авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:     | 1 |   ...   | 4 | 5 ||

«Е.И. ДУХАН, Н.И. СИНАДСКИЙ, Д.А. ХОРЬКОВ ПРИМЕНЕНИЕ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ ЗАЩИТЫ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ Допущено УМО по ...»

-- [ Страница 6 ] --

В данном СКЗИ используется симметричный алгоритм криптографиче ского преобразования, который выполнен в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая», предусматривающего несколько режимов работы. Шифрование происходит по принципу гаммирования, подразумевающему процесс наложения по опреде ленному закону гаммы шифра на открытые данные (под гаммой понимается псевдослучайная двоичная последовательность, вырабатываемая по заданному алгоритму). Гаммирование обладает следующими полезными свойствами: во первых, все элементы гаммы различны для реальных шифруемых массивов и, следовательно, результат зашифрования даже двух одинаковых блоков в одном массиве данных будет отличаться, во-вторых, хотя элементы гаммы и выраба тываются одинаковыми порциями в 64 бита, использоваться может только часть такого блока с размером, равным размеру шифруемого блока.

ГОСТ 28147-89 также определяет процесс выработки имитовставки.

Имитовставка — это последовательность данных фиксированной длины, кото рая вырабатывается по определенному правилу из открытых данных и ключа шифрования, обеспечивая защиту информации от случайных или преднамерен ных искажений. Имитовставка передается по каналу связи вместе с зашифро ванным сообщением. Поступившие зашифрованные данные расшифровывают ся, и из полученных блоков данных вырабатывается контрольная имитовставка, которая затем сравнивается с имитовставкой, полученной из канала связи. В случае их несовпадения все расшифрованные данные считаются ложными. Ве роятность необнаружения навязанных ложных данных зависит от длины ими товставки и равна 10-9 [39, 40].

СКЗИ Верба-OW является системой с открытым распределением ключей.

Каждый пользователь вырабатывает свой секретный ключ, из которого затем с помощью некоторой процедуры формируется открытый ключ. Открытые клю чи объединяются в справочник.

В данной системе защиты информации ключ зашифрования совпадает с ключом расшифрования (общий закрытый ключ связи). При зашифровании со общения абонентом А для абонента Б общий секретный ключ связи вырабаты вается на основе секретного ключа шифрования абонента А и открытого ключа шифрования абонента Б. Соответственно, для расшифрования этого сообщения абонентом Б формируется секретный ключ связи на основе секретного ключа шифрования абонента Б и открытого ключа шифрования абонента А. Таким образом, для обеспечения связи с другими абонентами каждому пользователю необходимо иметь:

собственный секретный ключ шифрования;

открытые ключи шифрования пользователей сети конфиденциальной связи, объединенные в справочники.

В СКЗИ Верба-OW реализована система электронной цифровой подписи на базе криптографического алгоритма, соответствующего ГОСТ Р 34.10- и ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма». Выбор алгоритма производится автоматиче ски в зависимости от типа секретных и открытых ключей.

Для выработки цифровой подписи используется закрытый ключ подписи.

Открытый ключ подписи используется пользователями для проверки цифровой подписи. При работе с СКЗИ Верба-ОW каждый пользователь, обладающий правом подписи, вырабатывает сам или получает от администратора безопасно сти личные закрытый и открытый ключи подписи. Открытые ключи подписи пользователей объединяются в справочники открытых ключей.

Следовательно, пользователь обладающий правом использования цифро вой подписи, должен иметь в своем распоряжении:

собственный закрытый ключ подписи;

справочник открытых ключей подписи абонентов.

Электронная цифровая подпись вырабатывается на основе электронного документа, требующего заверения, и секретного ключа. Вначале производится «сжатие» документа с помощью функции хэширования (ГОСТ Р 34.11-94 «Ин формационная технология. Криптографическая защита информации. Функция хэширования»). Однонаправленная хэш-функция получает на входе исходное сообщение произвольной длины и преобразует его в хэш-значение фиксиро ванной длины (256 бит согласно ГОСТ Р 34.11-94). Значение хэш-функции сложным образом зависит от содержания документа, но не позволяет восстано вить сам документ. Хэш-функция чувствительна к всевозможным изменениям в тексте, кроме того, для нее практически нельзя подобрать два исходных сооб щения, которые могут иметь одно и то же хэш-значение или одну и ту же циф ровую подпись. Далее к полученному хэш-значению применяется некоторое математическое преобразование, в результате которого и получается собствен но цифровая подпись электронного документа.

При проверке подписи проверяющий должен располагать открытым клю чом пользователя, поставившего подпись. Также он должен быть полностью уверен в подлинности открытого ключа (а именно в том, что имеющийся у него открытый ключ соответствует открытому ключу конкретного пользователя).

Процедура проверки подписи состоит из вычисления хэш-значения документа и проверки некоторых соотношений, связывающих значение с подписью под этим документом и открытым ключом подписавшего пользователя. Документ считается подлинным, а подпись правильной, если эти соотношения выполня ются. В противном случае подпись под документом считается недействительной.

Для разрешения споров между отправителем и получателем информации, связанных с возможностью искажения пересылаемого документа или открыто го ключа проверки подписи, заверенная копия этого ключа может выдаваться третьей стороне (например, администратору безопасности).

