Если у вас возникли вопросы, или появилось предложение, напишите нам
МАРШ!
Назначение
Средство обеспечения доверенного сеанса связи (СОДС) «МАРШ!» предназначено для организации защищённой работы удалённых пользователей недоверенных компьютеров с сервисами доверенной распределенной информационной системы (РИС) через сети передачи данных в рамках доверенного сеанса связи (ДСС).
Под ДСС понимается период работы компьютера, в рамках которого обеспечивается доверенная загрузка ОС, организуется защищённое соединение с сервером, а также обеспечивается доверенная среда функционирования криптографии.
Важнейшей особенностью является обеспечиваемая «МАРШ!» возможность подписи документов в формате XML.
Состав
СОДС «МАРШ!» это активное устройство, состоящее из микроконтроллера, памяти загрузки ПО микроконтроллера и памяти для хранения ПО и данных. Возможна реализация на устройстве датчика случайных чисел. Конструктивно СОДС «МАРШ!» выполнен в виде USB-устройства, и выглядит точно так же, как обычная «флешка». Это позволяет использовать СОДС «МАРШ!» практически со всеми компьютерами, так как почти все компьютеры имеют достаточное количество портов USB. В памяти USB-устройства размещается проверенная загрузочная ОС, в которую предустановлены ПО СЗИ и функциональное ПО, необходимое для работы пользователя. Состав ПО СЗИ и функционального ПО может быть любым. Как правило, в состав образа входит следующее ПО: браузер, модуль интеграции (встраивается как плагин браузера и предназначается для инициирования операций с электронной подписью), библиотека электронной подписи, средства VPN и криптоядро.

ПО СЗИ и функциональное ПО определяются при заказе. Может быть установлено, например, ПО пользователя для защищенных носителей линейки «Секрет». Есть положительный опыт работы со всеми распространенными VPN и криптоядрами.
Организация памяти
На этапе производства память СОДС «МАРШ!» разбивается на разделы и к ним устанавливаются различные права доступа, которые контролируются микроконтроллером и пользователем изменены быть не могут.
Как правило, память СОДС «МАРШ!» содержит не менее одного раздела ReadOnly (RO), не менее одного раздела ReadWriteHidden (RWH), используются также разделы AddOnly (AO) и разделы с общим доступом RW.

В RO разделе размещаются ОС и другое ПО, которое является неизменяемым достаточно длительное время. Обновления и дополнения функционального ПО обычно размещаются в одном из разделов RWH, в другом размещается ключевая информация VPN, а раздел AO используется для ведения аппаратных журналов событий безопасности.
По желанию заказчиков может быть выделен раздел памяти RW для хранения пользователем своих личных данных. Доступ к нему будет возможен из любой ОС, поддерживающей его файловую систему: как из Windows, так и из различных ОС семейства Linux (в том числе ОС самого СОДС «МАРШ!»). Файловая система может быть разной и зависит от пожеланий заказчика.
Принцип работы
В рамках ДСС между собой взаимодействуют Клиент ДСС и Сервер ДСС.

В качестве Клиента ДСС выступает компьютер пользователя, загруженный с СОДС «МАРШ!». Вне зависимости от варианта исполнения в рамках ДСС СОДС «МАРШ!» обеспечивает:
- доверенную загрузку ОС;
- защищённое соединение с Сервером ДСС на основе асимметричных криптографических алгоритмов;
- возможность использования устройства «МАРШ!» в качестве средства идентификации-аутентификации пользователя для доступа к сервисам РИС (в т. ч. хранение ключей и сертификатов);
- среду функционирования ПО для подготовки и обработки данных;
- среду функционирования прикладного ПО сторонних производителей.
Также возможна реализация СОДС «МАРШ!», который обеспечивает:
- выработку и проверку электронной подписи;
- хранение данных пользователя в выделенной области памяти устройства.
Сервер ДСС — это доверенный сервер, обеспечивающий:
- организацию защищенного соединения с Клиентом ДСС и Сервером авторизации РИС;
- авторизацию пользователя Клиента ДСС на доступ к сервисам РИС;
- организацию защищенной работы пользователя Клиента ДСС с сервисами РИС в рамках ДСС.
Для начала доверенного сеанса пользователь загружается с «МАРШ!», обеспечивая тем самым доверенную среду.
Органы управления загруженной ОС недоступны пользователю, рабочая среда полностью изолирована от посторонних сетевых соединений, открытый трафик отсутствует, сеанс связи завершается после завершения работы в браузере.
После запуска ОС стартует браузер и все сопутствующее ПО, необходимое для работы.
После старта браузера устанавливается доверенный сеанс связи с сервером ДСС. Сервер информационной системы выполняет авторизацию пользователя на доступ к сервисам информационной системы и соединение с требуемым сервисом.
В доверенном сеансе обеспечивается защищенный обмен информацией с соблюдением всех требований Федерального закона «Об электронной подписи» № 63-ФЗ.
к надстройке
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.