Які бувають кошти скзи. Криптографічні методи захисту інформації

Послухайте... чи не можна вам, для нашої спільної користі, будь-який лист, який прибуває до вас у поштову контору, що входить і виходить, знаєте, так трошки роздрукувати і прочитати: чи не міститься в ньому якогось донесення або просто листування. .

Н.В.Гоголь «Ревізор»

В ідеалі конфіденційний лист повинні мати можливість прочитати тільки двоє: відправник і той, кому він адресований. Формулювання такої, здавалося б, дуже простої речі, стало відправною точкою систем криптозахисту. Розвиток математики дало поштовх розвитку подібних систем.

Вже XVII-XVIII століттях шифри у Росії були досить витонченими і стійкими до злому. Багато російських математиків працювали над створенням або вдосконаленням систем шифрування і паралельно намагалися підібрати ключі до шифрів інших систем. В даний час можна відзначити кілька російських систем шифрування, таких як «Лексикон Верба», Secret Net, DALLAS LOCK, Secret Disk, сімейство продуктів «Акорд» та ін. Про них і буде розказано. комплексами криптозахисту, дізнаєтеся про їхні можливості, про сильні та слабких сторонах. Сподіваємося, що ця стаття допоможе вам зробити вибір системи криптозахисту.

Вступ

Чи стурбовані ви тим, що важлива інформаціяз вашого комп'ютера може потрапити до чужих рук? Цією інформацією можуть скористатися і конкуренти, і органи контролю, і просто недоброзичливці. Очевидно, що такі дії можуть завдати вам значної шкоди. Що ж робити? Щоб зберегти свою інформацію від сторонніх, необхідно встановити одну з програм шифрування даних. Наш огляд присвячений аналізу систем шифрування для настільних систем. Слід зазначити, що використання зарубіжних систем шифрування на території Росії через ряд причин дуже обмежене, тому державні організаціїта великі вітчизняні компанії змушені використовувати російські розробки. Проте середні та дрібні компанії, а також приватні особи іноді воліють зарубіжні системи.

Для непосвячених шифрування інформації виглядає чимось на зразок чорної магії. Дійсно, шифрування повідомлень для приховування їхнього змісту від сторонніх є складним математичним завданням. До того ж шифр має бути підібраний таким чином, щоб без ключа відкрити його було практично неможливо, а з ключем швидко і легко. Багатьом компаніям та організаціям буває дуже важко зробити оптимальний вибірпід час встановлення шифрувальних програм. Справа ускладнюється ще й тим, що абсолютно захищених комп'ютерів та абсолютно надійних систем шифрування не буває. Однак все ж таки є достатньо способів, за допомогою яких можна відобразити практично всі спроби розкрити зашифровану інформацію.

Що у програм шифрування всередині

Програми шифрування відрізняються одна від одної алгоритмом шифрування. Зашифрувавши файл, ви можете записати його на дискету, надіслати його електронній поштіабо покласти на сервер у вашій локальної мережі. Отримувач шифрування повинен мати таку ж шифрувальну програму, щоб прочитати вміст файлу.

Якщо ви хочете надіслати зашифроване повідомлення декільком користувачам одночасно, то ваша інформація для кожного одержувача може бути зашифрована за його власним ключем або загальним ключем для всіх користувачів (включаючи автора повідомлення).

Система криптозахисту використовує секретний код для того, щоб перетворити вашу інформацію на безглуздий, псевдовипадковий набір символів. При хорошому алгоритмішифрування практично неможливо дешифрувати повідомлення без знання секретного коду, використаний для шифрування. Такі алгоритми називають алгоритмами з симетричним ключем, так як для шифрування та дешифрування інформації використовується один і той же ключ.

Для захисту даних програма шифрування створює секретний ключ за вашим паролем. Потрібно лише задати довгий пароль, який ніхто не зможе вгадати. Однак якщо потрібно, щоб файл зміг прочитати хтось інший, вам знадобиться повідомити цю людину секретний ключ (або пароль, на основі якого він створений). Можна бути впевненим, що навіть простий алгоритм шифрування захистить ваші дані від звичайного користувачаскажімо, від колеги по роботі. Однак у професіоналів є ціла низка способів дешифрації повідомлення без знання секретного коду.

Без спеціальних знань самостійно перевірити, наскільки надійним є ваш алгоритм шифрування, вам не вдасться. Але ви можете покластися на думку професіоналів. Деякі алгоритми шифрування, такі, як Triple DES (Data Encryption Standard - стандарт шифрування даних), були піддані багаторічній перевірці. За результатами перевірки цей алгоритм добре зарекомендував себе, і криптографи вважають, що йому можна довіряти. Більшість нових алгоритмів також ретельно вивчаються, а результати публікуються у спеціальній літературі.

Якщо алгоритм програми не піддався відкритому розгляду та обговоренню професіоналів, якщо він не має сертифікатів та інших офіційних паперів, - це привід засумніватися в його надійності та відмовитися від використання такої програми.

Інший різновид систем шифрування – це системи з відкритим ключем. Для роботи такої системи немає необхідності повідомляти адресат секретний ключ (або пароль, на основі якого він створений). Зазначені системи шифрування генерують два цифрові ключі кожного користувача: один служить для шифрування даних, інший - їх розшифровки. Перший ключ (який називається відкритим) можна опублікувати, а другий тримати в секреті. Після цього зашифрувати інформацію зможе будь-який, скориставшись відкритим ключем, а розшифрувати - тільки той, хто має відповідний секретний ключ.

Деякі програми шифрування містять ще один важливий засіб захисту – цифровий підпис. Цифровий підпис засвідчує, що файл не було змінено з того часу, як було підписано, і дає одержувачу інформацію про те, хто саме підписав файл. Алгоритм створення цифровий підписзаснований на обчисленні контрольної суми – так званої хеш-суми, або дайджесту повідомлення. алгоритми, Що Застосовуються, гарантують, що неможливо підібрати два різних файли, хеш-суми яких збіглися б.

Коли адресат отримує файл із цифровим підписом, його програма шифрування знову обчислює хеш-суму для цього файлу. Потім одержувач за допомогою відкритого ключа, опублікованого відправником, відновлює цифровий підпис. Якщо результат відповідає значенням, обчисленим для файлу, то одержувач може бути впевнений, що текст повідомлення не був змінений (якби це сталося, хеш-сума виявилася б іншою), а підпис належить людині, яка має доступ до секретного ключа відправника.

Для захисту важливої ​​або конфіденційної інформаціїпотрібна не тільки гарна програмашифрування. Вам необхідно вжити низку заходів для забезпечення інформаційної безпеки. Якщо ваш пароль ненадійний (фахівці рекомендують задавати його із восьми або більше символів) або якщо незашифрована копія конфіденційної інформації зберігається у вас на комп'ютері, то в цьому випадку навіть найкраща системашифрування виявиться безсилою.

Система «Лексикон-Верба»

Система «Лексикон-Верба» є засобом організації захищеного електронного документообігуяк усередині корпоративної мережі, і між різними організаціями. У «Лексикон-Верба» використовуються дві модифікації системи криптографії: система «Верба-W» призначена для державних органів (захист конфіденційної інформації, зокрема ДСП; ключі підпису - відкриті, ключі шифрування - закриті), система «Верба-OW» - для комерційних організацій (захист комерційної таємниці; ключі підпису та шифрування - відкриті).

Існує досить багато світових стандартів шифрування, але лише мала їх частина має сертифікати Федерального агентства урядового зв'язку та інформації (ФАПСІ), що унеможливлює застосування несертифікованих рішень на території Росії. Система "Верба-W" має сертифікат ФАПСІ № СФ/114-0176. Система «Верба-ОW» – сертифікат ФАПСІ № СФ/114-0174.

