Помощь военным

25 лет на рынке защиты информации: интервью с гендиректором Фирмы "АНКАД"

Тема: ВПК, Говорят Первые Лица, Форум Армия, Статьи

На форуме "Армия-2016" ведущий российский разработчик средств криптографической защиты информации Фирма "АНКАД" представит свою продукцию и проведет серию консультаций для специалистов предприятий ВПК и Минобороны. Генеральный директор компании Юрий Романец рассказал Военное.РФ об особенностях создания, внедрения и эксплуатации решений по защите информации, а также раскрыл, какая именно продукция Фирмы "АНКАД" предназначена для нужд оборонно-промышленного комплекса.

Юрий Васильевич, как известно, возглавляемая вами Фирма "АНКАД" отметила свой 25-летний юбилей в текущем году. Не могли бы вы кратко описать историю компании?

Да, действительно, Фирма "АНКАД" была создана в 1991 году. Основу компании составил коллектив разработчиков специализированных микропроцессоров НИИ точной технологии, который в то время был лидирующим предприятием Министерства Электронной промышленности СССР в части разработки микропроцессорной техники.

Генеральный директор Фирмы "Анкад" Юрий Романец

В течение нескольких лет перед этим событием наш коллектив трудился над созданием первого отечественного шифропроцессора "БЛЮМИНГ-1" – специализированного микропроцессора, аппаратно реализующего алгоритм шифрования "Магма-2". Этот первый отечественный 32-разрядный однокристальный микропроцессор был успешно разработан в 1989 году.

Логичным продолжением стала задача по разработке на основе созданного микропроцессора шифровального средства в виде абонентского шифратора для персональных ЭВМ. Задача была крайне важна, но ее выполнение осложнялось тем, что НИИТТ профессионально занимался разработкой микросхем различного назначения, но не электронной аппаратурой, тем более относящейся к разряду специальной техники. Кроме того, наступали смутные времена, характеризующиеся, в числе прочего, отсутствием финансирования и материально-технического обеспечения таких важных для обеспечения безопасности государства работ.

В результате коллектив единомышленников принял решение создать собственную компанию – малое научно-производственное внедренческое предприятие Фирма "АНКАД", – и продолжить разработки шифровальных средств уже в ней. Первым продуктом, разработанным Фирмой, стал созданный в 1991 году абонентский шифратор для архитектуры x86 "КРИПТОН-3". С тех пор коллективом Фирмы "АНКАД" было разработано целое семейство абонентских шифраторов "КРИПТОН" – не только с использованием того, первого микропроцессора "БЛЮМИНГ-1", но и на основе более современных шифропроцессоров, разработанных уже целиком и полностью нашей Фирмой.

1 / 2

Соответствуя потребностям пользователей наших средств и ступая в ногу со временем, коллектив Фирмы за 25 лет ее существования разработал множество средств и систем защиты информации. Помимо упомянутых шифропроцессоров и абонентских шифраторов, это и специализированные шифраторы, и средства контроля и разграничения доступа, и программные продукты различного назначения, и защищенная вычислительная техника, соответствующая самым высоким уровням требований, и комплексные решения по обеспечению информационной безопасности вычислительных и телекоммуникационных систем.

К 25-летию мы выпустили книгу "Фирма "АНКАД" – 25 лет на службе обеспечения информационной безопасности России". Рекомендую эту книгу тем читателям, кому интересна не только история нашей Фирмы, но и малоизвестные страницы отдельных этапов создания современной отечественной шифровальной техники.

Какая продукция Фирмы "АНКАД" может использоваться для нужд оборонно-промышленного комплекса?

Практически вся. Фирма "АНКАД" является признанным экспертом в области защиты компьютерной информации, наши специалисты обладают серьезнейшими знаниями в части криптографической защиты, защиты от несанкционированного доступа, создания доверенных и защищенных систем и комплексов для различных специальных применений, а также большим опытом использования этих знаний на практике. Все это в первую очередь востребовано именно в силовых ведомствах, предъявляющих наиболее строгие требования к качеству обеспечения безопасности своих информационных систем. Наиболее интересная с этой точки зрения продукция представляется нами на выставке "Армия-2016".

Абонентский шифратор "КРИПТОН-10"

В частности, семейство абонентских шифраторов "КРИПТОН" представлено наиболее современным из них – устройством "КРИПТОН-10". Его принципиальное отличие от более ранних наших шифраторов состоит в наличии нескольких шифрующих ядер, которые могут обрабатывать информацию параллельными потоками, что позволяет в совокупности достичь весьма высокой скорости шифрования данных.

