Контакты
Подписка 2025

Решения для криптографической защиты сетевого взаимодействия объектов КИИ на базе платформы m-TrusT

Светлана Конявская, 28/02/24

Автор: Светлана Конявская-Счастная, АО “ОКБ САПР”

Еще несколько лет назад мы оценили требования к платформе средства защиты для КИИ и поняли, что вполне можем выпустить подходящий микрокомпьютер, который будет:

  • создавать и поддерживать доверенную вычислительную среду;
  • обеспечивать работу с неизвлекаемым ключом в автоматическом режиме (включая автоматический старт работы);
  • обеспечивать возможность установки различных СКЗИ при соблюдении условий сертификации на высокие классы;
  • обеспечивать работу с различными каналами связи по различным протоколам, при необходимости – параллельно;
  • обеспечивать коммутацию с различным оборудованием объекта КИИ без модификации последнего.

Всем этим требованиям отвечает специализированный компьютер с аппаратной защитой данных m-TrusT, который мы спроектировали, разработали, выпускаем серийно и предоставляем вендорам СКЗИ для сертификации своих СКЗИ в варианте исполнения на этой платформе.

Особенностями этого микрокомпьютера являются:

  • Новая гарвардская архитектура, на аппаратном уровне обеспечивающая целостность ОС и "вирусный иммунитет";
  • аппаратная поддержка реализации доверенной загрузки (резидентный компонент безопасности, в котором реализован СДЗ уровня BIOS),
  • функциональная замкнутость среды, обеспечиваемая специальным программным модулем;
  • аппаратное резидентное решение по неизвлекаемости ключа, не требующее подключения отчуждаемого носителя, а стало быть, обеспечивающее старт и работу в автоматическом режиме;
  • аппаратный ДСЧ.

При этом формфактор m-Trust обеспечивает возможность адаптации к разнообразному оборудованию объектов КИИ без проведения дополнительных сертификационных испытаний, поскольку коммутация обеспечивается с помощью интерфейсных плат, а специализированный компьютер, являющийся платформой СКЗИ, остается неизменным.

Доверенная загрузка поддерживается программным комплексом "Аккорд-МКТ", сертифицированным ФСТЭК.

Функциональная замкнутость среды поддерживается комплексом "Аккорд-Х", сертифицированным ФСТЭК.

Физический датчик случайных чисел – двухплечевое решение с использованием диодов 2Г103А9, по схеме "Дебют", имеет положительное заключение ФСБ.

Криптографическое API поддержки аппаратного неизвлекаемого ключа платформы m-TrusT имеет положительное заключение ФСБ.

Ресурсы m-TrusT позволяют обеспечить СФК, позволяющую сертифицировать вариант исполнения СКЗИ на m-TrusT на класс КС3.

Соответствующий опыт уже есть: специализированный компьютер с аппаратной защитой данных m-TrusT сертифицирован ФСБ как платформа для СКЗИ DCrypt на класс КС3, но в конкретном решении встроенное СКЗИ может быть любым сертифицированным.

Но в отличие от той начальной ситуации, когда мы понимали, как надо, и делали платформу, которая могла как-то применяться в КИИ, сейчас мы уже можем говорить о практике применения решений на базе m-TrusT.

Так, в проектах АО "РЖД" – "Сапсан", "Ласточка", "Иволга" применяются криптошлюзы на базе m-Trust под общим названием TrusT-in-Motion (TiM).

ris1-Feb-27-2024-02-17-14-6078-PM

В МиМО ПФР используются терминалы VDI на базе m-TrusT под общим названием "m-TrusT Терминал".

ris2-Feb-27-2024-02-19-12-1475-PM

В станках с ЧПУ "Балт-Систем" установлены m-TrusT как таковые, без корпуса, на специально разработанной для этого проекта интерфейсной плате.

ris3-4

В шкафах SCADA "Вега-газ" установлены криптошлюзы m-TrusT в корпусе для установки на DIN-рейку.

ris4-2

Для различных компаний мы также реализовали решения для БПЛА, защищенного удаленного доступа, АТМ.

ris6-2
ris6-1-1

Каждый микрокомпьютер m-TrusT является точкой сбора информационных и/или управляющих сигналов от объектов КИИ, их шифрования для передачи по каналам связи, а также приема зашифрованных сигналов из каналов связи и их расшифровки.

Построенное на m-TrusT решение может поддержать любой из вариантов связи объектов или даже все их одновременно, причем с дублированием каждого канала (несколько каналов Ethernet, несколько SIM-карт для мобильного Интернета и т.д.), с тем чтобы во время работы использовать тот, что доступен в данный момент и в данном месте.

Подытожим основные преимущества m-TrusT:

  1. Работа в автоматическом режиме, что существенно снижает нагрузку на организационно-технические меры при эксплуатации СКЗИ.
  2. Изменение формфактора без повторной сертификации изделия, что значительно сокращает сроки работ по защите КИИ.
  3. Обеспечивается работа с любыми каналами связи, используемыми в КИИ.
  4. Обеспечивается защита КИИ без глубокой переработки ее структуры, что сильно сокращает затраты на проведение мероприятий.
  5. Предыдущие пункты подтверждены практикой.
Темы:КриптографияОКБ САПРКИИm-TrusTЖурнал "Информационная безопасность" №6, 2023

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Быстрое импортозамещение в КИИ: проблема или задача?
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Со студенческой скамьи мы помним, что проблема и задача – это совершенно разные вещи, и их важно не путать.
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.
  • Про m-TrusT для АСУ ТП в новой удобной форме
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    C самого начала мы позиционировали m-TrusT предназначенным в основном именно для АСУ ТП, и, казалось бы, об этом написано уже просто все. Более того, АСУ ТП и является одной из основных сфер фактического применения этого решения. Стоит ли писать еще один текст на ту же тему?
  • "Крипто БД" – сертифицированная система предотвращения утечек информации из СУБД
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Система “Крипто БД” позволяет осуществлять выборочное динамическое шифрование информации, хранящейся в таблицах базы данных.
  • Управление уязвимостями в криптокошельках
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Криптовалюта не лежит на кошельках, это всего лишь способ хранения закрытого (секретного) ключа. Примерно как на пластиковой банковской карте нет самих денег, она лишь открывает доступ к банковскому счету.
  • Категорирование по-хорошему: за полгода, за квартал, за месяц
    Федор Музалевский, Директор технического департамента RTM Group
    Как с минимальными потерями провести категорирование КИИ, если у вас на него есть полгода, три месяца или три недели?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...