Криптографические меры обеспечения информационной безопасности

Действия пользователя СКЗИ в случае нештатных ситуаций:

при обнаружении нарушения целостности специальных защитных знаков немедленно сообщать специалисту по защите информации;

в случае обнаружения факта несанкционированного доступа к системным блокам, «посторонних» (не зарегистрированных) программ, нарушения целостности программного обеспечения, работа на этих технических средствах должна быть прекращена и о данном факте в незамедлительно доложить руководству.

при компрометации ключей или подозрении в компрометации ключа пользователь СКЗИ должен немедленно прекратить связь с другими пользователями и сообщить о факте компрометации (или предполагаемом факте компрометации) в отдел по защите информации (специалисту по защите информации). Ответственность.

Владельцы ключей шифрования и ЭП и их доверенные лицанесут персональную ответственность за обеспечение сохранности, неразглашения и нераспространения ключей и ключевой информации. Пользователи СКЗИ несут персональную ответственность за выполнение:

требований эксплуатационной документации к криптосредствам;

возложенных на него обязанностей в части оборота средств криптографической защиты. Пользователи СКЗИ за нарушениережима обеспечения защиты информации могут быть привлечены к административной или иной ответственности, в соответствии с действующим законодательством. Рассмотрев существующую систему организации защиты информации АО ИТМ и ВТ, были отмечены следующие недостатки:

отсутствуют системы защиты криптографически значимой информации от утечек по физическим каналам;

— отмечены случаи хранения ключей на сетевых ресурсах, неучтенных флэш-накопителях;

— отсутствуют средства, позволяющие осуществлять мониторинг состояния локальной вычислительной сети на рабочих станциях, работающих с криптосредствами (активность пользователей, программного обеспечения, анализ сетевого трафика);

— отсутствуют регламенты резервного копирования и хранения резервных копий криптографичеких ключей, не определен список выделенных помещений с ограниченным доступом. Выводы по разделу.

Рассмотрев технологию использования криптографических средств в условиях АО ИТМ и ВТ были сделаны выводы:

Криптографические средства в технологии работы АО ИТМ и ВТ используются в системах электронного документооборота, а также в системах передачи данных;

— Шифрование трафика в условиях АО ИТМ и ВТ позволяет предотвращать утечку информации, составляющую коммерческую тайну, а также объекты авторского права на разработки Института;

— Шифрование трафика проводится с использованием технологий VPN;

— В условиях АО ИТМ и ВТ существует организационная структура, позволяющая выполнять требования по защите криптографической информации.

3. Практическая часть3.

1 Техническое обеспечение работы СКЗИИспользование СКЗИ по своему определению предполагает работу с техническими средствами — программным и аппаратным обеспечением, позволяющим производить шифрование объектов, а также работать со средствами электронной подписи. Основные виды программно-аппаратного обеспечения, используемые при работе с СКЗИ, делятся на следующие группы:− программные продукты, генерирующие ключи шифрования;− программные продукты, работающие с криптографическими системами;− аппаратное обеспечение для хранения ключей электронных подписей. Генерация ключей шифрования производится с использованием специальных программных средств. Перечень наиболее распространенных средств, используемых для работы со средствами шифрования и электронной подписи:− Крипто-Про;− VipNetCryptoService;− Verba — OW; − Sbersign. Также существует большое количество программных продуктов для генерации ЭП, используемых в отраслевых решениях. В рамках данной дипломной работы мной было проведено изучение функционала ПО Крипто-Про CSP. Рассмотрим основные режимы работы ПО Крипто-Про.Область использования криптопровайдера Крипто.

