Повна назва комплексу: комплекс захисту SAP-системи “ІІТ Захист SAP”.
Призначення комплексу: криптографічний захист інформації у SAP-системі, а саме:
- автентифікація користувачів SAP-системи та забезпечення конфіденційності і цілісності даних, які
передаються між користувачами та сервером системи, з використанням механізмів криптографічного захисту інформації (КЗІ);
- забезпечення цілісності та неспростовності авторства електронних даних та документів, що циркулюють у
системі, з використанням електронного цифрового підпису.
Для організації ключової системи (управління ключовими даними) засобів комплексу використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК).
Структурна схема комплексу за розміщенням його складових частин на окремих технічних засобах наведена на рисунку.
До складу комплексу входять:
- програмний комплекс захисту SAP-клієнта "ІІТ Захист SAP. Клієнт" у складі:
- SNC-бібліотеки (бібліотеки захисту з'єднань) для SAP-клієнта;
- SSF-бібліотеки (бібліотеки захищеного зберігання та пересилання) для SAP-клієнта;
- бібліотеки користувача ЦСК зі складу програмного комплексу користувача ЦСК “ІІТ Користувач ЦСК-1”;
- засобів управління та моніторингу стану захисту клієнта;
- програмний комплекс захисту SAP-сервера "ІІТ Захист SAP. Сервер" у складі:
- SNC-бібліотеки для SAP-сервера;
- SSF-бібліотеки для SAP-сервера;
- бібліотек користувача ЦСК;
- засобів управління захистом сервера;
- агента моніторингу захисту SAP-сервера;
- програмний комплекс віддаленого моніторингу захисту SAP-сервера "ІІТ Захист SAP. Віддалений монітор сервера".
До складу апаратних засобів можуть входити:
- електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”);
- мережний криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”).
Програмні засоби КЗІ реалізують логіку роботи комплексу та інтегровані безпосередньо у клієнтську та серверну
частини SAP-системи (SAP-клієнта та SAP-сервер), через визначені у SAP-системі механізми та інтерфейси криптографічного
захисту інформації.
Програмні засоби КЗІ комплексу можуть використовувати зовнішні апаратні засоби КЗІ, такі як електронні ключі, мережні
криптомодулі тощо.
SNC-бібліотеки (бібліотеки захисту з’єднань) у складі SAP-клієнта та SAP-сервера призначені для реалізації механізмів
автентифікації користувачів SAP-системи на сервері під час підключення користувачів до сервера (встановлення з’єднання з сервером),
шляхом реалізації протоколу взаємної автентифікації сторін, та забезпечення конфіденційності і цілісності інформації, яка передається
між користувачами та сервером SAP-системи під час їх взаємодії, шляхом шифрування інформації та формування і перевіряння криптографічних
контрольних сум.
Протокол взаємної автентифікації сторін (встановлення захищеного з'єднання) включає наступні шаги (етапи):
- формування та передачу запиту від користувача SAP-системи на сервер;
- обробку запиту від користувача сервером (що включає, в тому числі, перевірку чинності сертифіката користувача),
формування та відправку відповіді за результатами обробки запиту;
- прийом та обробку відповіді від сервера користувачем та прийняття рішення про успішність встановлення захищеного
з’єднання (що аналогічно включає і перевірку чинності сертифіката сервера).
SSF-бібліотека (бібліотека захищеного зберігання та пересилання) у складі SAP-клієнта та SAP-сервера призначена для забезпечення цілісності
та неспростовності авторства електронних даних та документів, що циркулюють у SAP-системі, шляхом формування та перевіряння електронного
цифрового підпису від даних та документів, як на стороні користувача SAP-системи, так і на стороні сервера.
Бібліотеки користувача центру сертифікації ключів (ЦСК) призначені для використання SNC- та SSF-бібліотеками в
якості базових засобів КЗІ та виконують наступні функції у їх складі:
- роботу з носіями ключової інформації (зчитування особистих ключів з носіїв);
- роботу з файловим сховищем сертифікатів та списків відкликаних сертифікатів (СВС), що включає:
- зчитування сертифікатів та списків відкликаних сертифікатів із файлового сховища;
- визначення статусу сертифіката за допомогою списків відкликаних сертифікатів;
- завантаження списків відкликаних сертифікатів з веб-сторінки ЦСК (з веб-серверу ЦСК);
- зашифрування та розшифрування даних;
- формування та перевірку ЕЦП від даних;
- захист сеансів передачі даних (захист з'єднань), що включає:
- реалізацію протоколу взаємної автентифікації сторін під час встановлення сеансу захищеної передачі даних (захищеного з'єднання);
- захист (шифрування та контроль цілісності) сегментів захищеної передачі даних (даних захищеного з'єднання);
- інтерактивну перевірку статусу сертифікатів у ЦСК за протоколом OCSP (через OCSP-сервер ЦСК);
- пошук сертифікатів у LDAP-каталозі ЦСК (на LDAP-сервері ЦСК);
- отримання позначок часу у ЦСК (через TSP-сервер ЦСК) тощо.
Засоби управління та моніторингу стану захисту клієнта призначені для встановлення параметрів SNC- та SSF-бібліотек,
параметрів бібліотеки користувача ЦСК, а також моніторингу та відображення стану їх роботи.
Засоби управління захистом сервера призначені для встановлення параметрів SNC- та SSF-бібліотек, а також параметрів бібліотеки
користувача ЦСК.
Агент моніторингу захисту SAP-сервера призначений для зберігання інформації про стан та статистику функціонування програмних
засобів захисту сервера (списку активних захищених з’єднань SNC-бібліотеки тощо), а також ведення журналів реєстрації подій та
надання доступу до цієї інформації засобам віддаленого моніторингу. Інформацію про стан та статистику функціонування до агента
моніторингу передають SNC- та SSF-бібліотеки.
Програмний комплекс віддаленого моніторингу захисту SAP-сервера призначений для отримання від агента моніторингу сервера та
відображення інформації про стан і статистику функціонування програмних засобів захисту та подій з журналів реєстрації.
SNC-бібліотеки (бібліотеки захисту з'єднань) реалізовані у відповідності до визначених розробником SAP-системи
специфікацій програмних інтерфейсів:
- інтерфейсу GSS-API v2, який реалізує всі механізми КЗІ згідно з міжнародними технічними рекомендаціями RFC-2078;
- інтерфейс SNC-адаптера, який визначений у внутрішньому технічному документі компанії SAP та призначений для
безпосередньої інтеграції бібліотеки у SAP-клієнт та SAP-сервер, і є проміжним інтерфейсом між GSS-API v2 та SAP-системою.
SSF-бібліотеки (бібліотеки захищеного зберігання та пересилання) реалізовані у відповідності до визначеної
розробником SAP-системи специфікації програмного інтерфейсу SSF-API. Зазначений інтерфейс визначений у внутрішньому
технічному документі компанії SAP.
Електронний ключ призначений для апаратної реалізації криптографічних перетворень усередині пристрою у складі
користувача SAP-системи.
Мережний криптомодуль призначений для апаратної реалізації криптографічних перетворень усередині модуля у складі
сервера SAP-системи.
Електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”) призначений для:
- автентифікації користувача SAP-системи перед початком роботи;
- зберігання та захисту особистого ключа користувача;
- апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні користувача SAP-системи.
Електронний ключ має електричний USB-інтерфейс для підключення.
Апаратна реалізація електронного ключа забезпечує захищеність виконання усіх криптографічних перетворень
усередині пристрою та унеможливлює доступ до особистих ключів користувача з боку РС чи ПК користувача SAP-системи.
Мережевий криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”) призначений для:
- автентифікації сервера SAP-системи перед початком роботи;
- зберігання та захисту особистого ключа сервера;
- апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні сервера SAP-системи.
Мережний криптомодуль має мережний електричний інтерфейс Ethernet 100/1000 для підключення до сервера SAP-системи безпосередньо або
через комутатори локальної обчислювальної мережі.
Апаратна реалізація мережного криптомодуля забезпечує захищеність виконання усіх криптографічних перетворень усередині модуля та
унеможливлює доступ до особистих ключів сервера з боку сервера SAP-системи.
У засобах комплексу використовуються такі криптографічні алгоритми та протоколи:
- алгоритм шифрування за ДСТУ ГОСТ 28147:2009;
- алгоритм ЕП за ДСТУ 4145-2002;
- алгоритм гешування за ГОСТ 34.311-95;
- протокол розподілу ключових даних (направлене шифрування).
Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку №739 від 18.12.2012 р. Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку України.
Протокол встановлення захищеного сеансу передачі даних між SAP-клієнтом та SAP-сервером реалізовано на основі протоколу взаємної автентифікації
з двома проходами згідно стандарту ДСТУ ISO/IEC 9798-3.
За результатом роботи протоколу на сервері та клієнті встановлюються два сеансових ключа та два вектори початкової ініціалізації для поточного
шифрування даних у захищеному з’єднанні у дуплексному режимі.
Шифрування даних у захищеному з’єднанні здійснюється за алгоритмом шифрування згідно ДСТУ ГОСТ 28147:2009 у режимі гамування. В якості
криптографічної контрольної суми для контролю цілісності даних у захищеному з’єднанні використовуються імітовставки, які обчислюються за алгоритмом
шифрування згідно ДСТУ ГОСТ 28147:2009 у режимі вироблення імітовставки.
Шифрування даних та обчислення імітовставок у захищеному з’єднанні здійснюється на основі сеансових ключів та векторів початкової
ініціалізації (синхромаркерів), які розподіляються між клієнтом та сервером у результаті виконання протоколу взаємної автентифікації.
Організацію ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК).
У комплексі використовуються дві підгрупи ключових даних:
- ключові дані ЦСК;
- ключові дані користувачів та сервера SAP-системи.
До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які
використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.
До ключових даних користувачів та сервера SAP-системи відносяться особисті ключі та сертифікати відповідно користувачів та сервера.
В якості носіїв ключової інформації для особистих ключів можуть використовуватися:
- електронні диски (flash-диски);
- оптичні компакт-диски (CD);
- електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”) та ін.;
- мережний криптомодуль “Гряда-301” (мікро-пристрій) (“ІІТ МКМ Гряда-301 (мікро-пристрій)”) та мережний криптомодуль “Гряда-301”;
- інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS#11.
Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів,
рекомендацій та діючих нормативних документів:
- формати сертифікатів та списків відкликаних сертифікатів – згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій RFC 5280;
- формати підписаних даних (даних з ЕП) – згідно ДСТУ ETSI EN 319 122-1:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій RFC 5652 (PKCS#7) та 5126;
- формати захищених даних (зашифрованих даних) – згідно вимог до форматів криптографічних повідомлень та технічних рекомендацій RFC 5652 (PKCS#7);
- формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) – згідно технічних рекомендацій RFC 2560;
- формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161;
- формати особистих ключів – згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12.
Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів користувачів та сервера,
надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів.
Програмно-технічний комплекс (ПТК) ЦСК забезпечує:
- обслуговування сертифікатів клієнтів користувачів та сервера, що включає:
- реєстрацію користувачів та сервера;
- сертифікацію відкритих ключів користувачів та сервера;
- розповсюдження сертифікатів;
- управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів;
- надання послуг фіксування часу;
- надання (за необхідності) засобів генерації особистих та відкритих ключів.
В якості ПТК ЦСК має використовуватися комплекс “ІІТ ЦСК-1”.
Повідомлення
06 жовтня 2022
04 травня 2021
13 лютого 2017
Новини
13 березня 2024
12 вересня 2023
03 листопада 2021
14 вересня 2021