Программно-аппаратные комплексы защиты от НСД к информации ОКБ САПР

Программно-аппаратные комплексы защиты от НСД к информации ОКБ САПР 
Содержание:

  • Программно-аппаратный комплекс средств защиты информации от несанкционированного доступа «Аккорд-АМДЗ»
  • Программно-аппаратный сопроцессор безопасности «Аккорд-СБ»
  • Программно-аппаратные комплексы защиты от НСД к информации «Аккорд-1.95», «Аккорд-NT», «АРМ АБИ»
  • Комплекс «ШИПКА»

    Особое Конструкторское Бюро Систем Автоматизированного Проектирования (ОКБ САПР), созданное при ВНИИПВТИ является признанным разработчиком и производителем программно-аппаратных комплексов средств защиты от несанкционированного доступа «Аккорд»™, технологий защиты информации и электронного документооборота на их основе. Реализованные в СЗИ НСД семейства «Аккорд» требования к аппаратным СЗИ и принципы аппаратной защиты уже стали фактическим стандартом и применяются всеми крупными разработчиками средств защиты, действующими на российском рынке СЗИ.

    ОКБ САПР является лицензиатом ФСБ, Гостехкомиссии России и ФАПСИ, имеет аттестованное Гостехкомиссией России производство средств защиты информации от несанкционированного доступа и широкую дилерскую сеть в большинстве субъектов Российской Федерации, ведет активную работу по подготовке специалистов в области защиты информации. На изделия ОКБ САПР получено: 22 сертификата Гостехкомиссии России, Минобороны России — 1, 4 сертификата ФАПСИ и 3 сертификата системы Госстандарта России.

    Более 100 000 комплексов СЗИ НСД «Аккорд»™, 1000 контрольно-кассовых машин «Аккорд-КФ», более 200 комплексов «Банк» и 2000 комплексов «Клиент» системы «Клиент-Банк» работают в различных автоматизированных системах государственных и коммерческих организаций.

    Основные сферы деятельности ОКБ САПР:

    • разработка, производство и реализация программно-аппаратных СЗИ НСД, в т.ч. с применением криптографических средств;
    • проектирование и создание АС различного уровня и назначения в защищенном исполнении;
    • внедрение в АС предприятий и организаций технологии защищённого электронного документооборота на основе СЗИ НСД «Аккорд»™;
    • проведение совместно с ВНИИПВТИ аттестационных испытаний объектов информатизации и выделенных помещений с выдачей аттестата соответствия;
    • подготовка специалистов в области защиты информации;
    • нормативно-методическое обеспечение работ по технической защите информации.

    Разработки ОКБ САПР показали, что возможности защиты информации программными средствами принципиально ограничены, и в системах защиты необходимо использование аппаратных средств со специальными свойствами. Такие принципы аппаратной защиты были реализованы в программно-аппаратном комплексе средств защиты информации от несанкционированного доступа — аппаратном модуле доверенной загрузки — «Аккорд-АМДЗ», в котором основные функции системы защиты информации выполняются до загрузки операционной системы. Комплекс реализуется в различных операционных средах: MS DOS, Windows 3x, Windows 9x, Windows NT, Windows 2000, Windows XP; OS/2; UNIX; Linux. Основными модификациями контроллеров комплекса СЗИ НСД «Аккорд-АМДЗ» являются контроллер «Аккорд-5» и сопроцессор безопасности «Аккорд-СБ/2». С помощью последнего можно передавать конфиденциальную информацию в режиме «on-line» по открытым каналам связи в зашифрованном виде.

    На основе контроллеров семейства «Аккорд»ТМ ОКБ САПР была разработана технология защиты электронных документов с использованием защитных кодов аутентификации. Данная технология уже используется в банковских платежных системах с целью предотвращения попыток злоумышленников ввести фиктивные или модифицировать используемые электронные банковские документы, а также с целью организации сквозного контроля над прохождением электронными документами всех предписанных этапов их существования.

    Все комплексы «Аккорд»™ имеют необходимые сертификаты соответствия.

    В контроллерах семейства «Аккорд» обеспечивается технологический режим перепрограммирования, который позволяет менять встроенное ПО без замены аппаратной части комплекса СЗИ НСД. Как следствие — контроллеры этого типа получают «пожизненную» гарантию ОКБ САПР.

    Решения ОКБ САПР

    Программно-аппаратный комплекс средств защиты информации от несанкционированного доступа «Аккорд-АМДЗ»

     — аппаратный модуль доверенной загрузки предназначен для применения на ПЭВМ (РС) типа IBM PC AT с целью защиты средств вычислительной техники и информационных ресурсов от НСД. Этот комплекс обеспечивает режим доверенной загрузки в различных операционных средах: MS DOS; Windows 3.x; Windows 9x; Windows NT, Windows 2000, Windows XP; OS/2; UNIX; Linux . Основным принципом работы «Аккорд-АМДЗ» является выполнение процедур, реализующих функции системы защиты информации, до загрузки операционной системы. Процедуры идентификации/аутентификации пользователя; контроля целостности аппаратных и программных средств; администрирование; блокировка загрузки операционной системы с внешних носителей информации размещены во внутренней памяти микроконтроллера платы «Аккорд». Таким образом, пользователь не имеет возможности изменения процедур, которые влияют на функциональность системы защиты информации. В энергонезависимой памяти контроллера «Аккорд» хранится информация о персональных данных пользователей, данные для контроля целостности программных и аппаратных средств, журнал регистрации и учета системных событий и действий пользователя. Эти данные могут быть изменены только авторизованным администратором безопасности информации, так как доступ к энергонезависимой памяти полностью определяется логикой работы программного обеспечения прошитого в микроконтроллер.

    СЗИ НСД семейства «Аккорд»ТМ реализованы на базе контроллера «Аккорд-4.5» (для ПЭВМ с шинным интерфейсом ISA) и его функционального аналога для шинного интерфейса PCI — «Аккорд-5».

    Для организаций, использующих промышленные PC компьютеры с шинным интерфейсом PC/104, может представлять интерес программно-аппаратный комплекс СЗИ НСД «Аккорд-PC104». Данный комплекс прошел испытания в жестких условиях эксплуатации (повышенная вибрация, широкий диапазон температур, высокая влажность и т.д.). Он может применяться в специализированных компьютерах, используемых в бортовой аппаратуре (наземные, воздушные, морские и промышленные системы), в измерительной аппаратуре, в устройствах связи, в мобильных системах, в том числе и военного назначения.

    Аккорд-4.5 Аккорд-5 Аккорд-РС104

    Программно-аппаратный сопроцессор безопасности «Аккорд-СБ»

    Сопроцессор безопасности — изделие «Аккорд-СБ» — это многофункциональное программируемое устройство, предназначенное для защиты информации в вычислительных системах, требующих высокого уровня защищенности. Реализован на базе контроллера «Аккорд-СБ/2» (PCI — контроллер).

    Специальное программное обеспечение «Аккорд-СБ» включает в себя:

    • Загрузчик — настраивает параметры системы, загружает в ОЗУ монитор и операционную систему.
    • Монитор — инициализирует ресурсы и запускает операционную систему. Предоставляет возможность работы с ресурсами платы в многозадачном режиме.
    • Операционная система реального времени;
    • Криптодрайвер — программа поддержки криптоускорителя Криптодрайвер обеспечивает взаимодействие монитора с платой криптоускорителя, установленной в шину расширения платы «Аккорд-СБ/2». Код драйвера находиться в энергонезависимой памяти расположенной на плате криптоускорителя и активизируется монитором. Обеспечен режим независимости ПО «Аккорд-СБ» от типа криптоускорителя;
    • Прикладные библиотеки — набор вспомогательных процедур для самостоятельного программирования сопроцессора безопасности «Аккорд-СБ/2».

    Аккорд-СБ

    «Аккорд-СБ/2» дополнительно полностью реализует функции комплекса СЗИ НСД «Аккорд-АМДЗ» (аппаратный модуль доверенной загрузки).

    Рекомендации по его применению:

    1. В качестве аппаратного СКЗИ для:
      • шифрования данных в каналах ввода/вывода;
      • шифрования дисков
      • формирования и проверки электронной цифровой подписи;
    2. Организации защищённых виртуальных наложенных сетей в гетерогенных открытых сетях;
    3. Организации защищённых аудио и видеоконференций;
    4. В технологической защите электронного документооборота с использованием защитных кодов аутентификации (ЗКА).

    Наиболее целесообразно «Аккорд-СБ/2» применять в качестве серверного средства защиты информации.

    Программно-аппаратные комплексы защиты от НСД к информации «Аккорд-1.95», «Аккорд-NT», «АРМ АБИ»

    Комплексы «Аккорд-1.95», «Аккорд-NT» позволяют реализовать систему защиты от НСД к ПЭВМ и информации с применением персональных идентификаторов пользователей, выполненных на базе устройств памяти Touch Memory (ТМ-идентификаторов), как для автономных ПЭВМ, так и для ПЭВМ, объединенных в вычислительную сеть.

    Указанные комплексы работают совместно с комплексами «Аккорд-АМДЗ» и базируются на использовании контроллеров «Аккорд-4++», «Аккорд-4.5», «Аккорд-5», «Аккорд-PC104», «Аккорд-СБ/2».

    Комплексы обеспечивают:

    • защиту от НСД к ПЭВМ;
    • идентификацию/ аутентификацию пользователей;
    • аппаратный контроль целостности системных файлов и критичных разделов Regestry;
    • доверенная загрузка ОС;
    • контроль целостности программ и данных, их защиту от несанкционированных модификаций;
    • создание индивидуальной для каждого пользователя изолированной рабочей программной среды;
    • запрет запуска неразрешенных программ;
    • разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;
    • разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа, управление потоками информации;
    • автоматическое ведение протокола регистрируемых событий;
    • удаленное централизованное управление настройками системы защиты.

