Методы и средства комплексной защиты информации в технических системах

ФГУП «Российский федеральный ядерный центр – 
Всероссийский научно-исследовательский институт 
экспериментальной физики» 
 
 
 
 
 
 
 
Э. В. Запонов, А. П. Мартынов, И. Г. Машин, 
Д. Б. Николаев, Д. В. Сплюхин, В. Н. Фомченко  
 
 
 
 
МЕТОДЫ И СРЕДСТВА  
КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ  
В ТЕХНИЧЕСКИХ СИСТЕМАХ 
 
Учебное пособие 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Саров 
2019 

УДК 004.056.53 
ББК 32.973-018.2 
М54 
 
 
Одобрено научно-методическим советом Саровского физико-технического института 
Национального исследовательского ядерного университета «МИФИ» и ученым советом 
ФГБУ «Институт управления образования» Российской академии образования  
в качестве учебного пособия для студентов и аспирантов технических специальностей. 
 
Рецензенты: 
ведущий научный сотрудник 27-го Центрального научно-исследовательского института 
Министерства обороны доктор технических наук А. В. Седаков, 
старший научный сотрудник ФГКВОУ «Военная академия РВСН им. Петра Великого» 
заслуженный деятель науки РФ, лауреат премии Правительства РФ в области  
образования доктор технических наук, профессор Ю. А. Романенко 
 
Авторы: 
Запонов Э. В., Мартынов А. П., Машин И. Г., Николаев Д. Б.,  
Сплюхин Д. В., Фомченко В. Н. 
М54 Методы и средства комплексной защиты информации в технических
системах. Учебное пособие / Э. В. Запонов и др. – Саров: ФГУП «РФЯЦВНИИЭФ», 2019. – 224 с. 
 
ISBN 978-5-9515-0429-6 
 
 
В учебном пособии рассмотрены методы и средства комплексной защиты информации в технических системах. Основное внимание уделено вопросам информационной 
безопасности программно-аппаратных комплексов. Рассмотрены современные аспекты 
комплексных систем защиты информации, дано описание средств защиты информации  
и их применения, анализируются способы защиты информации в технических системах 
от несанкционированного доступа. 
Представленные материалы предназначены для студентов и аспирантов технических специальностей, а также могут быть интересны широкому кругу инженернотехнических работников, занимающихся разработкой информационных технологий  
и защитой информации. 
 
УДК 004.056.53 
ББК 32.973-018.2 
 
 
 
ISBN 978-5-9515-0429-6                                      ФГУП «РФЯЦ-ВНИИЭФ», 2019 

СОДЕРЖАНИЕ 
 
Список сокращений ……………………………………………………………… 
6
Введение .………..……………………………………………………………….. 
8
1. Введение в теорию защиты информации …………………….……………… 11
1.1. Предмет и задачи защиты информации …………………………...... 11
1.2. Основные понятия в области защиты информации ………………... 14
1.3. Уязвимость информационных систем ………………………………. 17
1.4. Информационная безопасность информационных систем. 
       Политика безопасности в информационных системах …………….. 23
2. Комплексные системы защиты информации ………………………………... 36
2.1. Определение комплексных систем защиты информации ………….. 36
2.2. Основные этапы создания комплексной системы  
       защиты информации …………………………………………………. 
37
2.3. Моделирование комплексных систем защиты информации ………. 40
2.4. Методы оценки систем защиты информации ………………………. 41
2.5. Эффективность комплексных систем защиты информации ………. 47
2.6. Организационная структура комплексных систем  
       защиты информации …………………………………………..…….... 53
3. Средства защиты информации ………………………………………………... 60
3.1. Методы и механизмы средств защиты информации ……………….. 60
3.2. Средство защиты информации Secret Net …………………………... 61
3.3. Средство защиты информации от НСД Dallas Lock ……………….. 81
3.4. Программно-аппаратный комплекс «Соболь» ……………………... 82
3.5. Электронный замок – программно-аппаратный  
        комплекс «Росомаха» ……………………………………….……… 
84
3.6. Средство защиты информации от несанкционированного 
       доступа «Аккорд» …………………….................................................. 85
3.7. Средство защиты информации «Страж-NT» ……………………….. 98
3.8. Программный комплекс «DeviceLock 7 Endpoint DLP Suite ………. 101
3.9. Система защиты информации от несанкционированного 
       доступа «Аура» ……………………….………………………………. 105
3.10. Система защиты информации от несанкционированного  
         доступа «Щит-РЖД» ………………………………………………… 107
3.11. Комплексная система защиты информации «Панцирь-К»  
         для ОС Windows …………………………………………………….. 109
3.12. Сертифицированное средство защиты виртуальных сред vGate ….. 110
 

4. Средства криптографической защиты информации ………………………... 117
4.1. Сертифицированный персональный межсетевой  
       экран «Континент-АП» …………………………………………….… 117
4.2. Средство криптографической защиты информации М-506А-XP ... 
121
4.3. Аппаратно-программный модуль доверенной  
       загрузки «Криптон-замок» …………………………………………... 125
4.4. Система разграничения доступа «Криптон-ЩИТ (М-642)» ………. 128
4.5. Проходные шифраторы. Шифрование жестких дисков  
       и флеш-памяти ………………………………………………………... 129
4.6. «Криптон» – защита мобильных компьютеров …………………….. 132
4.7. Сетевые адаптеры Криптон AncNet Pro/E …………………………... 133
4.8. Устройство криптографической защиты данных  
       и ограничения доступа к компьютеру «Криптон-8/PCI» ….……….. 136
4.9. Криптопровайдер КриптоПро CSP (СryptoPro CSP) ………………. 137
4.10. Программный комплекс защиты информации «ЛИССИ-CSP» ….. 137
4.11. Средство криптографической защиты  
         информации «Крипто-КОМ» ……………………………………..… 138
4.12. Криптопровайдер Signal-COM CSP ………………………………... 140
4.13. Средство криптографической защиты сообщений Message-PRO ... 141
4.14. Вопросы практического использования  
         российской криптографии в среде операционных систем Windows ... 143
4.15. Анализ и разработка системы обнаружения вторжений …………. 153
5. Программно-аппаратное средство защиты информации ViPNet Custom …… 161
5.1. Задачи и способы защиты информации ViPNet Custom …………… 161
5.2. Архитектура ViPNet Custom …………………………………………. 162
5.3. Программное обеспечение для администрирования  
       защищенной сети ViPNet Custom ………………………………….... 162
5.4. Серверные компоненты ViPNet Custom …………………………….. 166
5.5. Клиентские компоненты ViPNet Custom ……………………………. 168
5.6. Средство защиты информации ViPNet Coordinator HW1000 ……… 174
5.7. Защищенное терминальное решение ViPNet Terminal …………….. 179
6. Идентификаторы, смарт-карты и USB-ключи ………………………………. 185
6.1. Определение, состав и градации электронной подписи …………… 185
6.2. Смарт-карты и USB-ключи eToken ………………………………….. 189
6.3. Электронная смарт-карта eToken PRO ……………………………… 190
6.4. Комбинированный USB-ключ eToken NG-FLASH ………………… 191
6.5. Комбинированный USB-ключ eToken NG-OTP ……………………. 192
6.6. Автономный генератор одноразовых паролей eToken PASS ……… 193
6.7. Идентификаторы iButton ……………………………………………... 193
6.8. USB-идентификатор «Рутокен» ……………………………………... 194
6.9. USB-идентификатор «Рутокен ЭЦП Flash» ………………………… 195
 

6.10. Типовые и готовые решения в области  
         программно-аппаратной защиты ………………………….……….. 197
7. Программно-техническая реализация средств защиты информации  
на базе программно-технического комплекса «Гамаюн» ……………………... 200
7.1. Программно-технический комплекс «Гамаюн» ……………………. 200
7.2. Аппаратно-программный модуль доверенной  
       загрузки «Максим-М1» ………………………………………….…… 201
7.3. Операционная система специального назначения Astra Linux …. 
203
8. Защита информации в технических системах  
от несанкционированного доступа ……………………………………………… 206
8.1. Защита информации в технических системах ……………………… 206
8.2. Система разграничения доступа к информации  
       в технических системах ……………………………………………... 207
8.3 Система защиты программных средств от копирования  
      и исследования ……………………………………………………….. 214
Заключение ……………………………………………………………………….. 220
Список литературы ………………………………………………………………. 221
 

СПИСОК СОКРАЩЕНИЙ 
 
АВИ 
администратор виртуальной инфраструктуры 
АИБ 
администратор информационной безопасности 
АМДЗ 
аппаратный модуль доверенной загрузки 
АПКШ 
аппаратно-программный криптографический шлюз 
АПМДЗ 
аппаратно-программный модуль доверенной загрузки 
АРМ 
автоматизированное рабочее место 
АСОД 
автоматизированная система обработки данных 
АСУ 
автоматизированная система управления 
 
