<
  • Главная
Статьи

Засвідчує Центр ViPNet

Розробник: ВАТ «Інфотекс»

Засвідчує Центр ViPNet являє собою програмне забезпечення технології ViPNet з криптографічним ядром "Домен-К", призначене для створення інфраструктури електронного цифрового підпису в корпоративних обчислювальних мережах комерційних і державних організацій, які забезпечують виконання вимог Федерального закону "Про ЕЦП", високий рівень безпеки її функціонування і вимог до складу та технічним характеристикам програмно-апаратного комплексу "Засвідчувальний центр".

До складу засвідчується Центру ViPNet входить наступне програмне забезпечення:

- ПО ViPNet [Центр управління мережею] - призначене для реєстрації користувачів і управління безпекою створеної інфраструктури ЕЦП;

- ПО ViPNet [Удостоверяющий і ключовий центр] - призначене для випуску цифрових сертифікатів як власних користувачів (співробітників організації), так і зовнішніх користувачів (фізичних і / або юридичних осіб), які повинні мати можливість використовувати у відносинах з організацією ЕЦП (наприклад, в системах "клієнт-банк"). ПО ЦУС і УКЦ поставляється в складі інсталяційного комплекту ViPNet [Адміністратор];

- ПО ViPNet [Центр реєстрації] - призначене для реєстрації зовнішніх користувачів (фізичних і / або юридичних осіб) та отримання для них в УКЦ цифрових сертифікатів;

- ПО ViPNet [Координатор] - призначене для виконання функцій брандмауера і сервера керуючих і поштових повідомлень, через який здійснюється взаємодія з УКЦ;

- ПО ViPNet [КріптоСервіс], призначене для забезпечення необхідної функціональності роботи з електронним цифровим підписом "Домен-К" (підпис, перевірка підпису і т.д.), а також для автоматизованого захищеного поновлення ключів, довідників і сертифікатів електронного цифрового підпису.

В якості додаткового ПЗ може бути використано:

- ПО ViPNet [Клієнт] [Монітор] - VPN і персональний мережевий екран або ПО ViPNet [Персональний мережевий екран] призначене для персональної мережевого захисту комп'ютерів і виключення доступу до ключової інформації;

- ПО ViPNet [Клієнт] [Ділова пошта] - Outlook-подібний додаток, що забезпечує всі завдання, необхідні для ділового корпоративного спілкування, автопроцессінг файлів для автоматичної підписи і доставки файлів, юридично значущі підтвердження про доставку та прочитання документів.

Це програмне забезпечення в захищеному варіанті забезпечує всі необхідні механізми використання ЕЦП з сертифікатами X.509, передбачені Законом про ЕЦП і міжнародними стандартами.

Алгоритми для хешування і підписи реалізовані відповідно до стандартів ГОСТ Р 34.10-94, Р 34.11-94, Р 34.10-2001. Алгоритм шифрування реалізований відповідно до стандарту 28147-89

ПО ViPNet [Удостоверяющий і ключовий центр]

Програму ViPNet [Удостоверяющий і Ключовий Центр] можна умовно розділити на дві програми: Ключовий центр і Засвідчувальний центр.

Засвідчує центр призначений для обслуговування наступних запитів: на видання сертифікатів ЕЦП, на відгук, призупинення та відновлення призупиненого дії сертифікатів абонентів, сформованих на мережевих вузлах або в Центрах Реєстрації для зовнішніх користувачів.

Програмне забезпечення УЦ забезпечує наступну функціональність:

- Генерація секретних і відкритих ключів Головних абонентів УЦ, сертифікатами яких завіряються сертифікати користувачів. Сертифікати головних абонентів можуть бути самоподпісанного або завіреними вищим УЦ. - Генерація секретних і відкритих ключів Головних абонентів УЦ, сертифікатами яких завіряються сертифікати користувачів

- Перше видання сертифіката підпису абонентів відбувається в УЦ разом з генерацією секретного ключа для нього. Подальше перевидання сертифікату може відбуватися як в УЦ одночасно з формуванням нового секретного ключа (для задач, що вимагають централізованої генерації і розподілу ключів), так і за запитом користувача корпоративної мережі, сформованого на його мережевому вузлі.

- Видання та реєстрація сертифікатів ЕЦП за запитом абонентів мережі. Запит на сертифікат являє собою шаблон сертифіката, що містить інформацію про абонента, його новий відкритий ключ підпису, передбачуваний термін дії сертифіката, а також інші параметри, що відповідають стандарту X.509. Запит може бути зареєстрований або автоматично або в результаті дій адміністратора УЦ. Запит може бути відхилений. Після заповнення полів сертифіката сертифікат через Центр управління відправляється до користувача на комп'ютер.

