Акционерное Общество «Концерн «СИСТЕМПРОМ»

Защита информации

1.Система защиты информации от НСД

Предназначена для защиты серверов, рабочих станций, компьютеров и периферийных устройств, входящих в состав комплексов программно-технических средств каждого уровня управления автоматизированными системами (АС) и состоит из трех основных программных подсистем, которые можно использовать независимо друг от друга в зависимости от требований, предъявляемых к проектируемой АС:

СЗИ-Системпром предоставляет приложениям программный интерфейс безопасности для  защиты частных объектов с использованием мандатных и дискреционных ПРД.

Для защиты данных от НСД используются следующие возможности:

Процедуры идентификации и аутентификации при загрузке компьютеров, при входе пользователей в систему и компьютеров в кластере серверов реализованы на уровне специального защищенного протокола собственной разработки.

Целостность программной среды обеспечивается:

  • исключением возможности  несанкционированной загрузки ОС с гибких магнитных дисков (ГМД) и лазерных дисков;
  • ограничением для пользователей доступа к программным ресурсам;
  • реализацией системной политики и назначением привилегий.

Целостность программной среды обеспечивается:

  • ограничением доступа пользователей к ГМД и лазерным дискам;
  • контролем целостности наиболее критичных файлов ОС и СЗИ, включая контроль целостности монитора безопасности и общего программного обеспечения с целью выявления их возможной модификации.

Регистрация событий выполняется локально на рабочих станциях и серверах системы, а события НСД передаются в системный журнал безопасности на АРМ администратора безопасности каждого уровня управления АС (ведется для всего домена), который может быть просмотрен администратором безопасности.

Подсистема контроля и управления профилями реализована с использованием технологии «Клиент-Сервер» и состоит из 3-х основных компонентов:

Интерфейс администратора управления безопасностью выполнен в удобном для пользователя виде и представляет информацию о текущем состоянии системы защиты информации: какие компьютеры включены, какие пользователи и на каких компьютерах работают, какие приложения запущены. В специальное окно протокола немедленно выводятся подробные сообщения о происходящих в системе событиях.

Подсистема мандатного разграничения доступа реализует полномочный (мандатный) принцип контроля доступа в соответствии с РД ФСТЭК России. Система дополняет имеющийся в базовой ОС механизм избирательного (дискреционного) разграничения доступа, т.е. попытка доступа будет отклонена в случае запрета либо мандатными, либо дискреционными правилами разграничения доступа.

Подсистема УРП предназначена для автоматизации вывода на печать, а также централизованного учета печати как конфиденциальных так и несекретных документов на АРМ администратора безопасности.

2. Аппаратно-программный комплекс криптографической защиты и маршрутизации информации в телекоммуникационных сетях связи

Предназначен для:

  • обеспечения криптографической защиты;
  • маршрутизации и коммутации информации;
  • передаваемой по открытым каналам связи;
  • обеспечения разграничения доступа к ресурсам защищаемой локальной вычислительной сети.

Базовые функции комплекса реализуются на аппаратно-программном уровне в специализированном сетевом адаптере, что делает его независимым от функций операционной системы, и полностью предотвращает возможность программного вмешательство в свою работу со стороны каких бы то ни было программ и приложений, работающих на ЭВМ.

Построение узлов коммутации сети передачи данных с коммутацией IP-пакетов по сетевому протоколу IP версии 4 стандарта 0005 Интернета (RFC 1112, 950, 922, 919, 792, 791) с инкапсуляцией их в кадры протоколов канального уровня LAP-B (X.25/.2), РРР для повышения надёжности доставки на каналах связи низкого качества.

Технические характеристики:

Устройство  поддерживает следующие протоколы (коммутация пакетов):

  • Ethernet/IEEE 802.3 (10/100 Mb);
  • HDLC/SDLC до двух Мбит для каждого канала;
  • HDLC bus; UART; BISYNC; -Transparent (поток бит).

Для каналов с временным разделением потока имеется возможность подключения устройств к линиям Т1, Е1, PCM, ISDN Primary Rate, ISDN Basic Rate через сменный интерфейсный модуль.