Также на нашем стенде можно увидеть целый ряд специализированных шифраторов, среди которых проходной шифратор жестких дисков для шины Serial ATA 3.0 "КРИПТОН-ПШД/SATA-3" и проходной сетевой шифратор для гигабитных сетей Ethernet "КРИПТОН AncNet 1000". Быстродействие этих устройств позволяет им работать на данных высокоскоростных шинах практически без потерь в скорости передачи данных, обеспечивая при этом их качественную криптографическую защиту.

Помимо проходных сетевых шифраторов, мы представляем сетевой адаптер "AncNet Pro 1000-SX", предназначенный для доверенной передачи данных в компьютерных сетях с возможностью управления доступом к ним. Данный сетевой адаптер не оснащен функциями шифрования, но востребован по причине его разработки и производства в России. Кроме того, на выставке можно увидеть пару наших устройств "DIOD", которые позволяют обеспечить строго одностороннюю передачу данных из сети более низкой в сеть более высокой категории. Одно из устройств имеет только передающий оптический сетевой интерфейс, а второе – только приемный. Таким образом, обратная связь физически отсутствует, что делает невозможной утечку информации посредством данного сетевого соединения.

1 / 2

Из специализированных шифраторов на стенде представлены также уникальные устройства семейства "КРИПТОН-Интеграл", сочетающие в себе проходное шифрование жестких дисков и USB-носителей. В комплекте с ними могут использоваться как обычные USB-флэш-диски, так и разработанные нами доверенные носители серии "ОЗОН", обладающие различными специальными свойствами, а также реализованными непосредственно в них механизмами защиты информации.

Помимо аппаратных и программных средств шифрования, Фирмой "АНКАД" также разработано целое семейство устройств защиты от несанкционированного доступа к компьютерным ресурсам – аппаратно-программные модули доверенной загрузки "КРИПТОН-ЗАМОК", один из которых – "КРИПТОН-ЗАМОК/Е" – можно увидеть на стенде. Наши устройства выполняют не только функции, присущие обычным электронным замкам (это аутентификация пользователей, контроль целостности модулей операционной системы, доверенная и непрерывная загрузка и прочие), но и могут быть использованы как центральный модуль обеспечения безопасности вычислительной системы в целом. Это обусловлено возможностью управления со стороны замка специализированными шифраторами, о которых я говорил ранее, а также возможностью взаимодействия с программным обеспечением, работающим на уровне операционной системы компьютера (например, с системой разграничения доступа "КРИПТОН-ЩИТ" или с программными модулями защищенной инфраструктуры тонкого клиента "КРИПТОН-ТК"), что позволяет строить на базе устройств "КРИПТОН-ЗАМОК" комплексные замкнутые системы защиты компьютерной информации.

1 / 2

Мы пошли дальше создания обычных аппаратно-программных модулей доверенной загрузки, которые представляют собой устройства, подключаемые к шинам компьютера, скажем, к PCI Express. В течение последних лет мы совместно с нашими технологическими партнерами разработали семейство материнских плат с интегрированными в них модулями, обеспечивающими полный функционал устройств "КРИПТОН-ЗАМОК" непосредственно в материнской плате. Данные модули встроены в плату в виде набора микросхем, что, во-первых, делает их неизвлекаемыми, а во-вторых, позволяет усилить их защитные функции. На выставке "Армия-2016" представлены две материнские платы с интегрированными модулями АПМДЗ: KWBS и KWQ.

Материнские платы со встроенными защитными функциями могут лежать в основе вычислительной техники, обладающей специальными свойствами и предназначенной для обработки информации, составляющей государственную тайну, в том числе, с высокими грифами секретности. Наличие нескольких вариантов таких плат в различных форм-факторах позволяет производить на их основе широкую линейку вычислительной техники – от планшетов и тонких клиентов до серверов различного назначения и защищенных маршрутизаторов, в том числе, криптографических. Из данного модельного ряда на выставке "Армия-2016" мы представляем планшетный компьютер и два варианта терминальных станций.

Совместно с нашими партнерами мы также разрабатываем семейство компьютеров с крайне усиленными специальными свойствами, в том числе, с минимальными уровнями побочных электромагнитных излучений и наводок, позволяющими использовать компьютеры данного семейства в информационных системах, обрабатывающих критически важную информацию, не только в России, но и за рубежом. На нашем стенде можно увидеть моноблок и системный блок с периферией, выполненные по максимально жестким уровням требований.

Мы неоднократно участвовали в различных заказных опытно-конструкторских работах в интересах российских силовых ведомств. В том числе, мы выполнили ряд разработок в интересах Министерства обороны Российской Федерации. Из результатов таких работ на выставке представлены модуль цифровой обработки, управления и коммутации (и блок дистанционного управления этим модулем) системы радиосвязи, предназначенной для использования на уровне тактического звена управления сухопутных войск РФ, а также блок криптографической защиты информации унифицированной системы радиосвязи следующего поколения.

Устройство "БКЗИ-А"

Еще одним примером успешно выполненной нами ОКР в интересах Федеральной службы охраны РФ является разработка устройства "БКЗИ-А" (и, впоследствии, его модифицированного варианта "БКЗИ-АМ"), представляющего собой блок криптографической защиты информации, предназначенный для обеспечения безопасной передачи управляющей информации в радиоканалах управления системы подвижной спутниковой связи.

Резюмируя сказанное, скажу еще раз, что наша продукция обеспечивает качественную и комплексную защиту информации и отвечает самым высоким уровням требований, предъявляемым к системам обработки информации, составляющей государственную тайну. Следовательно, подавляющее большинство наших средств и систем востребованы в структурах оборонно-промышленного комплекса РФ.

Видно, что ваша продукция является технологически сложной. Не возникают ли у пользователей проблемы с ее внедрением и эксплуатацией?

Качественные средства, обеспечивающие настолько высокий уровень безопасности, не могут быть простыми. Наши специалисты стараются сделать нашу продукцию настолько простой в эксплуатации, насколько это возможно. И для рядовых пользователей это действительно возможно. Но от администраторов по информационной безопасности, осуществляющих настройку средств защиты и контроль за их использованием, требуется наличие серьезных знаний, как минимум, в области вычислительной техники и информационной безопасности.

Тем не менее, мы, конечно, не оставляем пользователей наедине со сложностями, которые могут возникать при эксплуатации наших средств. Во-первых, мы осуществляем подготовку пользователей к работе с нашей продукцией, в рамках которой мы даем как необходимые теоретические сведения, так и на практике показываем, как настроить наши средства и системы для достижения требуемого уровня безопасности.

Во-вторых, наши специалисты выполняют полный спектр работ по предпродажному консультированию наших клиентов, по последующему развертыванию и настройке средств защиты и дальнейшей технической поддержке.

Мы также осуществляем работы по внедрению не только наших средств, но и сложных интегрированных систем, включающих продукцию других производителей, на объектах заказчика. В этом случае заказчик получает вычислительную систему, в том числе распределенную, не только с установленными и корректно настроенными средствами защиты информации, но также с установленным и настроенным системным и прикладным программным обеспечением, сетевым оборудованием и так далее, то есть систему, полностью готовую к эксплуатации. Таким образом, мы готовы оказывать полный спектр услуг по системной интеграции, включая, при необходимости, разработку эксплуатационной документации на систему или объект защиты в целом.

Выполнение работ по развертыванию и настройке систем мы можем осуществлять и на закрытых объектах заказчиков.

Вы упомянули, что ряд разработок Фирма "АНКАД" выполняет совместно с технологическими партнерами. Не могли бы вы рассказать подробнее, какие компании являются вашими партнерами?

Мы охотно идем на партнерство с другими компаниями в тех случаях, когда видим, что сотрудничество будет обоюдно полезным.

Достаточно часто мы работаем в тесной связке с компаниями-разработчиками вычислительной техники, интеграторами, различными организациями, работающими в области защиты информации. Во многих случаях такое сотрудничество приводит к более эффективному выполнению опытно-конструкторских работ за счет того, что каждый участник такой совместной работы отвечает за выполнение задач, лежащих в области специализации конкретной компании, то есть задач, в которых каждая из сотрудничающих компаний обладает экспертными знаниями и адекватным опытом, а также наработками и зачастую готовыми решениями. В результате достигается кумулятивный эффект: сложнейшие разработки выполняются на высоком техническом и технологическом уровне и в достаточно сжатые сроки.

В качестве примера такого сотрудничества приведу успешно выполненную нами в интересах Министерства обороны РФ ОКР "Аргентон-2014" совместно с разработчиком и производителем средств вычислительной техники – компанией "Крафтвэй".

В результате этой работы было создано новое семейство материнских плат с интегрированными средствами защиты и на их основе – спектр защищенных и доверенных средств вычислительной техники для использования в качестве базовых средств в информационно-телекоммуникационных системах МО РФ. Некоторые из этих средств представлены нами на выставке "АРМИЯ-2016".

