton ArcMail,
Crypton Word, Crypton Excel.
Страницы: 1, 2, 3, 4
|