«Лексикон-Верба» забезпечує шифрування та електронний цифровий підпис відповідно до вимог ГОСТ 28147-89 «Системи обробки інформації. Захист криптографічний» та ГОСТ Р34.10-94 «Інформаційна технологія. Криптографічний захист інформації. Процедури вироблення та перевірки електронного цифрового підпису на базі асиметричного криптографічного алгоритму».

Програма сертифікована Держтехкомісією за Президента Російської Федерації. У липні очікується одержання сертифікату Міноборони Росії.

В основі роботи криптозахисту системи лежить методика шифрування з відкритим ключем. Кожен ключ, що ідентифікує користувача, складається із двох частин: відкритого та секретного ключа. Відкритий ключ може розповсюджуватися вільно і використовується для шифрування інформації даного користувача. Для розшифровки документа потрібно, щоб користувач, який зашифрував його, мав ваш відкритий ключ і при шифруванні вказав вас як доступ до документа.

Щоб розшифрувати документ, необхідно скористатися закритим ключем. Закритий ключ складається із двох частин, одна з яких зберігається на смарт-карті або touch-memory, а інша – на жорсткому диску вашого комп'ютера. Таким чином, ні втрата смарт-картки, ні несанкціонований доступ до комп'ютера не дають кожен окремо можливості розшифрувати документи.

Початковий ключовий комплект, що включає повну інформацію про відкриті і закриті ключі користувача, створюється на спеціально обладнаному захищеному робочому місці. Дискет з ключовою інформацією використовується тільки на етапі підготовки робочого місця користувача.

Система «Лексикон-Верба» може бути використана в рамках двох основних систем організації захищеного документообігу:

• як самостійне рішення. За наявності в організації локальної мережі систему можна встановити не на всі комп'ютери, а лише на ті, де потрібна робота з конфіденційними документами. Це означає, що всередині корпоративної мережі виникає підмережа обміну закритою інформацією. У цьому учасники закритої частини системи можуть обмінюватися з іншими співробітниками та відкритими документами;
• як складова частина документообігу. "Лексикон-Верба" ​​має стандартні інтерфейси підключення зовнішніх функційдля виконання операцій відкриття, збереження, закриття та відправлення документів, що дозволяє легко інтегрувати цю систему як у існуючі, так і в системи документообігу, що знову розробляються.

Слід зазначити, що властивості системи Лексикон-Верба роблять її не тільки засобом забезпечення інформаційного захистувід зовнішніх проникнень, а й засобом підвищення внутрішньокорпоративної конфіденційності та поділу доступу.

Одним із важливих додаткових ресурсів для підвищення рівня контролю інформаційної безпеки є можливість ведення «журналу подій» для будь-якого документа. Функція фіксації історії документа може бути увімкнена або вимкнена тільки при установці системи; при її включенні даний журналвестиметься незалежно від бажання користувача.

Головною гідністю та відмінною особливістюСистема проста і інтуїтивно зрозуміла реалізація функцій захисту інформації при збереженні традиційної для текстових процесорівробочого середовища користувача.

Блок криптографії здійснює шифрування, а також встановлення та зняття електронного цифрового підпису (ЕЦП) документів.

Допоміжні функції блоку - завантаження секретного ключа, експорт та імпорт відкритих ключів, налаштування та ведення довідника ключів абонентів системи.

Таким чином, кожен з тих, хто має доступ до документа, може поставити тільки свій підпис, але зняти - будь-який з раніше поставлених.

Це відбиває прийнятий порядок діловодства, коли з проходження візування документ може піддаватися правкам різних етапах, але після цього документ має бути завізований заново.

При спробі внести зміни до документа іншими, ніж «Лексикон-Верба», засобами, ЕЦП пошкоджується, в результаті в полі «Статус підпису» з'явиться напис «Пошкоджено».

Офіс

При збільшенні кількості користувачів системи внесення кожного відкритого ключа на кожен комп'ютер стає скрутним. Тому для роботи офісу організується централізоване адміністрування довідника відкритих ключів. Це робиться так:

1) на комп'ютері адміністратора встановлюється "Лексикон-Верба" ​​в локальному режимі. При цьому створюється довідник відкритих ключів, в який адміністратор додає кожен ключ, що використовується в офісі;

2) на всіх інших комп'ютерах система встановлюється в мережевому режимі. У цьому режимі використовується довідник відкритих ключів на комп'ютері адміністратора;

3) кожен Новий користувач, внесений адміністратором до довідника, стає «помітним» всім користувачам, підключеним до довідника. З цього моменту вони надають можливість передавати йому зашифровані документи.

Адміністрація довідника стає централізованим, але на рівень безпеки системи це не впливає, оскільки надання доступу до відкритих ключів – це своєрідне «знайомство» користувачів, але доступу до будь-яких документів воно не дає. Для отримання користувачем можливості розшифровки документа необхідно, щоб його відкритий ключ не тільки перебував у довіднику, але і був явно вказаний як доступ до документа.

Криптографічні методи захисту можуть бути реалізовані як програмними, і апаратними засобами. Апаратний шифратор або пристрій криптографічного захистуданих (УКЗД) являє собою найчастіше плату розширення, що вставляється в роз'єм 18А або РС1 системної плати персонального комп'ютера(ПК) (рис. 3.21). Існують інші варіанти реалізації, наприклад, у вигляді и8В-ключа з криптографическими функціями (рис. 3.22).

Виробники апаратних шифраторів зазвичай оснащують їх різними додатковими можливостями, серед яких:

Генерація випадкових чисел, необхідні отримання криптографічних ключів. Крім того, багато криптографічних алгоритмів використовують їх і для інших цілей, наприклад, в алгоритмі електронного цифрового підпису, ГОСТ Р 34.10-2001 при кожному обчисленні підпису необхідне нове випадкове число;

Мал. 3.21. Апаратний шифратор у вигляді плати РС1:

1 - технологічні роз'єми; 2 - Пам'ять для ведення журналу; 3 - перемикачі режимів; 4 - багатофункціональна пам'ять; 5 - блок управління та мікропроцесор; 6- інтерфейс РС1; 7- контролер РС1; 8- ДСЛ; 9- інтерфейси для підключення ключових носіїв

Мал. 3.22.

• контроль входу на комп'ютер. Якщо комп'ютер увімкнено, пристрій вимагає від користувача ввести персональну інформацію (наприклад, вставити пристрій із закритим ключем). Завантаження операційної системи буде дозволено лише після того, як пристрій впізнає пред'явлені ключі та визнає їх «своїми». В іншому випадку доведеться розкрити системний блокі вилучити звідти шифратор, щоб завантажити операційну систему (проте інформація на жорсткому диску ПК також може бути зашифрована);
• контроль цілісності файлів операційної системи для запобігання зловмисній зміні конфігураційних файліві системних програм. Шифратор зберігає в собі список всіх важливих файлів із заздалегідь обчисленими для кожного з них контрольними хеш-значеннями і, якщо при наступному завантаженні ОС не збігатиметься з еталоном хеш-значення хоча б одного з контрольованих файлів, комп'ютер буде блокований.

Шифратор, який виконує контроль входу на ПК і перевіряє цілісність операційної системи, називають також « електронним замком»(див. парагр. 1.3).

