Система криптографічного захисту інформації в мережах зв’язку М-484 ФОРТ

Система криптографічного захисту інформації в мережах зв'язку "М-484 ФОРТ"

Призначення:

захисту
Побудова мереж зв'язку для передачі інформації, що становить Державну таємницю (гриф "таємно" та "цілком таємно"), а також побудова корпоративних мереж захищеного електронного документообігу, що не становить державної таємниці (гриф "конфіденційно"). За принципом побудови належить до систем накладеного захисту. На відміну від систем вбудованого захисту, в яких компоненти захисту вбудовуються в програмно-апаратні засоби та є їх невід'ємною частиною, системи накладеного захисту передбачають сполучення з програмно-апаратними засобами та мережами, що створювалися без урахування можливості доповнення засобами криптографічного захисту інформації. Вказана обставина вигідно відрізняє СКЗІ "ФОРТ" від аналогічних. Це дозволяє гнучко будувати накладені мережеві рішення для організації захисту конфіденційної інформації в системах типу "Банк-Клієнт", а також створювати систему цифрового підпису (ЦП) у мережах електронної торгівлі, автоматизованої бухгалтерії та ін.

Початкова інформація для побудови мереж зв'язку на базі СКЗІ «ФОРТ»

Система криптографічного захисту інформації (СКЗІ) "ФОРТ" на базі сертифікованого ФАПСІ приладу "ПКЗІ-КС" (М-484) дозволяє створювати мережі засекреченого зв'язку для передачі інформації, що становить державну таємницю (гриф "таємно"), а також передачі конфіденційної інформації.

СКЗІ "ФОРТ" за принципом побудови відноситься до систем накладеного захисту. На відміну від систем вбудованого захисту, в яких компоненти захисту вбудовуються в програмно-апаратні засоби та є їх невід'ємною частиною, системи накладеного захисту припускають сполучення зпрограмно-апаратними засобами, що створювалися без урахування можливості їхнього доповнення засобами криптографічного захисту інформації.

СКЗІ "ФОРТ" може бути застосована в системах передачі даних у разі можливості включення приладів "ПКЗІ-КС" між апаратурою обробки інформації та апаратурою передачі інформації асинхронним інтерфейсом RS-232C з організацією передачі інформації "точка - точка".

У разі включення приладів "ПКЗІ-КС" між модемом та засобами обробки інформації при роботі в дуплексному режимі по виділеній або комутованій лінії, на суміжну по відношенню до приладу апаратуру накладаються такі мінімальні обмеження:

  • при роботі по комутованих каналах зв'язку повинні використовуватися HAYES-команди з обмежувального списку;
  • модеми повинні вибиратися зі списку модемів, перевірених та узгоджених ФАПСІ, або узгоджуватися знову із проведенням низки спеціальних перевірок. При цьому не накладаються будь-які інші обмеження на апаратуру обробки інформації, що дозволяє використовувати практично весь парк існуючих на сьогодні типів IBM PC - сумісних комп'ютерів і, що особливо важливо, використовувати весь парк широко поширених комунікаційних програм.

Принципово можливе включення приладів в іншій конфігурації побудови систем передачі даних, але при цьому для поєднання з приладами "ПКЗІ-КС" необхідно забезпечити низку умов:

  • доведення інформації каналами зв'язку має забезпечуватися з допомогою алгоритмів, реалізованих поза приладу " ПКЗИ-КС";
  • після встановлення з'єднання між абонентами (фізично) повинен бути забезпечений обмін службовою інформацією між приладами "ПКЗІ-КС" для синхронізації роботи абонентів за ключами шифрування, післячого весь потік інформації між приладами засекречується.

Однією з основних властивостей є несекретність приладу до моменту його ініціалізації. Після ініціалізації прилад стає несекретним після вимкнення живлення. Це дає можливість забезпечувати необхідні режимні вимоги під час роботи з апаратурою лише у робочий час.

Сам процес ініціалізації зведений до ряду найпростіших дій, що виконуються за "підказками", що відображаються на індикаторі приладу, і полягає в установці операторами в прилад виданих ним інтелектуальних карт і завдання необхідних параметрів за допомогою стандартної клавіатури ПЕОМ.

Слід зазначити, що періодичність зміни ключів у СКЗІ "ФОРТ" складає півроку, що суттєво спрощує процес експлуатації системи. Безпосередньо під час експлуатації СКЗІ "ФОРТ" Замовник використовує приписані спочатку об'єктам та користувачам інтелектуальні карти, що забезпечує реалізацію необхідної конфігурації ключової мережі.

У СКЗІ "ФОРТ" реалізовано систему повнодоступної ключової матриці, яка забезпечує можливість зв'язку абонентів "кожний з кожним".

Обмеження, які необхідно враховувати при побудові ключової мережі, пов'язані з обмеженим числом ключів, які можуть бути внесені на інтелектуальну картку та пам'ять приладів. Замовнику надається сприяння у побудові ключової мережі для оптимального вибору кількості приладів та розподілу ключів з урахуванням реального графа зв'язку між користувачами в системі.

