Построение Защищенных Виртуальных Корпоративных Сетей Органов Государственного Управления

Реализация программы «Электронная Россия», аналогичных программ в министерствах и ведомствах предполагает построение защищенных виртуальных корпоративных сетей (ЗВКС) и активное использование публичных сетей, в первую очередь сети Интернет, в качестве транспортной среды. Вместе с тем основной угрозой информационной безопасности при их подключении к сети Интернет является потенциальная возможность проникновение в ведомственные автоматизированные системы (АС) в точке подключения. Это может привести не только к доступу к конфиденциальной информации и нарушению режима функционирования АС, но и возможности доступа к алгоритмам шифрования и ключевой информации. Именно по этому в Указе Президента Российской Федерации N611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» указано, что «Субъектам международного информационного обмена в Российской Федерации не осуществлять включение информационных систем, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебная информация ограниченного распространения, а также для которых установлены особые правила доступа к информационным ресурсам, в состав средств международного информационного обмена, в том числе в международную ассоциацию сетей «Интернет».

Точка подключения к Интернет становится частью этой сети и, как следствие, общедоступной. А поскольку точка функционирует постоянно, злоумышленник может осуществить несанкционированный доступ в АС, используя бреши в программном обеспечении. Для исключения такой возможности была разработана технология Shield, которая подразумевает использование вместо традиционной унарной точки подключения бинарную, т. е. состоящую из двух серверов, и на ее базе создано СКЗИ «КриптоКанал» (ПАК «Shield Channlel - FW»). В ТУ на СКЗИ «КриптоКанал» (Сертификат ФСБ России СФ/114-0722 от 28 июля 2004 г.) указано, что он «обеспечивает безопасное использование транспортных услуг публичных сетей без снижения их класса защищенности и возможность сокрытия (за счет шифрования) передаваемой информации. Безопасное подключение предполагает невозможность несанкционированного доступа в сегменты ЗВКС из любой точки публичной сети и гарантирует выполнение следующих требований:

Отсутствие сетевого взаимодействия между сегментами ЗВКС и публичной сетью; отсутствие возможности не только обмена информацией между сегментом ЗВКС и публичной сетью, но и определения самого факта наличия публичной сети из сегмента ЗВКС и наоборот».

Существенным является то, что между внутренним и внешним серверами узла ЗВКС отсутствует сетевое взаимодействие, а все криптографические преобразования выполняются на внутренних серверах, которые не подключены к Интернет.

СКЗИ «КриптоКанал» предназначен для создания ЗВКС путем объединения территориально-удаленных ЛВС (далее сегментов ЗВКС) с использованием в качестве транспортной среды публичных сетей (включая сеть Интернет), в том числе для АС органов государственного управления и организаций Российской Федерации, систем управления транспортом, связью, энергетикой и др., и передаче по ним конфиденциальной информации. Для аутентификации и контроля целостности используются алгоритмы электронно-цифровой подписи ГОСТ Р 34.10-2001, хэш-функции ГОСТ Р 34.11-94 и ГОСТ 28147-89 (имитовставка). Для шифрования используется алгоритм ГОСТ 28147-89 в режиме гаммирования с обратной связью.

Для доступа мобильных или удаленных пользователей в ЗВКС предусмотрен программный комплекс «КриптоКанал-клиент» (ПрК «Shield Channel Client» - ПрК «SCC»), который устанавливается на рабочих станциях с операционной системой MS Windows и Linux. ПрК «SCC», имеет встроенные средства защиты от несанкционированного доступа, обеспечивающие идентификацию и аутентификацию пользователя на персональном электронном ключе eToken и идентификацию компьютера пользователя в ЗВКС. Для создания защищенного канала ПрК «SCC» использует те же методы и средства, что и ПАК «SC-FW».

В состав СКЗИ «КриптоКанал» входит также АРМ Генерации Ключей, в задачу которого входит генерация ключевой информации для каждого узла ЗВКС и экспорт ее на электронный ключ eToken. На персональном электронном ключе eToken каждого пользователя и узла ЗВКС хранятся идентификатор пользователя или узла ЗВКС, открытый ключ АРМ ГК, открытый и закрытый ключи пользователя; электронно-цифровая подпись открытого ключа пользователя ключом АРМ ГК, вектор инициализации датчика случайных чисел, криптопараметры.