На рис. 3.23 наведено типову структуру апаратного шифратора. Розглянемо функції його основних блоків:

• Блок управління – основний модуль шифратора. Зазвичай реалізується на базі мікроконтролера, при виборі якого головним є швидкодія та достатня кількість внутрішніх ресурсів, а також зовнішніх портів для підключення всіх необхідних модулів;
• контролер системної шини ПК (наприклад, РС1), через який здійснюється основний обмін даними між УКЗД та комп'ютером;
• енергонезалежний запам'ятовуючий пристрій (ЗУ), що реалізується зазвичай на базі мікросхем флеш-пам'яті. Воно має бути досить ємним (кілька мегабайт) та допускати велику кількість циклів запису. Тут розміщується програмне забезпеченнямікроконтролера, яке ви-

Мал. 3.23. Структура УКЗД заповнюється при ініціалізації пристрою (коли шифратор перехоплює керування під час завантаження комп'ютера);

• пам'ять журналу аудиту, що також є енергонезалежним ЗУ (щоб уникнути можливих колізій пам'ять для програм і пам'ять для журналу не повинні об'єднуватися);
• шифропроцесор (або кілька подібних блоків) - спеціалізована мікросхема або мікросхема програмованої логіки PLD (Programmable Logic Device), що забезпечує виконання криптографічних операцій (шифрування та розшифрування, обчислення та перевірка ЕЦП, хешування);
• генератор випадкових чисел, що є пристрій, що видає статистично випадковий і непередбачуваний сигнал (так званий білий шум). Це може бути, наприклад, шумовий діод. Перед подальшим використанням у шифропроцесорі за спеціальними правилами білий шум перетворюється на цифрову форму;
• блок уведення ключової інформації. Забезпечує захищене отримання закритих ключів з ключового носія та введення ідентифікаційної інформації про користувача, необхідну для його аутентифікації;
• блок комутаторів, необхідних для відключення можливості роботи із зовнішніми пристроями (дисководами, CD-ROM, паралельним та послідовним портами, шиною USBі т.д.). Якщо користувач працює з особливо секретною інформацією, при вході на комп'ютер УКЗД заблокує все зовнішні пристрої, включаючи навіть мережну картку.

Криптографічні операції в УКЗД повинні виконуватися так, щоб унеможливити несанкціонований доступ до сеансових та закритим ключамта можливість впливу на результати їх виконання. Тому шифропроцесор логічно складається з кількох блоків (рис. 3.24):

• обчислювач – набір регістрів, суматорів, блоків підстановки іт. п., пов'язаних між собою шинами передачі. Призначений для якнайшвидшого виконання криптографічних операцій. На вхід обчислювач отримує відкриті дані, які слід зашифрувати (розшифрувати) або підписати, та криптографічний ключ;
• блок управління - апаратно реалізована програма, яка керує обчислювачем. Якщо з якоїсь причини

Мал. 3.24.

Програма зміниться, його робота почне давати збої. Тому дана програма має не тільки надійно зберігатися та стійко функціонувати, а й регулярно перевіряти свою цілісність. Описаний вище зовнішній блок управління теж періодично надсилає блоку управління контрольні завдання. На практиці для більшої впевненості у шифраторі встановлюють два шифропроцесори, які постійно порівнюють результати своїх криптографічних операцій (якщо вони не збігаються, операція повторюється);

Буфер вводу-виводу необхідний підвищення продуктивності пристрою: поки шифрується перший блок даних, завантажується наступний тощо. буд. Те саме відбувається і виході. Така конвеєрна передача даних серйозно підвищує швидкість виконання криптографічних операцій на шифраторі.

Є ще одне завдання забезпечення безпеки під час виконання шифратором криптографічних операцій: завантаження ключів у шифратор, минаючи оперативну пам'ять комп'ютера, де їх теоретично можна перехопити і навіть підмінити. Для цього УКЗД додатково містить порти вводу-виводу (наприклад, СОМ або USB), до яких безпосередньо підключаються різні пристроїчитання ключових носіїв. Це можуть бути будь-які смарт-карти, токени (спеціальні USB-ключі) або елементи Touch Memory (див. парагр. 1.3). Крім прямого введення ключів в УКЗД, багато хто з таких носіїв забезпечує і їх надійне зберігання - навіть ключовий носій без знання спеціального коду доступу (наприклад, PIN-коду) порушник не зможе прочитати його вміст.

Для того, щоб не виникало колізій при одночасному зверненні до шифратора різних програм, в комп'ютерної системивстановлюється спеціальне програмне забезпечення

Мал. 3.25.

• (ПЗ) управління шифратором (рис. 3.25). Таке програмне забезпечення видає команди через драйвер шифратора і передає шифратору дані, стежачи за тим, щоб потоки інформації від різних джерел не перетиналися, а також за тим, щоб у шифраторі завжди знаходилися потрібні ключі. Таким чином, УКЗД виконує два принципово різних видівкоманд:
• перед завантаженням операційної системи виконуються команди, що знаходяться в пам'яті шифратора, які здійснюють всі необхідні перевірки (наприклад, ідентифікацію та автентифікацію користувача) та встановлюють необхідний рівень безпеки (наприклад, відключають зовнішні пристрої);
• після завантаження ОС (наприклад, Vindows) виконуються команди, що надходять через керування шифратором (шифрувати дані, перезавантажувати ключі, обчислювати випадкові числа і т. д.).

Такий поділ потрібний з міркувань безпеки - після виконання команд першого блоку, які не можна обійти, порушник вже не зможе вчинити несанкціоновані дії.

Ще одне призначення ПЗ управління шифратором - забезпечити можливість заміни одного шифратора на інший (скажімо, більш продуктивний або реалізує інші криптоалгоритми), не змінюючи програмного забезпечення. Це відбувається аналогічно, наприклад, зміні мережевої карти: шифратор поставляється разом із драйвером, який дозволяє програмам виконувати стандартний набір криптографічних функцій відповідно до будь-якого інтерфейсу прикладного програмування (наприклад, Сгур1оАР1).

Так само можна замінити апаратний шифратор на програмний (наприклад, емулятор шифратора). Для цього програмний шифратор виконують зазвичай у вигляді драйвера, що надає той самий набір функцій.

Втім, ПЗ управління шифратором потрібно не всім УКЗД (зокрема, шифратор для «прозорого» шифрування-розшифрування всього жорсткого дискаПК достатньо налаштувати один раз).

Для додаткового забезпечення безпеки виконання криптографічних операцій в УКЗД може застосовуватися багаторівневий захист криптографічних ключів симетричного шифрування, коли випадковий сеансовий ключ шифрується довготривалим ключем користувача, а той, у свою чергу, головним ключем (рис. 3.26).

На етапі початкового завантаження до ключового осередку № 3 ЗУ шифратора заноситься головний ключ. Але для трирівневого шифрування потрібно отримати ще два. Сеансовий ключ генерується в результаті запиту до генератора (датчика) випадок-

Мал. 3.26. Шифрування файлу за допомогою УКЗД чисел (ДСЧ) шифратора на отримання випадкового числа, яке завантажується в ключову комірку № 1, відповідну сеансовому ключу. З його допомогою шифрується вміст файлу та створюється новий файл, що зберігає зашифровану інформацію.

Далі у користувача запитується довготривалий ключ, який завантажується в ключову комірку № 2 з розшифровкою за допомогою головного ключа, що знаходиться в комірці № 3. Надійний шифратор повинен мати режим розшифрування одного ключа за допомогою іншого всередині шифропроцесора; у цьому випадку ключ у відкритому вигляді взагалі ніколи не залишає шифратора. І, нарешті, сеансовий ключ зашифровується за допомогою довготривалого ключа, що знаходиться в комірці № 2, вивантажується з шифратора і записується в заголовок зашифрованого файлу.

При розшифруванні файлу спочатку за допомогою довготривалого ключа користувача розшифровується сеансовий ключ, а потім відновлюється інформація.

В принципі, можна використовувати для шифрування і один ключ, але багатоключова схема має серйозні переваги. По-перше, знижується можливість атаки довгостроковий ключ, оскільки він використовується лише шифрування коротких сеансових ключів. А це ускладнює порушнику криптоаналіз зашифрованої інформації з метою отримання довготривалого ключа. По-друге, при зміні довготривалого ключа можна дуже швидко заново зашифрувати файл: досить заново зашифрувати сеансовий ключ зі старого довготривалого на новий. По-третє, розвантажується ключовий носій, тому що на ньому зберігається тільки головний ключ, а всі довготривалі ключі (а їх може бути у користувача кілька для різних цілей) можуть зберігатися в зашифрованому за допомогою головного ключа вигляді навіть на жорсткому диску ПК.