Обеспечение возможности передачи информации, составляющей государственную тайну с грифом до «сов.секретно».

Возможность дистанционного управления ключевой сетью.

Возможность размещения в помещениях совместно со смежными средствами  обработки и передачи информации.

Обслуживается персоналом совместно со смежными средствами обработки и передачи информации.

Обеспечение защиты от утечки по ПЭМИН. 

Без введенных ключей и при выключении питания после ввода ключей является несекретным.

Адаптер 10/100 Мбит/с Fast Ethernet реализует:

  • разграничение доступа к ЭВМ – разграничение локального доступа к ЭВМ, разграничение доступа к ЭВМ через вычислительную сеть;
  • выбор ключа шифрования трафика в зависимости от того, какой пользователь в данный момент работает на ЭВМ;
  • два режима защиты данных: защита МАС-кадра на канальном уровне и защита пакетов IP-протокола на сетевом уровне;
  • криптографическая защита данных, передаваемых по сети на основе аппаратной реализации алгоритма криптографического преобразования по ГОСТ 28147-89 как в режиме простой замены, так и в режиме гаммирования;
  • аутентификации пакетов с использованием режима выработки имитовставки по ГОСТ 28147-89;
  • поддержка стандартных протоколов удаленной загрузки DHCP или ВООТР;
  • поддерживаемые драйверы:
  • Windows XP/Me/2000/98SE/98/95/NT 4.0;
  • МСВС;
  • Apple Macintosh 9.x или 10.1х ;
  • Netware; Linux; FreeBSD;
  • UNIX.

3. Программно-аппаратный комплекс средств защиты информации от НСД

Предназначен для защиты серверов, рабочих станций, компьютеров, устройств компьютеров и периферийных устройств, входящих в состав комплексов программно-технических средств (КПТС) каждого уровня управления автоматизированными системами (АС).

ПАК СЗИ от НСД состоит из следующих подсистем, которые можно использовать независимо друг от друга в зависимости от требований, предъявляемых к проектируемой АС:

  • подсистема контроля и управления профилями;
  • подсистема мандатного разграничения доступа;
  • АПМДЗ М-502 и М-502М, обладающие широким набором дополнительных функций, главные из которых верификация содержимого НЖМД до загрузки базовой ОС и исключение загрузки другой ОС.
  • ПАК СЗИ от НСД реализует следующие механизмы защиты:
  • идентификация и аутентификация пользователей и устройств;
  • контроль целостности программно-аппаратной среды;
  • оперативное управление системой защиты КПТС каждого уровня управления АС с автоматизированного рабочего места администратора безопасности;
  • автоматическое затирание остаточной информации на НЖМД и НГМД.

Подсистема контроля и управления профилями обеспечивает возможность контроля состояния и настроек политики безопасности для домена, компьютеров и отдельных пользователей. Интерфейс программы администратора выполнены удобном для пользователя виде и представляет информацию о текущем состоянии системы защиты информации: какие компьютеры включены, какие пользователи и на каких компьютерах работают, какие приложения запущены. В специальное окно протокола немедленно выводятся подробные сообщения о происходящих в системе событиях. Подсистема мандатного разграничения доступа реализует полномочный (мандатный) принцип контроля доступа в соответствии с РД ФСТЭК России. Система дополняет имеющийся в базовой ОС механизм избирательного (дискреционного) разграничения доступа, т.е. попытка доступа будет отклонена в случае запрет либо мандатными, либо дискреционными правила разграничения доступа.

Подсистема УРП предназначена для автоматизации вывода на печать, а также централизованного учета печати как конфиденциальных так и несекретных документов на рабочем месте администратора безопасности.

Помимо функций электронного замка по идентификации и аутентификации пользователя с помощью смарт-карты и пароля устройство М-502 М-502М позволяют выполнять верификацию файл и загрузочных секторов НЖМД с файловой систем NTFS, а также блокировку загрузки базовой ОС с отчуждаемых носителей независимо от настройки BIOS.

4. Аппаратно-программное средство шифрования и имитозащиты M-523-IP

Предназначено для защиты информации, содержащей сведения, составляющие государственную тайну, в IP-сетях.

