Информация давно стала одной из главных ценностей в современном мире. Важность ее безопасного хранения и передачи сегодня трудно переоценить: и крупные корпорации, и отдельные пользователи могут столкнуться с несанкционированным доступом к своим данным. ЗАО «БелХард Групп» разработало программный продукт для организации защищенного канала передачи данных – BHTunnel. Галина Томина, заведующий испытательной лабораторией средств и систем защиты информации ЗАО «БелХард Групп», ответила на вопросы KV.by о новой разработке.
– Расскажите, что собой представляет BHTunnel? Каково его назначение?
– BHTunnel – это программное криптографическое средство защиты информации для организации защищенного канала передачи данных между компьютерами информационной системы (далее – ИС), подключенными к сети передачи данных владельца ИС или провайдера по проводной связи или по 3G модему.
Продукт состоит из серверной и клиентской частей. Клиентская часть BHTunnel устанавливается на рабочую станцию или персональный компьютер пользователя, серверная часть – на компьютер-сервер ИС. Для организации защищенного канала между компьютерами-серверами ИС или между компьютерами одноранговой сети на них должны быть установлена серверная и клиентская части BHTunnel.
– Можно ли перехватить информацию, передающуюся с использованием BHTunnel?
– Нет. BHTunnel исключает возможность угрозы прослушивания трафика, угона соединения или модификации передаваемых данных, обеспечивает защиту от атаки "человек посередине", защиту от несанкционированного доступа к ресурсам ИС, конфиденциальность, целостность, подлинность передаваемых данных.
– Какие требования предъявляются к устройствам, на которые устанавливается BHTunnel?
– BH Tunnel устанавливается на рабочие станции или персональные компьютеры пользователя, компьютеры-серверы, требования к аппаратной платформе которых предъявляются при проектировании и создании конкретной ИС, и которые функционируют под управлением операционных систем семейства Windows, Linux.
– В каких автоматизированных ИС его можно использовать?
– BHTunnel можно использовать в ИС, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам и служебной информации ограниченного распространения.
BHTunnel может использоваться для защиты информации, отнесенной к коммерческой тайне, в корпоративных ИС, для защиты персональных данных и информации, отнесенной к банковской тайне, в ИС банковского сектора, а также в ИС медицинской отрасли для защиты информация о частной жизни пациента, персональных данных и информации, отнесенной к профессиональной тайне.
Одним из возможных вариантов использования является применение BHTunnel для закрытия каналов управления в автоматизированных системах управления технологическими процессами в энергетике, нефтегазовой сфере, водоснабжении и водоотведении на участке компьютер центра управления – удаленный компьютер, управляющий контроллерами (исполнительными устройствами).
– Имеется ли опыт внедрения BHTunnel в действующие ИС?
– Продукт BHTunnel поставлен Белорусской нотариальной палате на основании лицензионного договора на поставку простой (неисключительной) лицензии на право использования Продукта BHTunnel в собственной деятельности в оговоренном объеме: для установки на серверы и рабочие станции пользователей, для доступа рабочей станции администратора к программе генерации сертификатов (с передачей Лицензиату образца BHTunnel и эксплуатационной документации на CD-диске).
Продукт BHTunnel используется в составе аттестованной системы защиты информации Единой информационной системы нотариата Белорусской нотариальной палаты для защиты взаимодействия рабочих станций нотариусов с серверами информационно-вычислительного центра.
– Какой сертификат имеет BHTunnel и кем он выдан?
– BHTunnel имеет сертификат соответствия, выданный аккредитованным Органом по сертификации средств защиты информации и продукции по требованиям безопасности информации Оперативно-аналитического центра при Президенте Республики Беларусь (далее – ОАЦ).
Продукт BHTunnel соответствует техническому регламенту Республики Беларусь TP 2013/027/BY и государственным стандартам, которые устанавливают требования к средствам канального (линейного) шифрования согласно Приложению документа «Положение о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации», утвержденного приказом ОАЦ № 62 от 30.08.2013, на соответствие которым продукт BHTunnel сертифицирован.
– Как и кем осуществляется поддержка продукта?
– Поддержка продукта осуществляется ЗАО «БелХард Групп» согласно требованиям Системы менеджмента качества СТБ ISO 9001 и немецкой системы DIN EN ISO9001, подтвержденными сертификатами соответствия. Поскольку BHTunnel сертифицирован для серийного производства, то Орган по сертификации осуществляет инспекционный контроль за сертифицированной продукцией.
– Как устанавливается продукт?
– На подготовительном этапе администратор BHTunnel проводит установку клиентской и серверной части приложения на компьютеры ИС, между которыми необходимо создать безопасный канал передачи данных.