При виборі кількості приладів, що купуються, Замовник повинен враховувати вимоги щодо відновлення засекреченого зв'язку при відмові приладів. У випадку особливо відповідальних мереж, де потрібна безперервна робота в умовах відмови апаратури, Замовник повиненвводити резервування приладів у системі ("гарячий" або "холодний" резерв), а також передбачати ЗІП на об'єктах (одиноковий або груповий) з урахуванням часу відновлення приладу, що відмовив. Слід врахувати, що введення резервування та ЗІП також впливає на замовлення ключових документів, оскільки у службових картах служби безпеки об'єктів зазначаються унікальні номери приладів, які можуть бути ініціалізовані службою безпеки на кожному об'єкті.

Перелік дій порушника, що паруються СКЗІ

  • Спроба одержання несанкціонованого доступу (НСД) до інформації, операції;
  • Спроба модифікації програмного забезпечення терміналів АРМ системи, які завдають шкоди клієнту чи системі;
  • Спроба коригування (спотворення) інформації, що зберігається у файлах терміналу або передається по каналах зв'язку;
  • Спроба видачі себе за іншого клієнта шляхом викрадення та використання його картки з метою використання його ресурсу;
  • Спроба видачі себе за іншого оператора для зняття з себе відповідальності або використання чужих, переважаючих повноважень. Спроба зміни своїх повноважень або інших операторів, у тому числі спроба внесення "незаконних" операторів;
  • Повторна передача раніше сформованого штатним чином тексту, що призводить до шкоди для клієнта або системи (спроба нав'язування);
  • Спроба відмовитися від факту передачі чи отримання інформації, яка насправді була отримана, неправдиві відомості про час її отримання. Неправдиве твердження про передачу інформації, яка насправді не передавалася;
  • Спроба підробки SMART-card з метою одночасного доступу до системи кількох клієнтів та незаконного одержання ресурсів (дублерами законного клієнта);
  • Спроба несанкціонованогоотримання конфіденційних чи службових даних (криптографічних ключів чи паролів) методами аналізу паразитних електромагнітних випромінювань;
  • Спроба несанкціонованого отримання конфіденційних чи службових даних шляхом встановлення спеціальних програмно-апаратних пристроїв у засоби системи.

Передбачається, що потенційний порушник є спеціалістом вищої кваліфікації, тобто. знає все про інформаційну систему, про систему та засоби захисту та має весь обсяг можливостей осіб, які здійснюють проектування, експлуатацію та ремонт технічних засобів, аж до включення до складу обчислювальних засобів власних програмних технічних засобів з новими функціями з обробки інформації.

Реалізовані функції:

Основні технічні характеристики

Варіанти постачання приладів СКЗІ «ФОРТ»:

Основні функціїМодифікація приладу
ПКЗІ-МСПКЗІ-КМПКЗІ-КПКЗІ-КС
Ступінь конфіденційності інформації, клас стійкості"конфіденційно" клас "С""цілком секретно" клас "КДС-2.03""конфіденційно" клас "С""таємно" клас "КДС-2.03"
Режим роботиабонентський канальнийканальнийканальнийканальний
Режим автентифікації++++
Формування цифрового підписуГОСТ Р34.10-94, ГОСТ Р34.10-2000---

Захист інформації, що передається супутниковими каналами зв'язку

Особливістю побудови приладів М-484 є їхнезалежність роботи від обраних замовником засобів передачі даних, що потрібно підтвердити для космічних каналів, що утворюються обладнанням «ГлобалТел».

Прилади М-484 підключаються за стандартним асинхронним інтерфейсом RS-232c у розрив між комп'ютером (або іншими засобами обробки інформації) і HAYES-модемом, забезпечуючи криптографічний захист інформації на швидкостях до 115 Кбіт.

При використанні даних приладів у каналах зв'язку може передаватися інформація з гриф секретності «конфіденційно», «таємно», «сов. таємно».

Схеми випробувань наведені на рисунках:

система

Рис.1. Підключення двох об'єктів через космічний канал

захисту

Як програмний засіб доведення на випробуваннях використовувалася стандартна телекомунікаційна програма NetMeeting.

В результаті проведених випробувань підтверджено повну сумісність обладнання, наданого компанією «ГлобалТел» (супутниковий модем Qualcomm GSP1620, автокомплект Qualcomm GCK1410 на базі мобільного терміналу Qualcomm GSP1600) з приладами М-484.

Швидкість і якість передачі в каналах зв'язку визначається швидкістю передачі супутникового каналу і змінюється при підключенні приладів М-484. На випробуваннях зафіксовано швидкість передачі даних між абонентами від 2.0 до 8.4 Кбітс.

Для уточнення технічних характеристик «Система криптографічного захисту інформації в мережах зв'язку "М-484 ФОРТ"», а також для отримання інформації про наявність та умови постачання Ви можете заповнити форму запиту нижче.

Увага! Постачання обладнання здійснюється тільки юридичними особами і лише за безготівковим розрахунком.