Доклады, выступления, видео и электронные публикации

Решения для криптографической защиты сетевого взаимодействия объектов КИИ на базе платформы m-TrusT

Еще несколько лет назад мы оценили требования к платформе средства защиты для КИИ и поняли, что вполне можем выпустить подходящий микрокомпьютер, который будет

  1. создавать и поддерживать доверенную вычислительную среду,
  2. обеспечивать работу с неизвлекаемым ключом в автоматическом режиме (включая автоматический старт работы),
  3. обеспечивать возможность установки различных СКЗИ при соблюдении условий сертификации на высокие классы,
  4. обеспечивать работу с различными каналами связи по различным протоколам, при необходимости – параллельно,
  5. обеспечивать коммутацию с различным оборудованием объекта КИИ без модификации последнего.

Всем этим требованиям отвечает специализированный компьютер с аппаратной защитой данных m-TrusT, который мы спроектировали, разработали, выпускаем серийно и предоставляем вендорам СКЗИ для сертификации своих СКЗИ в варианте исполнения на этой платформе.

Особенностями этого микрокомпьютера являются:

  • Новая гарвардская архитектура, на аппаратном уровне обеспечивающая целостность ОС и «вирусный иммунитет»,
  • аппаратная поддержка реализации доверенной загрузки (резидентный компонент безопасности, в котором реализован  СДЗ уровня BIOS),
  • функциональная замкнутость среды, обеспечиваемая специальным програмным модулем,
  • аппаратное резидентное решение по неизвлекаемости ключа, не требующее подключения отчуждаемого носителя, а стало быть, обеспечивающее старт и работу в автоматическом режиме,
  • аппаратный ДСЧ.

При этом форм-фактор m-Trust обеспечивает возможность адаптации к разнообразному оборудованию объектов КИИ без проведения дополнительных сертификационных испытаний, поскольку коммутация обеспечивается с помощью интерфейсных плат, а специализированный компьютер, являющийся платформой СКЗИ, остается неизменным.

Доверенная загрузка поддерживается программным комплексом Аккорд-МКТ, сертифицированным ФСТЭК.

Функциональная замкнутость среды поддерживается комплексом Аккорд-Х, сертифицированным ФСТЭК.

Физический датчик случайных чисел – двухплечевое решение с использованием диодов 2Г103А9, по схеме «Дебют», имеет положительное заключение ФСБ;

Криптографическое API поддержки аппаратного неизвлекаемого ключа платформы m-TrusT имеет положительное заключение ФСБ;

Ресурсы m-TrusT позволяют обеспечить СФК, позволяющую сертифицировать вариант исполнения СКЗИ на m-TrusT на класс КС3.

Соответствующий опыт уже есть: специализированный компьютер с аппаратной защитой данных m-TrusT сертифицирован ФСБ как платформа для СКЗИ DCrypt на класс КС3, но в конкретном решении встроенное СКЗИ может быть любым сертифицированным.

Но в отличие от той начальной ситуации, когда мы понимали, как надо, и делали платформу, которая могла как-то применяться в КИИ, сейчас мы уже можем говорить о практике применения решений на базе m-TrusT.

Так, в проектах АО «РЖД» – «Сапсан», «Ласточка», «Иволга» – применяются криптошлюзы на базе m-Trust под общим названием TrusT-in-Motion (TiM).

 1.jpg

В проекте ВТБ – «Криптоанклав» – используется канальный шифратор на базе m-TrusT в исполнении в стойку.

В МиМО ПФР используются терминалы VDI на базе m-TrusT под общим названием «m-TrusT Терминал».

2.jpg 

В станках с ЧПУ «Балт-Систем» установлены m-TrusT как таковые, без корпуса, на специально разработанной для этого проекта интерфейсной плате.

 3.jpg

В шкафах SCADA «Вега-газ» установлены криптошлюзы m-TrusT в корпусе для установки на DIN-рейку.

4.jpg 

Также для различных компаний мы реализовали решения для БПЛА, защищенного удаленного доступа, АТМ.

 5.jpg

6.jpg

Каждый микрокомпьютер «m-TrusT» является точкой сбора информационных и/или управляющих сигналов от объектов КИИ, их шифрования для передачи по каналам связи, а также приема зашифрованных сигналов из каналов связи и их расшифровкой.

Построенное на m-TrusT решение может поддержать любой из вариантов связи объектов, или даже все их одновременно, причем с дублированием каждого канала (несколько каналов Ethernet, несколько sim-карт для мобильного Интернета и т. д.), с тем чтобы во время работы использовать тот, что доступен в данный момент и в данном месте.

Подытожим основные преимущества m-TrusT:

  1. Работа в автоматическом режиме, что существенно снижает нагрузку на организационно-технические меры при эксплуатации СКЗИ.
  2. Изменение форм-фактора без повторной сертификации изделия, что значительно сокращает сроки работ по защите КИИ.
  3. Обеспечивается работа с любыми каналами связи, используемыми в КИИ.
  4. Обеспечивается защита КИИ без глубокой переработки ее структуры, что сильно сокращает затраты на проведение мероприятий.
  5. Предыдущие пункты подтверждены практикой.

 

Автор: Конявская С. В.

Дата публикации: 29.12.2023

Библиографическая ссылка: Конявская С. В. Решения для криптографической защиты сетевого взаимодействия объектов КИИ на базе платформы m-TrusT // Information Security/Информационная безопасность. М., 2023. № 6. С.51.

Метки документа:
m-trust   архитектура фон неймана   кии/асутп   контроль целостности   криптография   новая гарвардская архитектура   система удаленного доступа/распределенная система   уязвимости/угрозы/атаки  

Scientia potestas est
Кнопка связи