Контакты
Подписка 2025

Развитие средств криптографической защиты информации

Светлана Конявская, 04/03/19

KonyavskayaФактором, определяющим тенденции ближайшего времени в защите информации и особенно именно в отношении развития средств КЗИ,  становится, конечно, процесс приведения объектов критических информационных инфраструктур (КИИ) в соответствие с 187-ФЗ и его подзаконными актами1.

Структурно в таких системах может быть выделена совокупность подконтрольных объектов (ПКО) и совокупность каналов связи, по которым передаются информационные и управляющие сигналы. Все информационные и управляющие сигналы, сформированные ПКО, должны защищаться на месте выработки, доставляться в защищенном виде и расшифровываться перед обработкой (использованием) другим ПКО. Это требует внедрения в уже функционирующие инфраструктуры средств защиты, которые должны обеспечивать:

  • криптографическую защиту информации о состоянии ПКО и управляющих сигналов для ИС;
  • информационное взаимодействие разнообразных ПКО (USB, Ethernet и др.);
  • возможность использования разнообразных цифровых каналов (Wi-Fi, Bluetooth и др.);
  • информационное взаимодействие с разнообразной каналообразующей аппаратурой (RS-232, RS-435 и др.).

Очевидно, что большинство имеющихся в настоящее время на рынке средств защиты информации при их внедрении потребуют в лучшем случае некоторой доработки отдельных ПКО, а в худшем – изменения функциональной структуры и замены ПКО на совместимые со средствами защиты. Хорошо понятно, почему это так: если сделать аппаратную базу СЗИ такой, чтобы она поддерживала все возможные интерфейсы во всех комбинациях, это будет самое большое, дорогое, сложно настраиваемое и ненадежно работающее СЗИ в мире.

Все три варианта (доработка ПКО, замена ПКО, использование "огромного" СЗИ) связаны с существенными финансовыми и временными затратами.

Альтернативным вариантом является гибкая адаптация средств защиты информации под различные типы оборудования самого разного назначения. Это вариант очевидно менее хлопотный для эксплуатирующей (внедряющей) организации, так как адаптация СЗИ выполняется не ими, а вендорами СЗИ.

Интеграционная платформа

Примеров таких СЗИ на сегодняшний день немного, но они есть. Для защиты сетевой коммуникации в инфраструктуре, включающей разнообразное оборудование, взаимодействующее разнным образом по различным каналам, можно использовать интеграционную платформу "МК-И".

Интеграционная платформа "МК-И" представляет собой комплекс распределенных одноплатных микрокомпьютеров m-TrusT Новой гарвардской архитектуры, обладающих "вирусным иммунитетом", и интерфейсных плат для них. Каждый микрокомпьютер m-TrusT является точкой сбора информационных и/или управляющих сигналов от ПКО, их шифрования для передачи по каналам связи, а также приема зашифрованных сигналов из каналов связи и их расшифровки.

Типовые характеристики микрокомпьютеров:

  • габаритные размеры 65x80 мм;
  • процессор Quad-core ARM Cortex-A17, up to 1.8 GHz;
  • ОЗУ 2 Гбайт DDR3;
  • ПЗУ 16 Гбайт NAND-flash;
  • microUSB;
  • microHDMI.

Общий вид микрокомпьютера m-TrusT представлен на рис. 1. sapr_ris-1Микрокомпьютер не подключается напрямую ни к чему, кроме собственной интерфейсной платы, поэтому его состав несложен и постоянен. Интерфейсная плата нужна как раз для того, чтобы корректно подключиться к тому или иному конкретному ПКО и каналообразующей аппаратуре различных типов.

Наличие собственной ОС и вычислительных ресурсов позволяет обеспечить необходимую производительность и высокий уровень защищенности. Особенностями m-TrusT является наличие датчика случайных чисел и размещение ПО в памяти с физически устанавливаемым доступом Read Only ("только чтение"), что исключает вредоносное воздействие на ПО и обеспечивает неизменность среды функционирования средств криптографической защиты информации. Встроенные средства защиты информации имеют сертификаты соответствия ФСБ России и ФСТЭК России.

Итак, коммутировать микрокомпьютер m-TrusT в "разрыв" между ПКО различного назначения и каналом связи позволяет интерфейсная плата. Как уже упоминалось, разнообразие оборудования, взаимодействующего по сети (ПК, подвижной состав, станционное оборудование, банкомат, информационный киоск, терминал оплаты и т.д.), является ключевой характеристикой КИИ, поэтому интерфейсные платы должны быть разными, чтобы коммутировать одно и то же СЗИ (то есть не совместимые, не похожие, а именно одинаковые СЗИ) с разными ПКО. Например, она может быть такой, как на рис. 2:

  • габаритные размеры 90x105 мм;
  • соединитель типа розетка 87758-2016 MOLEX;
  • разъем USB Type A;
  • разъем Ethernet;
  • разъем питания от источника постоянного напряжения 5 В.