Далее администратор безопасности выполняет процедуры генерации криптографических ключей, их сохранения в криптоконтейнере программного носителя ключевой информации, выпуск и рассылку технологических сертификатов открытых ключей подписи (далее – сертификат) для взаимодействующих компьютеров.
Затем администратор BHTunnel выполняет процедуру конфигурирования применяемых сертификатов и разрешенных соединений передачи данных внутри защищенного канала.
– Расскажите, в чем заключается принцип работы этого программного продукта?
– На этапе установления соединения серверная и клиентская части BHTunnel выполняют идентификацию и подтверждение подлинности взаимодействующих сторон ИС путем проверки их сертификатов, согласование данных и параметров защищенной сессии между клиентом и сервером, формирование общего секретного мастер-ключа и генерацию на его основе общих секретных сеансовых ключей для криптозащиты информационного обмена.
На этапе обмена данными клиентская часть BHTunnel:
– открывает указанный порт и принимает на него незащищенные данные от приложения;
– выполняет защиту путей (соединений) передачи данных в канале путем реализации над открытыми данными согласованных криптографических операций (шифрования, хэширования, выработки электронной цифровой подписи, имитовставки);
– передает защищенные данные по защищенному каналу к серверной части BHTunnel.
Что касается серверной части, то она:
– открывает указанный порт и принимает защищенные данные;
– выполняет с защищенными данными согласованные криптографические операции (расшифрования, хэширования, проверки электронной цифровой подписи, имитовставки);
– передает данные либо на указанный локальный порт приложения компьютера-сервера, либо на указанный порт другого компьютера-сервера доверенной зоны ИС.
При обмене данными в течение сессии происходит периодическая повторная аутентификация взаимодействующих сторон по сертификату.
Завершение работы защищенного канала происходит по инициативе клиентской или серверной части BHTunnel.
– Какие еще криптографические средства защиты информации при передаче на сегодня могут предложить конкуренты? И в чем преимущества BHTunnel перед ними?
– На рынке сертифицированных средств защиты информации при передаче наиболее популярными являются продукты TLS от Aвест, Bel VPN Gate и Bel VPN Client от С-Терра Бел. В отличие от них BHTunnel использует собственные средства генерации ключей и выпуска технологических сертификатов для взаимодействующих компьютеров, что позволяет администратору безопасности управлять ими.
Ключи и сертификаты хранятся на программном носителе ключевой информации, что значительно уменьшает затраты владельца в отличие от внедрения и поддержки аппаратных носителей ключевой информации.
Для эксплуатации BHTunnel не требуется применения сервера приложений, поддерживающего протокол TLS, HTTPS или другие в отличие от TLS Aвест, не требуется наличие специального драйвера операционной системы, реализующего функции IPSec, в отличие от С-Терра Бел. BHTunnel может функционировать под управлением операционных систем семейства Windows, Linux, в то время как Bel VPN Clien и криптопровайдер Aвест могут функционировать только под Windows.
Кроме того, BHTunnel может быть установлен и сконфигурирован так, чтобы он всегда автоматически стартовал при загрузке компьютера, чтобы запретить доступ в сеть передачи данных по незащищенному соединению.
К плюсам разработки относится также то, что BHTunnel не требует вносить изменения в работу прикладного ПО (приложений) рабочей станции или персонального компьютера пользователя и серверов ИС, не привязан к конкретным драйверам операционной системы и не требует разработки специальных драйверов под новые версии операционных систем в отличие от реализаций на базе IPSec.
И наконец, BHTunnel предоставляет сервисы для вызова криптографических функций из вновь разрабатываемых приложений, реализующих бизнес-логику конкретной ИС, которая может иметь свою специфику по хранению данных в зашифрованном виде или формированию электронной цифровой подписи для сохраняемых данных (команд).
Комментарии
Молодцы! Уважаю с конца 90-х компанию Белхард, творческую атмосферу и активность на рынке. Будучи в некоторой степени конкурентами тогда потенциальными потребителями продукта компании сегодня.
Ещё приятно, что в лице таких компаний на добротном уровне развивается отечественный продукт и ИТ-сфера.
Ой, а скачать дзе?
Тебе-то зачем? ;) На одном компе не работает. ;)
Так у меня не один комп. Комп дома, в рабхате, бук, нетбук, комп у шефа... :)
Ну, купи BHTunnel. ;) Майк, ты же понимаешь, что это не для людей, а для контор.
Ну, IMHO, Белхард поймал и прикрыл нишу. которая там выше описана. Т.е. прикрытие АС по относительно низкому классу защиты (не знаю точно, как "перевести" "не отнесенной к государственным секретам и служебной информации ограниченного распространения").
Ну, нормально.
Раз не для госсекретов и не для ДСП, то кагбэ для людей, а если не для людей, то зачем людям накая новость?