Контроль целостности и подлинности справочников открытых ключей осуществляется путем выработки имитовставки, определяемой ГОСТ 28147-89.

3.4.2. Ключевая система СКЗИ Верба-OW В ключевой системе СКЗИ Верба-ОW используется иерархия закрытых ключей:

индивидуальные закрытые служебные ключи, на которых зашифровы ваются закрытые ключи подписи и шифрования;

индивидуальные закрытые ключи подписи и шифрования.

Хранение закрытых ключей подписи и шифрования на съемных носите лях и НЖМД осуществляется в зашифрованном виде на служебных ключах.

Индивидуальные закрытые служебные ключи и закрытые ключи шифрования и ЭЦП изготавливаются с использованием ПО АРМ «АБ-OW» при наличии ли цензии на изготовление ключей. Также с помощью АРМ «АБ-OW2 вырабаты ваются открытые ключи для соответствующих закрытых ключей шифрования и подписи. Закрытые ключи ЭЦП и шифрования могут формироваться с помо щью программного или аппаратного (на базе АПМДЗ Аккорд-NT/2000, Соболь или Криптон) датчика случайных чисел.

СКЗИ Верба предполагает наличие сети обмена конфиденциальной ин формации. Каждая такая сеть имеет уникальный шестизначный номер SSSSSS.

Идентификация пользователя происходит по номерам вида XXXXSSSSSSYY.

Часть XXXX идентифицирует ключевой носитель. YY называется личным ко дом. Для функции шифрования используется идентификация по номерам вида XXXX, для функции цифровой подписи — идентификация по XXXXYY.

Архивы открытых ключей ЭЦП ведутся администратором безопасности в Центре управления ключевой системой (ЦУКС) с целью проверки авторства и целостности архивных электронных документов, а также для разбора кон фликтных ситуаций с клиентами по поводу корректности того или иного элек тронного документа (отказ клиента от сформированного им документа либо в приеме документа). В архивах хранятся открытые ключи ЭЦП всех пользовате лей за период, в течение которого рассматриваются конфликтные ситуации, связанные с использованием ЭЦП (обычно 5 лет).

ВЫПОЛНИТЬ!

1. Запустить виртуальную машину VMware, используя предоставленный пре подавателем образ. Дискета с исходной информацией (лицензионный диск) предназначена для выработки ключей шифрования и ЭЦП пользователей.

Смонтировать в среде VMware предоставленный образ лицензионного дис ка и открыть его для изучения содержимого.

Рис. 3.48. Содержимое лицензионного диска Корневая директория диска (A:\) содержит:

главный ключ (gk.db3), служащий для инициализации датчика случай ных чисел и для шифрования индивидуальных ключей шифрования закрытого ключа шифрования (CKD) и закрытого ключа подписи (CKDI);

узел замены (uz.db3) — долговременный ключевой элемент;

лицензионный файл (license.ini) с информацией о разрешенных для ге нерации ключах подписи и шифрования. Во избежание потери информации файл не должен редактироваться.

Директория DB1 и дублирующая директория DB2 содержат ключевую информацию:

сетевой ключ (ks), являющийся общим для ключей одной серии и исполь зуемый в процессе шифрования при массовой рассылке закрытых сообщений;

номер лицензионного ключевого диска (num).

При помощи данного лицензионного диска и ПО Верба-Клиент необхо димо сформировать ключевые носители информации для двух абонентов.

ВЫПОЛНИТЬ!

2. С помощью ярлыка для запуска Верба-Клиент открыть окно загрузки ключей с ключевого носителя.

Рис. 3.49. Окно загрузки ключей с ключевого носителя 3. В окне нажать на кнопку со стрелкой (), предназначенную для отображе ния/скрытия панели настроек. Далее выбрать пункт «Сгенерировать новый ключ».

Рис. 3.50. Панель настроек окна загрузки ключей После этого произойдет процедура инициализации биологического дат чика случайных чисел (ДСЧ), в процессе необходимо нажимать любые клави ши на клавиатуре. Инициализация ДСЧ выполняется один раз, в последующем потребуется только после перезагрузки операционной системы. Далее появится окно с информацией о лицензии (серия ключей, количество доступных ключей, диапазоны доступных идентификаторов).

ВЫПОЛНИТЬ!

4. Создать в системе виртуальных машин образ новой дискеты (можно ис пользовать копию файла disk_clean.img) и смонтировать ее для работы в виртуальной машине. После форматирования чистого носителя можно бу дет использовать данную дискету для генерации ключей.

5. Ввести идентификатор нового ключа, определив сначала в выпадающем списке четырехзначный код ключа шифрования, а затем двухзначный лич ный код (ключевая серия определяется из лицензии автоматически). По же ланию можно заполнить атрибуты открытых ключей данного ключевого носителя. Сгенерировать ключи для абонента Иванова Ивана Ивановича и записать их на дискету.

6. Загрузить созданные ключи (нажать на кнопку «Загрузить» в окне загрузки ключей). При первой загрузке ключевого носителя будет предложено настроить АРМ Верба-Клиент для работы с ним. Доступно два варианта настройки: ручной и автоматический. В автоматическом режиме программа настраивается для использования всех возможностей, создаются словари для хранения открытых ключей шифрования и открытых ключей подписи (в них сразу добавляются открытые ключи с ключевого носителя).

