Контакты
Подписка 2024

Решения для криптографической защиты сетевого взаимодействия объектов КИИ на базе платформы m-TrusT

Светлана Конявская, 28/02/24

Автор: Светлана Конявская-Счастная, АО “ОКБ САПР”

Еще несколько лет назад мы оценили требования к платформе средства защиты для КИИ и поняли, что вполне можем выпустить подходящий микрокомпьютер, который будет:

  • создавать и поддерживать доверенную вычислительную среду;
  • обеспечивать работу с неизвлекаемым ключом в автоматическом режиме (включая автоматический старт работы);
  • обеспечивать возможность установки различных СКЗИ при соблюдении условий сертификации на высокие классы;
  • обеспечивать работу с различными каналами связи по различным протоколам, при необходимости – параллельно;
  • обеспечивать коммутацию с различным оборудованием объекта КИИ без модификации последнего.

Всем этим требованиям отвечает специализированный компьютер с аппаратной защитой данных m-TrusT, который мы спроектировали, разработали, выпускаем серийно и предоставляем вендорам СКЗИ для сертификации своих СКЗИ в варианте исполнения на этой платформе.

Особенностями этого микрокомпьютера являются:

  • Новая гарвардская архитектура, на аппаратном уровне обеспечивающая целостность ОС и "вирусный иммунитет";
  • аппаратная поддержка реализации доверенной загрузки (резидентный компонент безопасности, в котором реализован СДЗ уровня BIOS),
  • функциональная замкнутость среды, обеспечиваемая специальным программным модулем;
  • аппаратное резидентное решение по неизвлекаемости ключа, не требующее подключения отчуждаемого носителя, а стало быть, обеспечивающее старт и работу в автоматическом режиме;
  • аппаратный ДСЧ.

При этом формфактор m-Trust обеспечивает возможность адаптации к разнообразному оборудованию объектов КИИ без проведения дополнительных сертификационных испытаний, поскольку коммутация обеспечивается с помощью интерфейсных плат, а специализированный компьютер, являющийся платформой СКЗИ, остается неизменным.

Доверенная загрузка поддерживается программным комплексом "Аккорд-МКТ", сертифицированным ФСТЭК.

Функциональная замкнутость среды поддерживается комплексом "Аккорд-Х", сертифицированным ФСТЭК.

Физический датчик случайных чисел – двухплечевое решение с использованием диодов 2Г103А9, по схеме "Дебют", имеет положительное заключение ФСБ.

Криптографическое API поддержки аппаратного неизвлекаемого ключа платформы m-TrusT имеет положительное заключение ФСБ.

Ресурсы m-TrusT позволяют обеспечить СФК, позволяющую сертифицировать вариант исполнения СКЗИ на m-TrusT на класс КС3.

Соответствующий опыт уже есть: специализированный компьютер с аппаратной защитой данных m-TrusT сертифицирован ФСБ как платформа для СКЗИ DCrypt на класс КС3, но в конкретном решении встроенное СКЗИ может быть любым сертифицированным.

Но в отличие от той начальной ситуации, когда мы понимали, как надо, и делали платформу, которая могла как-то применяться в КИИ, сейчас мы уже можем говорить о практике применения решений на базе m-TrusT.

Так, в проектах АО "РЖД" – "Сапсан", "Ласточка", "Иволга" применяются криптошлюзы на базе m-Trust под общим названием TrusT-in-Motion (TiM).

ris1-Feb-27-2024-02-17-14-6078-PM

В МиМО ПФР используются терминалы VDI на базе m-TrusT под общим названием "m-TrusT Терминал".

ris2-Feb-27-2024-02-19-12-1475-PM

В станках с ЧПУ "Балт-Систем" установлены m-TrusT как таковые, без корпуса, на специально разработанной для этого проекта интерфейсной плате.

ris3-4

В шкафах SCADA "Вега-газ" установлены криптошлюзы m-TrusT в корпусе для установки на DIN-рейку.

ris4-2

Для различных компаний мы также реализовали решения для БПЛА, защищенного удаленного доступа, АТМ.

ris6-2
ris6-1-1

Каждый микрокомпьютер m-TrusT является точкой сбора информационных и/или управляющих сигналов от объектов КИИ, их шифрования для передачи по каналам связи, а также приема зашифрованных сигналов из каналов связи и их расшифровки.

Построенное на m-TrusT решение может поддержать любой из вариантов связи объектов или даже все их одновременно, причем с дублированием каждого канала (несколько каналов Ethernet, несколько SIM-карт для мобильного Интернета и т.д.), с тем чтобы во время работы использовать тот, что доступен в данный момент и в данном месте.

Подытожим основные преимущества m-TrusT:

  1. Работа в автоматическом режиме, что существенно снижает нагрузку на организационно-технические меры при эксплуатации СКЗИ.
  2. Изменение формфактора без повторной сертификации изделия, что значительно сокращает сроки работ по защите КИИ.
  3. Обеспечивается работа с любыми каналами связи, используемыми в КИИ.
  4. Обеспечивается защита КИИ без глубокой переработки ее структуры, что сильно сокращает затраты на проведение мероприятий.
  5. Предыдущие пункты подтверждены практикой.
Темы:КриптографияОКБ САПРКИИm-TrusTЖурнал "Информационная безопасность" №6, 2023

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать