РЭ БАС - НТЦ Контакт
advertisement
УТВЕРЖДАЮ
Директор
Закрытого акционерного
общества "НТЦ КОНТАКТ"
_____________А.А.Тепляков
"____"________ 2015
КОМПЛЕКС ПРОГРАММНО-АППАРАТНЫЙ
КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
«БАС»
Руководство по эксплуатации
Лист утверждения
СЮИК.465634.001 РЭ-ЛУ
Главный конструктор
________________Е.А. Федоров
«___» ___________2015
Нормоконтроль
________________В.В. Мухортов
«___» ___________2015
Инв. № подл.
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
Утверждено
СЮИК.465634.001 РЭ-ЛУ
КОМПЛЕКС ПРОГРАММНО-АППАРАТНЫЙ
КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
«БАС»
Руководство по эксплуатации
СЮИК.465634.001 РЭ
Инв. № подл.
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
Содержание
1 Описание и работа ....................................................................................................................... 5
1.1 Назначение изделия.............................................................................................................. 5
1.2 Технические характеристики .............................................................................................. 5
1.3 Состав изделия ...................................................................................................................... 7
1.4 Устройство и работа ............................................................................................................. 7
1.4.1 Устройство ..................................................................................................................... 7
1.4.2 Принцип работы ............................................................................................................ 7
1.5 Средства измерения, инструмент и принадлежности ....................................................... 9
1.6 Маркировка и пломбирование ............................................................................................ 9
1.7 Упаковка .............................................................................................................................. 10
2 Использование по назначению ................................................................................................ 11
2.1 Эксплуатационные ограничения....................................................................................... 11
2.2 Подготовка изделия к использованию ............................................................................. 11
2.2.1 Подключение ПАК «БАС» ......................................................................................... 11
2.2.2 Роли пользователей ..................................................................................................... 14
2.2.3 Этапы использования ПАК «БАС» ........................................................................... 15
2.2.4 Настройке устройства защиты клиента .................................................................... 16
2.2.5 Конфигурационные файлы устройства защиты клиента ........................................ 19
2.2.6 Смена пароля администратора на устройстве защиты клиента ............................. 21
2.2.7 Настройка сетевых интерфейсов и маршрутизации устройства защиты клиента 22
2.2.8 Настройка программного обеспечения устройства защиты клиента..................... 24
2.2.9 Настройка даты и времени на устройстве защиты клиента .................................... 26
2.2.10 Управление ключевой информацией
устройства защиты клиента .................. 27
2.2.11 Настройка сервера защиты ....................................................................................... 29
2.2.12 Конфигурационные файлы сервера защиты ........................................................... 30
2.2.13 Смена пароля администратора на сервере защиты ................................................ 30
2.2.14 Настройка сетевых интерфейсов сервера защиты ................................................. 31
2.2.15 Настройка маршрутизации сервера защиты ........................................................... 32
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Разраб.
Лагутко И.В.
Пров.
Федоров
Е.А.
В.А.
Н.конт
р.
Утв.
Мухортов В.В.
Подп.
Дата
Комплекс программноаппаратный криптографической
защиты информации
«БАС»
Руководство по эксплуатации
Тепляков А.А.
Инв. № подл.
Подп. и дата
Взам. инв. №
Лит.
О
Инв. № дубл.
