Средства криптографической защиты информации компьютерных систем и сетей
П.А. Тимофеев, профессор МИЭТ, зам. генерального директора по науке и технологиям ООО "ФИРМА АНКАД", к.т.н.
По используемым интерфейсам и режимам работы средства криптографической защиты информации условно можно разделить на абонентские и канальные. Для абонентских шифраторов источник открытой и зашифрованной информации совпадает, для канальных они различны.
Общий недостаток абонентских средств шифрования -- возможность их обхода, поскольку открытая и закрытая информация находится в одном месте. Одним из распространенных способов обхода является имитация обращения к шифратору вместо использования реального шифратора. При канальном режиме работы и при наличии одного пути от источника к приемнику такое невозможно, поскольку информация при подмене не дойдет до приемника.
В таблицах приведены средства и системы криптографической защиты информации, работающие в основном в канальном режиме. Среди упомянутых в табл. 1 в абонентском режиме работает сертифицированный комплекс криптографической защиты информации М-448 для защиты информации на диске. Он же может работать и в канальном режиме (см. табл. 2), но не для защиты информации на диске. Комплекс "Crypton Disk" при использовании аппаратного шифратора "платы типа Криптон 4/PCI", шифрует в абонентском режиме, а при программном шифровании -- в канальном режиме.
По способу технической реализации средств криптографической защиты информации можно выделить следующие группы: программные, аппаратные и программно-аппаратные. Недостатками программной реализации являются возможность полной подмены программных средств, а также возможность перехвата ключей шифрования. Поэтому при анализе программных криптографических средств и систем необходимо дополнительно рассматривать наличие и надежность системы защиты от несанкционированного доступа.
Аппаратные средства криптографической защиты информации могут быть сделаны в виде плат для персонального компьютера ("КРИПТОН IDE", "КРИПТОН AncNet 10/100"), в виде отдельных устройств, подключаемых к компьютеру по каналу связи ("Заслон", М-448 и М-484, "Вектор 01"), а также в виде аппаратно-программных комплексов на базе системных блоков компьютера (криптомаршрутизаторы КМ и DioNIS FW/KM, "КРИПТОН IP", комплексы "Континент" и АПКШ "Континент"). Все перечисленные выше средства работают в канальном режиме.
Аппаратная реализация средств в виде платы ("КРИПТОН IDE", "КРИПТОН AncNet 10/100") или отдельного устройства при наличии отдельного (или защищенного) канала для ввода ключей шифрования делает невозможным обход этих устройств и перехват ключей. Это позволяет использовать данные средства для защиты отдельных компьютеров, в которых циркулирует информация с высокой степенью секретности при построении виртуальных защищенных сетей.
Средства в виде отдельных устройств, как правило, используются при построении виртуальных защищенных сетей для защиты ее сегментов. Кроме функций шифрования в эти устройства обычно включаются функции маршрутизаторов и межсетевых экранов.
Для обеспечения защиты информации повышенной секретности в комплексах на базе системных блоков используются аппаратные средства шифрования в виде плат (криптомаршрутизаторы КМ и DioNIS FW/KM, "КРИПТОН IP" и средства защиты от НСД (комплексы "Континент").
Подробные характеристики комплексов приведены в следующих таблицах.
Добавить комментарий