- Відгук сертифікатів, призупинення дії сертифікатів, відновлення дії сертифікатів ЕЦП абонентів мережі. Ці дії виконуються адміністратором УЦ. Довідник відкликаних сертифікатів розсилається абонентам мережі.

- Реєстрація довідників сертифікатів ЕЦП головних абонентів інших УЦ ViPNet. Після перегляду сертифікатів головних абонентів інших УЦ і прийняття їх виробляється підпис такого довідника своїм головним абонентом (крос сертифікація). Завірений довідник розсилається по мережі відповідно до зв'язками своїх абонентів, і використовуються під час перевірки сертифікатів ЕЦП абонентів інших УЦ, що надіслали підписану інформацію на будь-який вузол своєї мережі.

- Аналогічним чином виконується імпорт, крос сертифікація і розсилка сертифікатів УЦ інших виробників на основі сертифікованих СКЗИ "КріптоПро" і "Верба-О". Документи, підписані з використанням зазначених ЗКЗІ, будуть перевірені тільки при наявності на комп'ютері сертифіката відповідного УЦ, завіреного Головним абонентом свого УЦ. З міркувань безпеки УЦ ViPNet вимагає крос сертифікації навіть для сертифікатів інших УЦ, в ланцюжку сертифікатів яких міститься сертифікат, якому довіряє УЦ ViPNet,

- Реєстрація довідників відкликаних сертифікатів ЕЦП з інших УЦ ViPNet. Такі довідники надходять з інших мереж автоматично, завіряються головним абонентом і розсилаються по мережі відповідно до зв'язками абонентів мережі. Імпорт довідників відкликаних сертифікатів з УЦ інших виробників не проводиться. Доступ до них здійснюється в процесі перевірки підпису шляхом, вказаним в ЕЦП.

- Обслуговування запитів зовнішніх користувачів. Зовнішній користувач реєструється на одному з пунктів реєстрації Адміністратором програми ViPNet [Центр Реєстрації]. Адміністратор ЦР створює запит на сертифікат ЕЦП для зовнішнього користувача і відсилає його в УЦ для видання сертифікату. Запит на сертифікат перед відправкою в УЦ підписується ключем підпису цього Адміністратора. Після введення в дію сертифіката зовнішній користувач зможе користуватися ним (підписувати документи) на будь-якому вузлі мережі з встановленим ПО ViPNet. Адміністратор ЦР може створювати запити на відгук, призупинення дії, поновлення дії призупиненого сертифіката ЕЦП зовнішніх користувачів. - Обслуговування запитів зовнішніх користувачів

- Видання та реєстрація сертифікатів ЕЦП для зовнішніх користувачів виконується тільки за запитом з Центру реєстрації. Запит може бути зареєстрований або відхилений. Вторинні запити на сертифікати, якщо в них немає змін, і видача сертифікатів можуть оброблятися і видаватися автоматично. Сертифікати через ЦУС відправляється в УЦ.

- Відгук сертифікатів, призупинення дії сертифікатів, відновлення дії сертифікатів ЕЦП зовнішніх користувачів може відбуватися за запитом з ЦР, або самим Адміністратором УЦ без запиту з ЦР. Довідники відкликаних сертифікатів розсилаються по вузлах мережі.

- Перегляд запитів і сертифікатів ЕЦП. У програмі УЦ можливий перегляд будь-яких запитів, сертифікатів, що діють списку відкликаних, збереження їх в файл або висновок на друк.

- Сервісні функції УЦ.

УЦ інформує адміністратора про закінчення термінів дії різних сертифікатів за вказану кількість днів до цього терміну шляхом формування відповідних списків. УЦ інформує адміністратора про закінчення термінів дії різних сертифікатів за вказану кількість днів до цього терміну шляхом формування відповідних списків

Автоматично формує архіви інформації через задані інтервали часу при наявності змін, що забезпечує можливість відновлення актуальної інформації.

Забезпечує різні режими функціонування УЦ.

Ключовий центр (КЦ) забезпечує захист інфраструктури ЕЦП за допомогою створення системи шифрування інформації в усіх процедурах управління інфраструктурою ЕЦП на основі симетричною схеми розподілу ключів:

- Захист секретних ключів ЕЦП, що розподіляються централізовано;

- Захист сертифікатів головних абонентів мережі;

- Захист транспортного рівня системи, що забезпечує роботу процедур запитів і отримання сертифікатів, доставки інших файлів інфраструктури ЕЦП;

- Генерація паролів для захисту секретних ключів від несанкціонованого доступу. Тип пароля може бути - випадковий (пароль буде створений випадковим чином з різних слів, що утворюють випадкову легко запам'ятовується фразу), власний (можна задати за бажанням, але не менше 5 символів), випадковий цифровий (сформується випадковим чином з різних цифр);

- Формування альтернативних джерел, що забезпечують оновлення симетричною ключової інформації і роботу іншого ПО ViPNet.