БД 
база данных 
ВЗУ 
внешнее запоминающее устройство 
ВС 
вычислительная система 
ГАС 
Государственная автоматизированная система 
ГВС 
глобальная вычислительная система 
ГТК 
Государственная техническая комиссия 
ДСЧ 
датчик случайных чисел 
 
ЕПП 
единое пространство пользователей 
ЗПС 
замкнутая программная среда 
ИБ 
информационная безопасность 
ИС 
информационная система 
ИСПДн 
информационная система обработки персональных данных 
КМ 
криптографический модуль 
КПД 
контроль программ и данных 
КПК 
карманный персональный компьютер 
КС 
комплексная система 
КСА 
комплекс средств автоматизации 
КСЗИ 
комплексная система защиты информации 
КЦ 
контроль целостности 
 
ЛВС 
локальная вычислительная сеть 
МК 
мобильный компьютер 
НГМД 
накопитель на гибком магнитном диске 
НСД 
несанкционированный доступ 
НЖМД 
накопитель на жестком магнитном диске 
ОК 
открытый ключ 
ООБИ 
орган обеспечения безопасности информации 
ОП 
оперативная память 
ОС 
операционная система 

Список сокращений 
7 
ПАК 
программно-аппаратный комплекс 
ПО 
программное обеспечение 
ПЗУ 
постоянное запоминающее устройство 
ПК 
персональный компьютер 
ПРД 
правила разграничения доступа 
ПСКЗИ 
программное средство криптографической защиты информации 
ПЭМИН 
побочные электромагнитные излучения и наводки 
РП 
рабочее проектирование 
РПВ 
разрушающие программные воздействия 
 
СВТ 
средство вычислительной техники 
СЗИ 
средство защиты информации 
СЗИК 
система защиты от исследования и копирования информации 
СК 
секретный ключ 
СКЗИ 
средство криптографической защиты информации 
СКУД 
система контроля и управления доступом 
СОВ 
система обнаружения вторжений 
СУБД 
система управления базами данных 
СУФД 
система удаленного финансового документооборота 
СЭД 
система электронного документооборота 
 
ТЗ 
техническое задание 
ТП 
техническое проектирование 
УКЦ 
удостоверяющий и ключевой центр 
УЦ 
удостоверяющий центр 
ФСТЭК 
Федеральная служба по техническому и экспортному контролю 
ФСБ 
Федеральная служба безопасности 
ЦУС 
центр управления сетью 
 
ЭВМ 
электронная вычислительная машина 
ЭД 
электронный документ 
ЭНП 
энергонезависимая память 
ЭП 
электронная подпись 
 
CA 
Certification authority (служба сертификации) 
CASE-система система анализа и моделирования информационных потоков 
CSP 
Cryptographic service provider (криптографический провайдер) 
DLP-система 
система обнаружения и предотвращения вторжений 
IPS 
Intrusion prevention system (система предотвращения вторжений) 
PKI 
Public key infrastructure (инфраструктура открытых ключей) 
SSPI 
Security support provider interface (интерфейс криптографического
провайдера) 
VPN 
Virtual private network (виртуальная частная сеть) 
 

ВВЕДЕНИЕ 
 
Информационная безопасность в компьютерных и коммуникационных системах является одной из самых актуальных тем на сегодняшний день. В настоящее время многие организации столкнулись с потерей жизненно важной информации, вызванной сбоями компьютерных систем, несанкционированным 
проникновением злоумышленников в их корпоративные сети.  
С переходом на использование технических средств связи информация 
подвергается воздействию случайных процессов: неисправностям и сбоям оборудования, ошибкам операторов и т. д., – которые могут привести к ее разрушению, изменениям на ложную, а также создать предпосылки для доступа к ней 
посторонних лиц. С дальнейшим усложнением и широким распространением 
технических средств связи возросли возможности для преднамеренного несанкционированного доступа к информации. 
С появлением сложных автоматизированных систем управления, связанных с автоматизированным вводом, обработкой, накоплением, хранением, выводом информации, проблема ее защиты приобретает еще большее значение. 
Этому способствует: 
– увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью вычислительной техники; 
– сосредоточение в единых базах данных информации различного назначения и принадлежности; 
– расширение круга пользователей, имеющих доступ к ресурсам вычислительной системы и находящимся в ней массивам данных; 
– усложнение режимов функционирования технических средств вычислительной системы: широкое внедрение многопрограммного режима, режима разделения времени и реального времени; 
– автоматизация межмашинного обмена информацией, в том числе и на 
больших расстояниях; 
– увеличение количества технических средств и связей в автоматизированных системах управления и обработки данных. 
Актуальной задачей на сегодняшний день является организация защиты 
информации в корпоративных сетях. Главными отличительными особенностями 
корпоративной сети можно считать централизованное управление сетью связи  
и заданный уровень сохранности информации, накапливаемой и обрабатываемой в сети корпорации, а также учет средств и каналов связи всех существующих подсетей. 
Функциональные требования обусловливают концепцию защищенности 
сети. Они определяют не только конфигурацию корпоративной сети, но и ограничения на использование сетевых протоколов. В корпоративной локальной вычислительной сети должно обеспечиваться физическое разделение (подключе

