Пояснительная записка (1209844), страница 4

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

Формирование списка подлежащих контролю объектов с указанием пути к каждому контролируемому файлу и координат каждого контролируемого сектора производится с помощью программы управления шаблонами контроля целостности.

Контроль целостности функционирует под управлением операционных систем, использующих следующие файловые системы: NTFS5, NTFS, FAT32, FAT16, FAT12, UFS, EXT2 и EXT3

Администратор имеет возможность задать режим работы электронного замка, при котором будет блокирован вход пользователей в систему при нарушении целостности контролируемых файлов.

3.1.1.5 Контроль целостности системного реестра Windows

Данная возможность позволяет контролировать неизменность системного реестра Windows, что существенно повышает защищенность рабочих станций от несанкционированных действий внутри операционной системы.

3.1.1.6 Регистрация попыток доступа к ПЭВМ

Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. Таким образом, электронный замок «Соболь» предоставляет администратору информацию обо всех попытках доступа к ПЭВМ. В системном журнале фиксируются следующие события:

• факт входа пользователя и имя пользователя;

• предъявление незарегистрированного идентификатора пользователя;

• введение неправильного пароля;

• превышение числа попыток входа в систему;

• число и дата НСД;

• контроль конфигурации.

ПАК «Соболь» позволяет контролировать неизменность конфигурации компьютера – PCI–устройств, ACPI, SMBIOS и оперативной памяти. Данная возможность существенно повышает защиту Вашей рабочей станции.

3.1.2 Secret Net 7

Система Secret Net предназначена для защиты от несанкционированного доступа к информационным ресурсам компьютеров, функционирующих под управлением операционных систем MS Windows, включая 64–битные версии.

Сертификаты ФСТЭК России позволяют использовать СЗИ от НСД Secret Net для защиты конфиденциальной информации, персональных данных, коммерческой и государственной тайны (до грифа «совершенно секретно» включительно). Среди ключевых возможностей Secret Net:

• защита входа пользователей в систему, в том числе с использованием персональных идентификаторов;

• разграничение доступа пользователей к информационным ресурсам и устройствам;

• контроль печати;

• теневое копирование выводимой информации;

• замкнутая программная среда;

• автоматическое уничтожение содержимого файлов при их удалении,

• контроль неизменности аппаратной конфигурации;

• регистрация событий безопасности в журнале Secret Net;

• централизованное управление системой защиты, оперативный мониторинг, аудит безопасности;

• защита терминальных сессий на основе «тонких клиентов»;

• возможность масштабирования системы за счет создания иерархии серверов.

3.1.2.1 Назначение

Secret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:

• №152–ФЗ ("О персональных данных");

• №98–ФЗ ("О коммерческой тайне");

• №5485–1–ФЗ ("О государственной тайне");

• СТО БР ИББС (Стандарт Банка России).

3.1.2.2 Возможности

Основные возможности Secret Net 7:

• аутентификация пользователей;

• разграничение доступа пользователей к информации и ресурсам автоматизированной системы;

• доверенная информационная среда;

• контроль утечек и каналов распространения конфиденциальной информации;

• контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации;

• централизованное управление системой защиты, оперативный мониторинг и аудит безопасности;

• масштабируемая система защиты, возможность применения Secret Net (сетевой вариант) в организации с большим количеством филиалов;

• защита терминальной инфраструктуры и поддержка технологий виртуализации рабочих столов (VDI).

3.2 USB-ключи

3.2.1 Рутокен

В основе линейки Рутокен лежат программно–аппаратные решения. Многообразие сфер применения и различных способов использования продукции Рутокен имеет в основе совокупность технологий, обеспечивающих как возможность работы самих устройств, так и их коммуникации с внешним миром. Эти технологии представляют собой реализации стандартизованных процессов, характерных для информационных систем, использующих элементы информационной безопасности и защиты информации, в том числе и криптографической. К базовым технологиям относятся реализация криптографических алгоритмов и протоколов, операционная и файловая система Рутокен, а также способы взаимодействия с приложениями и пользователями.

3.2.1.1 Микропроцессорная технология

Сердцем и мозгом основных продуктов линейки Рутокен служат 32–разрядные высокопроизводительные микропроцессоры архитектуры ARM. Благодаря значительной вычислительной мощности процессора ресурсоемкие вычисления, такие как генерация ключевых пар, вычисление и проверка электронной подписи выполняются достаточно быстро, несмотря на отсутствие специальных ускорителей криптографических операций.

На скорость вычислений также оказывает влияние тот факт, что вся микропрограмма устройств Рутокен реализована на компилируемом языке, который в отличие от, например, Java дает гораздо больше возможностей по оптимизации. В аппаратных решениях Рутокен используются современные защищенные микроконтроллеры с большим объемом энергонезависимой памяти для хранения пользовательских данных.

3.2.1.2 Операционная система Рутокен

Работоспособность смарт–карт и токенов, как их разновидности, обеспечивается специальной операционной системой. В мире существует относительно небольшое количество таких систем: как правило, своя операционная система имеется у производителей чипов смарт–карт, крупных производителей которых насчитывается около десятка. Системы можно разделить на две группы: ОС с фиксированной файловой системой и ОС с динамической загрузкой приложений. ОС Рутокен по такой классификации относится к ОС с фиксированной файловой системой, поскольку загрузка приложений в нее не предусмотрена.

Операционная система отвечает за обработку команд, работу с файловой системой, оперативной памятью, выполнение «приложений». Приложениями в данном случае, например, можно считать криптографические алгоритмы. Для обеспечения совместимости с приложениями операционные системы смарт–карт должны соответствовать определенным стандартам, регламентирующим систему команд, файловую систему и т.п. Основной международный стандарт ISO/IEC 7816–4, которому соответствует и операционная система Рутокен.

3.2.1.3 Система команд

Карточная операционная система имеет мало общего с операционной системой в обычном понимании, поскольку, например, не имеет средств для интерактивного взаимодействия с пользователем. Взаимодействие со смарт–картами и токенами возможно через специальную систему команд. Команды формируются пользовательскими приложениями или терминалами. В ответ на команды токен производит различные операции и формирует ответы. Команды и ответы составляют протокол, который называется APDU (Application Protocol Data Unit). Стандарт APDU определен в ISO/IEC 7816–4. Протоколы карт различных производителей как правило составляют определенное подмножество этого стандарта.

3.2.1.4 Файловая система

Как и любая другая, файловая система Рутокен является частью ОС, предназначенной для хранения данных и обеспечения доступа к ним, а также разграничения прав. Файловая система регламентируется тем же стандартом ISO/IEC 7816–4. Особенность файловой системы токена состоит в том, что различные виды данных хранятся в различных типах объектов, содержащих кроме всего прочего атрибуты безопасности. Окружение безопасности (Security Environment) используется для удобной настройки параметров криптографических операций. Для хранения ключевой информации: ключей шифрования, сертификатов и т.п. используются файлы Rutoken Special File (RSF–файлы). Разные виды ключевой информации хранятся в предопределенных папках с автоматическим выбором нужной папки при создании и использовании RSF–файлов.

3.2.1.5 Аутентификация пользователя токена

Основные возможности аутентификации пользователей:

• поддержка 3–х категорий владельцев: Администратор, Пользователь, Гость;

• поддержка 2–х Глобальных PIN–кодов: Администратора и Пользователя;

• поддержка Локальных PIN–кодов для защиты конкретных объектов (например, контейнеров сертификатов) в памяти устройства;

• настраиваемый минимальный размер PIN–кода (для любого PIN–кода настраивается независимо);

• поддержка комбинированной аутентификации: по схеме. «Администратор или Пользователь» и аутентификация по Глобальным PIN–кодам в сочетании с аутентификацией по Локальным PIN–кодам.

• индикация факта смены Глобальных PIN–кодов по умолчанию на оригинальные.

3.2.1.6 Криптографические операции

Современные модели аппаратных устройств Рутокен кроме хранения данных и ключевой информации способны выполнять ряд криптографических алгоритмов, в число которых входят:

• поддержка алгоритмов ГОСТ Р 34.10–2012 и ГОСТ Р 34.10–2001: генерация ключевых пар, формирование и проверка электронной подписи;

• поддержка алгоритмов ГОСТ Р 34.11–2012 и ГОСТ Р 34.11–94: вычисление значения хэш–функции данных, в том числе с возможностью последующего формирования электронной подписи;

• поддержка алгоритма ГОСТ 28147–89: генерация и импорт ключей шифрования, шифрование данных в режимах простой замены, гаммирования и гаммирования с обратной связью, вычисление и проверка криптографической контрольной суммы данных (имитовставки ГОСТ);

• выработка сессионных ключей (ключей парной связи) по схемам VKO GOST R 34.10–2001 (RFC4357) и VKO GOST R 34.10–2012;

• генерация последовательности случайных чисел требуемой длины;

• поддержка алгоритма RSA, с ключами до 2048 бит.

3.2.1.7 Двухфакторная аутентификация

Одно из основных применений USB–токенов и смарт–карт — строгая двухфакторная аутентификация, в процессе которой используются аутентификационные факторы нескольких типов. В случае с USB–токенами Рутокен или TrustScreen–устройствами Рутокен PINPad первым фактором аутентификации выступает сам токен или устройство, а вторым фактором PIN–код, который необходим для доступа к ним.

3.2.1.8 Интерфейс USB

USB на сегодняшний день является основным способом подключения всевозможных устройств к компьютерам. Надежность, простота использования, высокая скорость, универсальность и возможность «горячего» переподключения устройств определяют широчайшую распространенность этого интерфейса: от серверов до мобильных устройств. Поддержка USB присутствует практически в любой современной операционной системе. Поэтому вполне естественно, что устройства Рутокен используют именно этот интерфейс в различных его вариантах.
Спецификация USB CCID (Chip Card Interface Devices) широко используется для считывателей смарт–карт, подключаемых через интерфейс USB. Большое количество приложений использует драйверы USB CCID, входящие в состав операционных систем, что решает проблемы совместимости и поддержки пользователей. Реализации этого драйвера имеются практически во всех широко используемых операционных системах. Основные модели Рутокен работают на основе этой спецификации.
Интерфейс USB HID не типичен для токенов и считывателей смарт–карт, но поскольку драйвер USB HID присутствует практически во всех современных операционных системах, он был использован для идентификаторов Рутокен Web. Применение этого интерфейса позволяет сделать Рутокен Web работоспособным почти на любых платформах. Пользователю не нужно беспокоиться об установке каких–либо дополнительных драйверов, что снижает риски возникновения технических проблем и сильно удешевляет техническую поддержку.

3.2.1.9 Безопасность WEB–решений

Большинство Web–сервисов, обеспечивающих получение определенных услуг или доступ к Web–приложениям, прочно вошли в нашу жизнь. При проектировании этих сервисов следует помнить о минимальном наборе средств, которые позволят обеспечить необходимый уровень безопасности при использовании Web–сервиса. В этот набор входят:

• безопасная регистрация на Web–сервисе;

• аутентификация на Web–сервисе;

• электронная подпись данных;

• защита обмена информацией с Web–сервисом;

• защита от атак, связанных с подменой Web–сервиса (фишинг, спуфинг);

• обеспечение доверенной среды.

Последнее означает, что операционная система, в которой работает получатель услуги, должна быть свободной от вирусов, программ–шпионов и иного вредоносного софта. Помимо этого она должна быть защищена от удаленного управления USB–over–IP. В противном случае наиболее значимые операции следует производить на отдельно подключаемом устройстве.

Компанией «Актив» разработаны специальные кроссплатформенные и мультибраузерные плагины, которые позволяют использовать функциональность устройств Рутокен ЭЦП, Рутокен Web и Рутокен PINPad непосредственно из скриптов и апплетов Web–страницы. На данный момент существуют следующие варианты плагинов:

• плагин Рутокен Web позволяет реализовать строгую двухфакторную аутентификацию на Web–сервисе;

• рутокен Плагин реализует электронную подпись, шифрование и строгую двухфакторную аутентификацию для Web–cервисов, при этом используется аппаратная реализация российских криптоалгоритмов в устройствах Рутокен. Для интеграции с PKI в продукте реализована поддержка цифровых сертификатов формата X.509, запросов на сертификаты PKCS#10 и защищенных сообщений в формате CMS.

3.3 Программный комплекс «МагПро КриптоТуннель»

С помощью данного сертифицированного криптографического средства Вы сможете с наименьшими затратами времени и средств обеспечить защиту обмена конфиденциальной информацией между Вашим Интернет–сервисом и его пользователями.

Основным назначением МагПро КриптоТуннель является защита соединений по протоколу HTTP, терминального доступа по протоколу RDP, электронной почты и т.п. МагПро КриптоТуннель поддерживает электронную подпись данных и документов при передаче их через Web–форму.

МагПро КриптоТуннель удобен тем, что:

• не требует установки на пользовательских местах;

• не требует специального обучения пользователей;

• позволяет работать непосредственно со съемного носителя (например, USB–Flash) на любом компьютере;

• позволяет использовать любой Интернет–браузер для защищенного web–соединения;

• имеет минималистичный и интуитивно–понятный пользовательский интерфейс;

• может устанавливать соединение с любым сервером, защищенным с помощью алгоритмов ГОСТ (IIS с КриптоПро CSP, Apache с МагПро КриптоПакет и т.д.);

• может подписывать данные и документы, переданные пользователем через Web–форму, юридически значимой электронной подписью;

• позволяет пользователю не вводить URL сайта, что защищает от интернет–мошенничества в виде фишинга, DNS–спуфинга и т.п.

3.3.1 Применение

Характеристики

Список файлов ВКР