Початковий набір симетричних ключів видається користувачеві у складі файлу ключового дистрибутива, зашифрованого на паролі, і який користувач отримує при його первинній реєстрації. До складу ключового дистрибутива входить персональний ключ зв'язку з УКЦ, ключ зв'язку зі своїм ViPNet-координатором, первинний секретний ключ підпису і сертифікат, сертифікати головних абонентів УЦ. Інша ключова інформація надходить на комп'ютер після інсталяції ПО ViPNet [КріптоСервіс] і в процесі оновлення.

ПО ViPNet [Центр управління мережею]

Програма Центру управління забезпечує:

- Реєстрацію вузлів і абонентів корпоративної мережі, реєстрацію "Центрів реєстрації" зовнішніх користувачів.

- Взаємодія з УКЦ і користувачами при управлінні сертифікатами.

- Формування захищених довідників доступу для вузлів мережі і довідників зв'язків вузлів і абонентів для УКЦ при штатній експлуатації і компрометації ключів абонентів.

- Інші функції.

Взаємодія абонентів з УКЦ проводиться тільки через Центр управління. При цьому обидві програми можуть встановлюватися на один комп'ютер. Однак для підвищення рівня безпеки функціонування УКЦ передбачена можливість установки УКЦ і Центру управління на різних комп'ютерах.

ПО ViPNet [Центр реєстрації] ПО ViPNet [Центр реєстрації]

Програма Центр Реєстрації призначена для реєстрації зовнішніх користувачів і отримання для них в УКЦ цифрових сертифікатів. Право працювати в даній програмі визначається програмою Центру управління шляхом реєстрації вузла в завданні ЦР і формування відповідного довідника доступу. В системі може бути присутнім будь-яку кількість ЦР.

У Центрі Реєстрації при пред'явленні документів зовнішнім користувачем, що підтверджують його повноваження, створюється запит на сертифікат, проводиться відправка його в УКЦ і здійснюється введення в дію виданого в УКЦ сертифіката. У Центрі Сертифікації сертифікат буде або задоволений, або відхилений. Тільки запит на сертифікат зі статусом "задоволений" стає сертифікатом підпису, і цей сертифікат може бути введений в дію. Після введення в дію сертифіката, зовнішній користувач зможе користуватися ним (підписувати документи) на будь-якому вузлі з встановленим ПО ViPNet.

Програма виконує наступні функції:

- Генерація секретного ключа підпису і збереження його на персональному ключовому носії зовнішнього користувача.

- Введення персональних даних для сертифіката зовнішнього користувача.

- Формування запиту на сертифікат.

- Підпис запиту на сертифікат ключем чинного адміністратора ЦР.

- Відправлення завіреного запиту в УКЦ (через ЦУС).

- Автоматичний прийом сертифікатів з УКЦ.

- Перегляд запитів і прийнятих сертифікатів.

- Введення в дію сертифіката (збереження на персональному ключовому носії зовнішнього користувача).

- Формування запиту на скасування сертифіката.

- Формування запиту на призупинення сертифіката.

- Формування запиту на відновлення сертифіката.

Крім того, програма виконує експорт сертифікатів в різних кодуваннях. Всю процедуру створення запиту на отримання сертифіката забезпечує відповідний майстер.

Секретний ключ зовнішнього користувача і його сертифікат заносяться на його персональний носій. Це може бути дискета, E-Token, смарт-карта, Touch memory та інші.

Секретний ключ зашифрована на паролі, що виробляється програмою. Тип пароля може бути один з наступних:

- Власний пароль,

- Випадкова легко запам'ятовується фраза,

- Власний цифровий пароль,

- Випадковий цифровий пароль.

ПО ViPNet [КріптоСервіс]

Програма ViPNet [КріптоСервіс] забезпечує необхідну функціональність роботи з електронним цифровим підписом (підпис, перевірка підпису і т.д.), а також автоматизоване захищене поновлення ключів, довідників і сертифікатів електронного цифрового підпису. При використанні в якості клієнтського програмного забезпечення - ПО ViPNet [Клієнт] [Монітор] або ПО ViPNet [Клієнт] [Ділова пошта] установка ПО ViPNet [КріптоСервіс] не потрібно, так як вся необхідна функціональність міститься в зазначених програмах.

ПО ViPNet [КріптоСервіс] містить набір функцій роботи з ЕЦП, необхідних для використання іншими додатками.

В якості додатків, що використовують функції ЕЦП, може використовуватися "Ділова пошта" системи ViPNet, програма Microsoft Outlook, різні WEB - додатки, а також будь-які інші програми, якщо в них вбудований виклик криптографічних функцій ЗКЗІ "Домен-К".

Користувач мережі, використовуючи меню програми, може в будь-який час створити для себе новий секретний ключ і відправити запит в УКЦ для отримання нового сертифікату. Однак користувач не може змінити поля в запиті, крім полів термінів дії. Редагування полів сертифіката можливо тільки в УКЦ.

Користувач може змінити пароль, що захищає секретні ключі. Задати тип і термін дії пароля. Призначити термін, за який програма повинна повідомити йому про наближення терміну закінчення дії його сертифіката і запропонувати сформувати новий запит.

ПО ViPNet [Координатор]

Це багатофункціональний програмний модуль, який забезпечує наступну функціональність:

- межсетевое екранування відповідно до вимог Гостехкомиссии по 3 класу. За Координатор встановлюється УКЦ і ЦУС;

- виконання функцій поштового сервера для забезпечення безпечного обміну повідомленнями інфраструктури ЕЦП, керуючими повідомленнями системи захисту, а також поштовими повідомленнями додатків системи ViPNet;

- за потреби:

функції NAT (Network address translation) для VPN-з'єднань з локальної в громадську мережу;

туннелирование і шифрування трафіку комп'ютерів, встановлених за ViPNet [Координатор] і взаємодіючих з комп'ютерами за іншими ViPNet [Координаторами] або з встановленим ПО ViPNet [Клієнт].

Необхідний рівень безпеки (клас 1 В) забезпечується використанням програмного забезпечення технології ViPNet, сертифікованого за вказаною класу, а також за іншими вимогами безпеки. До основних технічних заходів, які гарантують високий рівень безпеки використання інфраструктури ЕЦП, можна віднести наступні:

- Весь інформаційний обмін, пов'язаний із забезпеченням роботи інфраструктури ЕЦП, проводиться в зашифрованому вигляді, що виключає будь-які стратегії модифікації, підміни, нав'язування хибної інформації, несанкціонованого доступу до інформації, що передається.

- Весь службовий інформаційний обмін по ЕЦП забезпечується спеціалізованим захищеним транспортним модулем MFTP, що входять до складу сертифікованого продукту і використовують протокол мережевого рівня TCP по портам 5000, 5001, 5002, що дозволяє шляхом налаштувань для пропуску цього протоколу на міжмережевих екранах виключити можливі мережеві атаки через стандартні протоколи.

- Програмне забезпечення ViPNet на клієнтських станціях забезпечує криптографічний контроль цілісності довідників сертифікатів Головних абонентів УКЦ, що гарантує їх захист від підміни. Всі інші довідники захищені від підміни криптографічними контрольними сумами і підписом УКЦ.

- УКЦ ViPNet віробляє крос сертифікацію Сертифікатів других центрів, что засвідчують, что дозволяє центральної адміністрації контролюваті Надійність других центрів, что засвідчують. Підпис особи, якій сертифікат виданий іншим підтверджуючий центр, визнається дійсною, тільки в разі наявності на комп'ютері завіреного своїм УКЦ сертифіката цього іншого засвідчує центру, який видав сертифікат даній особі.

- Брандмауер ViPNet [Координатор], що захищає УКЦ, поєднаний з сервером транспортного модуля MFTP. Мережеві вузли мають можливість взаємодіяти тільки з координатором і не мають можливості прямого взаємодії з УКЦ і Центром управління, що дозволяє на межсетевом екрані припинити будь-які мережеві атаки навіть з боку зареєстрованих користувачів.

- Якщо на клієнтські комп'ютери можливі мережеві атаки, то для захисту криптографічних модулів і ключів ЕЦП на них доцільна установка модуля ViPNet [Клієнт] або його складової ViPNet [Персональний мережевий екран], сертифікованої ФАПСИ для використання в органах державної влади. Модуль ViPNet [Клієнт] додатково до персонального мережевого екрану створює зашифрований тунель до ViPNet [Координатора], блокуючи при цьому будь-який відкритий трафік, що повністю виключає будь-які мережеві атаки на комп'ютер користувача.

Центр управління і УКЦ ViPNet можуть забезпечити автоматичне захищене взаємодія більш ніж з 65 000 мережевими вузлами. При цьому в одному УКЦ може бути зареєстровано більш ніж 65 000 абонентів мережі для видачі їм сертифікатів.

При цьому в одному УКЦ може бути зареєстровано більш ніж 65 000 абонентів мережі для видачі їм сертифікатів



Новости
  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью