Криптографическая защита

 

КриптоПро CSP

 Использование КриптоПро CSP позволяет решить сразу несколько задач:

  • для корпоративных пользователей - это возможность использовать стандартные и повсеместно используемые приложения компании Microsoft с надежной российской криптографией;
  • для системных интеграторов - это возможность создания новых, надежно защищенных приложений с использованием богатейшего и проверенного временем инструментария разработки компании Microsoft.

 

Использование КриптоПро CSP в ПО Microsoft

К стандартным приложениям, которые теперь могут использовать российские алгоритмы электронной цифровой подписи и шифрования, относятся:

  • Microsoft XML версии 5.0 (Microsoft Office 2003 и Microsoft XML Viewer) иверсии 6.0 (Microsoft Visual Studio 2005);
  • Microsoft Certification Authority, входящеевсоставОС Windows Server 2000/2003/2008/2008R2 (см. особенности установки);
  • Microsoft Outlook Express, входящеевсостав Internet Explorer версии 5.0 ивыше;
  • Microsoft Outlook, входящее в состав MS Office 2000/XP/2003/2007/2010/2013 (при формировании сообщений в формате S/MIME). При использовании ПО Microsoft Outlook 2000 рекомендуем установить Набор исправлений Office 2000 SR-1a, который позволяет корректно обрабатывать кодировки KOI8 и Win1251 в подписанных сообщениях;
  • Microsoft Word/Excel, входящее в состав MS Office 2003/2007 (при формировании ЭЦП документов);
  • Средства формирования и проверки ЭЦП программного обеспечения, распространяемого по сети (Microsoft Authenticode);
  • Защита соединений в Интернете (TLS для HTTPS) от клиентов (Internet Explorer 5.0 и выше, КриптоПро Fox) до веб-серверов (Microsoft IIS, Apache, Tomcat);
  • Защита почтовых соединений (TLS для IMAPS/POP3S/SMTPS) в Microsoft Exchange и Microsoft Outlook;
  • Защита соединений удалённого администрирования при использовании Microsoft Terminal Server или серверов и клиентов Citrix;

 

Встраивание КриптоПро CSP в приложения

Для встраивания КриптоПро CSP в разрабатываемые приложения следует использовать функции Microsoft CryptoAPISSPICAPICOM, а так же КриптоПро ЭЦП Browser plug-in. Ниже приведено краткое описание этих интерфейсов. Более подробное описание можно найти в программной документации MSDN (Microsoft Developer Network).

 

Цели использования криптографических функций

Для обеспечения защиты электронных документов и создания защищенной автоматизированной системы в первую очередь используют криптографические методы защиты, которые позволяют обеспечить защиту целостности, авторства и конфиденциальности электронной информации и реализовать их в виде программных или аппаратных средств, встраиваемых в автоматизированную систему. Однако следует отметить, что использование криптографии ни в коем случае не исключает применение организационно-технических мер защиты.

В общем случае создание защищенной автоматизированной системы - это в каждом конкретном случае процесс индивидуальный, поскольку не бывает абсолютно одинаковых систем, а бывают лишь типовые решения, реализующие те или иные функции по защите информации. В первую очередь при создании защищенной автоматизированной системы необходимо определить модель угроз и политику безопасности проектируемой системы. Впоследствии, исходя из этого, можно определить тот набор криптографических функций и организационно-технических мер, реализуемых в создаваемой системе.

Ниже приведен основной перечень функций защиты информации, реализуемый при помощи криптографических функций библиотек СКЗИ.

