 |
AVTOR, LTD |
|
Address: City Kyiv, st. Smolenska, 31-33
Phone number: +38(044) 4908147
, +38(044) 5380089
Fax: +38(044) 5380089 |
Программно-технический комплекс Центр сертификации ключей «CryptoKDC®»
Seller: AVTOR, LTD
Phone number: +38(044) 4908147
Product's description
Центр сертификации ключей (ЦСК) предназначен для внедрения инфраструктуры открытых ключей (ИОК) в бизнес процессы и технологические операции, которые осуществляются в автоматизированных системах информационно-телекоммуникационных сетей.
Программно-технический комплекс (ПТК) ЦСК обеспечивает функционирование единой системы спецификаций на средства криптографической защиты информации (КЗИ) и электронной цифровой подписи (ЭЦП) и предоставляет организационно-технические средства применения сертификатов открытых ключей для решения следующих задач информационной безопасности:
создание системы управления ключами ЭЦП в системах автоматизации деятельности;
построения системы юридически значимого ЭЦП в системах электронного документооборота;
обеспечение распределения полномочий и предоставления доступа пользователям к информационным ресурсам автоматизированных информационных систем;
контроля целостности публичных информационных ресурсов;
контроля целостности электронных документов, которые передаются в автоматизированных системах заказчика;
обеспечение конфиденциальности данных, которые передаются в процессе информационного обмена.
ПТК ЦСК предоставляет услуги сертификации открытых ключей шифрования и ЭЦП в корпоративных информационных системах.
ЦСК обеспечивает возможность формирования и обслуживания сертификатов открытых ключей шифрования и ЭЦП, которые отвечают стандартам:
ДСТУ 4145-2002;
ДСТУ ГОСТ 28147:2009;
ГОСТ 34.311-95;
RSA/DSA с длиной открытого ключа 512-4096 бит.
Организационная структура Центра сертификации ключей обеспечивает распределение выполнения административных, технических и технологических операций.
В ЦСК для обеспечения работы и предоставления услуг предусмотрены следующие службы: служба защиты информации; служба сертификации; служба регистрации; служба администрирования.
ПТК ЦСК состоит из:
серверного программно-технического обеспечения ЦСК;
клиентского программно-технического обеспечения АРМ ЦСК;
программного обеспечения интеграции ЦСК в автоматизированные системы заказчика;
WEB портал предоставления вспомогательных услуг клиентам ЦСК;
WEB портал обслуживания сертификатов ЭЦП для организации защищенного обмена почтовыми сообщениями S/MIME.
Общая схема подключения ПТК ЦСК к информационно-телекоммуникационной сети
Рисунок 1. Общая схема подключения ПТК ЦСК к информационно-телекоммуникационной сети
Для повышения уровня предоставления криптографических услуг в ПТК ЦСК предусмотрено использование специализированного программно-аппаратного криптографического модуля (hardware security module – HSM, модули безопасности серии CryptoLine 3х8). Модули серии CryptoLine 3х8, производства компании «АВТОР», используются для безопасного хранения ключей ЦСК (и его дополнительных служб), а также выполнение на аппаратном уровне основных криптографических функций (генерирование собственных ключей, наложение и проверку ЭЦП и т.п.).
ПТК ЦСК спроектирован для работы в двух основных конфигурациях:
Физический ЦСК.
Виртуальный ЦСК.
Конфигурация решения для развертывания в физической и виртуальной среде не отличаются.
Структурная схема взаимодействия компонентов ПТК ЦСК
Рисунок 2. Структурная схема взаимодействия компонентов ПТК ЦСК
ПТК ЦСК обеспечивает предоставление пользователям с помощью WEB интерфейса вспомогательных услуг: информационной поддержки; просмотра собственного сертификата пользователя; получение информации о статусе сертификата; формирование отметки времени.
OCSP (Online Certificate Status Protocol) сервер является опциональным компонентом ПТК ЦСК и обеспечивает прием и регистрацию запросов пользователей на получение информации о статусе сертификатов, а также передачи информации о статусе в обратном направлении.
TSP (Time-Stamp Protocol) сервер также является опциональным компонентом ПТК ЦСК. TSP сервер обеспечивает:
прием и регистрацию запросов пользователей на получение меток времени, а также передачи информации о статусе в обратном направлении;
формирование меток времени;
внесение сложившихся меток времени в реестр;
хранение реестра сложившихся меток времени;
резервное копирование и архивирование реестра меток времени.
WEB-портал предоставляет пользователям ряд услуг повышающих удобство использования ЦСК:
информационной поддержки;
просмотра собственного сертификата;
получения информации о статусе сертификата;
настройки НКИ;
и другие.
Внешний вид главной страницы WEB-портала представлен ниже.
Главная страница WEB-портала
Защита информации в ПТК ЦСК обеспечивается системой защиты информации (СЗИ), которая является составной частью ПТК. СЗИ ПТК ЦСК обеспечивает использование надежных средств ЭЦП, ведение в защищенном виде журнала операций и журнала системных событий, размежевание с помощью сетевых экранов информационных потоков между внутренней локальной сетью ЦСК, информационно-телекоммуникационной сетью заказчика и клиентской общедоступной сетью, использование антивирусных средств и т.п. СЗИ ПТК ЦСК отвечает требованиям нормативно-правовых актов ГСССЗИ Украины по вопросам защиты информации. Все средства криптографической защиты информации ПТК ЦСК имеют положительные экспертные заключения по результатам государственной экспертизы в сфере криптографической защиты информации.
Организация инфраструктуры открытых ключей в АС заказчика:
В состав ПТК ЦСК входит программное обеспечение пользователя ЦСК, которое состоит из большого перечня библиотек со стандартными прикладными программными интерфейсами (API):
Windows CryptoAPI;
Java Cryptography Architecture (JCA);
PKCS#11.
При отсутствии поддержки стандартного API, интеграция в системы автоматизации заказчика выполняется с помощью специализированных модулей, которые входят в состав ПТК ЦСК.
Значение характеристик ПТК ЦСК
Значение основных характеристик ПТК ЦСК приведены в таблице:
Показатель Значение
Количество пользователей, которых обслуживает комплекс не меньше 100000
Количество пользователей, которые могут зарегистрироваться* не меньше 600 в сутки
Количество пользователей, которые одновременно имеют доступ к подсистеме передачи данных и информационному ресурсу до 1 000
Время обработки запроса пользователя на формирование сертификата не больше 5 с
Время обработки запроса пользователя на блокирование сертификата не больше 5 с
Время обработки запроса пользователя на возобновление сертификата не больше 5 с
Время обработки запроса пользователя на отмену сертификата не больше 5 с
Время обработки запросов пользователей на определение статуса сертификата не больше 5 с
Время обработки запросов пользователей на формирование отметки времени не больше 5 с
Периодичность резервирования данных
не меньше 1-го резервирование в день
Точность синхронизации времени
до одной секунды
* - при условии надлежащей организации работы ПТК и соблюдение инструкций ответственных лиц.
Соответствие нормативным документам и стандартам
ПТК ЦСК отвечает следующим нормативным документам и стандартам:
Закон Украины «Об электронной цифровой подписи» от 22.05.03 №852-IV.
Закон Украины «Об электронных документах и электронном документообороте» от 22.05.03 №851-IV.
Правила усиленной сертификации, утвержденные приказом Департамента специальных телекоммуникационных систем и защиты информации Службы безопасности Украины от 13.01.05 №3 (с изменениями, внесенными согласно приказу Службы безопасности №50 от 10.05.06), зарегистрированные в Минюсте Украины от 27.01.05 №104/10384.
Приказ Министерства юстиции Украины и Администрации Госспецсвязи от 20.08.2012 № 1236/5/453 «Об утверждении требований к форматам, структуре и протоколам, которые реализуются в надежных средствах электронной цифровой подписи» (с изменениями).
Приказ Администрации Госспецсвязи от 18.12.2012 № 739 «Об утверждении требований к форматам криптографических сообщений».
Инструкция о порядке обеспечения и использования ключей к средствам криптографической защиты информации, утвержденная приказом Администрации Госспецсвязи от 12.06.07 №114.
Порядок аккредитации центра сертификации ключей, утвержденный постановлением Кабинета Министров Украины от 13.07.04 №903.
ДСТУ ГОСТ 28147:2009. Системы обработки информации. Криптографическая защита информации. Алгоритм криптографического преобразования.
ГОСТ 34.311-95. Информационная технология. Криптографическая защита информации. Функция хеширования.
ДСТУ 4145-2002. Информационные технологии. Криптографическая защита информации. Цифровая подпись, основанная на эллиптических кривых. Формирование и проверка.
PKCS#7 Cryptographic Message Syntax. 1993.
PKCS#10 Certification Request Syntax Standard. 2000.
RFC 2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol (OCSP).
RFC 3161 Time-Stamp Protocol (TSP).
RFC 2030 Network Time Protocol (NTP).
Программно-технический комплекс (ПТК) ЦСК обеспечивает функционирование единой системы спецификаций на средства криптографической защиты информации (КЗИ) и электронной цифровой подписи (ЭЦП) и предоставляет организационно-технические средства применения сертификатов открытых ключей для решения следующих задач информационной безопасности:
создание системы управления ключами ЭЦП в системах автоматизации деятельности;
построения системы юридически значимого ЭЦП в системах электронного документооборота;
обеспечение распределения полномочий и предоставления доступа пользователям к информационным ресурсам автоматизированных информационных систем;
контроля целостности публичных информационных ресурсов;
контроля целостности электронных документов, которые передаются в автоматизированных системах заказчика;
обеспечение конфиденциальности данных, которые передаются в процессе информационного обмена.
ПТК ЦСК предоставляет услуги сертификации открытых ключей шифрования и ЭЦП в корпоративных информационных системах.
ЦСК обеспечивает возможность формирования и обслуживания сертификатов открытых ключей шифрования и ЭЦП, которые отвечают стандартам:
ДСТУ 4145-2002;
ДСТУ ГОСТ 28147:2009;
ГОСТ 34.311-95;
RSA/DSA с длиной открытого ключа 512-4096 бит.
Организационная структура Центра сертификации ключей обеспечивает распределение выполнения административных, технических и технологических операций.
В ЦСК для обеспечения работы и предоставления услуг предусмотрены следующие службы: служба защиты информации; служба сертификации; служба регистрации; служба администрирования.
ПТК ЦСК состоит из:
серверного программно-технического обеспечения ЦСК;
клиентского программно-технического обеспечения АРМ ЦСК;
программного обеспечения интеграции ЦСК в автоматизированные системы заказчика;
WEB портал предоставления вспомогательных услуг клиентам ЦСК;
WEB портал обслуживания сертификатов ЭЦП для организации защищенного обмена почтовыми сообщениями S/MIME.
Общая схема подключения ПТК ЦСК к информационно-телекоммуникационной сети
Рисунок 1. Общая схема подключения ПТК ЦСК к информационно-телекоммуникационной сети
Для повышения уровня предоставления криптографических услуг в ПТК ЦСК предусмотрено использование специализированного программно-аппаратного криптографического модуля (hardware security module – HSM, модули безопасности серии CryptoLine 3х8). Модули серии CryptoLine 3х8, производства компании «АВТОР», используются для безопасного хранения ключей ЦСК (и его дополнительных служб), а также выполнение на аппаратном уровне основных криптографических функций (генерирование собственных ключей, наложение и проверку ЭЦП и т.п.).
ПТК ЦСК спроектирован для работы в двух основных конфигурациях:
Физический ЦСК.
Виртуальный ЦСК.
Конфигурация решения для развертывания в физической и виртуальной среде не отличаются.
Структурная схема взаимодействия компонентов ПТК ЦСК
Рисунок 2. Структурная схема взаимодействия компонентов ПТК ЦСК
ПТК ЦСК обеспечивает предоставление пользователям с помощью WEB интерфейса вспомогательных услуг: информационной поддержки; просмотра собственного сертификата пользователя; получение информации о статусе сертификата; формирование отметки времени.
OCSP (Online Certificate Status Protocol) сервер является опциональным компонентом ПТК ЦСК и обеспечивает прием и регистрацию запросов пользователей на получение информации о статусе сертификатов, а также передачи информации о статусе в обратном направлении.
TSP (Time-Stamp Protocol) сервер также является опциональным компонентом ПТК ЦСК. TSP сервер обеспечивает:
прием и регистрацию запросов пользователей на получение меток времени, а также передачи информации о статусе в обратном направлении;
формирование меток времени;
внесение сложившихся меток времени в реестр;
хранение реестра сложившихся меток времени;
резервное копирование и архивирование реестра меток времени.
WEB-портал предоставляет пользователям ряд услуг повышающих удобство использования ЦСК:
информационной поддержки;
просмотра собственного сертификата;
получения информации о статусе сертификата;
настройки НКИ;
и другие.
Внешний вид главной страницы WEB-портала представлен ниже.
Главная страница WEB-портала
Защита информации в ПТК ЦСК обеспечивается системой защиты информации (СЗИ), которая является составной частью ПТК. СЗИ ПТК ЦСК обеспечивает использование надежных средств ЭЦП, ведение в защищенном виде журнала операций и журнала системных событий, размежевание с помощью сетевых экранов информационных потоков между внутренней локальной сетью ЦСК, информационно-телекоммуникационной сетью заказчика и клиентской общедоступной сетью, использование антивирусных средств и т.п. СЗИ ПТК ЦСК отвечает требованиям нормативно-правовых актов ГСССЗИ Украины по вопросам защиты информации. Все средства криптографической защиты информации ПТК ЦСК имеют положительные экспертные заключения по результатам государственной экспертизы в сфере криптографической защиты информации.
Организация инфраструктуры открытых ключей в АС заказчика:
В состав ПТК ЦСК входит программное обеспечение пользователя ЦСК, которое состоит из большого перечня библиотек со стандартными прикладными программными интерфейсами (API):
Windows CryptoAPI;
Java Cryptography Architecture (JCA);
PKCS#11.
При отсутствии поддержки стандартного API, интеграция в системы автоматизации заказчика выполняется с помощью специализированных модулей, которые входят в состав ПТК ЦСК.
Значение характеристик ПТК ЦСК
Значение основных характеристик ПТК ЦСК приведены в таблице:
Показатель Значение
Количество пользователей, которых обслуживает комплекс не меньше 100000
Количество пользователей, которые могут зарегистрироваться* не меньше 600 в сутки
Количество пользователей, которые одновременно имеют доступ к подсистеме передачи данных и информационному ресурсу до 1 000
Время обработки запроса пользователя на формирование сертификата не больше 5 с
Время обработки запроса пользователя на блокирование сертификата не больше 5 с
Время обработки запроса пользователя на возобновление сертификата не больше 5 с
Время обработки запроса пользователя на отмену сертификата не больше 5 с
Время обработки запросов пользователей на определение статуса сертификата не больше 5 с
Время обработки запросов пользователей на формирование отметки времени не больше 5 с
Периодичность резервирования данных
не меньше 1-го резервирование в день
Точность синхронизации времени
до одной секунды
* - при условии надлежащей организации работы ПТК и соблюдение инструкций ответственных лиц.
Соответствие нормативным документам и стандартам
ПТК ЦСК отвечает следующим нормативным документам и стандартам:
Закон Украины «Об электронной цифровой подписи» от 22.05.03 №852-IV.
Закон Украины «Об электронных документах и электронном документообороте» от 22.05.03 №851-IV.
Правила усиленной сертификации, утвержденные приказом Департамента специальных телекоммуникационных систем и защиты информации Службы безопасности Украины от 13.01.05 №3 (с изменениями, внесенными согласно приказу Службы безопасности №50 от 10.05.06), зарегистрированные в Минюсте Украины от 27.01.05 №104/10384.
Приказ Министерства юстиции Украины и Администрации Госспецсвязи от 20.08.2012 № 1236/5/453 «Об утверждении требований к форматам, структуре и протоколам, которые реализуются в надежных средствах электронной цифровой подписи» (с изменениями).
Приказ Администрации Госспецсвязи от 18.12.2012 № 739 «Об утверждении требований к форматам криптографических сообщений».
Инструкция о порядке обеспечения и использования ключей к средствам криптографической защиты информации, утвержденная приказом Администрации Госспецсвязи от 12.06.07 №114.
Порядок аккредитации центра сертификации ключей, утвержденный постановлением Кабинета Министров Украины от 13.07.04 №903.
ДСТУ ГОСТ 28147:2009. Системы обработки информации. Криптографическая защита информации. Алгоритм криптографического преобразования.
ГОСТ 34.311-95. Информационная технология. Криптографическая защита информации. Функция хеширования.
ДСТУ 4145-2002. Информационные технологии. Криптографическая защита информации. Цифровая подпись, основанная на эллиптических кривых. Формирование и проверка.
PKCS#7 Cryptographic Message Syntax. 1993.
PKCS#10 Certification Request Syntax Standard. 2000.
RFC 2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol (OCSP).
RFC 3161 Time-Stamp Protocol (TSP).
RFC 2030 Network Time Protocol (NTP).