Шифратори у вигляді ШВ-ключів (див. рис. 3.22) поки що не можуть стати повноцінною заміною апаратного шифратора для шини РС1 через низьку швидкість шифрування. Однак вони мають кілька цікавих особливостей. По-перше, токен (ШВ-ключ) є не тільки апаратним шифратором, але й носієм ключів шифрування, тобто пристрій «два в одному». По-друге, токени зазвичай відповідають поширеним міжнародним криптографічним стандартам(РКСБ #11, 1БО 7816, РС/8С і т. д.), і їх можна використовувати без додаткового налаштуванняу вже існуючих програмних засобах захисту інформації (наприклад, з їх допомогою можна проводити аутентифікацію користувачів у ОС сімейства Microsoft Windows). І нарешті, ціна такого шифратора в десятки разів нижча за класичний апаратний шифратор для шини PCI.

Корпоративні засоби шифрування, що впроваджуються «АСТ», можуть підтримувати алгоритми шифрування ГОСТ і забезпечувати необхідні класи криптозахисту залежно від необхідного ступеня захисту, нормативної бази та вимог сумісності з іншими, у тому числі, зовнішніми системами.

Засоби криптографічного захисту інформації (СКЗІ) є важливою складовою при забезпеченні інформаційної безпеки та дозволяють гарантувати високий рівеньзбереження даних, навіть у разі потрапляння зашифрованих електронних документівдо рук третіх осіб, а також при крадіжці або втраті носіїв інформації з ними. СКЗІ сьогодні застосовуються майже у кожній компанії – частіше на рівні взаємодії з автоматизованими банківськими системамита державними інформаційними системами; рідше – для зберігання корпоративних даних та обміну ними. Тим часом саме останнє застосування засобів шифрування дозволяє захистити бізнес від небезпечних витоків критично цінної інформації з гарантією до 99% навіть з урахуванням людського чинника.

Функціонально потреба у застосуванні СКЗІ також обумовлюється дедалі більшою популярністю засобів електронного документообігу, архівації та безпаперової взаємодії. Важливість документів, що обробляються у таких системах, диктує обов'язковість забезпечення високої захищеності інформації, що неможливо виконати без застосування засобів шифрування та електронного підпису.

Впровадження СКЗІ у корпоративну практику передбачає створення програмно-апаратного комплексу, архітектура та склад якого визначається, виходячи з потреб конкретного замовника, вимог законодавства, поставлених завдань та необхідних методів та алгоритмів шифрування. Сюди можуть входити програмні компоненти шифрування (криптопровайдери), засоби організації VPN, засоби посвідчення, засоби формування та перевірки ключів та ЕЦП, що служать для організації юридично значущого документообігу, апаратні носії інформації.

Корпоративні засоби шифрування, що впроваджуються «АСТ», можуть підтримувати алгоритми шифрування ГОСТ і забезпечувати необхідні класи криптозахисту залежно від необхідного ступеня захисту, нормативної бази та вимог сумісності з іншими, у тому числі, зовнішніми системами. При цьому засоби шифрування забезпечують захист усієї множини інформаційних компонент – файлів, каталогів з файлами та архівів, фізичних та віртуальних носіїв інформації, цілком серверів та СГД.

Рішення зможе забезпечити весь комплекс заходів щодо надійного захисту інформації при її зберіганні, передачі, використанні, а також з управління самими СКЗІ, включаючи:

• Забезпечення конфіденційності інформації
• Забезпечення цілісності інформації
• Гарантію достовірності інформації
• Цільовий захист інформації, включаючи:
  — Шифрування та розшифрування
  - Створення та перевірку ЕЦП
• Гнучкість налаштування, керування та використання СКЗІ
• Захист СКЗІ, включаючи моніторинг та виявлення випадків порушення працездатності, спроб несанкціонованого доступу, випадків компрометації ключів.

Реалізовані проекти

Пов'язані послуги:

• Моніторинг подій та управління інцидентами ІБ

  Найважливішим фактором при забезпеченні інформаційної безпеки (ІБ) є наявність повної та достовірної інформації про події,

  [...]
• Забезпечення мережевої безпеки та захисту периметра

  Мережева інфраструктура технологічно лежить в основі всіх корпоративних ІТ-систем і є транспортною артерією для інформації,

  [...]
• Захист від цілеспрямованих атак

  Однією з найсерйозніших і найнебезпечніших загроз для бізнесу з погляду інформаційної безпеки (ІБ) є цілеспрямовані

  [...]
• Захист АСУ ТП

  Автоматизована система управління технологічними процесами (АСУ ТП) на виробництві є основним рішенням,

  [...]
• Системи аналізу та управління вразливістю

  Як не буває абсолютно здорових людейтак і не буває абсолютно захищених інформаційних систем. Компоненти ІТ-інфраструктури

  [...]
• Захист від витоку інформації (DLP-система)

  Будь-яка організація має документи з обмеженим доступом, що містять ту чи іншу конфіденційну інформацію Їхнє потрапляння в чужі

До засобів криптографічного захисту інформації (СКЗІ) відносяться апаратні, програмно-апаратні та програмні засоби, що реалізують криптографічні алгоритми перетворення інформації з метою:

Захист інформації при її обробці, зберіганні та передачі по транспортному середовищі АС;

Забезпечення достовірності та цілісності інформації (у тому числі з використанням алгоритмів цифрового підпису) при її обробці, зберіганні та передачі транспортним середовищем АС;

Вироблення інформації, що використовується для ідентифікації та аутентифікації суб'єктів, користувачів та пристроїв;

Вироблення інформації, що використовується для захисту аутентифікуючих елементів захищеної АС при їх виробленні, зберіганні, обробці та передачі.

Передбачається, що СКЗІ використовуються в деякій АС (у ряді джерел - інформаційно-телекомунікаційної системи або мережі зв'язку), спільно з механізмами реалізації та гарантування безпекової політики.

Криптографічне перетворення має ряд істотних особливостей:

У СКЗІ реалізовано деякий алгоритм перетворення інформації (шифрування, електронний цифровий підпис, контроль цілісності)

Вхідні та вихідні аргументи криптографічного перетворення присутні в АС у певній матеріальній формі (об'єкти АС)

СКЗІ для роботи використовує деяку конфіденційну інформацію (ключи)

Алгоритм криптографічного перетворення реалізований у вигляді деякого матеріального об'єкта, що взаємодіє з навколишнім середовищем (у тому числі з суб'єктами та об'єктами захищеної АС).

Таким чином, роль СКЗІ у захищеній АС – перетворення об'єктів. В кожному конкретному випадкузазначене перетворення має особливості. Так, процедура зашифрування використовує як вхідні параметри об'єкт – відкритий текст та об'єкт – ключ, результатом перетворення є об'єкт – шифрований текст; навпаки, процедура розшифрування використовує як вхідні параметри шифрований текст та ключ; Процедура проставлення цифрового підпису використовує як вхідні параметри об'єкт - повідомлення та об'єкт - секретний ключ підпису, результатом роботи цифрового підпису є об'єкт - підпис, як правило, інтегрований в об'єкт - повідомлення. Можна говорити, що СКЗІ виробляє захист об'єктів на семантичному рівні. У той же час об'єкти - параметри криптографічного перетворення є повноцінними об'єктами АС і можуть бути об'єктами певної політики безпеки (наприклад, ключі шифрування можуть і повинні бути захищені від НСД, відкриті ключі для перевірки цифрового підпису від змін). Отже, СКЗІ у складі захищених АС мають конкретну реалізацію - це може бути окремий спеціалізований пристрій, що вбудовується в комп'ютер або спеціалізована програма. Істотно важливими є такі моменти:

СКЗІ обмінюється інформацією із зовнішнім середовищем, а саме: до нього вводяться ключі, відкритий текст під час шифрування

СКЗІ у разі апаратної реалізації використовує елементну базу обмеженої надійності (тобто в деталях, що становлять СКЗІ, можливі несправності чи відмови)

СКЗІ у разі програмної реалізації виконується на процесорі обмеженої надійності та в програмному середовищі, що містить сторонні програми, які можуть вплинути на різні етапи його роботи

СКЗІ зберігається на матеріальному носії (у разі програмної реалізації) і може бути при зберіганні навмисно чи випадково спотворено

СКЗІ взаємодіє із зовнішнім середовищем непрямим чином (живиться від електромережі, випромінює електромагнітні поля)

СКЗІ виготовляє або використовує людина, яка може допустити помилки (навмисні або випадкові) при розробці та експлуатації

Існуючі засоби захисту даних у телекомунікаційних мережах можна розділити на дві групи за принципом побудови ключової системи та системи аутентифікації. До першої групи віднесемо засоби, що використовують для побудови ключової системи та системи аутентифікації симетричні криптоалгоритми, до другої – асиметричні.

