CC BY
41document «Automated systems. Protection from unauthorized access to information. Classification of automated systems and requirements for protection of information»). Мoscow, Voennoe izdatelstvo, 1992.
2. GOST RV 51987-2002. Moscow, Izdatelstvo standartov, 2002.
3. Bezkorovainyi М. М., Kostogryzov А. I., Lvov V. М. Instrumetalno-modeliruyishchij kompleks dlya ocenki kachestva funkcionirovanija informacionnyh sistem (Instrumental-and-modeling system for assessing the quality of information systems «KOK»). Moscow, Voorugenie. Politika. Konversiya. 2002, 305 р.
© Кадушкин И. В., Мухин В. Н. 2013
УДК 691.391
СИСТЕМА АВТОМАТИЗИРОВАННОГО КОНТРОЛЯ ДОСТУПА И УПРАВЛЕНИЯ ПЕРИФЕРИЙНЫМИ УСТРОЙСТВАМИ
И. Н. Кирко, В. П. Кушнир
Сибирский федеральный университет Россия, 660074, Красноярск, ул. Киренского, 26. Е-mail: vpkushnir@mail.ru
Проведен анализ существующей информационной системы, разработана модель возможных факторов риска информационной безопасности при использовании периферийных устройств на серверах и рабочих станциях, обоснована необходимость разработки и внедрения системы.
Ключевые слова: контроль доступа, аудит, периферийные устройства.
SYSTEM OF AUTOMATIC ACCESS AND PERIPHERAL DEVICE CONTROL
I. N. Kyrko, V. P. Kushnir
Siberian Federal University 26 Kirenskiy str., Krasnoyarsk, 660074, Russia. Е-mail: vpkushnir@mail.ru
The analysis of the current information system has been conducted. The model ofpossible risk factors in information security while using peripheral devices on servers and workstations has been developed. The necessity of further development and implementation of the system is proved.
Keywords: Access Control, Audit, Peripheral Devices.
Система «Контроль-ПУ» представляет собой решение, основанное на программном комплексе (ПК) DeviceLock, разработанном ЗАО «Смарт-Лайн Инк». Система «Контроль-ПУ» допускает использование возможностей ПК DeviceLock в соответствии с потребностями контроля доступа, актуальными для ООО «Элдокрип».
Основные функции проектируемой системы:
1) контроль доступа пользователей к периферийным устройствам (ПУ) и съемным машинным носителям (СМН);
2) аудит доступа пользователей к ПУ и СМН;
3) обеспечение теневого копирования информации, записываемой пользователем на ПУ и СМН;
4) возможность централизованного управления СЗИ;
5) возможность контроля ПУ и СМН при отсутствии соединения с сервером;
6) возможность создавать список доверенных устройств (в том числе и ограниченный по времени);
7) обеспечение защищенного обмена политиками безопасности между рабочими станциями центрального офиса и филиалами компании.
Особенности существующей системы:
- распределенная по городу структура сети;
- 30 рабочих станций, работающих под управлением ОС Microsoft Windows XP Professional SP2;
- обмен информацией между рабочими станциями центрального офиса и филиалами происходит через открытую сеть Internet.
Для обеспечения защищенного обмена политиками безопасности между рабочими станциями центрального офиса и филиалами компании предлагается использовать аппаратно-программный комплекс шифрования «Континент».
Для реализации функций 1-6 предложено использовать средство контроля доступа к устройствам и портам ввода-вывода DeviceLock.
Состав компонентов системы «Контроль-ПУ» определяется составом функциональных компонентов ПК DeviceLock, который включает в себя следующие основные компоненты:
- DeviceLock Service;
- DeviceLock Enterprise Server;
- консоли управления (DeviceLock Management Console, DeviceLock Enterprise Manager).
Методы и средства защиты информации
DeviceLock Service - агент, устанавливаемый на контролируемый объект, автоматически запускается при загрузке ОС и обеспечивает контроль использования ПУ и СМН.
DeviceLock Enterprise Server - компонент ПК DeviceLock, используемый для централизованного сбора и хранения журналов мониторинга использования ПУ и СМН.
Консоли управления - интерфейс для удаленного управления DeviceLock Service и DeviceLock Enterprise Server. В системе «Контроль-ПУ» используются следующие консоли управления:
- DeviceLock Management Console;
- DeviceLock Enterprise Manager.
Для управления базами данных (БД) DeviceLock Enterprise Server используется система управления базами данных (СУБД) MS SQL Server в составе:
- сервер СУБД;
- консоли управления сервером (названия и состав консолей варьируются в зависимости от версии СУБД).
Выделяются следующие функциональные компоненты системы «Контроль-ПУ»:
- программное обеспечение (ПО) агента, обеспечивающее контроль использования ПУ и СМН на контролируемых объектах (DeviceLock Service);
- серверное ПО, обеспечивающее накопление и хранение данных мониторинга использования ПУ и СМН (DeviceLock Enterprise Server, БД DeviceLock под управлением MS SQL Server);
- ПО управления, обеспечивающее мониторинг и администрирование ПО агентов и серверного ПО (консоли управления DeviceLock, консоли управления MS SQL Server).