Рис. 3.51. Окно генерации ключей шифрования и подписи Из главного окна программы Верба-Клиент можно выбирать различные криптографические преобразования (зашифрование, расшифрование, ЭЦП, снятие ЭЦП, ЭЦП + зашифрование, расшифрование + снятие ЭЦП). Любая функция СКЗИ активируется перемещением объекта на ее наименование в окне программы и при необходимости активируется кнопкой «Старт».

Рис. 3.52. Интерфейс программы Верба-Клиент ВЫПОЛНИТЬ!

7. Закрыть программу, создать еще один образ дискеты и повторить процеду ру генерации ключей (используя другой номер ключа) для абонента Петров Петр Петрович. После этого загрузить ключевой носитель в программу Верба-Клиент, выбрав детальную настройку. Выбрать параметры по умол чанию за исключением копирования ключей, подготовленных для хранения на НЖМД.

8. Проанализировать содержимое созданной ключевой дискеты.

Ключевая дискета содержит следующие файлы и каталоги:

главный ключ (GK.DB3) и узел замены (UZ.DB3);

каталог DB1 для хранения закрытых ключей пользователя:

o закрытый ключ подписи XXXXYY.FSG — для формирования элек тронной подписи документа;

o индивидуальные ключи шифрования CKD и CKDI — для хранения за крытого ключа шифрования и подписи на жестком диске, шифрования оперативной информации, выработки имитовставок из справочника открытых ключей шифрования;

o сетевой ключ (ks) и номер лицензионного ключевого диска (num);

o файл NUMP — содержит строку с полным номером ключа подписи в формате XXXXSSSSSSYY;

o закрытый ключ шифрования SECRET.KEY — для формирования ключа связи для шифрования сообщения.

каталог HD1, содержащий открытые ключи:

o открытый ключ шифрования XXXX.PUB — для формирования ключа связи при зашифровании данных;

o закрытый ключ подписи XXXXYY.HSG, подготовленный к хранению на жестком диске, — выполняет функции закрытого ключа подписи и хранится на жестком диске;

o открытый ключ подписи XXXXYY.LFX — для проверки электронной цифровой подписи;

o сетевой ключ KS_XXXX — является общим для номеров одной серии и используется в процессе шифрования при массовой рассылке закры тых сообщений абонентам с другими номерами серий;

o закрытый ключ шифрования SEC_XXXX.KEY, подготовленный к хранению на жестком диске, — выполняет функции закрытого ключа шифрования и хранится на жестком диске.

Рис. 3.53. Содержимое ключевого диска ВЫПОЛНИТЬ!

9. Скопировать файлы XXXX.pub (открытый ключ шифрования), XXXXYY.lfx (открытый ключ подписи) из каталога HD1 на жесткий диск.

10. Смонтировать дискету с ключевой информацией Иванова. Запустить про грамму Верба-Клиент и добавить в справочники ключи из ранее сохранен ных файлов. Проделать те же действия для дискеты Петрова.

11. Зашифровать файл (например, рисунок, представленный на «Рабочем сто ле»), от имени пользователя Иванов для пользователя Петров. Расшифро вать файл от имени Петрова. Проверить промежуточный результат и итог.

Как изменяется размер файла при шифровании по сравнению с исходным?

Как изменяется размер файла при шифровании для двух абонентов? Сде лать выводы и отразить их в отчете.

12. Сформировать ЭЦП Иванова под файлом (рисунком). Найти ее при помощи «Блокнота». Как изменился размер файла по сравнению с исходным? Про верить подпись от имени Петрова. Снять подпись Иванова и поставить под пись Петрова. От имени Иванова проверить возможность постановки дру гой ЭЦП на уже подписанный файл. Как при этом изменяется размер фай ла? Сделать выводы и отразить их в отчете.

ЗАКЛЮЧЕНИЕ Комплексный подход к обеспечению информационной безопасности под разумевает согласованное сочетание организационных, режимных, программ ных, аппаратных, социально-психологических и других методов и средств. Но все же основой стройной системы защиты компьютерной информации являют ся программные, аппаратные или программно-аппаратные средства. Мы наде емся, что пособие сформирует у читателя убеждение в целесообразности при менения для организации системы защиты мощных профессиональных про граммно-аппаратных СЗИ.

В настоящее время на рынке систем безопасности представлен весьма широкий выбор СКЗИ, СЗИ от НСД и СЗИ сетевого действия. В пособии рас смотрены наиболее распространенные средства защиты, получившие заслу женное признание во многих организациях и учреждениях. Большинство этих средств имеет соответствующие сертификаты. Разработчики средств защиты постоянно совершенствуют свои изделия, расширяя их номенклатуру и функ циональные возможности.

Надеемся, что, прочитав наше пособие, читатель получит достаточную методическую базу, познакомится с основными методами защиты компьютер ной информации, овладеет приведенными в пособии СЗИ, разберется с их осо бенностями. Полученные теоретические знания и практические навыки будут хорошим подспорьем не только для текущей работы по администрированию защищенных автоматизированных систем. Они помогут свободно осваивать новые средства защиты и их версии, которые позволят создавать защищенные автоматизированные системы, удовлетворяющие всем основным принципам защиты: системности, комплексности, непрерывности, разумной достаточно сти, гибкости управления, открытости механизмов защиты и простоты приме нения.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК Безопасность информационных технологий. Критерии оценки безопасно 1.