Интерфейсная плата № 2:

  • габаритные размеры 90x110 мм;
  • соединитель типа розетка 87758-2016 MOLEX;
  • USB-хаб;
  • разъем USB Type A;
  • 2 разъема Ethernet;
  • разъем RS-232, подключенный через преобразователь USB-RS-232;
  • разъем RS-485, подключенный через преобразователь USB-RS-485;
  • разъем для карты micro-SD;
  • разъем питания от источника постоянного напряжения 5 В.

На рис. 3 изображен m-TrusT, подключенный к интерфейсной плате.

Другой вариант интерфейсной платы с меньшим количеством интерфейсных разъемов показан на рис. 4:

  • габаритные размеры 90x105 мм;
  • соединитель типа розетка 87758-2016 MOLEX;
  • разъем USB Type A;
  • разъем Ethernet;
  • разъем питания от источника постоянного напряжения 5 В.

Возможна разработка интерфейсных плат для других типов разъемов, с учетом уже имеющегося опыта внедрения на транспорте. Мы уверенно говорим о том, что эта задача решается с положительным результатом в разумные сроки.

Разумеется, не всегда уместно использование СЗИ именно такого форм-фактора. Обычно оборудование, обрабатывающее данные с ПКО, представляет собой обыкновенные серверы в серверных стойках, размещенных стационарно и не имеющих каких-либо значительных конструктивных особенностей. Для этого элемента инфраструктуры финансовой организации больше подойдет исполнение "в стойку" (рис. 5).

При этом технически, не считая корпуса, это одно и то же оборудование, оно работает, эксплуатируется и обслуживается одинаково.

Таким образом, использование микрокомпьютеров m-TrusT для криптографической защиты сетевого взаимодействия объектов КИИ позволит построить подсистему защиты для разнообразного оборудования с использованием одного и того же СЗИ, "подогнанного" под каждый инфраструктурный элемент. Каждый, кто проектировал или внедрял подсистему защиты информации, понимает, как много это значит во всем,  от обучения эксплуатирующего персонала до проведения ремонтных работ: перекоммутировать интерфейсную плату не требуется, просто заменяется подключенный к ней модуль; операция становится элементарной. В таких условиях имеет смысл не ограничивать модернизацию исключительно той частью инфраструктуры, что подпадает под действие нормативных документов, а наоборот, унифицировать защиту сетевого взаимодействия, сократив "зоопарк" технических средств без затрат на адаптацию собственной инфраструктуры.

 

 

1 Федеральный закон 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"; постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"; приказ ФСТЭК России от 11 декабря 2017 г. № 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования".

 

Темы:КриптографияОКБ САПР

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Быстрое импортозамещение в КИИ: проблема или задача?
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Со студенческой скамьи мы помним, что проблема и задача – это совершенно разные вещи, и их важно не путать.
  • Про m-TrusT для АСУ ТП в новой удобной форме
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    C самого начала мы позиционировали m-TrusT предназначенным в основном именно для АСУ ТП, и, казалось бы, об этом написано уже просто все. Более того, АСУ ТП и является одной из основных сфер фактического применения этого решения. Стоит ли писать еще один текст на ту же тему?
  • Актуальная проблема защиты информации в АСУ ТП
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Совершенно естественно, что регуляторы предъявляют требования к системам и выполнять их должны владельцы систем. На этом, пожалуй, все. Дальше начинается что-то неестественное. Давайте попробуем понять почему и исправить.
  • Квантовый переход и безопасность блокчейнов
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Разумно начать разрабатывать способы защиты от возможной атаки со стороны квантовых компьютеров в будущем
  • Полнодисковое шифрование для корпоративной безопасности
    Александр Пирожков, Руководитель группы по развитию бизнеса в СНГ и Грузии компании ESET
    Идея шифрования данных не нова, но она метод гарантированно убережет от самого страшного – неконтролируемой утечки данных
  • Новая гонка вооружений. Как защищаться от квантового компьютера
    Александр Поздняков, Менеджер отдела развития продуктов компании “ИнфоТеКС”
    Ведущие страны мира уже ведут разработки в области квантовой криптографии для защиты от квантового компьютера.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...