Лист
Листов
2
57
ЗАО «НТЦ КОНТАКТ»
Подп. и дата
Формат А4
2.2.16 Настройка программного обеспечения сервера защиты ....................................... 33
2.2.17 Настройка даты и времени на сервере защиты ...................................................... 35
2.2.18 Управление ключевой информацией
сервера защиты ...................................... 35
2.3 Использование изделия...................................................................................................... 36
2.3.2 Вывод устройства из эксплуатации ........................................................................... 38
2.4 Действия в экстремальных условиях................................................................................ 39
3 Техническое обслуживание ...................................................................................................... 41
3.1 Общие указания .................................................................................................................. 41
3.2 Меры безопасности ............................................................................................................ 41
3.3 Порядок технического обслуживания .............................................................................. 41
4 Текущий ремонт ........................................................................................................................ 42
5 Хранение .................................................................................................................................... 43
6 Транспортирование ................................................................................................................... 44
7 Утилизация................................................................................................................................. 45
8 Ресурсы, сроки службы и хранения, гарантии изготовителя (поставщика) ........................ 46
Приложение А .............................................................................................................................. 47
Приложение Б ............................................................................................................................... 48
Приложение В ............................................................................................................................... 49
Приложение Г ............................................................................................................................... 52
Приложение Д............................................................................................................................... 53
Приложение Е ............................................................................................................................... 55
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
3
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
Настоящее руководство по эксплуатации распространяется на комплекс программноаппаратный криптографической защиты информации «БАС» (далее – ПАК «БАС»),
предназначенный для защиты информации, циркулирующей в каналах обмена аналоговой и
цифровой информацией, СЮИК.465634.001.
ПАК «БАС»
применяется
в
системах
обработки
информации
ограниченного
распространения и обеспечивает защиту как клиентской, так и серверной части системы.
Данный документ является эксплуатационным документом (ЭД), содержащим
сведения по эксплуатации, техническому обслуживанию и ремонту.
Руководство по эксплуатации описывает следующее:
– назначение и технические характеристики;
– принцип работы;
– порядок хранения и транспортирования;
– порядок монтажа и ввода в эксплуатацию.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
4
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
1 Описание и работа
1.1 Назначение изделия
1.1.1 ПАК «БАС» предназначен для защиты низкочастотных каналов обмена речевой
(аналоговой) информацией между абонентами, взаимодействующими по цифровому
протоколу IP через сети передачи данных, использующими в качестве абонентских устройств
программные или аппаратные IP-телефоны.
1.1.2 Область
применения
ПАК «БАС»
–
системы
обработки
информации
ограниченного распространения.
1.2 Технические характеристики
1.2.1 ПАК «БАС» состоит из:
а) устройства защиты клиента;
б) сервера защиты.
1.2.2 Устройство защиты клиента обеспечивает защиту информации, передаваемой со
скоростью до 3 Мбит/с.
1.2.3 Защита информации обеспечивается путем ее шифрования с использованием
криптографических алгоритмов на основе протоколов IPsec.
1.2.4 Управление устройством защиты клиента производится через отдельный от
портов обмена защищаемыми данными COM-порт.
1.2.5 Устройство защиты клиента обеспечивает:
– подключение к 10/100 Мбит/с Ethernet IEEE 802.3 порту IP-сети;
– подключение к 10/100 Мбит/с Ethernet IEEE 802.3 порту IP-телефона;
– шифрование трафика, передаваемого между IP-телефонами;
– шифрование трафика, передаваемого между IР-телефоном и Call-центром;
– управление криптографическими ключами;
– световую индикацию режимов работы и состояния изделия.
1.2.6 Сервер защиты обеспечивает:
– шифрование трафика между Call-центром и IP-телефонами;
– управление криптографическими ключами;
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
5
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
1.2.7 Скорость шифрования на сервере защиты не менее 1 Гбит/с.
1.2.8 Шифрование производится по ГОСТ 28147-89 и СТБ 34.101.31 – 2011.
1.2.9 Согласование ключей шифрования производится по СТБ 34.101.45 2013.
1.2.10 Личные ключи генерируются с использованием физического датчика случайных
числовых последовательностей (ДСЧП).
1.2.11 ПАК «БАС»
производит
проверку
работоспособности
устройства
при
включении и по запросу администратора.
1.2.12 При тестировании ПАК «БАС» осуществляет:
– тесты криптографических алгоритмов;
– контроль целостности программного обеспечения;
– контроль работоспособности ДСЧП и качества вырабатываемых случайных
числовых последовательностей.
1.2.13 ПАК «БАС» ведет циклически организованный журнал аудита, в который
заносится следующая информация:
– дата и время;
– вызываемая функция;
– идентификационные данные пользователя;
– результат (успешно/неуспешно).
1.2.14 Секретные (личные) ключи защищены от несанкционированного раскрытия,
модификации и подмены, открытые – от модификации и подмены.