сти информационных технологий : РД : утв. Гостехкомиссией России. — 2002.

ГОСТ Р 51275–99. Защита информации. Объект информатизации. Факторы, 2.

воздействующие на информацию. — М. : Изд-во стандартов, 1999.

ГОСТ Р 50922–96. Защита информации. Основные термины и 3.

определения. — М. : Изд-во стандартов, 1996.

ГОСТ Р 51624–2000. — М. : Изд-во стандартов, 2000.

4.

Автоматизированные системы. Защита от НСД к информации. Классифи 5.

кация автоматизированных систем и требования по защите информации :

РД : утв. Гостехкомиссией России. — 1992.

Средства вычислительной техники. Защита от НСД к информации. Показа 6.

тели защищенности от НСД к информации : РД : утв. Гостехкомиссией России. — 1992.

Защита от несанкционированного доступа к информации. Термины и опре 7.

деления : РД : утв. Гостехкомиссией России. — 1992.

ГОСТ Р 15408–02. Критерии оценки безопасности информационных техно 8.

логий. — М. : Изд-во стандартов, 2002.

ISO/IEC 17799:2000. Информационные технологии. Свод правил по управ 9.

лению защитой информации. Международный стандарт / ISO/IEC. — 2000.

О персональных данных : Федеральный закон от 27 июля 2006 г. № 152 10.

ФЗ.

Об информации, информационных технологиях и о защите информации :

11.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ.

Положение об обеспечении безопасности персональных данных при их об 12.

работке в информационных системах персональных данных : утв. поста новлением Правительства РФ от 17 ноября 2007 г. № 781.

Типовые требования по организации и обеспечению функционирования 13.

шифровальных (криптографических) средств, предназначенных для защи ты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персо нальных данных при их обработке в информационных системах персо нальных данных : РД : утв. руководством 8 Центра ФСБ России (№ 149/6/6 622 от 21 февраля 2008 г.).

Порядок проведения классификации информационных систем персональ 14.

ных данных : РД : утв. приказом ФСТЭК России, ФСБ России и Минин формсвязи России от 13 февраля 2008 г. № 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 г., рег. № 11462).

Положение о разработке, производстве, реализации и эксплуатации шиф 15.

ровальных (криптографических) средств защиты информации. Положение ПКЗ-2005 : РД : утв. приказом ФСБ России от 9 февраля 2005 г. № 66 (По ложение ПКЗ-2005, зарегистрировано Минюстом России 3 марта 2005 г., рег. № 6382).

Методические рекомендации по обеспечению с помощью криптосредств 16.

безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации :

РД : утв. руководством 8 Центра ФСБ России (№ 149/5-144 от 21 февраля 2008 г.).

Положение о методах и способах защиты информации в информационных 17.

системах персональных данных : РД : утв. приказом ФСТЭК России от 5 февраля 2010 г. № 58.

Дорот В., Новиков Ф. Толковый словарь современной компьютерной лек 18.

сики. — СПб. : БХВ-Петербург, 2004.

Зегжда Д. П., Ивашко А. М. Как построить защищенную информационную 19.

систему. Технология создания безопасных систем / под научн. ред.

П. Д. Зегжды, В. В. Платонова. — СПб. : Мир и Семья, 1998. — 256 с.

Девянин П. Н. Теоретические основы компьютерной безопасности: учеб.

20.

пособие для вузов / П. Н. Девянин, О. О. Михальский, Д. И. Правиков, А. Ю. Щербаков. — М. : Радио и связь, 2000. — 192 с.

Ресурсы Microsoft Windows NT Workstation 4.0 : Пер. с англ. / Корпорация 21.

Майкорософт. — СПб. : BHV – Санкт-Петербург, 1998. — 800 с.

Проскурин В.Г., Крутов С.В., Мацкевич И.В. Программно-аппаратные 22.

средства обеспечения информационной безопасности. Защита в операци онных системах : учеб. пособие для вузов. — М. : Радио и связь, 2000. — 168 с.

Гайдамакин Н. А. Автоматизированные системы, базы и банки данных.

23.

Вводный курс : учеб. пособие. — М. : Гелиос АРВ, 2002. — 368 с.

Гайдамакин Н. А. Разграничение доступа к информации в компьютерных 24.

системах. — Екатеринбург : Изд-во УрГУ, 2003. — 328 с.

Хорев П. Б. Методы и средства защиты информации в компьютерных си 25.

стемах : учеб. пособие для вузов. — М. : Академия, 2005. — 256 с.

Щеглов А. Ю. Защита компьютерной информации от несанкционированно 26.

го доступа / под ред. М. В. Финкова. — СПб : Наука и техника, 2004. — 384 с.

Система защиты информации от несанкционированного доступа Страж NT.

27.

Версия 2.0. Описание применения. УИМ.00025-01 31 [Электронный ре сурс]. — 53 с.

Система защиты информации от несанкционированного доступа Dallas 28.