    Комплексы включают в себя следующие подсистемы:

    • Подсистему управления доступом
    • Подсистему регистрации и учета (аудит)
    • Подсистему обеспечения целостности
    • Подсистему удаленного централизованного управления настройками системы защиты «Автоматизированное Рабочее Место Администратора Безопасности» (АРМ АБИ).

    С помощью данных комплексов администратор безопасности информации имеет возможность описать любую не противоречивую политику безопасности на основе наиболее полного набора атрибутов:

    I. Операции с файлами:
    R — разрешение на открытие файлов только для чтения.
    W — разрешение на открытие файлов для записи.
    C — разрешение на создание файлов на диске.
    D — разрешение на удаление файлов.
    N — разрешение на переименование файлов.
    V — видимость файлов. Позволяет делать существующие файлы невидимыми для программ. Этот параметр имеет более высокий приоритет, чем R,W,D,N,O.
    О — эмуляция разрешения на запись информации в файл. Этот параметр имеет более низкий приоритет, чем W (открыть для записи).

    II. Операции с каталогом:
    M — создание каталогов на диске.
    Е — удаление каталогов на диске.
    G — разрешение перехода в этот каталог.

    III. Прочее:
    Х — разрешение на запуск программ.

    IV. Регистрация:
    r — регистрируются все операции чтения файлов диска в журнале.
    w — регистрируются все операции записи файлов диска в журнале.

    Для разграничение прав доступа к информационным ресурсам, кроме дискреционного, осуществлен мандатный принцип доступа субъектов к информационным ресурсам. Набор атрибутов СЗИ Аккорд может применяться для описания ПРД при обращении с рабочей станции ЛВС к ресурсам файловых серверов. Кроме этого, администратор БИ для каждого субъекта — пользователя системы определяет:

    • перечень файлов, целостность которых должна контролироваться системой и опции контроля;
    • запуск стартовой задачи (для функционально замкнутых систем);
    • наличие, либо отсутствие привилегий супервизора;
    • детальность журнала доступа;
    • назначение/изменение пароля для аутентификации;
    • временные ограничения — время по дням недели (с дискретностью 30 мин), в которое разрешено начало работ для данного субъекта;
    • параметры управления экраном — гашение экрана через заранее определенный интервал времени (в случае, если в течение указанного интервала действия оператором не выполнялись), подача соответствующих звуковых и визуальных сигналов.

    Программно-аппаратный комплекс средств защиты информации «ШИПКА» (Шифрование Идентификация Подпись Коды Аутентификации)

    Комплекс «ШИПКА» предназначен для защиты прав участников информационного обмена, обеспечения защиты электронного документооборота с использованием защитных кодов аутентификации (ЗКА) и ЭЦП (Федеральный закон «Об электронно-цифровой подписи»), а также для обеспечения конфиденциальности обрабатываемых данных. Позволяет организовывать безопасный обмен информацией с использованием ГОСТ 28147–98, ГОСТ Р 34.11–94, ГОСТ 34.11–01.

    Комплекс «ШИПКА»

    Комплекс «ШИПКА», установленный на отдельном ПК, обеспечивает аутентификацию пользователя, защиту программ и данных, выполняя функции электронного ключа, обеспечивает защиту от НСД несанкционированного доступа к ПЭВМ, а также позволяет осуществлять управление ключами (в том числе ключами шифрования и электронно-цифровой подписи пользователя).

    При объединении рабочих станций с установленными устройствами «ШИПКА» в локальную сеть обеспечивается аутентификация как пользователя, так и рабочей станции, организуется управление ключами доступа к совместно используемым ресурсам с применением криптографической защиты команд управления сетью.

    Организация корпоративной сети с использованием комплекса «ШИПКА» позволяет аутентифицировать локальные сети в составе корпоративной сети и их пользователей, осуществляет поддержку VPN (виртуальной частной сети). Такое применение комплекса также позволяет организовывать электронную торговлю за счет возможности создания юридически значимого электронного документооборота. Функции аутентификации, поддержки VPN, управления ключами, обеспечение защиты авторских прав, защиты программ и данных осуществляется также и в глобальной сети Internet с применением защитного комплекса «ШИПКА». Дополнительно обеспечивается возможность организации оплаты счетов через Internet.

    Комплекс «ШИПКА» — универсальное отечественное средство для создания и применения систем юридически значимого электронного документооборота и электронного ведения бизнеса в соответствии с законодательством России.

    ОКБ САПР:
    Россия, 115114, г. Москва, 2-ой Кожевнический пер., 4/6. Тел.: (095) 235-16-06, 235-29-90.
    Факс: 235-62-65. www.accord.ru E-mail: 1@okbsapr.ru


    Вернуться на главную страницу обзора

  • Версия для печати

    Опубликовано в 2003 г.

    Toolbar | КПК-версия | Подписка на новости  | RSS