4.6. Средства криптографической защиты информации Аппаратно-программный комплекс IPSafe-PRO Предназначен для построения защищенных виртуальных частных IP-сетей, создаваемых на базе сетей общего пользования (в том числе и Интернет). Выполнен на базе IBM РС-совместимого компьютера с двумя Ethernet-интерфейсами (базовая конфигурация) с операционной системой FreeBSD. Дополнительные возможности: статическая маршрутизация и функции межсетевого экрана (защита от спуфинга, обработка данных по адресам, портам, протоколам и др.); возможность поддержки интерфейсных стандартов G.703, G.704, V.35, RS-232 и др.; система "горячего" резервирования; работа в синхронном и асинхронном режимах. Технические характеристики: Используемый протокол семейства IPsec - ESP (Encapsulating Security Payload, RFC 2406) в туннельном режиме (с предоставлением следующих услуг безопасности: конфиденциальности и целостности данных, аутентификации источника данных, сокрытия топологии локальных корпоративных сетей, защиты от анализа трафика). Кючевая система - симметричная (с возможностью централизованного и децентрализованного администрирования). Криптоалгоритмы - ГОСТ 28147, RC5, 3DES, DES, SHA-1, MD5. Программно-аппартные комплексы средств защиты информации от НСД для ПЭВМ и рабочих станций Аккорд-АМДЗ Предназначены для применения на IBM-совместимых ПЭВМ (РС) в целях защиты средств вычислительной техники и информационных ресурсов от несанкционированного доступа. Комплекс выполняет идентификацию, аутентификацию пользователей, регистрацию их действий; контроль целостности технических и программных средств (файлов общего назначения, прикладного ПО и данных). Режим доверенной загрузки обеспечивается в различных операционных средах: MS DOS, Windows 9х, Windows Millenium, Windows NT, Windows 2000, OS/2, UNIX, LINUX, а также в любых других ОС, использующих файловые системы FAT12, FAT16, FAT32, NTFS, HPFS, FreeBSD, Linux EXT2FS при многопользовательском режиме эксплуатации ПЭВМ (PС). СЗИ НСД "Аккорд-АМДЗ" выпускаются на базе контроллеров "Аккорд-4.5", (шинный интерфейс ISA) и "Аккорд-5" (шинный интерфейс PCI), в качестве идентификаторов используются устройства touch memory DS 199x. Для сетевых рабочих станций администрирование настроек комплексов, подключение/отключение пользователей может осуществляться удаленно с консоли администратора безопасности по протоколу TCP/IP, журналы регистрации системных событий и действий пользователей автоматически передаются на эту консоль при включении рабочих станций. Аппаратно-программный комплекс "КОНТИНЕНТ-К" Предназначен для построения VPN на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP. В качестве составных частей VPN, построенной на базе комплекса, могут выступать корпоративные ЛВС, их сегменты и отдельные компьютеры (в том числе переносные или домашние компьютеры руководителей и сотрудников). АПК "Континент-К" обеспечивает: защиту внутренних сегментов сети от несанкционированного доступа со стороны сетей общего пользования; статическую маршрутизацию IP-пакетов; фильтрацию IP-пакетов в соответствии с заданными правилами; сокрытие внутренней структуры защищаемых сегментов сети; криптографическую защиту данных, передаваемых по каналам связи сетей общего пользования между составными частями VPN; безопасный доступ пользователей VPN к ресурсам сетей общего пользования; централизованное управление настройками VPN-устройств; удаленный доступ к ресурсам VPN по выделенным и коммутируемым каналам связи. Основным элементом комплекса является криптографический шлюз, который представляет собой специализированное аппаратно-программное устройство, функционирующее на платформе Intel под управлением сокращенной версии ОС FreeBSD. Криптографический шлюз оснащается сетевыми интерфейсами стандарта Ethernet, а также платой электронный замок "Соболь", обеспечивающей локальную идентификацию и аутентификацию администратора КШ и контроль целостности программного обеспечения. Криптошлюз "Континент-К" предназначен для работы в необслуживаемом режиме, т.