Lock 7.7. Руководство по эксплуатации [Электронный ресурс]. — 88 с.

Система защиты информации Secret Net 5.0-С. Автономный вариант для 29.

Windows. Руководство по администрированию [Электронный ресурс]. — 142 с.

Программно-аппаратный комплекс средств защиты информации от несанк 30.

ционированного доступа Аккорд-NT/2000 (версия 2.0). Описание примене ния [Электронный ресурс]. — 30 с.

31. Система защиты конфиденциальной информации StrongDiskPro. Вер сия 2.8.5. Руководство пользователя [Электронный ресурс]. — 31 с.

32. Система защиты конфиденциальной информации Secret Disk. Версия 2.0.

Руководство пользователя [Электронный ресурс]. — 116 с.

33. Петров А. А. Компьютерная безопасность. Криптографические методы за щиты — М. : ДМК, 2000. — 448 c.

34. Молдовян А. А., Молдовян Н. А., Советов Б. Я. Криптография. — СПб. :

Лань, 2000. — 224 с.

35. Алферов А. П. Основы криптографии : учеб. пособие / А. П. Алферов, А. Ю. Зубов, А. С. Кузьмин, А. В. Черемушкин. — М. : Гелиос АРВ, 2001. — 480 с.

36. Брассар Ж. Современная криптология. Руководство : Пер. с англ. — М. :

ПОЛИМЕД, 1999. — 176 с.

37. Разработка политики безопасности организации в свете новейшей норма тивной базы / А. С. Марков, С. В. Миронов, В. Л. Цирлов // Защита инфор мации. Конфидент. — 2004. — № 2. — С. 20–28.

38. Синадский Н. И., Соболев О. Н. Угрозы безопасности компьютерной ин формации : учеб. пособие. — Екатеринбург : Изд-во УрГУ, 2000. — 85 с.

39. Средство криптографической защиты информации Верба-OW (СКЗИ Вер ба-OW) версия 6.1.2. Правила пользования. Руководство администратора безопасности [Электронный ресурс].

40. Программное обеспечение автоматизированного рабочего места электрон но-цифровой подписи и шифрования (ПО АРМ Верба-Клиент). Руковод ство оператора. Правила пользования [Электронный ресурс].

ПРИЛОЖЕНИЕ А Рекомендации по проведению практических занятий Для проведения практических занятий в компьютерных классах рекомен дуется использовать технологию виртуальных машин (система VMware Workstation), позволяющую осуществлять одновременный запуск на одном компьютере нескольких операционных систем.

Работа с образами систем решает ряд методических проблем при прове дении занятий, одной из которых является необходимость присутствия разных систем на одном рабочем месте. Изучение принципов работы СЗИ на практиче ских занятиях требует развертывания каждой из систем на отдельном компью тере. Установленные механизмы защиты полностью блокируют возможность проведения на данном компьютере занятий по изучению других тем. Поэтому средствами VMware Workstation заранее создается образ операционной систе мы MS Windows, который может быть сохранен и размножен для дальнейшей установки различных СЗИ. Каждое СЗИ устанавливается и сохраняется в от дельном файле-образе размером до 2 Гб. Таким образом на одном рабочем ме сте в компьютерном классе создается более десятка различных систем. После сжатия файла-образа программой-архиватором его объем уменьшается до 500 600 Мб, что позволяет сохранять и переносить образы систем на обычных CD ROM дисках.

Второй решаемой проблемой является использование в компьютерных классах разнотипных компьютеров. Особенностью виртуальных машин VMware Workstation является возможность работы образа на любом компьюте ре, удовлетворяющем определенным требованиям по объему свободного дис кового пространства и оперативной памяти (от 128 Мб ОЗУ). Таким образом, полученный образ системы с установленным СЗИ может быть легко размножен практически в любом компьютерном классе.

Третьей проблемой является то, что для изучения одного СЗИ требуется до 6 часов лабораторных работ, расписанием учебных групп чаще всего отво дится 4, а то и 2 часа в неделю. Следовательно, лабораторная работа должна прерываться на определенном этапе с возможностью ее продолжения на оче редном занятии. Система VMware Workstation способна «усыпить» операцион ную систему в определенном состоянии и «разбудить» ее, возобновив изучение с этого же момента. Слушателям при возобновлении занятий не приходится по вторно выполнять настройки ОС и СЗИ и, следовательно, нет необходимости искусственно прерывать ход лабораторной работы.

В четвертых применение системы виртуальных машин позволяет делить группы слушателей на подгруппы и проводить занятия в разное время на одних и тех же рабочих местах, т.к. имитация отдельного компьютера создается до полнительным копированием исходного образа ОС с СЗИ для очередной под группы.

Кроме того, система VMware Workstation позволяет в реальном режиме времени с использованием дискового редактора исследовать изменения, проис ходящие на жестком диске в ходе активизации защитных механизмов СЗИ.