1.2.15 Задержка обрабатываемого информационного потока в ПАК «БАС» при
шифровании не превышает 100 мс.
1.2.16 ПАК «БАС» имеет световую индикацию работоспособности.
1.2.17 ПАК «БАС» не ограничивает функциональные возможности используемых IPтелефонов и Call-центра.
1.2.18 Время готовности устройства защиты клиента к работе составляет не более 60 с.
1.2.19 ПАК «БАС» рассчитан на непрерывную круглосуточную работу.
1.2.20 Электропитание
устройства
защиты
клиента
осуществляется
от
сети
постоянного тока стандарта РоЕ напряжением 48 В (плюс/минус 10%).
1.2.21 Устройство защиты клиента по потребляемой мощности относится к первому
классу устройств согласно IEEE 802.3at. Мощность, потребляемая им, не превышает 3,8 Вт.
1.2.22 Мощность, потребляемая сервером защиты, не превышает 400 Вт.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
6
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
1.3 Состав изделия
1.3.1 Комплект поставки ПАК «БАС» приведен в таблице 1.
Таблица 1 – Комплект поставки ПАК «БАС»
Обозначение изделия
Наименование изделия
КолиПримечество Заводской номер
чание
(шт.)
Комплекс программноПримеаппаратный криптографической
чание 1,
СЮИК.465634.002
защиты информации «БАС».
примеУстройство защиты клиента.
чание 2
Комплекс программноаппаратный криптографической
СЮИК.465634.003
защиты информации «БАС».
Сервер защиты.
Комплект эксплуатационной
СЮИК.465634.001 ВЭ документации согласно
ведомости
Примечания
1 По согласованию с заказчиком в комплект поставки устройства защиты клиента может быть
включен источник питания стандарта PoE (инжектор – PoE).
2 Количество поставляемых устройств защиты клиента определяется договором на поставку.
1.4 Устройство и работа
1.4.1 Устройство
1.4.1.1 ПАК «БАС» состоит из:
– устройства защиты клиента, выполненного в виде уложенной в корпус платы,
которая содержит всю аппаратную часть устройства;
– сервера защиты, представляющего собой ПЭВМ, предназначенную для установки в
19-дюймовую стойку, оснащенную устройством защиты от несанкционированного доступа
ПАК «Барьер».
1.4.2 Принцип работы
1.4.2.1 Принцип работы ПАК «БАС» основан на организации шифрованного канала
связи между защищаемыми абонентскими устройствами.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
7
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
1.4.2.2 В процессе работы ПАК «БАС» выполняет следующие процессы:
– выпуск сертификатов открытых ключей по СТБ 34.101.19;
– формирование общего ключа, используемого в качестве ключа шифрования, в
соответствии с СТБ 34.101.66-2013;
– шифрование данных по СТБ 34.101.31-2012 или ГОСТ 28147-89 с использованием
таблицы подстановки из СТБ 34.101.50-2012;
– пересылка шифрованных сообщений;
– согласование окончания сеанса связи и уничтожение сеансовых объектов;
– контроль вскрытия корпуса.
1.4.2.3 Подключение ПАК «БАС» производится в разрыв защищаемой линии передачи
данных до оконечного оборудования.
1.4.2.4 ПАК «БАС» имеет два Ethernet-порта: порт «Абонент» и порт «Сеть». К порту
«Абонент» подключается оконечное устройство (IP-телефон, ПЭВМ, SIP-сервер), к порту
«Сеть» подключается сеть передачи защищаемых данных.
1.4.2.5 ПАК «БАС» обеспечивает зашифрование предаваемой речевой информации
путем создания защищенных IPSec-туннелей между подсетями. Таким образом, сервер
защиты и каждое из устройств защиты клиента находятся в отдельной защищенной подсети.
1.4.2.6 Питание устройства защиты клиента осуществляется по протоколу PoE.
1.4.2.7 Питание сервера защиты осуществляется от сети электропитания 220 В.
1.4.2.8 ПАК «БАС» сохраняет работоспособность и при отсутствии внешнего питания,
выполняя контроль вскрытия корпуса.
1.4.2.9 При обнаружении вскрытия корпуса происходит уничтожение личного ключа, а
если вскрытие корпуса произошло при включенном внешнем питании, производится
прерывание сеанса связи и перезагрузка устройства.
1.4.2.10 При включении и по запросу администратора ПАК «БАС» выполняет
самотестирование.
1.4.2.11 ПАК «БАС» имеет световую индикацию неисправностей. При обнаружении
неисправности ПАК «БАС» формирует серии вспышек светодиода «Ошибка». При этом
количество вспышек в серии указывает на причину неисправности:
– одна вспышка – был вскрыт корпус, уничтожен личный ключ;
– две вспышки – ошибка генератора случайных чисел или плохое качество случайной
числовой последовательности;
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
8
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
– четыре вспышки – ошибка выполнения криптографических алгоритмов;
– восемь вспышек – ошибка целостности программного обеспечения.
1.4.2.12 Количество вспышек, равное сумме некоторых из перечисленных вариантов,
указывает на наличие нескольких ошибочных ситуаций.
1.5 Средства измерения, инструмент и принадлежности
1.5.1 Для подключения ПАК «БАС» к сети передачи защищаемых данных и
абонентским устройствам используются сетевые кабели с разъемами, соответствующими
стандарту 8P8C.
1.5.2 Для подключения сервера защиты ПАК «БАС» к сети электропитания 220 В
используется шнур – соединитель, соответствующий ГОСТ 28244-96.
1.5.3 Настройка и управление устройством защиты клиенты осуществляется через
ПЭВМ, подключенную к нему через нуль-модемный кабель.
1.5.4 Для осуществления настройки и технического обслуживания устройства защиты
клиента ПАК «БАС» необходим персональный компьютер, соответствующий следующим
требованиям:
– наличие последовательного порта, соответствующего стандарту RS-232;
– наличие установленной ОС;
– наличие программы Microsoft HyperTerminal либо аналогичного терминального ПО;
– наличие свободно распространяемой утилиты tftp32.exe.
1.6 Маркировка и пломбирование
1.6.1 Маркировка ПАК «БАС» содержит следующую информацию:
– номинальное напряжение в вольтах;
– номинальную частоту в герцах;
– номинальный ток в миллиамперах или амперах;
– наименование изготовителя, торговый или фирменный знак;
– обозначение модели или типа, присваиваемого изготовителем.
1.6.2 На транспортной таре нанесена транспортная маркировка в соответствии с
ГОСТ 14192-96 с указанием манипуляционных знаков «Верх», «Хрупкое. Осторожно»,
«Беречь от влаги».
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
9
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
1.7 Упаковка
1.7.1 ПАК «БАС» и эксплуатационная документация, входящие в комплект поставки,
упакованы в пакеты из полиэтиленовой пленки толщиной не менее 0,1 мм по ГОСТ 10354-82
с последующей заваркой шва.
1.7.2 Временная противокоррозионная защита ПАК «БАС» проведена по варианту В310 – защита с помощью статического осушения воздуха по ГОСТ 9.014-78. Силикагель
технический по ГОСТ 3956-76 в пакете из хлопчатобумажной ткани по ГОСТ 29298-92
помещен вместе с изделием в полиэтиленовый пакет до его запайки.
1.7.3 В подборную транспортную тару вложен упаковочный лист. Упаковочный лист
составлен по форме предприятия-изготовителя, содержащей следующие сведения:
а) наименование и обозначение изделия;
б) количество упакованных изделий;
в) дату упаковки;
г) подпись или штамп ответственного за упаковку;
д) штамп ОТК.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
10
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
2 Использование по назначению
ВНИМАНИЕ: ПРИ РАБОТЕ С УСТРОЙСТВОМ СЛЕДУЕТ СОБЛЮДАТЬ МЕРЫ
ЭЛЕКТРОБЕЗОПАСНОСТИ.
2.1 Эксплуатационные ограничения
2.1.1 Климатическое исполнение ПАК «БАС» УХЛ 4 по ГОСТ 15150-69.
2.1.2 Условия эксплуатации ПАК «БАС»:
а) температура окружающей среды от плюс 5 до плюс 40 ºС;
б) относительная влажность окружающего воздуха не более 95 % при температуре
окружающего воздуха плюс 25 ºС;
в) атмосферное давление от 84 до 107 кПа (от 630 до 800 мм рт. ст.).
2.2 Подготовка изделия к использованию
2.2.1 Подключение ПАК «БАС»
2.2.1.1 Перед началом работы необходимо внимательно ознакомиться с технической
документацией на ПАК «БАС».
2.2.1.2 ПАК «БАС» обеспечивает при эксплуатации безопасность обслуживающего
персонала, электрическую и пожарную безопасность в соответствии с требованиями
СТБ МЭК 60950-1-2003, предъявляемыми к оборудованию класса I.
2.2.1.3 Подключать и отключать любые внешние устройства допускается только в
выключенном состоянии.
2.2.1.4 Перед началом эксплуатации ПАК «БАС» необходимо убедиться в отсутствии
механических повреждений.
2.2.1.5 Ввод в эксплуатацию ПАК «БАС» должен осуществляться в соответствии с
технической документацией на поставляемое изделие.
2.2.1.6 Для ввода в эксплуатацию ПАК «БАС» необходимо:
– подключить устройство защиты клиента к абонентскому устройству и сети передачи
защищаемых данных;
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
11
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
– обеспечить электропитание устройства защиты клиента при помощи источника
питания, соответствующего стандарту IEEE 802.3af (источника питания стандарта PoE);
– подключить сервер защиты к SIP-серверу и сети передачи защищаемых данных;
– обеспечить электропитание сервера защиты от сети электропитания 220 В;
– произвести настройку соединений.
2.2.1.7 Для
подключения
устройства
защиты
клиента
необходимо
выполнить
следующие действия:
– извлечь устройство защиты клиента из упаковки;
– подключить к порту «Сеть» устройства защиты клиента сеть передачи защищаемых
данных при помощи сетевого кабеля, соответствующего стандарту 8P8C (Ethernet-кабеля);
– сеть передачи защищаемых данных должна соответствовать стандарту IEEE 802.3af
(стандарту PoE), для обеспечения электропитания устройства защиты клиента;
– если сеть передачи защищаемых данных не соответствует стандарту IEEE 802.3af,
для обеспечения электропитания устройства защиты клиента необходимо применить
дополнительный источник питания стандарта IEEE 802.3af (инжектор PoE);
– инжектор PoE может быть включен в комплект поставки ПАК «БАС» по
согласованию с заказчиком;
– устройство защиты клиента передает электропитание стандарта IEEE 802.3af,
полученное с порта «Сеть», на порт «Абонент» для питания абонентского устройства;
– подключить к порту «Абонент» устройства защиты клиента абонентское устройство
(IP-телефон или эмулирующее IP-телефон устройство) при помощи Ethernet-кабеля;
– произвести запись о подключении устройства в паспорте.
2.2.1.8 Схема подключения устройства защиты клиента с электропитанием от сети
передачи защищаемых данных представлена на рисунке 1.
2.2.1.9 Схема подключения устройства защиты клиента с электропитанием от
дополнительного источника питания представлена на рисунке 2.
Абонентское
устройство
Порт
«Абонент»
Устройство
Порт
защиты
«Сеть»
клиента
Сеть передачи
защищаемых данных
стандарта IEEE 802.3af
Рисунок 1 – Схема подключения устройства защиты клиента с электропитанием от
сети передачи защищаемых данных
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
12
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
Сеть
электропитания
220 В
Абонентское
устройство
Устройство
Порт
защиты
«Сеть»
клиента
Порт
«Абонент»
Источник
питания
стандарта
PoE
Сеть передачи
защищаемых данных
Рисунок 2 – Схема подключения устройства защиты клиента с электропитанием от
дополнительного источника питания
ВНИМАНИЕ:
СЕТЬ
ПЕРЕДАЧИ
ЗАЩИЩАЕМЫХ
ДАННЫХ
СТАНДАРТА
IEEE 802.3AF ДОЛЖНА ПОДКЛЮЧАТЬСЯ К ПОРТУ «СЕТЬ», ПОДКЛЮЧЕНИЕ СЕТИ
ПЕРЕДАЧИ
ДАННЫХ
СТАНДАРТА
IEEE 802.3AF
К
ПОРТУ
«АБОНЕНТ»
НЕДОПУСТИМО.