е. в момент его включения или во время его работы не требуется присутствия обслуживающего персонала для ввода ключей, паролей или иной информации. В сети "Континент-К" возможно установить до 5000 криптошлюзов. Добавление новых и изменение настроек уже установленных компонентов производятся без вмешательства в процесс функционирования системы. Комплекс "Континент-К" сертифицирован Гостехкомиссией России на соответствие третьему классу защищенности для межсетевых экранов и ФАПСИ на соответствие требованиям ГОСТ 28147-89 и требованиям к  стойкости средств криптографической защиты конфиденциальной информации. Технические характеристики: Алгоритм шифрования    ГОСТ 28147-89 Длина ключа шифрования   256 бит Количество сетевых интерфейсов   до 16 Пропускная способность (шифрование, имитозащита, туннелирование)   до 80 Мбит/с Пропускная способность абонентского пункта   до 14 Мбит/с Увеличение длины IP-пакета   до 36 байт Поддержка режима горячего резервирования Межсетевой экран и шифратор IP-потоков Предназначен для межсетевого экранирования и криптографической защиты данных при создании виртуальных частных сетей (Virtual Private Network) в сетях общего доступа. За счет сжатия информации комплекс обеспечивает заметное повышение скорости передачи данных, имеет возможность одновременной поддержки до 1024 криптографически защищенных соединений при скорости шифрования суммарного IP-потока "на проходе" до 90 Мбит/с. В комплексе используются только собственные реализации всех протокольных стеков TCP/IP, алгоритмов автоматизированного управления комплексами и заложенными в них средствами криптозащиты. Краткая спецификация "ФПСУ-IP" Производительность   Обеспечивается скорость передачи IP-потоков от 65 Mбит/с и выше при включении всех режимов защиты (фильтрация + сжатие + шифрование). Алгоритм шифрования   ГОСТ 28147-89 Ключевая система / централизованное распределение ключей   Симметричная / централизованное ОС / стек протоколов   32 разрядная DОS-подобная / собственный Обрабатываемые уровни ЭМВОС   Сетевой + транспортный, сеансовый и прикладной (выборочно) Тип и количество интерфейсов   2; 10/100Ethernet, FDDI VPN-протокол / избыточность / сжатие данных   Собственный / не более 22 байт на пакет / за счет проходного сжатия данных достигается эффект ускорения информационных взаимодействий Поддержка служб QoS   Организация до 8 независимых VPN-туннелей в рамках попарных соединений с установкой приоритетов потоков информации Управление и мониторинг комплексов   Локальное и удаленное, с механизмами "отката" сбоев. До 1024 комплексов на один АРМ. Обеспечивается наглядное (графическое) отображение состояния работы защищаемых сетей, сигнализация нештатных событий, тотальный аудит информационных и управленческих взаимодействий Протокол удаленного управления комплексами   Собственный туннельный протокол со строгой двухсторонней аутентификацией согласно Х.509 Собственная безопасность   Полный аудит событий и действий персонала, разграничение доступа с помошью iButton и USB-Key. Использование специальных процедур маршрутизации и поддержки VPN-туннелей с применением адаптивного управления потоками данных в целях повышения устойчивости (живучести) систем Эффективное противостояние активным и пассивным информационным воздействиям разведывательного характера   Сокрытие реальной топологии VPN, NAT, сокрытие фактов применения комплексов, проксирование протоколов SMNP/SMNP-Trap, Telnet, TFTP, HTTP управления пограничными маршрутизаторами, корректная эмуляция отсутствия используемых, но скрываемых адресов и сервисов Возможность каскадного включения комплексов   Обеспечивает выделение отдельных сегментов сетей в изолированные зоны повышенной защищенности Удаленный клиент (программное обеспечение для встречной работы с "ФПСУ-IP" + USB-Key)   Для Windows 98, NT, 2000 Типовая схема применения комплекса Межсетевой экран DataGuard-24AM Предназначен для защиты асинхронных соединений при передаче данных через коммутируемую телефонную сеть общего пользования или по выделенным линиям связи. Располагается между