ПРИЛОЖЕНИЕ Б Электронные идентификаторы Электронные ключи Touch Memory Электронные ключи iButton или «Далласские таблетки» часто называют устройствами Touch Memory. Записанная в устройство информация считывает ся контактным методом при прикосновении ключа к считывателю. Ключи вы пускаются в пяти различных модификациях DS1990 – DS1994. Они имеют оди наковое конструктивное исполнение (цилиндрический корпус толщиной 3– 5 мм) и отличаются друг от друга емкостью и организацией памяти. Для удоб ства применения впрессовываются в пластмассовый брелок (рис. П.1). Устрой ства сохраняют работоспособность в диапазоне температур от –20 до +700C, имеют 10-летний срок хранения данных.

Рис. П.1. Внешний вид электронных ключей Touch Memory Электронные ключи DS1990 Touch Serial Number представляют собой постоянное неперепрограммируемое, прожигаемое лазером, запоминающее устройство емкостью 48 бит. Ключи содержат 6-байтный уникальный серий ный номер устройства, присваиваемый при изготовлении чипа. Первый байт памяти содержит код семейства ключей, для DS1990 он тождественно равен 01.

Восьмой байт — контрольная сумма (CRC) первых семи байтов, необходимая для контроля правильности считанной информации. Чаще всего устройства се рии DS1990 используются в системах управления и контроля физического до ступа сотрудников на предприятия или в режимные помещения. Данные ключи не способны запоминать сгенерированный код пользователя, и в СЗИ не при меняются.

Электронные ключи с «защищенной» памятью DS1991 Touch MultiKey, как и DS1990, имеют 48-битный уникальный серийный номер с байтом кода семейства и байтом CRC. Кроме этого имеют дополнительную энергонезави симую память, организованную в виде 4-х страниц. Первые три страницы объ емом по 48 байт каждая имеют защиту от доступа с помощью 8-байтного иден тификационного поля и 8-байтного пользовательского пароля. Четвертая стра ница объемом 64 байта не защищена. MultiKey могут работать как три отдель ных электронных ключа, имеющих защищенную энергонезависимую память, доступную на чтение/запись. При доступе к защищенной памяти проверяется поле ключевого слова. Такая внутренняя структура ключей DS1991позволяет организовывать на базе одного устройства двухфакторную аутентификацию (пароль + индивидуальная кодовая последовательность) и создавать системы разграничения доступа к различным объектам.

Электронные ключи DS1992 Touch Memory 1K-bit имеют память сум марной емкостью 1 Кбит. Внутренняя энергонезависимая перезаписываемая память размером 128 байт организована в виде 4-х страниц по 32 байта. Чтение памяти можно производить с произвольного байта для любой страницы. Запись в DS1992 осуществляется только через специальную буферную 32-байтную страницу. Для идентификации самого устройства ключи Touch Memory имеют дополнительный служебный байт с кодом семейства (для DS1992 равный 08), 6-байтный уникальный серийный номер и байт CRC для проверки считанной информации.

Электронные ключи DS1993 Touch Memory 4K-bit аналогичны устрой ствам DS1992, но отличаются повышенной емкостью (4 Кбита) и организацией памяти. Перепрограммируемая доступная память выполнена в виде 16-ти стра ниц по 32 байта, плюс одна буферная 32-байтная страница. Чтение памяти воз можно с произвольного байта для любой страницы, запись — только через бу ферную страницу. Код семейства (первый байт в уникальном серийном номере для DS1993) равен 06.

Электронные ключи DS1994 Touch Memory 4K-bit Plus Time также име ют энергонезависимую память объемом 4 Кбита, доступную для чтения и запи си. Основная память DS1994 сегментируется на 256-битовые страницы для па кетизированных данных. Сохранность каждого пакета данных обеспечивается соблюдением строгих протоколов чтения/записи. DS1994 имеют встроенные механизмы аудита критичных событий и программируемую реакцию на неко торые из них. Устройство включает в себя часы/календарь реального времени, работающий в двоичном формате (точность часов выше, чем 1 мин/месяц).


Специальный интервальный таймер может автоматически сохранять время, ко гда к устройству было приложено питание. Программируемый счетчик может накапливать количество циклов включения/выключения системного питания.

Программируемые аварийные действия могут быть установлены при генерации прерываний интервальным таймером, часами реального времени и/или счетчи ком циклов. Например, программируемое истечение времени ограничивает до ступ к страницам памяти и событиям хронометража.

Электронные ключи eToken Электронные ключи eToken, выпускаемые фирмой «ALADDIN Software Security R.D.», представляют собой устройства, содержащие небольшой объем перезаписываемой памяти, а также микроконтроллер, аппаратно реализующий ряд криптографических функций. В настоящее время выпускаются две моди фикации ключей: eToken R2 и eToken PRO.

Электронные ключи eToken R2 (рис. П.2) построены на базе микро контроллера Cypress CY7C63413 и выполнены в виде брелока, который имеет разъем для подключения к USB-порту персонального компьютера. Доступны версии с разным объемом перезаписываемой памяти (EEPROM): 8, 16 и 32 Кб.

Микроконтроллер реализует аппаратное шифрование по симметричному алго ритму на базе DES, а также осуществляет поддержку связи с ПЭВМ по прото колу USB. Для защиты информации, хранящейся во внешней микросхеме EEPROM, она подвергается криптографическому преобразованию и хранится в зашифрованном виде. Для получения доступа к этой информации необходимо предъявить PIN-код.