  • Конфиденциальность информации. При передаче данных в сети обеспечивается использованием функций шифрования. При хранении данных (на дисках, в базе данных) может использоваться функция шифрования или (для обеспечения НСД к хранимой информации) функция шифрования на производном (например, от пароля) ключе.
  • Идентификация и авторство. При сетевом взаимодействии (установлении сеанса связи) обеспечивается функциями ЭЦП при использовании их в процессе аутентификации (например, в соответствии с рекомендациями Х.509). Одновременно при аутентификации должна использоваться защита от переповторов. Для этих целей может быть использована функция имитозащиты с ограничениями, так как при вычислении имитовставки используется симметричный ключ шифрования, единый для двух субъектов (объектов) системы. При электронном документообороте обеспечивается использованием функций ЭЦП электронного документа. Дополнительно должна быть предусмотрена защита от навязывания, переповтора электронного документа.
  • Целостность. Обеспечивается использованием функций ЭЦП электронного документа. При использовании функций шифрования (без использования ЭЦП) обеспечивается имитозащитой. Для обеспечения целостности хранимых данных может быть использована функция хеширования или имитозащиты, но при этом не обеспечивается авторство информации.
  • Неотказуемость от передачи электронного документа. Обеспечивается использованием функций ЭЦП (подпись документа отправителем) и хранением документа с ЭЦП в течение установленного срока приемной стороной.
  • Неотказуемость от приема электронного документа. Обеспечивается использованием функций ЭЦП и квитированием приема документа (подпись квитанции получателем), хранением документа и квитанции с ЭЦП в течении установленного срока отправляющей стороной.
  • Защита от переповторов. Обеспечивается использованием криптографических функций ЭЦП, шифрования или имитозащиты с добавлением уникального идентификатора сетевой сессии (электронного документа) с последующей их проверкой приемной стороной или разработкой специализированного протокола аутентификации (обмена электронными документами).
  • Защита от навязывания информации. Зашита от нарушителя с целью навязывания им приемной стороне собственной информации, переданной якобы от лица санкционированного пользователя (нарушение авторства информации). Обеспечивается использованием функций ЭЦП с проверкой атрибутов электронного документа и открытого ключа отправителя. В случае навязывания информации про компрометации ключа обеспечивается организационно-техническими мероприятиями. Например, созданием системы централизованного управления ключевой информацией (оповещением абонентов) или специализированных протоколов электронного документооборота.
  • Защита от закладок, вирусов, модификации системного и прикладного ПО.Обеспечивается совместным использованием криптографических средств и организационных мероприятиях.

 

 

Secret Disk Enterprise

Комплекс защиты конфиденциальной информации с централизованной системой управления Secret Disk Enterprise позволяет обеспечить защиту персональных компьютеров и ноутбуков в корпоративной инфраструктуре от несанкционированного доступа и утечки конфиденциальной информации.

Secret Disk Enterprise отслеживает состояние всех защищённых рабочих станций и снимает нагрузку с информационных служб предприятий, снижая затраты и повышая уровень безопасности данных в компании.

 

Ключевые преимущества

Безопасность

  • Secret Disk Enterprise обеспечивает защиту данных путём разграничения доступа к разделам на жёстких дисках, томам на динамических дисках и виртуальным дискам.
  • Реализована возможность защиты системного раздела жёсткого диска и хранящейся на нём информации.
  • Обеспечена наиболее безопасная и надёжная на сегодняшний день процедура подтверждения прав пользователя – двухфакторная аутентификация, при которой для доступа к данным необходимо наличие электронного ключа и знание пароля к нему.
  • Организован аудит использования защищённых ресурсов и действий пользователей.

Надёжность

  • Решение устойчиво к возможным сбоям операционной системы или отключению электропитания, что исключает возможность повреждения данных.
  • Поддерживается оперативное восстановление доступа в случае утери или поломки пользователем электронного ключа.
  • Защищённые диски предусматривают резервное копирование сторонними продуктами без доступа к конфиденциальным данным.

Удобство

  • Быстрая установка и настройка клиентского программного обеспечения на рабочих местах пользователей за счёт использования групповых политик Microsoft Active Directory.
  • Работа продукта не требует подготовки и специальных знаний конечного пользователя.
  • Гибко настраиваемая система ролей и полномочий позволяет адаптировать систему управления защитой информации под организационные условия любого предприятия.
  • Поддержка работы с защищёнными дисками и данными вне доступа к корпоративной сети (например, в командировках).
  • Централизованное управление и мониторинг - в системе ведётся несколько журналов, по которым администратор может следить за работой пользователей, легко диагностировать нештатные ситуации и оперативно принимать необходимые меры.