Информация давно стала одной из главных ценностей в современном мире. Важность ее безопасного хранения и передачи сегодня трудно переоценить: и крупные корпорации, и отдельные пользователи могут столкнуться с несанкционированным доступом к своим данным. ЗАО «БелХард Групп» разработало программный продукт для организации защищенного канала передачи данных – BHTunnel. Галина Томина, заведующий испытательной лабораторией средств и систем защиты информации ЗАО «БелХард Групп», ответила на вопросы KV.by о новой разработке.

– Расскажите, что собой представляет BHTunnel? Каково его назначение?

– BHTunnel – это программное криптографическое средство защиты информации для организации защищенного канала передачи данных между компьютерами информационной системы (далее – ИС), подключенными к сети передачи данных владельца ИС или провайдера по проводной связи или по 3G модему.

Продукт состоит из серверной и клиентской частей. Клиентская часть BHTunnel устанавливается на рабочую станцию или персональный компьютер пользователя, серверная часть – на компьютер-сервер ИС. Для организации защищенного канала между компьютерами-серверами ИС или между компьютерами одноранговой сети на них должны быть установлена серверная и клиентская части BHTunnel.

– Можно ли перехватить информацию, передающуюся с использованием BHTunnel?

– Нет. BHTunnel исключает возможность угрозы прослушивания трафика, угона соединения или модификации передаваемых данных, обеспечивает защиту от атаки "человек посередине", защиту от несанкционированного доступа к ресурсам ИС, конфиденциальность, целостность, подлинность передаваемых данных.

– Какие требования предъявляются к устройствам, на которые устанавливается BHTunnel?

– BH Tunnel устанавливается на рабочие станции или персональные компьютеры пользователя, компьютеры-серверы, требования к аппаратной платформе которых предъявляются при проектировании и создании конкретной ИС, и которые функционируют под управлением операционных систем семейства Windows, Linux.

– В каких автоматизированных ИС его можно использовать?

–  BHTunnel можно использовать в ИС, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам и служебной информации ограниченного распространения.

BHTunnel может использоваться для защиты информации, отнесенной к коммерческой тайне, в корпоративных ИС, для защиты персональных данных и информации, отнесенной к банковской тайне, в ИС банковского сектора, а также в ИС медицинской отрасли для защиты информация о частной жизни пациента, персональных данных и информации, отнесенной к профессиональной тайне.

Одним из возможных вариантов использования является применение BHTunnel для закрытия каналов управления в автоматизированных системах управления технологическими процессами в энергетике, нефтегазовой сфере, водоснабжении и водоотведении на участке компьютер центра управления – удаленный компьютер, управляющий контроллерами (исполнительными устройствами).

– Имеется ли опыт внедрения BHTunnel в действующие ИС?

– Продукт BHTunnel поставлен Белорусской нотариальной палате на основании лицензионного договора на поставку простой (неисключительной) лицензии на право использования Продукта BHTunnel в собственной деятельности в оговоренном объеме: для установки на серверы и рабочие станции пользователей, для доступа рабочей станции администратора к программе генерации сертификатов (с передачей Лицензиату образца BHTunnel и эксплуатационной документации на CD-диске).

Продукт BHTunnel используется в составе аттестованной системы защиты информации Единой информационной системы нотариата Белорусской нотариальной палаты для защиты взаимодействия рабочих станций нотариусов с серверами информационно-вычислительного центра.

– Какой сертификат имеет BHTunnel и кем он выдан?

– BHTunnel имеет сертификат соответствия, выданный аккредитованным Органом по сертификации средств защиты информации и продукции по требованиям безопасности информации Оперативно-аналитического центра при Президенте Республики Беларусь (далее – ОАЦ).

Продукт BHTunnel соответствует техническому регламенту Республики Беларусь TP 2013/027/BY и государственным стандартам, которые устанавливают требования к средствам канального (линейного) шифрования согласно Приложению документа «Положение о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации», утвержденного приказом ОАЦ № 62 от 30.08.2013, на соответствие которым продукт BHTunnel сертифицирован.

– Как и кем осуществляется поддержка продукта?

– Поддержка продукта осуществляется ЗАО «БелХард Групп» согласно требованиям Системы менеджмента качества СТБ ISO 9001 и немецкой системы DIN EN ISO9001, подтвержденными сертификатами соответствия. Поскольку BHTunnel сертифицирован для серийного производства, то Орган по сертификации осуществляет инспекционный контроль за сертифицированной продукцией.

– Как устанавливается продукт?

– На подготовительном этапе администратор BHTunnel проводит установку клиентской и серверной части приложения на компьютеры ИС, между которыми необходимо создать безопасный канал передачи данных.

Далее администратор безопасности выполняет процедуры генерации криптографических ключей, их сохранения в криптоконтейнере программного носителя ключевой информации, выпуск и рассылку технологических сертификатов открытых ключей подписи (далее – сертификат) для взаимодействующих компьютеров.

Затем администратор BHTunnel выполняет процедуру конфигурирования применяемых сертификатов и разрешенных соединений передачи данных внутри защищенного канала.

– Расскажите, в чем заключается принцип работы этого программного продукта?

– На этапе установления соединения серверная и клиентская части BHTunnel выполняют идентификацию и подтверждение подлинности взаимодействующих сторон ИС путем проверки их сертификатов, согласование данных и параметров защищенной сессии между клиентом и сервером, формирование общего секретного мастер-ключа и генерацию на его основе общих секретных сеансовых ключей для криптозащиты информационного обмена.

На этапе обмена данными клиентская часть BHTunnel:

– открывает указанный порт и принимает на него незащищенные данные от приложения;

– выполняет защиту путей (соединений) передачи данных в канале путем реализации над открытыми данными согласованных криптографических операций (шифрования, хэширования, выработки электронной цифровой подписи, имитовставки);

– передает защищенные данные по защищенному каналу к серверной части BHTunnel.

Что касается серверной части, то она:

– открывает указанный порт и принимает защищенные данные;

– выполняет с защищенными данными согласованные криптографические операции (расшифрования, хэширования, проверки электронной цифровой подписи, имитовставки);

– передает данные либо на указанный локальный порт приложения компьютера-сервера, либо на указанный порт другого компьютера-сервера доверенной зоны ИС.

При обмене данными в течение сессии происходит периодическая повторная аутентификация взаимодействующих сторон по сертификату.

Завершение работы защищенного канала происходит по инициативе клиентской или серверной части BHTunnel.

– Какие еще криптографические средства защиты информации при передаче на сегодня могут предложить конкуренты? И в чем преимущества BHTunnel перед ними?

– На рынке сертифицированных средств защиты информации при передаче наиболее популярными являются продукты TLS от Aвест, Bel VPN Gate и Bel VPN Client от С-Терра Бел. В отличие от них BHTunnel использует собственные средства генерации ключей и выпуска технологических сертификатов для взаимодействующих компьютеров, что позволяет администратору безопасности управлять ими.

Ключи и сертификаты хранятся на программном носителе ключевой информации, что значительно уменьшает затраты владельца в отличие от внедрения и поддержки аппаратных носителей ключевой информации.

Для эксплуатации BHTunnel не требуется применения сервера приложений, поддерживающего протокол TLS, HTTPS или другие в отличие от TLS Aвест, не требуется наличие специального драйвера операционной системы, реализующего функции IPSec, в отличие от С-Терра Бел. BHTunnel может функционировать под управлением операционных систем семейства Windows, Linux, в то время как Bel VPN Clien и криптопровайдер Aвест могут функционировать только под Windows.

Кроме того, BHTunnel может быть установлен и сконфигурирован так, чтобы он всегда автоматически стартовал при загрузке компьютера, чтобы запретить доступ в сеть передачи данных по незащищенному соединению.

К плюсам разработки относится также то, что BHTunnel не требует вносить изменения в работу прикладного ПО (приложений) рабочей станции или персонального компьютера пользователя и серверов ИС, не привязан к конкретным драйверам операционной системы и не требует разработки специальных драйверов под новые версии операционных систем в отличие от реализаций на базе IPSec.

И наконец, BHTunnel предоставляет сервисы для вызова криптографических функций из вновь разрабатываемых приложений, реализующих бизнес-логику конкретной ИС, которая может иметь свою специфику по хранению данных в зашифрованном виде или формированию электронной цифровой подписи для сохраняемых данных (команд).