Про CSP [2]: − авторизация и обеспечение юридической силы электронных документов в процессе обмена ими между пользователями, с использованиемалгоритмов по формированию и проверке электронной подписи (ЭП) в рамках требований отечественных стандартов ГОСТ Р 34.10−2001 / ГОСТ Р 34.10−2012; − обеспечение конфиденциальности, контроль целостности данных через проведенияих шифрования и имитозащиты, в рамках требований ГОСТ 28 147–89; − обеспечение аутентичности, конфиденциальности, а также имитозащита соединений с использованием протокола TLS; − контроль целостности системных и прикладных программных продуктов в целяхих защиты от несанкционированного изменения и нарушениякорректности функционирования; − управление ключевыми составляющими системы в соответствии с технологией рииспользования средств защиты. На рисунке 8 показан режим настройки ПО Крипто-Про CSP. На рисунке 9 — настройка считывателей. Рисунок — Свойства Крипто-Про CSPРисунок — Настройка считывателей.

В качестве хранилища закрытых ключей могут выступать [2]: − внешние носители (флэш-накопители, дискеты), причем ключ защищен от копирования тем, что при формировании ЭП учитывается серийный номер флэш-накопителя; − реестр (данный способ не является безопасным, так как защита электронной подписи в данном случае только на уровне ввода пин-кода);− специализированные электронные ключи. Также в ПО Крипто-Про CSP реализована возможность входа в систему с использованием сертификата, что необходимо предусмотреть в настройках ПО (рисунок 10).Рисунок — Настройка авторизации в системе с использованием Крипто-Про.

Программным обеспечением, использующим ЭП, сформированную Крипто-Про, является большое количество решений — от работы в браузерных приложениях (портал госзакупок, торговые площадки — в данном случае сертификаты используются как для формирования ЭП, так и для авторизации в приложениях), до программных продуктов для реализации задачи сдачи отчетности в государственные органы (Контур-Экстерн, СБИС++).Также в рамках выполнения данной дипломной работы мной было проведено изучение работы приложения СБИС++, использующего средства электронной подписи. На рисунках 11 — 12 показано окно конфигурирования работы ПО СБИС++ для функционирования электронной подписи. Рисунок 11 − Конфигурирование работы ПО СБИС++ для функционирования электронной подписи.

Рисунок 12 − Конфигурирование работы ПО СБИС++ для функционирования электронной подписи.

На рисунке 5 показано окно сертификатов ЭП, используемых в ПО СБИС++.Рисунок 13 − Окно сертификатов ЭП, используемых в ПО СБИС++Также ряд приложений, работающих через браузеры, используют встроенные браузерные хранилища сертификатов. На рисунке 6 показано окно личных сертификатов, используемых InternetExplorer. Для валидации сертификата в приложениях необходимо подтверждение их подлинности с использованием корневых сертификатов удостоверяющих центров. Действительность сертификата можно проверить через окно свойств (рисунок 14). Как показано на рисунке 14, показанный сертификат выдан удостоверяющим центром Федерального Казначейства, но недействителен в данный момент времени вследствие истечения срока действия. Рисунок 14 − Окно личных сертификатов.

Рисунок 14 − Окно валидации сертификата.

Получение сертификата электронной подписи производится в специализированных удостоверяющих центрах. Цифровой сертификат предоставляет информацию об объекте, объектом может быть пользователь, компьютер, служба, сетевое устройство и т. д. Выдается он центром сертификации и ассоциирован с парой ключей (секретным и публичным). Цифровой сертификат — это структура данных (например, файл) состоящая из раздела данных и раздела подписи. Раздел данных содержит открытые данные, включающие как минимум открытый ключ. Раздел подписи состоит из подписи центра сертификации. Перечень и структура данных сертификата определяется его стандартом, в настоящее время используется стандарт X509 версии 3. Рассмотрим все компоненты инфраструктуры открытых ключей. Остановимся подробнее на каждом из компонентов. Центр сертификации:

Базовой частью инфраструктуры открытых ключей, является центр сертификации — это сервер с соответствующей ролью. Данный компонент занимается выдачей сертификатов, их хранением. Управляет списком отзывов сертификатов. Выкладывает сертификаты и списки отзывов сертификатов на точки распространения. Точки распространения:

Через данные точки происходит распространение сертификатов, а также осуществляется проверка того, является ли сертификат действующим, то есть не отозван ли он. В Windowsserver 2008 реализован автоответчик, позволяющий реализовать процесс определения подлинности сертификата. То есть клиент не загружает список отзывов сертификатов, а спрашивает у точки распространения подлинный сертификат или нет. В нашем случает ПО Infotecs не содержит такого механизма, поэтому все клиентские узлы должны содержать списки отзывов сертификатов, которые регулярно ??? на них распространяются. PKI приложения и службы:

Это программы установленные на компьютерах пользователей, которые в структуре PKI. Это защищенная почта, интернет explorer (когда вы заходите на сайт банка или на сайт гос. закупок в интернет explorer загорается замочек, это значит что вы уже работаете по правилам PKI соединение безопасно).Список отозванных сертификатов:

Перечень не действующих сертификатов. Шаблоны сертификатов:

Содержат набор специфичных параметров (например указывают для каких целей создается сертификат), на их основе создаются сертификаты. Удостоверяющий центр:

Совокупность компонентов, таких как центр сертификации, точки отзывов и распространения сертификатов, рабочая станция администратора центра сертификации и можно назвать удостоверяющим центром. На рисунке 16 приведена технологическая схема получения сертификата электронной подписи. Рисунок 16 − Технологическая схема получения сертификата электронной подписи.

Примером ПО, использующего возможности использования ЭП при передаче информации, является Контур-Экстерн.Рассмотрим некоторые возможности данной программы. Для работы в системе Контур-Экстерн требуется:

процессор с тактовой частотой не менее 800 МГц, оперативная память не менее 256 Мбайт;

свободное дисковое пространство не менее 500 Мбайт;

наличие USB-порта;

наличие дисковода 3.5″ (в случае использования в качестве ключевого носителя дискеты);наличие дисковода для компакт-дисков; пакет Microsoft® Office. ОС Wiidows 7 и выше. На рисунке 12 показано окно авторизации в ПО «Контур-Экстерн Лайт».Рисунок 12 − Окно авторизации в ПО Контур-Экстерн3.

2. Совершенствование систем администрирования информационных систем АО ИТМиВТУстранение недостатков в существующей системе защиты информации в условиях АО ИТМиВТ предполагает необходимость внедрения системы мониторинга сетевой активности для рабочих станций с установленными средствами криптографии. Это позволит предотвращать утечки криптографической информации, несанкционированное использование ключей шифрования и электронной подписи. В качестве системы ids-ipsпредлагается внедрение IDSSnort. На рисунке 20 показан режим работы ПО IDS-Snort [2]. Система доверенной загрузки.

Доверенная загрузка предполагает возможности по загрузке различных операционных систем только с заранее определенных постоянных носителей (например, только с жестких дисков) после успешного окончания специальных процедур, к которым относятся: проверка целостности технических и программных средств ПК (с использованием механизмов по пошаговому контролю целостности) и аппаратная идентификация аутентификация пользователей. Рисунок13 — Режим работы ПО IDS-SnortМеханизмы доверенной загрузки, как правило, включают в себя [3]: — технологии аутентификации;

— проведение контроля устройств, с которых BIOS производит загрузку ОС;

— проведение контроля целостности и достоверности загрузочных секторов устройств и системных файлов запускаемой ОС;

— технологии шифрования/ расшифрования загрузочных секторов, системных файлов ОС, либо шифрования всех данных устройств (опционально). Механизмы аутентификации, шифрования и хранения секретных данных, таких как ключи, контрольные суммы и хэш-суммы, производятся на базе аппаратных средств. Далее проведем оценку интегрального показателя защищенности с использованием программных средств. Мониторинг системы проведем с использованием программного средства SecretNet. Данный программный продукт служит как для анализа текущего состояния системы, так и защиты эталонного состояния, которое также можно задать средствами данного программного продукта. На рисунке 14 показан режим аудита системных журналов операционной системы. Рисунок 14 — Журнал системы, сформированный с использованием ПО SecretNetКак показано на рисунке 5, исследуемая система в рамках исследуемого промежутка времени не подвергалась атакам на систему информационной безопасности, анализ журналов показывает нулевую статистику отказов и нарушений безопасности. При этом в системном журнале присутствуют записи со статусом «Предупреждение» и «Ошибка», что говорит о наличии уязвимостей операционной системы. На рисунке 15 показан режим системного журнала SecretNetв режиме отображения событий. Рисунок 15 — Системный журнал SecretNetв режиме отображения событий.

