поиск по сайту
Построение системы обработки данных на базе аппаратных средств защиты информации
Т.М. БОРИСОВА, Д.Ю. СЧАСТНЫЙ
РОССИЯ, МОСКВА, ОКБ САПР

ПОСТРОЕНИЕ СИСТЕМЫ ОБРАБОТКИ ДАННЫХ НА БАЗЕ АППАРАТНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

В настоящее время чаще всего обмен данными в электронном виде происходит по открытым каналам связи. При этом у получателя этих данных может возникнуть несколько проблем. Без применения специальных мер нельзя гарантировать ему, что данные в процессе передачи не были искажены случайно или умышленно. Так же получатель не может быть уверен, что эти данные прислал именно тот, от кого он их планировал получить. И более того, после завершения передачи данных отправитель может просто отказаться от них, если эти данные по каким-либо причинам его не устраивают. Чтобы при построении какой-либо системы обмена данными избежать описанных недостатков и сделать систему достаточно надежной, необходимо обеспечить возможность проверки целостности передаваемых данных и подтверждения их авторства на стороне получателя.

В 2002 году был принят федеральный закон "Об электронной цифровой подписи", который  позволяет для проверки целостности передаваемых данных и подтверждения их авторства  использовать электронную цифровую подпись (ЭЦП). Основываясь на этом законе, многие организации все чаще используют ЭЦП  для повышения уровня информационной безопасности своих систем.

Примером такой системы может служить система государственного учета водных биологических ресурсов Российской Федерации, созданная под управлением Федерального агентства РФ по рыболовству (в настоящее время - Государственный комитет РФ по рыболовству). Для контроля функционирования данной системы создана  отраслевая  система мониторинга (ОСМ) водных биологических  ресурсов, наблюдения и контроля над деятельностью промысловых судов.  В настоящее время ОСМ  представляет собой многоуровневую многопользовательскую корпоративную информационно-аналитическую систему, обеспечивающую непрерывный сбор, обработку, анализ, хранение и передачу данных о состоянии биоресурсов и производственной деятельности промыслового флота и судовладельческих предприятий.  В рамках ОСМ капитан или лицо,  ответственное за добычу водных биоресурсов, обязан ежедневно подавать судовые суточные донесения (ССД) о рыболовной деятельности в районах действия правил рыболовства. При этом лицо, ответственное за вылов, несет ответственность за целостность и полноту передаваемых ССД.

Для того чтобы в центре ОСМ не возникали проблемы, связанные с искажением ССД и отказом от его авторства, была поставлена задача защиты этих сообщений электронной цифровой подписью.  Для этого необходимо обеспечить каждого пользователя средством вычисления ЭЦП. ССД формируется с использованием специального оборудования на ноутбуке промыслового судна. При этом важным требованием является то, что ноутбук  должен находится именно на том промысловом судне, на котором были собраны данные для отправляемого ССД. Для этого необходимо какое-либо стационарное устройство, выполняющее ЭЦП на нужном промысловом судне, которое бы давало уверенность в центре ОСМ, что ССД сформировано именно на нем.

Помимо описанных выше особенностей для работы с ЭЦП на промысловом судне нужно учесть повышенную влажность воздуха, наличие соляного тумана и другие неблагоприятные условия.

При построении защищенной системы обмена данными между промысловым судном и центром ОСМ необходимо использование устройств, удовлетворяющих всем вышеописанным требованиям.  В качестве таких устройств были выбраны программно-аппаратные устройства, разработанные ОКБ САПР: ПСКЗИ ШИПКА и Аккорд-5.5 mini-PCI (далее просто Аккорд-5.5). Выбор именно этих устройств обусловлен еще и следующими факторами. Во-первых,  оба устройства аппаратно реализуют все российские криптографические алгоритмы, что позволяет использовать их для построения систем обмена  защищенными данными на  территории РФ. Во-вторых, ПСКЗИ ШИПКА является персональным устройством, поэтому может быть выдано лично каждому пользователю, подписывающему отправляемое ССД. Аккорд-5.5, в свою очередь, являясь стационарным устройством, устанавливается локально на ноутбуке промыслового судна и ССД, подписанное пользователем с помощью ПСКЗИ ШИПКА, заверяется подписью этого судна с помощью Аккорд-5.5.  При этом Аккорд-5.5 сочетает в себе функции АМДЗ (аппаратного модуля доверенной загрузки) и  устройства, аппаратно выполняющего все криптографические вычисления.  Если в операционной системе установлена система доверенной загрузки, то пользователь, не обладающий правами администратора, не может получить доступ к  необходимым данным, перенеся Аккорд-5.5 на ноутбук другого промыслового судна.

Перед началом работы системы обработки данных на базе ПСКЗИ ШИПКА и Аккорд-5.5   необходимо осуществить ее настройку. Для этого на ноутбуке промыслового судна пользователем с правами администратора  устанавливается ПО для ПСКЗИ ШИПКА и Аккорд-5.5. Устанавливается и настраивается Аккорд-5.5. Каждому пользователю, отправляющему ССД с судна, выдается  устройство ШИПКА. При помощи ПСКЗИ ШИПКА выполняется генерация ключевых пар и создание сертификатов для каждого отправителя ССД, а при помощи Аккорд-5.5  - пара и сертификат для промыслового судна. Генерация обоих сертификатов выполняется при помощи Удостоверяющего Центра, находящегося в центре OСМ, поэтому эти сертификаты будут доступны в дальнейшем для их использования в инфраструктуре PKI в центре ОСМ. Настройка системы выполняется однократно и после выполнения вышеописанных процедур может считаться завершенной.

После того как система настроена, можно начинать работу. Капитан или лицо, ответственное за формирование ССД, подписывает от своего имени полученное донесение, используя при этом ПСКЗИ ШИПКА. После этого подписывание последовательности {ССД + ЭЦП}  выполняется от имени промыслового судна, то есть  при помощи Аккорд-5.5. Полученные данные отправляются в центр ОСМ, где сначала выполняется проверка  ЭЦП  промыслового судна, а затем  - ЭЦП пользователя. При этом проверка подписи может проводится как при помощи ПСКЗИ ШИПКА или Аккорд-5.5, если для них установлено СПО, так и с использованием любых других средств криптографической защиты информации, поддерживающих работу с сертификатами российской криптографии.

Таким образом, ПСКЗИ ШИПКА и Аккорд-5.5 решают все проблемы,  возникающие при реализации системы защищенного обмена данными в государственном учете водных биологических ресурсов.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них