Серверная материнская плата семейства "Аргентон".png

На выставке можно увидеть и еще один результат совместной деятельности, в данном случае с компанией "Лагрон плюс", – это семейство СВТ с усиленными специальными свойствами.

Помимо компаний "Крафтвэй" и "Лагрон плюс", нашими основными технологическими партнерами являются компании "Актив-Софт" – производитель, в частности, устройств "Рутокен" (устройство представляет собой доверенное средство электронной подписи, идентификации и аутентификации), являющихся нашим совместным продуктом, а также ведущий отечественный разработчик и производитель микросхем – ПАО "Микрон", компания "Эшелон Технологии" и другие.

Вы неоднократно упоминали комплексные решения по защите информации? Можно ли привести примеры таких решений?

В качестве одного из примеров я могу привести архитектуру защищенного тонкого клиента.

Как известно, основная идея терминальных решений восходит к эпохе больших ЭВМ и сводится к тому, что вся обработка информации происходит на централизованных серверах, а на конечных рабочих местах она только отображается на экране. С точки зрения обеспечения информационной безопасности можно отметить некоторые важные свойства терминальных архитектур. Во-первых, физически информация хранится и обрабатывается только на выделенных серверах, которые могут быть защищены оргмерами. Во-вторых, такая централизованная обработка информации позволяет относительно легко организовать жесткий контроль информационных потоков в системе в целом, обеспечить мониторинг действий пользователей и управление системой в режиме реального времени. В-третьих, пользовательские терминалы в выключенном состоянии не содержат никакой информации, что значительно снижает требования к окружению, в котором терминалы эксплуатируются. Наконец, упрощается администрирование системы, установка обновлений и так далее.

Все это создает значительные преимущества для обеспечения качественной защиты информации. Архитектура тонкого клиента может рассматриваться как основная при построении информационных систем, обрабатывающих государственную тайну.

Компоненты архитектуры защищенного тонкого клиента

Наша архитектура защищенного тонкого клиента "КРИПТОН-ТК" представляет собой комплексную систему защиты поверх классических терминальных решений. Мы оснащаем наши терминалы и серверные компоненты архитектуры аппаратно-программными модулями доверенной загрузки и проходными шифраторами, позволяющими обеспечить как контроль и разграничение доступа к компонентам системы, так и защиту каналов связи между серверами и терминалами. Разработанный нами сервер защиты и управления терминалами является центральным компонентом архитектуры, осуществляющим, в частности, основные действия по управлению остальными ее компонентами и организации безопасного взаимодействия между ними. Он также предоставляет функции для администрирования, мониторинга действий пользователя и оперативного управления системой. Установленная на терминальных серверах система разграничения доступа "КРИПТОН-ЩИТ" обеспечивает разграничение доступа к файлам, реестру и устройствам для каждого приложения, работающего на терминальном сервере, позволяя запускать только разрешенные конкретному пользователю программные модули с индивидуально настроенными правами доступа к объектам файловой системы.

Это далеко не полный список усовершенствований классической архитектуры тонкого клиента, совокупность которых позволяет обеспечить качественную и комплексную защиту информации. Компоненты архитектуры "КРИПТОН-ТК" сертифицированы по высоким уровням требований, и мы позиционируем данную архитектуру в качестве основы для построения информационных систем, обрабатывающих информацию, составляющую государственную тайну с высокими грифами секретности.

Еще одним примером может служить комплексное решение, объединяющее возможности систем защиты от несанкционированного доступа и систем контроля и управления физическим доступом – СКУД.

СКУД и установленную на компьютере систему защиты можно воспринимать как два барьера, на которых выполняется контроль пользователя перед предоставлением ему доступа в защищаемое помещение и в информационную систему соответственно. В нашей комплексной системе защиты эти барьеры объединены. Объединяющим элементом является единый ключевой носитель пользователя – криптографическая смарт-карта с дуальным интерфейсом – контактным и бесконтактным, первый из которых используется в системе защиты от несанкционированного доступа, а второй – в СКУД.

Помимо выполнения основных функций защиты, объединенная система позволяет добиться согласованного взаимодействия этих двух барьеров. В частности, перед допуском пользователя в защищаемую информационную систему подсистема защиты от НСД анализирует, прошел ли пользователь успешно первый барьер защиты в виде СКУД, то есть получил ли он вообще доступ в помещение, в котором находятся защищаемые вычислительные средства. И, наоборот, при некорректном завершении работы в защищаемой информационной системе СКУД не разрешит пользователю покидать рабочее помещение до устранения данной проблемы.