На рисунке 16 показан режим контроля программ в ПО SecretNet. Рисунок 16 — Режим контроля программ в ПО SecretNetПротокол контроля событий, связанных с изменением реестра операционной системы, показан на рисунке 17. Рисунок 17 — Протокол контроля событий, связанных с изменением реестра операционной системы.

Как показано на рисунке 17, в моделируемой системе отсутствуют события, связанные с контролем реестра операционной системы, которые были бы связаны с активностью вредоносного ПО, а также события, не контролируемые средством защиты данных SecretNet. На рисунке 18 показан протокол активности системных файлов, сформированный с использованием ПО SecretNet. Рисунок 18 — Протокол активности системных файлов, сформированный с использованием ПО SecretNetКак показано на рисунке 18, все процессы, запущенные из системной области, являются контролируемыми системой защиты SecretNet, неопознанные процессы отсутствуют. При моделировании системы для задания эталона необходимо использовать соответствующий режим, настройки которого задаются в режиме, показанном на рисунке 19. Также с использованием ПО SecretNet можно производить генерацию задач, как прикладных или системных, так и задач обеспечения информационной безопасности. Рисунок 19- Настройка эталонного состояния системы.

Таким образом, с использованием протоколов системы SecretNetвозможно получать данные о состоянии защищенности системы на основе анализа журналов, статистики запуска опасных и запрещенных процессов и др. Полученные данные возможно обрабатывать с использованием методов экспертных оценок или обработки весовых коэффициентов. Далее приведем пример расчета модели защиты информации на основании анализа протоколов, сформированных в системе SecretNet. Рисунок 20 − Окно выбора сертификата ЭПРисунок 21 − Выбор ключа ЭПМетоды борьбы с подделкой электронной подписи, связанные с работой криптоаналитиков в большинстве случаев могут быть неэффективными, но необходимо обеспечить минимизацию возможностей получения ими исходной информации, связанной с функционированием криптосистемы предприятия. Таким образом, к основным методам борьбы с подделкой электронной подписи могут быть отнесены:− выполнение требований к организационному и технологическому обеспечению работы с криптосредствами;− выявление случаев компрометации электронной подписи и своевременный ее отзыв;− ежегодная смена криптографических ключей;− ограничение использования Интернет-ресурсов на рабочих местах с установленными криптосредствами;− разработка и неукоснительное соблюдение пропускного и внутриобъектового режима в помещениях, где производится работа с криптосредствами;− проведение служебных расследований случаев компрометации электронной подписи с принятием управленческих решений и взысканий к специалистам, нарушившим требования правил эксплуатации электронной подписи;− проведение обучения сотрудников правилам работы с криптосредствами.

Заключение

.

В рамках данной работы проведен анализсистемы обеспечения безопасности с использованием криптографических систем в условиях АО ИТМ И ВТ. Проведено рассмотрение теоретических аспектов обеспечения безопасности информационных ресурсов с использованием средств криптографии. Показано что криптографическая защита информационных ресурсов имеет свои особенности, связанные с необходимостью обеспечения защиты ключей шифрования, программного и аппаратного обеспечения систем шифрования, а также физической защиты помещений, в которых хранятся носители ключевой информации. При этом безопасность криптографических систем является залогом штатного функционирования предприятий. Далее были проанализированы основные алгоритмы шифрования информационных ресурсов. Рассмотрены основные особенности использования тех или иных средств шифрования. В ходе анализа угроз конфиденциальности криптографических систем показано, что основные виды угроз делятся на группы:− угрозы со стороны криптоаналитиков;− социальные угрозы. Если первый тип угроз использует уязвимости в самом алгоритме шифрования, то второй тип угроз связан с человеческим фактором и нарушением правил эксплуатации криптосредств и тем самым, является наиболее опасным. Защитой от угроз конфиденциальности электронной подписи является принятие ряда организационных и технологических решений, минимизирующих риски конфиденциальности. Применительно к АО ИТМ и ВТ было показано, что существующая система криптографической защиты используется для работы в системах электронного документооборота, а также для защиты сетевых ресурсов. Организация криптографической защиты информации АО ИТМ и ВТ представлена штатными единицами администраторов криптографической защиты, в функции которых входит сопровождение функционирования систем шифрования и управления электронными ключами, а также контроль соблюдения требований конфиденциальности в процессе эксплуатации систем криптографии. В ходе анализа системы криптографической защиты были обнаружены недостатки, связанные с отсутствием контроля сетевого трафика рабочих станций, работающих с криптографическими системами. В рамках модернизации криптографической защиты было предложено внедрение системы контроля SecretNet, позволяющей проводить анализ трафика на предмет сетевых вторжений, а также несанкционированного использования криптоключей.

Список использованных источников

.

Грибунин, В.Г., Чудовский В. В. Комплексная система защиты информации на предприятии/ В. Г. Грибунин, В. В. Чудовский. — М.: Академия, 2009. — 416 с.

2. Крипто-Про. Информация о системе. [Электронный ресурс]. Режим доступа:

http://www.cryptopro.ru/products/csp3. Скляров, Д. В. Искусство защиты и взлома информации/Д.В.Скляров. — М.: Форум, 2009. — 368 с. Ростовцев А. Г., Маховенко Е. Б. Теоретическая криптография. — М., Изд.

Профессионал, 2011. — с. 116Сетевые атаки и их виды. [.

Электронный ресурс]. режим доступа:

https://www.kakprosto.ru/kak-848 505-chto-takoe-setevaya-atakaБлинов А. М. Информационная безопасность. — СПб: СПбГУЭФ, 2011 — 96с. Андрианов В. В., Зефиров С. Л., Голованов В. Б., Голдуев Н. А. Обеспечение информационной безопасности бизнеса. — М.: Альпина Паблишерз, 2011 — 338с. Стефанюк В. Л. Обеспечение физической защиты сетевых ресурсов. — М.: Наука, 2014. — 574 c. Якубайтис Э. А. Информационные сети и системы: Справочная книга.

М.: Финансы и статистика, 2011. — 232с. Разработка инфраструктуры сетевых служб Microsoft Windows Server 2008.

Учебный курс MCSE М.: Bзд-во Русская редакция, 2009.

Сосински Б., Дж. Московиц Дж. Windows 2008 Server за 24 часа. — М.: Издательский дом Вильямс, 2008.

Герасименко В.А., Малюк А. А. Основы защиты информации. — СПб.: Питер, 2010. -.

320сГук М. Аппаратные средства локальных сетей. Энциклопедия. — СПб.: Питер, 2010. — 576с. Иопа, Н. И.

Информатика: (для технических специальностей): учебное пособие- Москва: Кно.

Рус, 2011. — 469 с. Акулов, О. А., Медведев, Н. В. Информатика. Базовый курс: учебник — Москва: Омега-Л, 2010. — 557 с. Лапонина О. Р. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия Интернет-университет информационных технологий — ИНТУИТ.ру, 2012.

Могилев.

А.В. Информатика: Учебное пособие для вузов — М.: Изд. центр «Академия», 2011.

Партыка Т. Л. Операционные системы и оболочки. — М.: Форум, 2011.

Под ред. проф. Н. В. Макаровой: Информатика и ИКТ. — СПб.: Питер, 2011.

Новиков Ю. В., Кондратенко С. В. Основы локальных сетей. КуПК лекций. — СПб.:Интуит, 2012. — 360с. Ташков П. А. Защита компьютера на 100%. — СПб.: Питер, 2011.

Самоучитель Microsoft Windows XP. Все об использовании и настройках. Изд. 2-е, перераб. и доп.

М. Д. Матвеев, М. В. Юдин, А. В. Куприянова. Под ред. М.

В. Финкова.- СПб.: Наука и Техника, 2011. — 624 с.: ил. Хорев П. Б. Методы и средства защиты информации в компьютерных системах. — М.: Академия, 2011. — 256 с.