После внедрения системы контроля доступа к периферийным устройствам и съемным машинным носителям схема сети с внедренной системой «Кон-троль-ПУ» представлена на рисунке.
Система «Контроль-ПУ» функционирует в следующих режимах работы: нормальном, автономном, технологическом, аварийном.
Нормальный режим эксплуатации системы «Кон-троль-ПУ» подразумевает функционирование системы ежедневно 24 часа. В нормальном режиме обеспечивается выполнение всех функций системы: контроль доступа и мониторинг использования ПУ и СМН, сохранение журналов работы в БД, их просмотр с использованием различных фильтров.
Автономный режим работы системы характеризуется автономным режимом работы всех или части агентов системы. Переход агента в автономный режим происходит в случае невозможности установить связь с DeviceLock Enterprise Server.
Структурная схема сети с внедренной системой «Контроль-ПУ»
Технологический режим работы системы «Кон-троль-ПУ» предназначен для выполнения регламентных процедур по обслуживанию ПО и КТС системы.
Аварийный режим характеризуется полной или частичной потерей работоспособности компонентов системы «Контроль-ПУ». Система «Контроль-ПУ», находясь в аварийном режиме, продолжает выполнять свои функции по контролю и мониторингу использования ПУ и СМН.
В процессе работы проводился анализ существующей информационной системы, обоснована необходимость разработки и внедрения системы автоматизированного контроля доступа и управления ПУ и
СМН, разработаны организационно-распорядительная документация для предприятия и модель возможных факторов риска информационной безопасности при использовании ПУ и СМН на серверах и рабочих станциях ООО «Элдокрипт». Описана структура системы «Контроль-ПУ» в целом, функции программного обеспечения, принцип функционирования системы, предложена структура работы персонала с внедренной системой «Контроль-ПУ», обеспечивающая безопасный обмен информацией между главным офисом и филиалами.
Автоматизированная система обработки несанкционированного использования ПУ и СМН не нарушает целостность процесса работы персонала.
© Кирко И. Н., Кушнир В. П., 2013
УДК 519.713; 004.056.55
РЕАЛИЗАЦИЯ НА ПЛИС ШИФРА ЗАКРЕВСКОГО НА ОСНОВЕ ПЕРЕСТРАИВАЕМОГО АВТОМАТА
Д. С. Ковалев
ОАО «Информационные спутниковые системы» имени академика М. Ф. Решетнева» Россия, 662972, г. Железногорск Красноярского края, ул. Ленина 52 E-mail: dmisk@hotmail.com
Представлена реализация на ПЛИС шифра Закревского на основе перестраиваемого автомата. Проведено сравнение ПЛИС-реализаций шифра Закревского на основе перестраиваемого автомата и современных блочных и поточных шифров.
Ключевые слова: ПЛИС, конечно-автоматная криптосистема, шифр Закревского, перестраиваемый автомат.
FPGA IMPLEMENTATION OF THE ZAKREVSKIJ'S CIPHER BASED ON RECONFIGURABLE FSM
D. S. Kovalev
JSC "Academician M. F. Reshetnev "Information Satellite Systems" 52, Lenin str., Zheleznogorsk, Krasnoyarsk region, 662972, Russia E-mail: dmisk@hotmail.com
FPGA Implementation of the Zakrevskij's Cipher Based On Reconfigurable FSM is presented. The FPGA Implementation comparison of the Zakrevskij 's Cipher Based On Reconfigurable FSM and modern block and stream ciphers was made.
Keywords: PLD, FPGA, VHDL, finite automata cryptosystem, Zakrevskij's cipher, reconfigurable finite state machine.
В настоящее время существует потребность в создании быстродействующих компактных криптопро-цессоров для получающих всё большее распространение цифровых устройств с ограниченными ресурсами, встраиваемых систем в частности. Такие устройства часто строятся на базе программируемых логических интегральных схем (ПЛИС).
Традиционные шифры (AES, RSA и др.) в большинстве своем не отвечают требованиям так называемой облегченной криптографии (сверхнизкие требования к вычислительным ресурсам устройства). При этом криптопроцессоры на базе конечно-
автоматных шифров, которые могут быть эффективно реализованы на базе ПЛИС, имеют большую перспективу в сравнении с традиционными подходами. Однако конечно-автоматные шифросистемы мало изучены, в том числе в литературе не встречаются исследования на пригодность их к практическому использованию.
Предметом данного исследования является шифр Закревского на основе перестраиваемого автомата [1] с 4-битными входом и выходом, восемью состояниями и 132-битным ключом (4 бита - начальное состояние и 128 бит - настройка автомата).
