Реализация комплексного подхода к защите информации в новых изделиях ОКБ САПР

С. В. Конявская, А. К. Расщепкин
ЗАО "ОКБ САПР", г.Москва

Сегодня необходимость обеспечения доверенных вычислений для критичных сегментов ИТ в условиях недоверенной ОС постепенно становится осознанной и очевидной.

Не нужно доказывать, что такая задача может быть решена только при помощи дополнительных аппаратных компонентов, предназначенных для реализации слоя критических вычислительных процедур и для хранения ключевой информации. Если сложность этих компонентов относительно невелика, то и их верификация выполнима, в отличие от верификации ОС.

Изделия ОКБ САПР имели соответствующую архитектуру и возможности уже в 1997 году, с появлением контроллера Аккорд-4++. В 1999 году эта архитектура была опубликована в виде монографии.

В этом году ОКБ САПР полностью обновляет всю линейку своих стандартных изделий для защиты информации. Существенно расширены возможности устройств, уже завоевавших всеобщее признание: Аккорд-АМДЗ, Аккорд-NT/2000, Аккорд-СБ, появились и совершенно новые продукты: персональное средство защиты информации - Шипка-1.5, подсистема доверенного обмена данными по сети - Accord AcXNet, канальный шифратор - Аккорд-IP, защищённые ключевой носитель - Аккорд-ЗКН, электронный замок с функциями криптовычислителя на базе контроллера Аккорд-5.5, криптоускоритель - Аккорд-5КУ.

Понимание того, что защищенное информационное взаимодействие не может быть обеспечено исключительно защитой компьютеров, ведет к появлению средств защиты, учитывающих самые разные уязвимости информационного взаимодействия.

Самое незащищенное звено информационного взаимодействия - человек, и именно для него предназначено новое изделие - персональное средство защиты информации Шипка-1.5. Это USB-устройство, в котором аппаратно (то есть без какого-либо привлечения ресурсов компьютера, что принципиально отличает его от внешне похожих устройств типа USB-ключ) реализованы все стандартные российские криптографические алгоритмы (шифрование по ГОСТ 28147-89, вычисление хэш-функции по ГОСТ Р 34.11-94, вычисление и проверка ЭЦП по ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-94), а также вычисление ЗКА.

Шипка-1.5 имеет два изолированных энергонезависимых блока памяти. Критичная ключевая информация хранится в памяти объемом 4 Кбайт, размещенной непосредственно в вычислителе, а для хранения остальной ключевой информации, паролей, сертификатов и т.п. предназначена память объемом до 2 Мбайт, и часть этой памяти может быть выделена для организации защищенного диска небольшого объема.

Все это позволяет решать с помощью устройства Шипка-1.5 самые разные задачи защиты информации как персонального, так и уровня организации.

Благодаря наличию стандартного дискового интерфейса устройство может с успехом применяться в бездисковых решениях типа "тонкий клиент" - клиентское ПО небольшого объема (например ДОС-клиент для Citrix Metaframe) может быть размещено непосредственно в энергонезависимой памяти Шипки-1.5. При этом, встроенное ПО может быть полностью верифицируемым, чего нельзя обеспечить, применяя обычные USB-ключи.

Программное обеспечение, входящее в поставку устройства Шипка-1.5 представляет собой лишь интерфейс, обеспечивает транспортные процедуры и процедуры согласования форматов данных. Это очень важное отличие от других известных решений на базе USB-ключей, которые фактически представляют собой только энергонезависимую память и адаптер USB-интерфейса, а весь критичный уровень вычислений реализуют программно.

Кроме того, устройство Шипка-1.5 является полностью программируемым. Это дает возможность легко расширять его функциональность под конкретные требования заказчика.

Таким образом, сегодня Шипка-1.5 - первое и пока единственное аппаратное персональное средство защиты информации в России.

В целях более эффективного сочетания защиты от НСД с защитой от вредоносных компьютерных программ в ПО "Аккорд NT/2000" добавлен интерфейс подключения внешних антивирусных модулей, что позволяет, в частности, избежать дублирования проверок, и динамически проверять только те объекты, к которым обращается пользователь. В качестве такого модуля может применяться "Антивирусное ядро Vba32" разработанное фирмой "ВирусБлокАда" или "Антивирусное ядро DrWeb", разработанное фирмой "ДиалогНаука".

Успешно проведены испытания функционирования ПО Аккорд-АМДЗ в разных конфигурациях так называемого "тонкого клиента". Клиентская часть ПО "тонкого клиента" (например, тот же Citrix Metaframe для DOS) может размещаться непосредственно в контроллере "Аккорд". В стандартной комплектации контроллера Аккорд-5.5 объем такого ПО может достигать 16 Мбайт и это значение может быть легко увеличено вплоть до 256 Мбайт.

Общее количество инсталляций СЗИ НСД "Аккорд" в этом году достигло 130 000, и это лучше теоретических выкладок свидетельствует о точности оценок специалистами ОКБ САПР тенденций развития сферы информационной безопасности.

Авторы: Конявская С. В.; Расщепкин А. К.

Дата публикации: 01.01.2005

Библиографическая ссылка: Конявская С. В., Расщепкин А. К. Реализация комплексного подхода к защите информации в новых изделиях ОКБ САПР // Методы и средства технической защиты конфиденциальной информации: Тезисы докладов II Всероссийской научно-практической конференции, г. Обнинск, 7-9 июня 2005 г. Обнинск, 2005. С. 41–43.

---