Проведемо порівняльний аналіз цих систем. Готове до передачі інформаційне повідомлення, спочатку відкрите і незахищене, зашифровується і тим самим перетворюється на шифрограму, тобто на закритий текст або графічне зображеннядокумента. У такому вигляді повідомлення передається каналом зв'язку, навіть і не захищеному. Санкціонований користувач після отримання повідомлення дешифрує його (тобто розкриває) за допомогою зворотного перетвореннякриптограми, внаслідок чого виходить вихідний, відкритий вид повідомлення, доступний сприйняття санкціонованим користувачам. Методу перетворення на криптографічної системі відповідає використання спеціального алгоритму. Дія такого алгоритму запускається унікальним числом (послідовністю біт), що зазвичай називається шифруючим ключем.

Для більшості систем схема генератора ключа може являти собою набір інструкцій та команд або вузол апаратури, або комп'ютерну програму, або це разом, але у разі процес шифрування (дешифрування) реалізується лише цим спеціальним ключем. Щоб обмін зашифрованими даними проходив успішно як відправнику, так і одержувачу, необхідно знати правильну ключову установку та зберігати її в таємниці. Стійкість будь-якої системи закритого зв'язку визначається ступенем секретності використовуваного у ній ключа. Тим не менш, цей ключ повинен бути відомий іншим користувачам мережі, щоб вони могли вільно обмінюватись зашифрованими повідомленнями. У цьому вся сенсі криптографічні системи також допомагають вирішити проблему аутентифікації (встановлення справжності) прийнятої інформації. Зломщик у разі перехоплення повідомлення матиме справу лише із зашифрованим текстом, а справжній одержувач, приймаючи повідомлення, закриті відомим йому та відправнику ключем, буде надійно захищений від можливої ​​дезінформації. Крім того, існує можливість шифрування інформації та більше простим способом- з використанням генератора псевдовипадкових чисел. Використання генератора псевдовипадкових чисел полягає в генерації гами шифру за допомогою генератора псевдовипадкових чисел при певному ключі та накладення отриманої гами на відкриті дані оборотним способом. Цей метод криптографічного захисту реалізується досить легко та забезпечує досить високу швидкість шифрування, проте недостатньо стійкий до дешифрування.

Для класичної криптографії характерно використання однієї секретної одиниці - ключа, що дозволяє відправнику зашифрувати повідомлення, а одержувачу розшифрувати його. У разі шифрування даних, що зберігаються на магнітних або інших носіях інформації, ключ дозволяє зашифрувати інформацію під час запису на носій та розшифрувати під час читання з нього.

«Організаційно-правові методи інформаційної безпеки»

Основні нормативні керівні документи щодо державної таємниці, нормативно-довідкові документи

На сьогоднішній день у нашій країні створено стабільну законодавчу основу в галузі захисту інформації. Основним законом можна назвати Федеральний закон РФ «Про інформацію, інформаційних технологійта про захист інформації». «Державне регулювання відносин у сфері захисту інформації здійснюється шляхом встановлення вимог про захист інформації, а також відповідальності за порушення законодавства Російської Федерації про інформацію, інформаційні технології та про захист інформації». Також Закон встановлює обов'язки власників інформації та операторів інформаційних систем.

Що стосується «кодифікованого» регулювання забезпечення інформаційної безпеки, то норми Кодексу про адміністративні правопорушення РФ та Кримінального кодексу РФ також містять необхідні статті. У ст. 13.12 КпАП РФ йдеться про порушення правил захисту інформації. Також ст. 13.13, яка передбачає покарання за незаконну діяльність у сфері захисту інформації. І ст. 13.14. у якій передбачається покарання за розголошення інформації з обмеженим доступом. Стаття 183. КК РФ передбачає покарання за незаконні отримання та розголошення відомостей, що становлять комерційну, податкову чи банківську таємницю.

Федеральним законом «Про інформацію, інформатизації та захист інформації» визначено, що державні інформаційні ресурси Російської Федерації є відкритими та загальнодоступними. Винятком є ​​документована інформація, віднесена законом до категорії обмеженого доступу.

Поняття державної таємниці визначено у Законі «Про державну таємницю» як «захищаються державою відомості у сфері її військової, зовнішньополітичної, економічної, розвідувальної, контррозвідувальної та оперативно-розшукової діяльності, поширення яких може завдати шкоди безпеці Російської Федерації». Таким чином, виходячи з балансу інтересів держави, суспільства та громадян, сфера застосування Закону обмежена певними видами діяльності: військовою, зовнішньополітичною, економічною, розвідувальною, контррозвідувальною та оперативно-розшуковою.

Закон визначив, що основним критерієм є належність відомостей, що засекречуються державі.

Закон також закріпив створення низки органів у сфері захисту державної таємниці, зокрема, міжвідомчої комісії із захисту державної таємниці, запровадив інститут посадових осіб, наділених повноваженнями щодо віднесення відомостей до державної таємниці, з одночасним покладанням на них персональної відповідальності за діяльність із захисту державної таємниці у сфери їх ведення.

Загальна організація та координація робіт у країні щодо захисту інформації, що обробляється технічними засобами, здійснюється колегіальним органом - Федеральною службою з технічного та експортного контролю (ФСТЕК) Росії при Президентові Російської Федерації, яка здійснює контроль за забезпеченням в органах державного управліннята на підприємствах, які ведуть роботи з оборонної та іншої секретної тематики.

Призначення та завдання у сфері забезпечення інформаційної безпеки на рівні держави

Державна політика забезпечення інформаційної безпеки Російської Федерації визначає основні напрями діяльності федеральних органів державної влади та органів державної влади суб'єктів Російської Федерації у цій галузі, порядок закріплення їх обов'язків щодо захисту інтересів Російської Федерації в інформаційній сферіу межах напрямів їхньої діяльності та базується на дотриманні балансу інтересів особистості, суспільства та держави в інформаційній сфері. Державна політика забезпечення інформаційної безпеки Російської Федерації ґрунтується на наступних основних принципах: дотримання Конституції Російської Федерації, законодавства Російської Федерації, загальновизнаних принципів та норм міжнародного права при здійсненні діяльності щодо забезпечення інформаційної безпеки Російської Федерації; відкритість у реалізації функцій федеральних органів державної влади, органів державної влади суб'єктів Російської Федерації та громадських об'єднань, що передбачає інформування товариства про їхню діяльність з урахуванням обмежень, встановлених законодавством Російської Федерації; правова рівність всіх учасників процесу інформаційної взаємодії незалежно від їхнього політичного, соціального та економічного статусу, що ґрунтується на конституційному праві громадян на вільний пошук, отримання, передачу, виробництво та розповсюдження інформації будь-яким законним способом; пріоритетний розвиток вітчизняних сучасних інформаційних та телекомунікаційних технологій, виробництво технічних та програмних засобів, здатних забезпечити вдосконалення національних телекомунікаційних мереж, їх підключення до глобальних інформаційних мереж з метою дотримання життєво важливих інтересів Російської Федерації.