коммуникационным портом компьютера (или другого оборудования) и модемом. Технические характеристики: Физический интерфейс - асинхронный RS-232, скорости передачи - стандартные до 115,2 кбит/с. Распределение сеансовой ключевой информации - модифицированный алгоритм Диффи-Хэллмана с использованием Х.509-сертификатов открытых ключей. Идентификация и аутентификация оконечных устройств на основе рекомендации X.32 ITU-T. Выработка сеансовых ключей в процессе установления каждого соединения. Смена сеансовых ключей через устанавливаемый (в пределах от 1 до 24 часов) период времени при организации соединения по выделенной линии связи. Симметричное шифрование в обоих направлениях обмена данными в соответствии с ГОСТ 28147-89 на различающихся сеансовых ключах. Питание - через адаптер от сети переменного тока с напряжением 220 В и с частотой 50 Гц. Размеры (ВхШхГ) - 3,81х16,2х13,36 см, вес - не более 0,3 кг. Устройства криптографической защиты данных Устройства криптографической защиты данных (УКЗД) серии КРИПТОН - это аппаратные шифраторы для IBM PC-совместимых компьютеров. Устройства применяются в составе средств и систем криптографической защиты данных для обеспечения информационной безопасности (в том числе защиты секретной информации) в государственных и коммерческих структурах. Устройства КРИПТОН гарантируют защиту информации, обрабатываемой на персональном компьютере и/или передаваемой по открытым каналам связи. КРИПТОН-4/PCI Устройство криптографической защиты данных и ограничения доступа к компьютеру. Технические характеристики: Шина: PCI (Target). Реализация алгоритма шифрования: аппаратная. Скорость шифрования: до 1100 Кбайт/с. Носители ключей: дискеты, СК с открытой и защищенной памятью - микропроцессорные СК, ТМ. КРИПТОН-8 Устройство криптографической защиты данных и ограничения доступа к компьютеру. Технические характеристики: Шина: PCI (Bus Master, Target). Реализация алгоритма шифрования: аппаратная. Скорость шифрования: до 8500 Кбайт/с. Носители ключей: дискеты, СК с открытой и защищенной памятью - микропроцессорные СК, ТМ. Устройство КРИПТОН-8 представлено на сертификацию в ФАПСИ. КРИПТОН-9 Устройство криптографической защиты данных и ограничения доступа к компьютеру. Технические характеристики: Шина: PCI (Bus Master, Target). Реализация алгоритма шифрования: аппаратная. Скорость шифрования: до 10000 Кбайт/с. Носители ключей: дискеты, СК с открытой и защищенной памятью - микропроцессорные СК, ТМ. Программные средства криптографической защиты Программные средства криптографической защиты информации (СКЗИ) серии КРИПТОН/Crypton для Windows 95/98/ME/NT4.0/2000 обеспечивают безопасность конфиденциальной информации: коммерческой, банковской, страховой, налоговой тайны, персональных данных и т.п. КРИПТОН Шифрование Позволяет шифровать файлы, обеспечивая их конфиденциальность. Зашифрованную информацию можно хранить на любых носителях (в т.ч. дисках персонального компьютера), передавать по сети Internet и другим открытым каналам связи, не опасаясь, что с содержимым зашифрованных файлов ознакомятся посторонние. Алгоритм шифрования: ГОСТ 28147-89. Длина ключа шифрования: 256 бит (количество возможных комбинаций ключей - 1077). Количество уровней ключевой системы: 3 (главный ключ - пользовательский / сетевой ключ - сеансовый ключ). Схема управления ключами: симметричная. Длина пароля: не менее 4 символов. КРИПТОН Подпись Реализует функции электронной цифровой подписи (ЭЦП), обеспечивая проверку авторства и целостности файлов. Электронная цифровая подпись служит аналогом подписи ответственного лица и печати организации; один и тот же файл может быть подписан несколько раз (бухгалтером, главбухом, директором и т.д.). Возможность сертификации ключей позволяет защитить от подмены открытый ключ пользователя и убедиться в их подлинности. Алгоритм ЭЦП: ГОСТ Р 34.10-94. Алгоритм функции хэширования: ГОСТ Р 34.11-94. Длина секретного ключа: 256 бит. Длина открытого ключа:512 или 1024 бит. Схема управления ключами: асимметричная. Длина пароля секретного ключа: не менее 4 символов. КРИПТОН ArcMail Предоставляет функции архивирования, электронной цифровой подписи (ЭЦП) и шифрования. Crypton ArcMail создает подписанный и/или зашифрованный архив, который можно отправлять адресату (адресатам) по открытым каналам связи, в т.ч. по сети Интернет. Алгоритм шифрования: ГОСТ 28147-89. Алгоритм ЭЦП: ГОСТ Р 34.10-94. Алгоритм функции хэширования: ГОСТ Р 34.11-94. Длина секретного ключа: 256 бит. Длина открытого ключа:512 или 1024 бит. Схема управления ключами: асимметричная, симметричная. Длина пароля секретного ключа: не менее 4 символов. Возможность сертификации ключей позволяет защитить от подмены открытый ключ пользователя и убедиться в их подлинности. Для встраивания в системы других разработчиков функций архивирования, подписи и шифрования поставляется библиотека Crypton ArcMail. СКЗИ КРИПТОН Шифрование, КРИПТОН Подпись и Crypton ArcMail Поставляются в комплекте с программным шифратором Crypton Emulator или аппаратным устройством серии КРИПТОН. Мастер ключей (доступен только в версии администратора) позволяет создавать ключи подписи и шифрования. Для генерации ключей шифрования/подписи используется датчик случайных чисел устройства КРИПТОН или программный датчик (при поставках с эмулятором или в автономном исполнении СКЗИ КРИПТОН Подпись). Возможность работать через контекстное меню Windows максимально упрощает процедуру подписи и шифрования файлов. Утилита командной строки позволяет встраивать функции архивирования, шифрования и ЭЦП в продукты других разработчиков. Криптографический маршрутизатор КРИПТОН-IP (для DOS) Предназначен для защиты локальных сетей от вторжения извне. Криптомаршрутизатор устанавливается на выходе из локальных сетей, соединенных через общедоступные каналы связи, распределяет IP-пакеты согласно заданной таблице маршрутизации и автоматически шифрует содержимое пакетов по ГОСТ 28147-89. КРИПТОН-IP расшифровывает и пропускает в локальную сеть только пакеты, пришедшие от других авторизованных маршрутизаторов. Сертифицируется в ФАПСИ. Новинка - агент VPN Crypton IPMobile для Windows 2000, который позволяет удаленным мобильным пользователям устанавливать обмен зашифрованной информацией друг с другом, а также получать доступ к сетям, защищенным маршрутизатором КРИПТОН-IP. Crypton Office - это встраиваемые модули, выполняющие функции шифрования информации и электронной цифровой подписи (ЭЦП), в стандартный Microsoft Office (MS Word 97/2000, MS Exel 97/2000, MS Outlook 2000). Поставляется с комплектом ключей, полностью совместимых по формату с Crypton ArcMail. Имеет простой и удобный интерфейс. Библиотеки разработчика (Crypton ArcMail, Crypton Tools, Crypton DK) позволяют создавать на основе сертифицированных модулей шифрования и электронной цифровой подписи (ЭЦП) оригинальные программы криптозащиты либо встраивать в существующие приложения функции шифрования и ЭЦП. КРИПТОН-IP, Crypton Office библиотеки разработчика поставляются в аппаратно-программном варианте (в комплекте с устройством серии КРИПТОН) или программном исполнении (с программным эмулятором). Абонентский телефонный аппарат Voice Coder-2400 Предназначен для гарантированной защиты переговоров за счет передачи речи в цифровом виде со скоростями 2400 и 4800 бит/с (полный дуплекс) с применением алгоритмов шифрования. Может работать как непосредственно с телефонной сетью общего пользования, так и в составе внутриофисных АТС в открытом и защищенном режимах. Технические характеристики В открытом режиме: энергонезависимая память на 16 номеров; запоминание последнего набранного номера; импульсный и тональный набор номера; электронная регулировка громкости; отключение микрофона. В защищенном режиме: алгоритм сжатия речи: LCP-10 с табличным сигналом возбуждения (на скорости 2400 бит/с) и CELP (на скорости 4800 бит/с); специализированные алгоритмы защиты; слоговая разборчивость не ниже 86% на скорости 2400 бит/с и не ниже 94%; протоколы обмена модема - V22bis, V32, V34; чувствительность модема до -46 дБ.

Урало-Сибирский центр защиты информации, тел. (343) 372-79-77