Несмотря на кажущуюся простоту и очевидность такого решения, данная комплексная система позволяет усилить качество защиты и, в результате, противодействовать некоторым сценариям атак на защищаемую систему, возможных при использовании СКУД и системы защиты от НСД по отдельности.

Несколько отвлекусь от вопроса и скажу, что технологии радиочастотной аутентификации – RFID – кажутся нам весьма перспективными для усиления классических систем обеспечения информационной безопасности. Помимо описанного выше взаимодействия СКУД и системы защиты от НСД, с помощью RFID можно решать и другие задачи в данной области.

Приведу два примера. Во-первых, это задача контроля местонахождения каких-либо материальных объектов, например, флэш-дисков. Данные носители могут быть оснащены RFID-метками. Но поскольку RFID-метки могут быть достаточно легко экранированы, контроль местонахождения носителей можно организовать по принципу обязательной видимости метки в любой момент времени (за исключением заранее заданных таймаутов) в зоне действия одного из предопределенных RFID-ридеров, например, на рабочем месте пользователя или на складе.

Второй пример – контроль попыток несанкционированного вскрытия корпусов компьютеров, который может быть осуществлен с помощью RFID-метки, находящейся внутри корпуса и экранируемой им в закрытом виде. Отмечу, что на данное решение нами оформлена заявка на получение патента на изобретение.

Комплексная система защиты на основе технологий RFID

Поскольку зашла речь о перспективных технологиях, не могли бы вы поделиться планами Фирмы "АНКАД" на будущее, обрисовать перспективы дальнейшей деятельности вашей компании?

Как я уже говорил ранее, мы стараемся идти в ногу со временем и соответствовать актуальным потребностям наших клиентов и заказчиков. А уровень вычислительной техники все время меняется, происходит постоянное ее усовершенствование: увеличивается быстродействие в части обработки данных, постоянно повышаются требования к объему хранимой и передаваемой информации и в соответствии с ними постоянно увеличивается пропускная способность различных шин передачи данных как внутри компьютерного оборудования, так и снаружи.

За 25 лет существования нашей Фирмы вычислительная техника изменилась кардинально. В качестве только одного из множества примеров можно взять скорость передачи данных по локальным сетям: если в 1991 году распространенными и вполне достаточными были 10-мегабитные сети, то сейчас даже в локальных сетях активно используется гигабитное оборудование, полный переход на которое – не за горами.

Аналогичные изменения происходят и в программном обеспечении – как в системном, так и прикладном. И, поставив себе задачу соответствовать современным требованиям, приходится все время отслеживать технологический рост, постоянно совершенствуя собственную продукцию, выпуская, например, те же проходные сетевые шифраторы, способные обрабатывать гигабитный трафик. А иногда важно действовать и на опережение, предугадывая и предвосхищая новые технологические вызовы.

С другой стороны, область защиты информации является хорошим примером постоянной "борьбы брони и снаряда": совершенствование и видоизменение угроз информационной безопасности и способов их реализации приводит к необходимости создания качественно новых средств защиты информации, способных защищать не только от существующих и известных атак на информационные системы, но и дающих гарантию защиты от новых, перспективных, угроз в течение некоторого временного периода.

Поэтому мы не только разрабатываем определенные средства и системы, защищающие от конкретных угроз, но и находимся в постоянном поиске новых направлений и возможностей для качественного усовершенствования наших средств. Я давал ранее несколько примеров новых направлений и технологий защиты. В качестве еще одного примера приведу активное использование технологий виртуализации для существенного усиления традиционных систем защиты информации – прежде всего, систем защиты от несанкционированного доступа.

Направление нашей деятельности является весьма технологически сложным и наукоемким, что требует от нас постоянного проведения поисковых и исследовательских работ, цель которых – всегда находиться на "острие" развития технологий обеспечения информационной безопасности.

Мы всегда открыты для контактов с представителями наших потенциальных пользователей и заказчиков, регулирующих органов, компаний, работающих в области обеспечения информационной безопасности, учебных и научных организаций. Мы готовы как выполнять точечную доводку существующих средств защиты под специфические требования заказчиков, так и разрабатывать принципиально новые средства и системы защиты информации.

Компетенция наших сотрудников позволяет успешно выполнять работы самого широкого профиля – от разработки элементной базы до создания комплексных систем. Эффективность нашей деятельности по обеспечению информационной безопасности в интересах, прежде всего, силовых ведомств России доказывается нашей обширной экспозицией на выставке "Армия-2016", являющейся лишь некоторой частью тех разработок, которые наша относительно небольшая Фирма "АНКАД" успешно выполнила всего за 25 лет своего существования.