Рис. П.2. Внешний вид электронных ключей eToken R Электронные ключи eToken PRO построены на основе микросхем смарт карт Infineon SLE66CX160S и SLE66CX320P и имеют 16 или 32 Кб внутренней перезаписываемой памяти (EEPROM) соответственно. eToken PRO выпускают ся в виде брелока с USB-разъемом или смарт-карты (пластиковая карта с впрес сованной в нее микросхемой). Для работы с eToken, выполненным в виде смарт-карты, необходимо устройство считывания. Микросхема смарт-карты ре ализует следующие функции: хранение информации во внутренней защищен ной памяти, аппаратную реализацию алгоритмов шифрования (RSA, DES, 3DES), хэширования (SHA-1), а также аппаратную реализацию генератора ключевой пары на основе аппаратно сгенерированных случайных чисел. Так как EEPROM, в которой хранится защищаемая информация, является внутрен ней, она доступна только с использованием внутренних средств микросхемы смарт-карты. Для получения доступа к этой информации необходимо предъ явить PIN-код.

ПРИЛОЖЕНИЕ В Основные термины криптографической защиты информации и их определения Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информа ционную технологию выполнения установленных функций.

Автоматизированная система в защищенном исполнении (АСЗИ) – автоматизированная система, реализующая информационную технологию вы полнения установленных функций в соответствии с требованиями стандартов и (или) иных нормативных документов по защите информации.

Атака – целенаправленные действия нарушителя с использованием тех нических и (или) программных средств с целью нарушения заданных характе ристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.

Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Безопасность объекта – состояние защищенности объекта от внешних и внутренних угроз.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Встраивание криптосредства – процесс подключения криптосредства к техническим и программным средствам, совместно с которыми предполагается его штатное функционирование, за исключением процесса инсталляции.

Документированные (декларированные) возможности ПО (ТС) – функ циональные возможности ПО (ТС), описанные в документации на ПО (ТС).

Доступ к информации – возможность получения информации и ее ис пользования.

Защищаемая информация – информация, для которой обладателем ин формации определены характеристики ее безопасности.

Инсталляция – установка программного продукта на компьютер.

Информация – сведения (сообщения, данные) независимо от формы их представления.

Информационная система – совокупность содержащейся в базах дан ных информации и обеспечивающих ее обработку информационных техноло гий и технических средств.

Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержа щихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информационные технологии – процессы, методы поиска, сбора, хра нения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационно-телекоммуникационная сеть – технологическая си стема, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

Информационно-телекоммуникационная сеть общего пользования – информационно-телекоммуникационная сеть, которая открыта для использова ния всеми физическими и юридическими лицами и в услугах которой этим ли цам не может быть отказано.

Использование персональных данных – действия (операции) с персо нальными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отно шении субъекта персональных данных или других лиц либо иным образом за трагивающих права и свободы субъекта персональных данных или других лиц.


Канал атаки – среда переноса от субъекта к объекту атаки (а, возможно, и от объекта к субъекту атаки) действий, осуществляемых при проведении ата ки.

Контролируемая зона – пространство, в пределах которого осуществля ется контроль за пребыванием и действиями лиц и (или) транспортных средств.

Границей контролируемой зоны может быть: периметр охраняемой тер ритории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

Конфиденциальность информации – обязательное для выполнения ли цом, получившим доступ к определенной информации, требование не переда вать такую информацию третьим лицам без согласия ее обладателя.

Конфиденциальность персональных данных – обязательное для соблю дения оператором или иным получившим доступ к персональным данным ли цом требование не допускать их распространения без согласия субъекта персо нальных данных или наличия иного законного основания.

Криптографически опасная информация (КОИ) – информация о состо яниях криптосредства, знание которой нарушителем позволит ему строить ал горитмы определения ключевой информации (или ее части) или алгоритмы бесключевого чтения.

Криптосредство – шифровальное (криптографическое) средство, пред назначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) – шифровальные (криптогра фические) средства защиты информации с ограниченным доступом, не содер жащей сведений, составляющих государственную тайну.

Модель нарушителя – предположения о возможностях нарушителя, ко торые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.

Модель угроз – перечень возможных угроз.

Нарушитель (субъект атаки) – лицо (или инициируемый им процесс), проводящее (проводящий) атаку.

Негативные функциональные возможности – документированные и недокументированные возможности программных и аппаратных компонентов криптосредства и среды функционирования криптосредства, позволяющие:

— модифицировать или искажать алгоритм работы криптосредств в про цессе их использования;

— модифицировать или искажать информационные или управляющие потоки и процессы, связанные с функционированием криптосредства;

— получать доступ нарушителям к хранящимся в открытом виде ключе вой, идентификационной и (или) аутентифицирующей информации, а также к защищаемой информации.

Недокументированные (недекларированные) возможности ПО (ТС) – функциональные возможности ПО (ТС), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение характеристик безопасности защищаемой информации.

Носители сведений, составляющих государственную тайну, – матери альные объекты, в том числе физические поля, в которых сведения, составляю щие государственную тайну, находят свое отображение в виде символов, обра зов, сигналов, технических решений и процессов.

Примечание. Так как по своей природе сведения, составляющие государ ственную тайну, не отличаются от всех остальных сведений, то приведенное определение можно корректно использовать для любых сведений. Учитывая определение понятия «информация», термин «носитель информации» можно использовать в качестве синонима термину «носитель сведений».

Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Обладатель информации – лицо, самостоятельно создавшее информа цию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Обработка персональных данных – действия (операции) с персональ ными данными, включая сбор, систематизацию, накопление, хранение, уточне ние (обновление, изменение), использование, распространение (в том числе пе редачу), обезличивание, блокирование, уничтожение персональных данных.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персо нальных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с за данной информационной технологией, средств обеспечения объекта информа тизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку пер сональных данных, а также определяющие цели и содержание обработки пер сональных данных.

Опубликованные возможности ПО или ТС – возможности, сведения о которых содержатся в общедоступных открытых источниках (технические и любые другие материалы разработчика ПО или ТС, монографии, публикации в СМИ, материалы конференций и других форумов, информация из сети «Интер нет» и т.д.).

Персональные данные – любая информация, относящаяся к определен ному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Пользователь – лицо, участвующее в эксплуатации криптосредства или использующее результаты его функционирования.

Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персо нальных данных) или на ознакомление с персональными данными неограни ченного круга лиц, в том числе обнародование персональных данных в сред ствах массовой информации, размещение в информационно телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Специальная защита – комплекс организационных и технических меро приятий, обеспечивающих защиту информации от утечки по каналам побочных излучений и наводок.

Среда функционирования криптосредства (СФК) – совокупность тех нических и программных средств, совместно с которыми предполагается штат ное функционирование криптосредства и которые способны повлиять на вы полнение предъявляемых к криптосредству требований.

Средство защиты информации – техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

Средство вычислительной техники (СВТ) — совокупность программ ных и технических элементов систем обработки данных, способных функцио нировать самостоятельно или в составе других систем.

Трансграничная передача персональных данных – передача персональ ных данных оператором через Государственную границу Российской Федера ции органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Угроза безопасности – совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.

Угроза безопасности объекта – возможное нарушение характеристики безопасности объекта.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информацион ной системе персональных данных или в результате которых уничтожаются ма териальные носители персональных данных.

Успешная атака – атака, достигшая своей цели.

Уровень криптографической защиты информации – совокупность тре бований, предъявляемых к криптосредству.

Характеристика безопасности объекта – требование к объекту, или к условиям его создания и существования, или к информации об объекте и усло виях его создания и существования, выполнение которого необходимо для обеспечения защищенности жизненно важных интересов личности, общества или государства.

Шифровальные (криптографические) средства:

а) средства шифрования – аппаратные, программные и аппаратно программные средства, системы и комплексы, реализующие алгоритмы крип тографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;

б) средства имитозащиты – аппаратные, программные и аппаратно программные средства, системы и комплексы, реализующие алгоритмы крип тографического преобразования информации и предназначенные для защиты от навязывания ложной информации;

в) средства электронной цифровой подписи – аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографиче ских преобразований реализацию хотя бы одной из следующих функций: со здание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подпи си;

г) средства кодирования – средства, реализующие алгоритмы криптогра фического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;

д) средства изготовления ключевых документов (независимо от вида но сителя ключевой информации);

е) ключевые документы (независимо от вида носителя ключевой инфор мации).

ПРИЛОЖЕНИЕ Г Типовые формы учетных документов по эксплуатации криптосредств Журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним Отметка о получении Отметка о выдаче Наименование Регистрационные Номера криптосредства, номера СКЗИ, экс экземпляров Дата и эксплуатационной плуатационной и № (криптографичес- номер ФИО Дата и и технической до- технической доку- От кого п.п. кие номера) сопроводи- пользователя расписка в кументации к ментации к ним, получены ключевых тельного криптосредств получении ним, ключевых номера серий клю документов письма документов чевых документов 1 2 3 4 5 6 7 Журнал ключевых документов Отметка об изъятии СКЗИ из аппаратных средств, Отметка о подключении (установке) СКЗИ уничтожении ключевых документов Номера Дата аппаратных ФИО пользователя подключения средств, в ФИО пользователя Примечание Дата Номер акта криптосредств, (установки) и которые СКЗИ, изъятия или расписка производившего подписи лиц, установлены производившего (уничто- об подключение произведших или к кото- изъятие жения) уничтожении (установку) подключение рым подклю- (уничтожение) (установку) чены крипто средства 9 10 11 12 13 14 Технический (аппаратный) журнал Отметка об уничтоже Используемые криптоключи Тип и ре нии (стирании) гистра Записи по Номер разового ционные Серийный, обслужи- ключевого но № номера ис- Приме криптографи Дата ванию Тип клю- сителя или зоны Подпись п.п. пользу- чание ческий номер и крипто- чевого до- криптосредств, Дата пользователя емых номер экземп средств кумента в которую вве- криптосредств крипто- ляра ключевого дены крипто средств документа ключи 1 2 3 4 5 6 7 8 9 Учебное издание Духан Евгений Изович Синадский Николай Игоревич Хорьков Дмитрий Алексеевич Применение программно-аппаратных средств защиты компьютерной информации Учебное пособие Редактор О.В. Безусова Верстка авторов

Pages:     | 1 |   ...   | 4 | 5 ||
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.