2.2.1.10 В случае отключения устройства защиты клиента от сети электропитания
необходимо также отключить абонентское устройство от устройства защиты клиента. Новое
подключение устройства защиты клиента производится согласно пункту 2.2.7 настоящего РЭ.
Абонентское устройство должно подключаться только после того, как устройство защиты
клиента получило электропитание от сети.
2.2.1.11 Для подключения сервера защиты необходимо выполнить следующие
действия:
– извлечь сервер защиты из упаковки;
– подключить к порту «Сеть» сервера защиты сеть передачи защищаемых данных при
помощи Ethernet-кабеля;
– подключить к порту «Абонент» сервера защиты SIP-сервер при помощи Ethernetкабеля;
– подключить сервер защиты к сети электропитания 220 В при помощи кабеля питания,
соответствующего ГОСТ 28244-96;
– для управления сервером защиты подключить к нему монитор, клавиатуру и мышь;
– произвести запись о подключении устройства в паспорте.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
13
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
2.2.1.12 Схема подключения сервера защиты представлена на рисунке 3:
К сети
электропитания
220 В
Сервер
защиты
Порт
«Абонент»
SIP-сервер
Порт
«Сеть»
К сети передачи
защищаемых данных
Рисунок 3 – Схема подключения сервера защиты
2.2.1.13 Конфигурация защищенной сети IP-телефонии для двух абонентов приведена
на рисунке Б.1 Приложения Б. Количество абонентов защищенной сети IP-телефонии может
быть увеличено до необходимого значения.
2.2.2 Роли пользователей
2.2.2.1 ПАК «БАС» предполагает наличие трех ролей пользователей с доступными для
каждой из ролей функциями и с наличием определенных прав:
– роль гостя;
– роль администратора;
– роль пользователя.
2.2.2.2 Роль гостя выполняется по включению питания устройства до осуществления
первичной настройки ПАК «БАС» или в случае обнаружения ошибки. Роль гостя не
предполагает никаких действий по настройке устройства, чтению и записи журнала и других,
кроме аутентификации в системе ролей других пользователей. Выполнение роли гостя не
требует аутентификации.
2.2.2.3 Роль администратора предназначена для ввода ПАК «БАС» в эксплуатацию,
настройки устройства, восстановления работоспособности в случае возникновения ошибок, а
также для вывода ПАК «БАС» из эксплуатации. Основными функциями, выполняемыми
администратором, являются:
– первичная настройка устройства для работы в сети передачи данных;
– генерация личных ключей и формирование сертификатов открытых ключей
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
14
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
пользователей;
– управление личной ключевой информацией пользователей (запись, удаление,
администрирование);
– регистрация устройств защиты клиента на сервере защиты;
– периодический контроль работоспособности устройства и изменение настроек
устройства, в случае необходимости;
– администрирование журнала;
– восстановление работоспособности устройства в случае возникновения ошибок.
2.2.2.4 Роль пользователя заключается в установке сеанса связи по закрытому каналу
передачи данных по время эксплуатации устройства. После осуществления администратором
первичной настройки ПАК «БАС» роль пользователя выполняется по включению питания
устройства.
2.2.3 Этапы использования ПАК «БАС»
2.2.3.1 Использование ПАК «БАС» включает в себя следующие основные этапы:
– ввод ПАК «БАС» в эксплуатацию – настройка устройства администратором;
– эксплуатация ПАК «БАС» – использование устройства для защиты речевой
информации, передаваемой по каналам связи;
– вывод ПАК «БАС» из эксплуатации.
2.2.3.2 Ввод
устройства
защиты
клиента
в
эксплуатацию
осуществляется
администратором. На этапе ввода в эксплуатацию выполняется настройка устройства защиты
клиента, которая заключается в редактировании необходимых конфигурационных файлов, а
также генерации личных ключей и загрузке сертификатов открытых ключей в память
устройства.
