Криптографические методы защиты информации (стр. 8 из 9)

Таким же образом можно заменить аппаратный шифратор на программный. Для этого программный шифратор выполняют обычно в виде драйвера, предоставляющего тот же набор функций.

Впрочем такое ПО нужно не всем шифраторам — в частности, ПШ , стоящий по дороге к HDD, достаточно настроить один раз, после чего о нем можно просто забыть.

5.8 Аппаратный шифратор «М-506»

Рассмотрим в качестве примера один из отечественных аппаратных шифраторов производства ЗАО НИП «Информзащита» СКЗИ(Система криптографической защиты информации) М-506.

М-506 представляет собой программно-аппаратный комплекс криптографической защиты информации, реализующий алгоритм шифрования данных по ГОСТ 28147-89. В этом комплексном средстве защиты информации возможности аппаратного шифратора дополнены широким спектром других функций информационной безопасности

СКЗИ М-506 состоит из следующих компонентов

· сервер безопасности. Установленный на выделенном компьютере или контроллере домена, он собирает и обрабатывает информацию о состоянии всех защищаемых рабочих станций и хранит данные о настройках всей системы защиты;

· средство защиты информации от несанкционированного доступа (СЗИ) SecretNetNT 4.0. Данным СЗИ оснащаются все рабочие станции, на которых устанавливается также электронный замок «Соболь». Тем самым защищаются ресурсы компьютера и обеспечивается регистрация входа пользователя в систему, предъявления незарегистрированного идентификатора, введения неправильного пароля, превышения числа попыток входа в систему;

· подсистема управления. Этот программный компонент устанавливается на рабочем месте администратора системы и позволяет ему конфигурировать СЗИ Secret Net (а также управлять встроенными возможностями операционной системы), контролировать все события, влияющие на защищенность системы, и реагировать на них в режиме реального времени и в терминах реальной предметной области (сотрудник, задача, подразделение, помещение);

· криптоменеджер. Он устанавливается на автономном компьютере и выполняет следующие функции: создание ключей шифрования, изготовление ключевых дискет, ведение базы созданных ключей на жестком диске компьютера.

Реализованная в СКЗИ М-506 клиент-серверная архитектура позволяет сосредоточить в одном месте функции управления безопасностью корпоративной сети и повысить живучесть всей системы защиты: даже выход из строя сервера безопасности не приводит к снижению уровня защищенности. Развитые возможности защиты от несанкционированного доступа (НСД) интегрированы с криптографическими механизмами: электронной цифровой подписью, «прозрачным» шифрованием файлов и шифрованием сетевого трафика.

Для легального пользователя, которому предоставлено право работать с зашифрованным сетевым ресурсом, данный ресурс предстает в своем обычном, незашифрованном виде («прозрачный» режим криптографического преобразования). Но это не значит, что конфиденциальная информация передается по сети в открытом виде: сетевой трафик шифруется, а расшифровывание происходит только на рабочей станции пользователя.

Отметим, что все компоненты СКЗИ М-506 функционируют в замкнутой программной среде, недоступной воздействию вирусов. О высоком качестве данного криптосредства позволяет судить тот факт, что оно сертифицировано ФАПСИ(Федеральное агентство правительственной связи и информации) для защиты информации, содержащей сведения, составляющие государственную тайну.

5.9 Проблемы применения аппаратных шифраторов

Что же мешает широкому применению аппаратных шифраторов — или, выражаясь точнее, обусловливает их меньшую распространенность по сравнению с криптографическим ПО?

Прежде всего цена — в любом случае стоимость аппаратного шифратора будет выше, чем чисто программного решения. Но для организаций, всерьез заботящихся об информационной безопасности, использование аппаратных шифраторов в силу перечисленных выше причин безусловно желательно — во всяком случае, для защиты наиболее важных ресурсов. Производители аппаратных криптографических средств постоянно дополняют свои продукты новыми возможностями, и по соотношению цена/качество (если понимать под последним прежде всего функциональность) аппаратные шифраторы выглядят более предпочтительно, если их сравнивать с соответствующим ПО.

Зачастую на выбор шифрующего средства (программного или аппаратного) влияет и чисто психологический эффект. Кажется, гораздо проще переписать из Интернета одну из бесплатных или условно-бесплатных программ шифрования и активно ее использовать, в том числе для защиты информационного обмена со сторонними организациями, в то время как закупка аппаратного шифратора представляется началом долгого процесса получения всевозможных лицензий, сбора согласующих виз и т. п. Иными словами, на первый план выходят даже не денежные соображения, а попытки сэкономить время и облегчить себе жизнь.