ние к различным связным ресурсам) серверов и рабочих мест, т. е. необходима 
организация подсетей рабочих мест и серверов. Для эффективного функционирования сети централизованно должны быть реализованы службы административного управления, перечень которых определяется архитектурой управления 
взаимодействием открытых систем. В этот перечень входят службы управления 
эффективностью функционирования, конфигурацией и именами, учетными данными, при отказах и сбоях. 
Для выработки политики информационной безопасности необходимо  
собрать информацию, отражающую структуру организации; составить перечень 
и характеристики функций, выполняемых каждым подразделением и сотрудниками; описать функциональные связи между подразделениями и отдельными 
рабочими местами; определить перечень информационных объектов, циркулирующих в системе; перечень применяемых прикладных и системных программ; 
описать топологии комплекса технических средств. Полученные данные обрабатываются и систематизируются. Информационные объекты можно классифицировать по тематике, иерархическому признаку, предполагаемому размеру ущерба от потери того или иного вида информации, по сложности ее восстановления. 
Для осуществления поставленной задачи необходимо создание независимого 
подразделения информационной безопасности, основными функциями которого 
являются предоставление пользователям доступа к информации в соответствии 
с принятой в организации политикой безопасности, а также контроль за ее выполнением. 
Применение информационных технологий требует повышенного внимания к вопросам информационной безопасности. Разрушение информационного 
ресурса, его временная недоступность или несанкционированное использование 
могут нанести компании значительный материальный ущерб. Без должной степени защиты информации внедрение информационных технологий может оказаться экономически невыгодным в результате значительных потерь конфиденциальных данных, хранящихся и обрабатываемых в компьютерных сетях. 
Реализация решений, обеспечивающих безопасность информационных ресурсов, существенно повышает эффективность всего процесса информатизации 
в организации, обеспечивая целостность, подлинность и конфиденциальность 
дорогостоящей деловой информации, циркулирующей в локальных и глобальной информационных средах. 
Общие вопросы построения и безопасности информационных систем рассмотрены в первой главе пособия. Требования к защите информации определяют состав, функции и особенности реализации подсистемы защиты информации 
и должны выполняться, контролироваться и актуализироваться на всех этапах 
жизненного цикла технической системы. 
Вторая глава пособия посвящена описанию комплексных систем защиты 
информации, где приводится определение комплексных систем защиты информации. Дается описание основных этапов создания комплексной системы защиты информации и методов оценки систем защиты информации. В третьей главе 

пособия подробно описаны механизмы работы средств защиты информации. 
Функции, состав и описание технологий средств криптографической защиты 
информации приведены в четвертой главе пособия.  
Подробно рассмотрены вопросы практического использования программно-аппаратного средства защиты информации «ViPNet Custom» в пятой главе 
пособия. Состав, работа и применение идентификаторов, смарт-карт и USBключей подробно рассмотрены в шестой главе пособия. 
Программно-техническая реализация средств защиты информации на базе 
программно-технического комплекса «Гамаюн», с использованием аппаратнопрограммный модуль доверенной загрузки и операционной система специального назначения рассмотрена в седьмой главе. 
Вместе с тем, все более пристальное внимание уделяется рациональному 
выбору состава системы защиты информации и его обоснованию на основе критериев экономической эффективности, анализу рисков и управлению информационной безопасностью. Эти проблемы предлагается решать на основе категорирования информационных активов при формировании требований к защите 
информации и методов математического моделирования, что и отражено в восьмой главе пособия.