Современные средства криптографической защиты цифровой информации — базовый сегмент ИТ-индустрии. Данные в компьютерах, ноутбуках и смартфонах часто критически важны для владельцев, поэтому их хранение и обработка регулируются законодательными актами по информационной безопасности.
Требующая защиты информация встречается во всех областях человеческой деятельности:
- в компаниях и организациях, работающих с госзаказами, возможны к использованию сведения, содержащие гостайну,
- в бизнесе обрабатываются разнообразные файлы ограниченного доступа: финансовая информация, клиентские базы, деловая переписка, описания технологий и разработок,
- у рядовых граждан имеется приватная информация и персональные данные, в том числе, находящиеся в распоряжении работодателей и различных организаций.
Цифровые данные обрабатываются и хранятся на различных устройствах, пересылаются по локальным сетям и Интернет, передаются по каналам связи. На этих этапах цифровая информация уязвима: может быть прочитана, подменена или уничтожена. Требуются технические, организационные и специальные меры по защите информации.
Для предотвращения несанкционированного (или злонамеренного) использования данных среди прочих способов используется криптографическая защита информации (КЗИ).
Уязвимости цифровых данных
Средства криптографической защиты информации (СКЗИ) используются для решения задач информационной безопасности.
Для защиты информации применяется шифрование — метод представления открытого текста в виде набора символов, скрывающего его содержания. Шифрование используется повсеместно: зашифровываются документы, информация в БД, пересылаемые по сети сообщения, в зашифрованном виде хранятся пароли пользователей компьютера и т.д. Для зашифровывания и расшифровывания используются программные и аппаратно-программные системы и комплексы криптографической защиты.
КЗИ, как средство обеспечения информационной безопасности, применяется для проверки подлинности и целостности:
- Такая проверка (аутентификация) должна подтвердить, что некто является владельцем представленной (например, переданной по каналу связи) информации, также она должна в максимальной степени затруднить злоумышленнику возможность выдать себя за другое лицо;
- Целостность данных (имитозащита). Получатель должен быть уверен в том, что полученная им информация не изменялась. Злоумышленник, изменяя информацию, не должен суметь выдать её за истинную.
Криптографические методы защиты информации решают проблему неотрицания авторства:
-
Владелец данных не должен иметь возможность ложно заявлять, что доставленная от его имени информация ему не принадлежит. Например, после оформления контракта продавец не оспорит указанную в его документах цену на товар, если переданная информация подтверждена СКЗИ (инструмент криптографической защиты — электронная цифровая подпись).
Указанные методы реализуются программными и аппаратными средствами.
Классы защиты информации
Класс криптозащиты компьютерных систем определяется на основе оценки возможностей злоумышленников (модель нарушителя) по осуществлению возможных атак (модель угроз).
Начальными классами защищённости при оценке информационной безопасности IT-инфраструктур являются КС1, КС2, КС3:
- Класс КС1 выбирается в предположении, что атака на систему осуществляется с территорий, находящихся за пределами защищаемой области. Считается, что в число лиц осуществляющих атаку не входят профессионалы по анализу уязвимостей ПО и технических средств (ТС), дополнительно предполагается, что злоумышленники об атакуемой системе имеют информацию только из открытых источников.
- Класс КС2 должен противостоять таким же угрозам, что и КС1, но предполагается, что лица осуществляющие атаку могут иметь доступ в защищаемую зону и располагают документацией о технических способах защиты атакуемых ИС.
- Класс КС3, блокируя угрозы по классу КС2, должен противодействовать и атакам со стороны лиц, имеющих доступ и к оборудованию, обеспечивающему КЗИ.
Определяются и классы защиты систем, на которые могут быть нацелены более сложные атаки:
- КВ — класс, выдерживающий все атаки КС3, но уровень защищённости должен быть выше, поскольку в осуществлении и планировании атак могут участвовать разработчики и аналитики используемых на объекте ПО и ТС. Предполагается, что эти специалисты имели возможность проводить исследования СКЗИ защищаемого объекта.
- КА — это класс, способный противостоять всем угрозам КВ, но и дополнительно отражать атаки с участием лиц, знающих незадекларированные возможности системного ПО и ТС защищаемой системы, имевшие опыт по исследованию атак на системы с таким же оборудованием и ПО.
Точное определение классов защищённости систем приводится в регламентирующих законодательных и нормативных документах по вопросам информационной безопасности и защиты информации.
Создание защищенной IT-инфраструктуры предполагает использование ТС, ПО и средств криптографической защиты, обеспечивающих требуемый класс защищённости объектов.
Классы защищённости, предъявляемые к отдельным компонентам различны — требуемый уровень защиты информации определяется особенностями данных и моделью нарушителя для конкретного компонента.