Замечу, однако, что в нормативных актах, регулирующих практику применения криптографических (шифровальных) средств, не проводится различий между программными и аппаратными средствами: оформлять использование криптосредств надо в любом случае. Другое дело, что документы эти могут быть разными — или лицензия ФАПСИ (ФАПСИ - Федеральное агентство правительственной связи и информации) . Ведомство РФ, в числе прочего занимающееся разработкой криптографических алгоритмов и отвечающее за сертификацию СКЗИ (Средства криптографической защиты информации) в части криптографических функций на использование криптосредств, или договор с организацией, имеющей необходимую лицензию ФАПСИ на предоставление услуг по криптографической защите конфиденциальной информации. Поэтому переход к применению аппаратных шифраторов можно совместить с оформлением упомянутых выше документов.

6. Советы и рекомендации

Рассмотрев в двух предыдущих главах программные и аппаратные шифраторы, сравнив их достоинства и недостатки, каждый скорее всего задастся вопросом: «Что же все таки лучше, программная реализация или аппаратная?». С одной стороны надежность, быстродействие но высокая цена, а с другой доступность, простота в настройке и управлении, но значительно меньшая защищенность от взлома.

К решению этого вопроса нужно, прежде всего, подходить, исходя из тех функции, которые шифратор будет выполнять. Если вам нужно защитить какие-то файлы от родственников или коллег по работе, файлы, которые не представляют материальной ценности и которые вряд ли заинтересуют профессионального взломщика (например, личная переписка, дневник и т.п.), то приобретение программного шифратора , как с материальной точки зрения , так и с точки зрения необходимого уровня защищенности, является наиболее выигрышным для вас.

Что можно порекомендовать тем, кто решил установить программный шифратор?

Во-первых пользоваться надо только проверенными программами, которые успешно применяются несколько лет и зарекомендовали себя как надежные средства, хорошо противостоящие взлому, и которые, естественно, написаны без ошибок.

Во-вторых , как показала практика, не следует приобретать версии программ, оканчивающиеся на «0»(2.0,3.0,4.0 и т.д.), т.к. именно в них чаще всего встречаются т.н. «дыры», которые может обнаружить кто-либо и использовать в собственных целях, и именно в этих версиях чаще встречаются ошибки, ведущие не только к ухудшению работы программ, но и, иногда , вообще к их неправильной работе(может, например, случиться так, что зашифровав какой-либо файл вы потом расшифруете с ошибками или вообще не расшифруете). Это объясняется тем, что , смена версии программы с 2.2 или 2.6 на 3.0 подразумевает по собой значительные изменения, выражающиеся в добавлении новых или расширении старых функций; а т.к. их вряд ли кто-то тщательно проверял на возможность отказа или взлома ( самую тщательную проверку, как правило, устраивают именно пользователи, подкладывая программе какую-нибудь «свинью», дабы убедиться в надежности программы),то жертвой такой халатности производителя можете стать вы.

В-третьих нужно бдительно охранять собственные, секретные, ключи, чтобы они не стали достоянием общественности, а то от такой защиты информации будет мало толка.

Если же вы владеете или работаете со строго секретной или конфиденциальной информацией (например, с информацией , являющейся коммерческой тайной), то приобретение аппаратного шифратора — это для вас.

Рекомендовать можно следующее:

Прежде всего — готовности довести эту покупку до конца, ведь ответственным за информационную безопасность следует помнить, что именно они окажутся крайними в случае утечки конфиденциальной информации или ее разглашения, а ущерб, который наносят компаниям реализованные угрозы информационной безопасности, как правило, многократно превышает затраты на оснащение средствами защиты, в том числе на закупку СКЗИ.

Очевидно и то обстоятельство, что приобретение СКЗИ должно быть частью общей корпоративной политики в отношении информационной безопасности. Отсутствие продуманной стратегии, хаотичность действий способны превратить систему защиты информации в сшитый из дорогих лоскутов тришкин кафтан.

Наконец, следует понимать, что покупкой аппаратных СКЗИ у пользователей (а также администраторов) начинается в буквальном смысле новая жизнь, где нет места лени и беззаботности. Аппаратный шифратор из эффективного средства защиты информации может превратиться в не менее эффективное средство ее гарантированного уничтожения: скажем, потеря или сбой единственного носителя с ключами означает, что вы лишились зашифрованной информации навсегда.

Поэтому не надо скупиться на приобретение более надежных по сравнению с дискетами носителей криптографических ключей; не стоит забывать, как важно делать копии ключевых носителей и убирать их в безопасное хранилище вместе с распечаткой пароля, а сами пароли нужно менять регулярно, используя многосимвольные комбинации с неповторяющимся набором знаков.