Аппаратные криптосистемы

Назначение:

-шифрование сетевого трафика;

-реализация функции цифровой подписи;

-шифрование данных на магнитных носителях;

-управление доступом к ПК и ПО.

Основные параметры:

-тип применяемого алгоритма шифрования (RSA, DES, ГОСТ 28147-89);

-длина ключа шифрования (128-2048 бит);

-скорость шифрования (33 Кбит/с – 100Мбит/с).

Типовой состав: криптопроцессор, ОЗУ, ПЗУ BIOS, генератор случайных чисел, внешний интерфейс.

Варианты исполнения:

-отдельное устройство, присоединяемое к порту ПК (например THALES (Racal) DataСryptor 2000);

-плата расширения ПК (Криптон);

-Шифрующий модем в исполнении PCMCIA;

-криптопроцессор, встроенный в сетевую карту;

-модуль расширения к маршрутизатору.

Обеспечение физической защищенности: Выполнение в закрытом взломоустойчивом корпусе: криптографический модуль внутри корпуса помещён в конверт тонкой плёнки на эпоксидной смоле для контроля взлома. Также в конверте имеются датчики на движение, температуру и химическое воздействие. Батарея, поддерживающая работу электроники, расположена внутри корпуса, но вне конверта, что позволяет проводить обслуживание в сервис-центрах. Повреждение защитного конверта вызывает состояние " критической тревоги" и все ключи и алгоритмы стираются.

Комплекс криптографической защиты информации (СКЗД) семейства " Криптон" (компания “Анкад”)

Устройство " Криптон" предназначено для криптографической защиты (шифрования) информации, обрабатываемой на компьютерах IBM PC.

Основные технические характеристики:

-скорость обработки информации - до 300 Кбайт/с;

-длина ключа - 256 бит;

-носителем ключевой информации служит магнитная дискета или смарт-карта;

-программное обеспечение позволяет осуществлять: шифрование файлов, групп файлов и разделов дисков; защиту информации, передаваемой по открытым каналам связи, разграничение и контроль доступа к компьютеру; электронную подпись юридических и финансовых документов.

Аппаратная часть

" Криптон" представляет собой плату размером 150х105 мм, на которой размещены:

-Узел шифрования, спроектированный па базе специализированной заказной СБИС “Блюминг”, непосредственно выполняющей операции шифрования/расшифрования. Для повышения надежности функционирования узел шифрования содержит две такие параллельно работающие СБИС. Кроме того, узел шифрования содержит ОЗУ, предназначенное для хранения трех ключей.

-Микросхема ПЗУ, содержащая BIOS платы КРИПТОН, программу начальной тестовой проверки работоспособности платы и программу загрузки в СБИС шифрования ключа.

-Схема генерации случайной бинарной последовательности (датчик случайных чисел - ДСЧ, выполненный на основе специальных диодов, генерирующих высококачественный " физический" шум).

-Контроллер интерфейса с шиной ISA.

-Переключатели, определяющие режим работы платы и адресацию ПЗУ.

Максимальная длина пароля в системе КРИПТОН-3 — 37 символов. Длина пароля определяет стойкость системы. Поэтому рекомендуется использовать длинные пароли с неповторяющимися символами. СКЗД реализует криптографические алгоритмы, являющиеся государственными стандартами Федерации:

-Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования.

-ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования.

-ГОСТ Р 34.10-94 Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма.

Алгоритм шифрования реализован аппаратно на основе специализированной БИС " Блюминг-1".

Аппаратная реализация позволяет гарантировать целостность алгоритма криптографического преобразования. Использование СБИС также позволяет загружать ключи шифрования до загрузки операционной системы в регистры шифропроцессора и хранить их там в процессе обработки файлов без выгрузки в ОЗУ, что гарантирует сохранность ключей от несанкционированного доступа. СКЗД " Криптон-4" сертифицирован ФАПСИ в составе ряда автоматизированных рабочих мест.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ 3

1. УГРОЗЫ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫМ СИСТЕМАМ 5

1.1. Основные понятия информационной безопасности 5

1.2. Классификации угроз безопасности КС 7

1.3. Каналы, способы и средства воздействия угроз 13

2. КС И ИХ КОМПОНЕНТЫ КАК ОБЪЕКТЫ ЗАЩИТЫ 18

2.1. Объекты защиты в КС 18

2.2. Классификация КС и характеристика классов 20

3. НАПРАВЛЕНИЯ РАЗРАБОТКИ И ПРИМЕНЕНИЯ СЗИ В КС 23

3.2. Выработка политики безопасности 25

3.3. Направления применения методов и средств ЗИ 28

4. МЕТОДИКА ПОСТРОЕНИЯ 29

ЗАЩИЩЕННЫХ КС 29

4.1. Разработка системы организационных и физических мер защиты КС 29

4.2. Разработка системы программно-технических мер защиты КС 31

5. ОРГАНИЗАЦИОННЫЕ МЕРЫ И СРЕДСТВА ЗИ В КС 33

5.1. Характеристика организационных мер и средств защиты КС 33

5.3. Документирование мероприятий по ЗИ 38

6. ТЕХНИЧЕСКИЕ СЗИ В КС 40

6.1. Технические средства защиты КС от НСД 40

6.2. Технические методы и средства защиты целостности и бесперебойности функционирования компонентов КС 44

7. ТЕХНИЧЕСКИЕ СРЕДСТВА КОНТРОЛЯ ДОСТУПА К КОМПОНЕНТАМ КС 45

7.1. Классификация систем контроля доступа (СКД) 45

7.2. СКД на основе считывания ключевой информации 46

7.3. СКД на основе считывания биометрических признаков 52

7.4. Исполняющие подсистемы СКД 57

8. СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕСПЕРЕБОЙНОГО И БЕЗОПАСНОГО ЭЛЕКТРОПИТАНИЯ КС 58

8.1. Организация бесперебойного электропитания 58

8.2. Устройства бесперебойного электропитания 63

9. МЕТОДЫ И СРЕДСТВА УНИЧТОЖЕНИЯ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ 67

9.1. Особенности хранения компьютерной информации на физических носителях 67

9.2. Методы уничтожения информации без разрушения носителя. 69

10. ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ КОМПЬЮТЕРНЫХ КОММУНИКАЦИЙ 75

10.1. Использование активного коммуникационного оборудования 75

10.3. Серверы доступа и модемы DSL 78

10.4. Маршрутизаторы (routers) 81

10.5. Аппаратные криптосистемы 85