Держава у процесі реалізації своїх функцій щодо забезпечення інформаційної безпеки Російської Федерації: проводить об'єктивний та всебічний аналіз та прогнозування загроз інформаційній безпеці Російської Федерації, розробляє заходи щодо її забезпечення; організує роботу законодавчих (представницьких) та виконавчих органів державної влади Російської Федерації щодо реалізації комплексу заходів, спрямованих на запобігання, відображення та нейтралізацію загроз інформаційній безпеці Російської Федерації; підтримує діяльність громадських об'єднань, спрямовану на об'єктивне інформування населення про соціально значущі явища суспільного життя, захист суспільства від спотвореної та недостовірної інформації; здійснює контроль за розробкою, створенням, розвитком, використанням, експортом та імпортом засобів захисту інформації за допомогою їх сертифікації та ліцензування діяльності в галузі захисту інформації; проводить необхідну протекціоністську політику щодо виробників засобів інформатизації та захисту інформації на території Російської Федерації та вживає заходів щодо захисту внутрішнього ринку від проникнення на нього неякісних засобів інформатизації та інформаційних продуктів; сприяє наданню фізичним та юридичним особамдоступу до світових інформаційним ресурсам, глобальних інформаційних мереж; формулює та реалізує державну інформаційну політику Росії; організує розробку федеральної програми забезпечення інформаційної безпеки Російської Федерації, що об'єднує зусилля державних та недержавних організацій у цій галузі; сприяє інтернаціоналізації глобальних інформаційних мереж і систем, і навіть входження Росії у світове інформаційне співтовариство за умов рівноправного партнерства.

Удосконалення правових механізмів регулювання суспільних відносин, що виникають в інформаційній сфері, є пріоритетним напрямом державної політики у сфері забезпечення інформаційної безпеки Російської Федерації.

Це передбачає: оцінку ефективності застосування чинних законодавчих та інших нормативних правових актів в інформаційній сфері та вироблення програми їх удосконалення; створення організаційно-правових механізмів забезпечення інформаційної безпеки; визначення правового статусу всіх суб'єктів відносин в інформаційній сфері, включаючи користувачів інформаційних та телекомунікаційних систем, та встановлення їх відповідальності за дотримання законодавства Російської Федерації у цій сфері; створення системи збору та аналізу даних про джерела загроз інформаційній безпеці Російської Федерації, а також про наслідки їх здійснення; розроблення нормативних правових актів, що визначають організацію слідства та процедуру судового розгляду за фактами протиправних дій в інформаційній сфері, а також порядок ліквідації наслідків цих протиправних дій; розробку складів правопорушень з урахуванням специфіки кримінальної, цивільної, адміністративної, дисциплінарної відповідальності та включення відповідних правових норм до кримінального, цивільного, адміністративного та трудового кодексів, до законодавства Російської Федерації про державній службі; вдосконалення системи підготовки кадрів, що використовуються в галузі забезпечення інформаційної безпеки Російської Федерації.

Правове забезпечення інформаційної безпеки Російської Федерації має базуватися, передусім, дотриманні принципів законності, балансу інтересів громадян, нашого суспільства та держави у інформаційної сфері. Дотримання принципу законності вимагає від федеральних органів державної влади органів державної влади суб'єктів Російської Федерації під час вирішення виникаючих у сфері конфліктів неухильно керуватися законодавчими та інші нормативними правовими актами, регулюючими відносини у цій сфері. Дотримання принципу балансу інтересів громадян, суспільства та держави в інформаційній сфері передбачає законодавче закріплення пріоритету цих інтересів у різних галузях життєдіяльності суспільства, а також використання форм громадського контролю діяльності федеральних органів державної влади та органів державної влади суб'єктів Російської Федерації. Реалізація гарантій конституційних права і свободи людини і громадянина, що стосуються діяльності інформаційної сфері, є найважливішим завданням держави у сфері інформаційної безпеки. Розробка механізмів правового забезпечення інформаційної безпеки Російської Федерації включає у собі заходи щодо інформатизації правової сфери загалом. З метою виявлення та узгодження інтересів федеральних органів державної влади, органів державної влади суб'єктів Російської Федерації та інших суб'єктів відносин в інформаційній сфері, вироблення необхідних рішеньдержава підтримує формування громадських рад, комітетів та комісій з широким представництвом громадських об'єднань та сприяє організації їх ефективної роботи.

Особливості сертифікації та стандартизації криптографічних послуг

Практично у всіх країнах, що мають розвинені криптографічні технології, розробка СКЗІ відноситься до сфери державного регулювання. Державне регулювання включає, як правило, ліцензування діяльності, пов'язаної з розробкою та експлуатацією криптографічних засобів, сертифікацію СКЗІ та стандартизацію алгоритмів криптографічних перетворень

Ліцензуванню підлягають такі види діяльності: розробка, виробництво, проведення сертифікаційних випробувань, реалізація, експлуатація шифрувальних засобів, призначених для криптографічного захисту інформації, що містить відомості, що становлять державну або іншу таємницю, що охороняється законом, при її обробці, зберіганні та передачі каналами зв'язку, а також надання послуг у галузі шифрування цієї інформації; розробка, виробництво, проведення сертифікаційних випробувань, експлуатація систем та комплексів телекомунікацій вищих органів державної влади Російської Федерації; розробка, виробництво, проведення сертифікаційних випробувань, реалізація, експлуатація закритих систем та комплексів телекомунікацій органів влади суб'єктів Російської Федерації, центральних органів федеральної виконавчої влади, організацій, підприємств, банків та інших установ, розташованих на території Російської Федерації, незалежно від їх відомчої належності та форм власності (далі - закритих систем і комплексів телекомунікацій), призначених для передачі інформації, що становить державну або іншу таємницю, що охороняється законом; проведення сертифікаційних випробувань, реалізація та експлуатація шифрувальних засобів, закритих систем і комплексів телекомунікацій, призначених для обробки інформації, що не містить відомостей, що становлять державну або іншу таємницю, що охороняється законом, при її обробці, зберіганні та передачі каналами зв'язку, а також надання послуг в області шифрування цієї інформації

До шифрувальних засобів відносяться: реалізують криптографічні алгоритми перетворення інформації апаратні, програмні та апаратно-програмні засоби, що забезпечують безпеку інформації при її обробці, зберіганні та передачі каналами зв'язку, включаючи шифрувальну техніку; реалізують криптографічні алгоритми перетворення інформації апаратні, програмні та апаратно-програмні засоби захисту від несанкціонованого доступу до інформації при її обробці та зберіганні; реалізують криптографічні алгоритми перетворення інформації апаратні, програмні та апаратно-програмні засоби захисту від нав'язування хибної інформації, включаючи засоби імітозахисту та "цифрового підпису"; апаратні, апаратно-програмні та програмні засоби для виготовлення ключових документів до шифрувальних засобів незалежно від виду носія ключової інформації.

До закритих систем та комплексів телекомунікацій належать системи та комплекси телекомунікацій, у яких забезпечується захист інформації з використанням шифрувальних засобів, захищеного обладнання та організаційних заходів.

Додатково до ліцензування підлягають такі види діяльності: експлуатація шифрувальних засобів та/або засобів цифрового підпису, а також шифрувальних засобів для захисту електронних платежів з використанням пластикових кредитних карток та смарт-карток; надання послуг із захисту (шифрування) інформації; монтаж, встановлення, налагодження шифрувальних засобів та/або засобів цифрового підпису, шифрувальних засобів для захисту електронних платежів з використанням пластикових кредитних карток та смарт-карток; розробка шифрувальних засобів та/або засобів цифрового підпису, шифрувальних засобів для захисту електронних платежів з використанням пластикових кредитних карток та смарт-карток

Порядок сертифікації СКЗД встановлено "Системою сертифікації засобів криптографічного захисту інформації РОСС.Р11.0001.030001 Держстандарту Росії.

Стандартизація алгоритмів криптографічних перетворень включає всебічні дослідження та публікацію у вигляді стандартів елементів криптографічних процедур з метою використання розробниками СКЗІ апробованих стійких криптографічно перетворень, забезпечення можливості спільної роботи різних СКЗІ, а також можливості тестування та перевірки відповідності реалізації СКЗІ заданому стандартом алгоритму. У Росії прийняті такі стандарти - алгоритм криптографічного перетворення 28147-89, алгоритми хешування, проставляння та перевірки цифрового підпису Р34.10.94 та Р34.11.94. Із зарубіжних стандартів широко відомі та застосовуються алгоритми шифрування DES, RC2, RC4, алгоритми хешування МD2, МD4 та МD5, алгоритми простановки та перевірки цифрового підпису DSS та RSA.

Законодавча база інформаційної безпеки

Основні поняття, вимоги, методи та засоби проектування та оцінки системи інформаційної безпеки для інформаційних систем (ІС) відображені в наступних документах:

"Помаранчева книга" Національного центрузахисту комп'ютерів

"Гармонізовані критерії Європейських країн (ITSEC)";

Концепція захисту від НСД Держкомісії за Президента РФ.

Концепція інформаційної безпеки

Концепція безпеки системи, що розробляється - "це набір законів, правил і норм поведінки, що визначають, як організація обробляє, захищає і поширює інформацію. Зокрема, правила визначають, у яких випадках користувач має право оперувати з певними наборами даних. Чим надійніша система, тим суворіше і різноманітнішим має бути концепція безпеки. Залежно від сформульованої концепції можна вибирати конкретні механізми, що забезпечують безпеку системи. Концепція безпеки – це активний компонент захисту, що включає аналіз можливих загроз і вибір заходів протидії".

Концепція безпеки системи, що розробляється відповідно до "Помаранчевої книги", повинна включати наступні елементи:

Довільне керування доступом;

Безпека повторного використанняоб'єктів;

Мітки безпеки;

Примусове керування доступом.

Розглянемо зміст перелічених елементів.

Довільне управління доступом – це метод обмеження доступу до об'єктів, заснований на обліку особи суб'єкта чи групи, до якої суб'єкт входить. Довільність управління полягає в тому, що деяка особа (зазвичай власник об'єкта) може на власний розсуд надавати іншим суб'єктам або відбирати у них права доступу до об'єкта.

Головна перевага довільного управління доступом – гнучкість, головні недоліки – розосередженість управління та складність централізованого контролю, а також відірваність прав доступу від даних, що дозволяє копіювати секретну інформацію у загальнодоступні файли.

Безпека повторного використання об'єктів – важливе практично доповнення засобів управління доступом, що оберігає від випадкового чи навмисного вилучення секретної інформації з " сміття " . Безпека повторного використання має гарантуватися для областей оперативної пам'яті(зокрема, для буферів з образами екрана, розшифрованими паролями тощо), для дискових блоків та магнітних носіїв загалом.

Мітки безпеки асоціюються з суб'єктами та об'єктами для реалізації примусового керування доступом. Мітка суб'єкта визначає його благонадійність, мітка об'єкта - ступінь закритості інформації, що міститься в ньому. Відповідно до "Помаранчевої книги" мітки безпеки складаються з двох частин – рівня секретності та списку категорій. Головна проблема, яку необхідно вирішувати у зв'язку з мітками, – забезпечення їхньої цілісності. По-перше, не повинно бути непомічених суб'єктів та об'єктів, інакше в мітковій безпеці з'являться проломи, що легко використовуються. По-друге, за будь-яких операцій з даними мітки повинні залишатися правильними. Одним із засобів забезпечення цілісності міток безпеки є поділ пристроїв на багаторівневі та однорівневі. На багаторівневих пристроях може зберігатись інформація різного рівня секретності (точніше, що лежить у певному діапазоні рівнів). Однорівневий пристрій можна розглядати як вироджений випадок багаторівневого коли допустимий діапазон складається з одного рівня. Знаючи рівень пристрою, система може вирішити, чи можна записувати на нього інформацію з певною міткою.

Примусове управління доступом ґрунтується на зіставленні позначок безпеки суб'єкта та об'єкта. Цей спосіб управління доступом називається примусовим, оскільки він залежить від волі суб'єктів (навіть системних адміністраторів). Примусове управління доступом реалізовано у багатьох випадках операційних системта СУБД, що відрізняються підвищеними заходами безпеки.

З завданням підбору програмного забезпечення криптографічного захисту даних стикається кожен, хто всерйоз замислюється безпеки своєї конфіденційної інформації. І в цьому немає абсолютно нічого дивного - шифрування на сьогоднішній день є одним із найнадійніших способів запобігти несанкціонованому доступу до важливих документів, баз даних, фотографій та будь-яких інших файлів.

Проблема у тому, що з грамотного вибору необхідно розуміти всі аспекти роботи криптографічних продуктів. Інакше можна легко помилитися і зупинитися на ПЗ, яке або не дозволить захистити всю необхідну інформацію, або не забезпечить належного ступеня безпеки. На що потрібно звертати увагу? По-перше, це доступні у продукті алгоритми шифрування. По-друге, способи автентифікації власників інформації. По-третє, засоби захисту інформації. По-четверте, додаткові функції та можливості. По-п'яте, авторитет та популярність виробника, а також наявність у нього сертифікатів на розробку засобів шифрування. І це ще далеко не все, що може виявитися важливим при виборі криптографічної системи захисту.

Зрозуміло, що людині, яка не знається на галузі захисту інформації, складно знайти відповіді на всі ці питання.

Secret Disk 4 Lite

Розробником продукту Secret Disk 4 Lite є компанія Aladdin – один із світових лідерів, що працюють у галузі інформаційної безпеки. Вона має велику кількість сертифікатів. І хоча сам продукт, що розглядається, не є сертифікованим засобом (у Secret Disk 4 є окрема сертифікована версія), даний факт говорить про визнання компанії серйозним розробником криптографічних засобів.

Secret Disk 4 Lite може використовуватись для шифрування окремих розділіввінчестера, будь-яких знімних накопичувачів, а також для створення захищених віртуальних дисків. Таким чином, за допомогою цього інструменту можна вирішити більшу частину завдань, пов'язаних із криптографією. Окремо варто відзначити можливість шифрування системного розділу. При цьому саме завантаження ОС неавторизованим користувачем стає неможливим. Причому цей захист набагато надійніший, ніж вбудовані засоби захисту Windows.

У продукті Secret Disk 4 Lite немає вбудованих алгоритмів шифрування. Ця програма для своєї роботи використовує зовнішні криптопровайдери. За промовчанням використовується стандартний модуль, інтегрований у Windows. У ньому реалізовані алгоритми DES та 3DES. Однак сьогодні вони вважаються морально застарілими. Тому для кращого захистуможна завантажити із сайту Aladdin спеціальний Secret Disk Crypto Pack. Це криптопровайдер, в якому реалізовані найбільш надійні на сьогоднішній день криптографічні технології, включаючи AES та Twofish з довжиною ключа до 256 біт. До речі, у разі потреби у поєднанні з Secret Disk 4 Lite можна використовувати сертифікованих постачальників алгоритмів Signal-COM CSP та "КриптоПро CSP".

Відмінною особливістю Secret Disk 4 Lite є система автентифікації користувачів. Справа в тому, що вона побудована на використанні цифрових сертифікатів. Для цього до комплекту поставки продукту включений апаратний USB-токен eToken. Він є надійно захищеним сховищем для секретних ключів. Фактично, йдеться про повноцінну двофакторну аутентифікацію (наявність токена плюс знання його PIN-коду). В результаті аналізована система шифрування позбавлена ​​такого "вузького" місця, як використання звичайного парольного захисту.

З додаткових функцій Secret Disk 4 Lite можна відзначити можливість розрахованої на багато користувачів роботи (власник зашифрованих дисків може надати доступ до них іншим людям) і фонову роботу процесу шифрування.

Інтерфейс Secret Disk 4 Lite простий та зрозумілий. Він виконаний російською мовою, так само, як і докладна довідкова система, в якій розписані всі нюанси використання продукту.

InfoWatch CryptoStorage

InfoWatch CryptoStorage - продукт досить відомої компанії InfoWatch, яка має сертифікати на розробку, розповсюдження та обслуговування шифрувальних засобів. Як зазначалося, де вони обов'язкові, але можуть грати роль своєрідного індикатора серйозності підприємства міста і якості своєї продукції.

Малюнок 1. Контекстне меню

У InfoWatch CryptoStorage реалізовано лише один алгоритм шифрування – AES з довжиною ключа 128 біт. Аутентифікація користувачів реалізована за допомогою звичайного парольного захисту. Заради справедливості варто зазначити, що у програмі є обмеження мінімальної довжини ключових слів, що дорівнює шести символам. Тим не менш, парольний захист, безумовно, сильно поступається за своєю надійністю двофакторної автентифікації з використанням токенів. Особливістю програми InfoWatch CryptoStorage є її універсальність. Справа в тому, що за її допомогою можна зашифровувати окремі файлита папки, цілі розділи вінчестера, будь-які знімні накопичувачі, а також віртуальні диски.

Цей продукт, як і попередній, дозволяє захищати системні диски, тобто він може використовуватися для запобігання несанкціонованому завантаженню комп'ютера. Фактично InfoWatch CryptoStorage дозволяє вирішити весь спектр завдань, пов'язаних з використанням симетричного шифрування.

Додатковою можливістю розглянутого продукту є організація розрахованого на багато користувачів доступу до зашифрованої інформації. Крім того, у InfoWatch CryptoStorage реалізовано гарантоване знищення даних без можливості їх відновлення.

InfoWatch CryptoStorage – російськомовна програма. Її інтерфейс, виконаний російською мовою, проте досить незвичайний: головне вікно як таке відсутнє (є лише невелике віконце конфігуратора), а практично вся робота реалізована за допомогою контекстного меню. Таке рішення незвично, проте не можна не визнати його простоту та зручність. Звичайно, російськомовна документація в програмі також є.

Rohos Disk – продукт компанії Tesline-Service.S.R.L. Він входить до лінійки невеликих утиліт, що реалізують різні інструменти захисту конфіденційної інформації. Розробка цієї серії продовжується з 2003 року.

Рисунок 2. Інтерфейс програми

Програма Rohos Disk призначена для криптографічного захисту даних. Вона дозволяє створювати зашифровані віртуальні диски, на які можна зберігати будь-які файли та папки, а також інсталювати програмне забезпечення.

Для захисту даних у цьому продукті використовується криптографічний алгоритм AES з довжиною ключа 256 біт, який забезпечує високий ступіньбезпеки.

У Rohos Disk реалізовано два способи автентифікації користувачів. Перший з них - звичайний парольний захист з усіма її недоліками. Другий варіант – використання звичайного USB-диска, на який записується необхідний ключ.

Цей варіант також не є дуже надійним. При його використанні втрата флешки може загрожувати серйозними проблемами.

Rohos Disk відрізняється широким набором додаткових можливостей. Насамперед варто відзначити захист USB-дисків. Суть її полягає у створенні на "флешці" спеціального зашифрованого розділу, в якому можна без побоювань переносити конфіденційні дані.

Причому до складу продукту входить окрема утиліта, за допомогою якої можна відкривати та переглядати ці USB-диски на комп'ютерах, на яких не інстальовано Rohos Disk.

Наступна додаткова можливість- Підтримка стеганографії. Суть цієї технології полягає у прихованні зашифрованої інформації всередині мультимедіа-файлів (підтримуються формати AVI, MP3, MPG, WMV, WMA, OGG).

Її використання дозволяє приховати факт наявності секретного диска шляхом його розміщення, наприклад, усередині фільму. Останньою додатковою функцією є знищення інформації без можливості її відновлення.

Програма Rohos Disk має традиційний російськомовний інтерфейс. Крім того, вона супроводжена довідковою системою, можливо, не настільки докладною, як у двох попередніх продуктів, проте достатньою для освоєння принципів її використання.

Говорячи про криптографічні утиліти, не можна не згадати і про безкоштовне програмне забезпечення. Адже сьогодні практично в усіх галузях є гідні продукти, що розповсюджуються вільно. І захист інформації не є винятком із цього правила.

Щоправда, до використання вільного програмного забезпечення для захисту інформації існує двояке ставлення. Справа в тому, що багато утиліт пишуться програмістами-одинаками або невеликими групами. При цьому ніхто не може поручитися за якість їх реалізації та відсутність "дір", випадкових чи навмисних. Але криптографічні рішення власними силами дуже складні розробки. При їх створенні потрібно враховувати безліч різних нюансів. Саме тому рекомендується застосовувати лише широко відомі продукти, причому обов'язково відкритим кодом. Тільки так можна бути впевненим, що вони позбавлені "закладок" і протестовані великою кількістю фахівців, а отже, більш-менш надійні. Прикладом такого продукту є програма TrueCrypt.

Рисунок 3. Інтерфейс програми

TrueCrypt є, мабуть, однією з найфункціональніше багатих безкоштовних криптографічних утиліт. Спочатку вона використовувалася лише для створення захищених віртуальних дисків. Все ж таки для більшості користувачів це найбільш зручний спосіб захисту різної інформації. Однак згодом у ній з'явилася функція шифрування системного розділу. Як ми вже знаємо, він призначений для захисту комп'ютера від несанкціонованого запуску. Правда, шифрувати всі інші розділи, а також окремі файли та папки TrueCrypt поки що не вміє.

У цьому продукті реалізовано кілька алгоритмів шифрування: AES, Serpent і Twofish. Власник інформації може сам вибрати, який з них він хоче використовувати у Наразі. Аутентифікація користувачів у TrueCrypt може здійснюватися за допомогою звичайних паролів. Однак є й інший варіант - з використанням ключових файлів, які можуть зберігатися на жорсткому диску або будь-якому знімному накопичувачі. Окремо варто відзначити підтримку даною програмою токенів та смарт-карт, що дозволяє організувати надійну двофакторну автентифікацію.

З додаткових функцій програми, що розглядається, можна відзначити можливість створення прихованих томівусередині основних. Вона використовується для приховування конфіденційних даних під час відкриття диска під примусом. Також у TrueCrypt реалізована система резервного копіюваннязаголовків томів для їх відновлення при збої або повернення до старих паролів.

Інтерфейс TrueCrypt звичний для утиліт такого роду. Він багатомовний, причому є можливість встановити російську мову. З документацією справи набагато гірші. Вона є, причому дуже докладна, проте написана на англійською. Звичайно, ні про яку технічної підтримкимови йти не може.

Для більшої наочності усі їх особливості та функціональні можливості зведені до таблиці 2 .

Таблиця 2 - Функціональні можливостіпрограм криптографічного захисту інформації

Secret Disk 4 lite	InfoWatch CryptoStorage
Алгоритми шифрування	DES, 3DES, AES, TwoFish			AES, Serpent, TwoFish
Максимальна довжина ключа шифрування
Підключення зовнішніх криптопровайдерів
Сувора автентифікація з використанням токенів				+ (токени купуються окремо)
Шифрування файлів та папок
Шифрування розділів
Шифрування системи
Шифрування віртуальних дисків
Шифрування знімних накопичувачів
Підтримка розрахованої на багато користувачів роботи
Гарантоване знищення даних
Приховування зашифрованих об'єктів
Робота «під примусом»
Російськомовний інтерфейс
Російськомовна документація
Технічна підтримка