Изделие обеспечивает выполнение следующих функций:

  • Защиту от НСД аппаратно-программных ресурсов изделия.
  • Ведение журнала регистрации событий.

Основные технические характеристики:

  • Ключевой носитель доступа - i-BUTTON DS1991.
  • Протокол ЛВС -Ethernet 802.3.
  • Сетевая Среда -10BASE-TX, 100BASE-TX.
  • Транспортный протокол TCP/IP.

Требования к аппаратному и программному обеспечению:

ПЭВМ, на которой устанавливается изделие, должно удовлетворять следующим основным требованиям:

IBM PC совместимая ПЭВМ. Процессор не ниже РIV. ПЭВМ должна иметь хотя бы один свободный слот стандарта PCI.

ОС - MS Windows NT 4.0, МСВС.

5. Аппаратно-программное средство шифрования IP-пакетов

Предназначен для криптографической защиты информации, передаваемой с использованием протокола IP v.4 как внутри контролируемой зоны, так и по открытым каналам связи вне контролируемой зоны.

Технические характеристики

  • возможность обмена пакетами адресного Шротокола ARP;
  • контроль целостности передаваемой  информации;
  • защита от НДС аппаратно-программных ресурсов изделия;
  • регистрация событий;
  • обеспечение возможности передачи информации, составляющей государственную тайну с грифом до «сов. Секретно»;
  • обеспечение защиты от утечки по ПЭМИН;
  • выработка ключевой информации осуществляется с помощью уполномоченного органа;
  • система загрузки алгоритма криптопреобразования и ключевой информации позволяет перевозить и хранить устройство как несекретное;
  • конструктивно корпус выполнен для настольного применения и размещения в промышленных стандартных стойках 19".

Применение

  • локальные и высокоскоростные глобальные вычислительные сети общего и специального назначения;
  • оперативная командная связь на базе IP-протокола;
  • распределённые системы управления и резервирования информации.

6. Аппаратно-программный модуль доверенной загрузки с функциями формирования и проверки ЭЦП

Предназначен для использования при запуске средств вычислительной техники (СВТ) первой, второй и третьей категорий, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну.

В качестве дополнительной функции изделие «Щит-ЭЦП» имеет возможность формирования и проверки электронной цифровой подписи пользователей.

Изделие «Щит-ЭЦП» выполняет следующие функции:

  • идентификацию и аутентификацию пользователя;
  • блокировку работы компьютера в случае неудачной идентификации и аутентификации пользователя;
  • блокировку входа в систему зарегистрированного пользователя при:
  • нарушении целостности контролируемых файлов и/или загрузочных секторов жесткого диска;
  • превышении предельного, числа неудачных     попыток входа;
  • блокировании администратором входа     пользователя;
  • контроль целостности файлов и загрузочных секторов жесткого магнитного диска;
  • ведение журнала регистрации событий, относящихся к безопасности системы;
  • блокировку загрузки операционной системы для пользователей с ГМД и IDE CD-ROM;
  • самотестирование (проверка технического состояния);
  • проверку ЭЦП пользователя.

Конструктивно устройство выполнено в виде стандартной платы, устанавливаемой в слот шины PCI ПЭВМ. "Открывание" аппаратно-программного модуля доверенной загрузки осуществляется с помощью электронного ключа. Надежность АПМДЗ достигается применением криптографических алгоритмов в соответствии с ГОСТ 28147-89 и ГОСТ Р 34.10 - 2001.

Защита обеспечивается проверкой подлинности предъявленного электронного ключа и пароля пользователя, вводимого с клавиатуры. При введении электронного ключа и пароля, доступ к ПЭВМ (запуск операционной системы) разрешается только владельцам тех электронных ключей, которые зарегистрированы на данной ПЭВМ, при условии неизменности контроли­руемых файлов (список контролируемых фай­лов определяет администратор).

Устройство осуществляет контроль доступа и контроль целостности только при работе на IBM PC/AT совместимых компьютерах с процессором не ниже i486 при условии расположения контролируемых объектов в файловой системе NTFS при работе с ОС Windows NT 4.0 и файловой системе ЕХТ2 при работе с ОС МСВС 3.0.