Соответствие элементов инфраструктуры классам КЗИ устанавливается по результату сертификационных испытаний и подтверждается соответствующим документом. Для проведения определенных видов работ наличие сертификатов соответствия классам КЗИ для компонентов ИТ-инфраструктуры (а также для инфраструктуры в целом) может потребоваться в обязательном порядке.
Средства криптозащиты компании С-Терра
Российская компания С-Терра CSP — разработчик программного обеспечения и программно-аппаратных средств криптографической защиты информации. Продукты компании имеют государственные сертификаты, позволяющие применять их в защищённых локальных и территориально-распределенных ИС.
При построении защищённых систем учитываются такие особенности, влияющие на информационную безопасность:
- В системе имеется одна или несколько (филиальных или кампусных) сетей.
- Если кампусных сетей несколько, то они связываются каналами связи. Каждая такая сеть может быть подключена к Интернет.
- Кампусные сети часто состоят из нескольких сегментов, соединенных коммутационным оборудованием.
- К кампусным сетям подсоединяются пользователи, работающие на удаленных рабочих местах. Таким пользователям нужен доступ к информационным ресурсам.
- К корпоративным сетям подключаются сотрудники, использующие мобильные устройства: смартфоны и планшетные компьютеры.
В ЛВС предприятия (или отдельных сегментах) содержатся данные, требующие защиты установленного уровня.
В подобных структурах применяются как внутренние, так и внешние коммуникации. Внешние подключения к кампусным сетям и коммуникации между филиалами должны быть защищены.
С-Терра предлагает аппаратные решения и программные комплексы для создания защищённых соединений.
Подсоединение клиентских устройств обеспечивает такое ПО:
- продукты линейки S-Terra Клиент используются для установки на серверы, рабочие станции и другие устройства. Эти клиентские комплексы предназначены для защиты устройств и фильтрации входящего трафика, они могут использоваться как в корпоративных, так и в открытых (Интернет) сетях. Программные комплексы С-Терра для защиты клиентских устройств сертифицированы по классам КС1, КС2.
- продукты С-Терра Клиент М применяются для устройств с ОС Android, для установки VPN-соединений с кампусными сетями. Продукт обеспечивает имитозащиту трафика, использует протокол IPSec.
Подключение удаленных пользователей к кампусной сети осуществляется через Интернет. Для защиты информации используется VPN-соединение (туннель), с одной стороны которого находится удаленная рабочая станция, а с другой — VPN-шлюз кампусной сети. К одному шлюзу могут подключиться несколько рабочих станций. VPN-шлюз выполняет зашифровывание, расшифровывание и фильтрацию, проходящих по туннелю пакетов.
Создание VPN-соединений поддерживает линейка продуктов С-Терра VPN с функциями аутентификации устройств, имитозащиты, шифрования и фильтрации трафика.
Пакеты внутрь сети VPN попадают расшифрованными, в результате удаленная рабочая станция воспринимается как внутренний узел локальной сети.
Коммуникация между территориально-разнесенными сетями выполняется через межсетевые шлюзы (криптошлюзы), выполняющие операции, связанные с защитой трафика.
Для создания межсетевых соединений используются такие продукты компании:
- С-Терра Шлюз ST — аппаратно-программный комплекс с функциями аутентификации и имитозащиты, выполняющий шифрование трафика и фильтрацию пакетов. Комплекс сертифицирован по классам КС1, КС2, КС3.
- С-Терра Шлюз 10G — продукт, используемый для защиты высокоскоростных каналов межсетевых коммуникаций. Шлюз сертифицирован по классам КС1, КС2, КС3.
- С-Терра Виртуальный Шлюз ST — программный комплекс для установки на виртуальные машины, сертифицирован по классу КС1. Предназначен для защиты облачного периметра, а также для защищённого взаимодействия виртуальных машин внутри облачной инфраструктуры.
- С-Терра L2 — продукт, встраиваемый в ПО комплексов С-Терра Шлюз для создания защищённого соединения на уровне L2. Применяется для поддержки межсетевых соединений, в том числе, с IP-телефонией, видеосвязью и др.
Внутри сегмента кампусной сети обмен данными между рабочими станциями часто не шифруется (если необходимо, то используют S-Terra клиент), но межсегментный трафик фильтруется и шифруется, такая особенность защищает сеть от внутренних атак.
Межсегментные соединения внутри кампусных сетей строятся на шлюзах С-Терра, а также с применением других решениях, таких как С-Терра CSCO-STVM (для Cisco, с алгоритмами ГОСТ и сертификатом защищённости по классу КС1).
Решения С-Терра применяются для создания основы защищённой инфраструктуры корпоративных сетей в бизнесе, госучреждениях и в банковском секторе. Полный перечень продуктов, направленных на решение вопросов информационной безопасности, представлен на сайте компании ВИСТЛАН.