2.2.3.3 Эксплуатация
устройства
защиты
клиента
ПАК «БАС»
осуществляется
пользователем. После выполнения администратором первичной настройки ПАК «БАС» роль
пользователя выполняется по включению питания устройства. Настройка устройства и
устранение возникающих в процессе эксплуатации ошибок осуществляется администратором.
2.2.3.4 Ввод сервера защиты в эксплуатацию осуществляется администратором. На
этапе ввода в эксплуатацию выполняется настройка сервера защиты, которая заключается в
редактировании необходимых конфигурационных файлов, регистрации устройств защиты
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
15
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
клиента на сервере защиты, а также генерации личных ключей и загрузке сертификатов
открытых ключей в память устройства.
2.2.3.5 Эксплуатацию сервера защиты ПАК «БАС» осуществляет администратор. В
процессе эксплуатации администратор проводит контроль работоспособности системы,
регистрирует новые устройства защиты клиента на сервере защиты, при необходимости
осуществляет смену используемого алгоритма шифрования.
2.2.3.6 Вывод ПАК «БАС» из эксплуатации осуществляется администратором. На
этапе вывода из эксплуатации происходит полное уничтожение всей ключевой информации,
хранящейся в памяти ПАК «БАС», а также отключение устройства от сети передачи
защищаемых данных.
2.2.4 Настройке устройства защиты клиента
2.2.4.1 Ввод в эксплуатацию устройства защиты клиента состоит из следующих этапов:
– подключение устройства защиты клиента к ПЭВМ;
– смена пароля администратора на устройстве защиты клиента;
– настройка сетевых интерфейсов устройства защиты клиента;
– настройка программного обеспечения устройства защиты клиента;
– настройка даты и времени;
– размещение личных ключей и сертификатов открытых ключей в памяти устройства
защиты клиента.
ВНИМАНИЕ:
ПОСЛЕ
ВЫПОЛНЕНИЯ
ВСЕХ
ВЫШЕПЕРЕЧИСЛЕННЫХ
НАСТРОЕК НЕОБХОДИМО ПЕРЕЗАГРУЗИТЬ УСТРОЙСТВО ЗАЩИТЫ КЛИЕНТА.
2.2.4.2 Операции по настройке устройства защиты клиента ПАК «БАС» выполняются
при помощи ПЭВМ, соответствующей требованиям, указанным в п. 1.5.4. Установленное на
ПЭВМ терминальное ПО используется для получения доступа к командной строке устройства
защиты клиента. Администратор устанавливает связь между ПЭВМ и устройством защиты
клиента, а затем подает необходимые команды в командную строку ПАК «БАС», используя
главное окно терминального ПО. Для получения доступа к командной строке устройства
защиты клиента необходимо:
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
16
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
– подключить
к
порту
«Управление»
устройства
защиты
клиента
ПЭВМ,
соответствующей требованиям, указанным в п. 1.5.4, при помощи COM-кабеля, входящего в
комплект поставки.
– на ПЭВМ запустить терминальную программу, установив параметры порта,
указанные на рисунке 4;
Рисунок 4 – Внешний вид окна «Свойства:COM»
– убедиться в появлении в окне программы лога загрузки операционной системы;
– убедиться в появлении приглашения на ввод логина и пароля формата freescale login:
в командной строке устройства защиты клиента. Отображение загрузки ОС устройства
защиты клиента в терминальном ПО показано на рисунке 5;
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
17
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
Рисунок 5 – Отображение загрузки ОС устройства защиты клиента в терминальном ПО
– осуществить вход в операционную систему устройства защиты клиента, введя логин
администратора root и транспортный пароль 11111111. В случае успешной авторизации в
качестве администратора устройства в рабочей области терминального ПО появится
приглашение на ввод команды в командную строку устройства защиты клиента формата
root@freescale ~$ , как показано на рисунке 6:
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
18
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
Рисунок 6 – Приглашение на ввод команды в командную строку устройства защиты
клиента
2.2.5 Конфигурационные файлы устройства защиты клиента
2.2.5.1 Основными
конфигурационными
файлами
устройства
защиты
клиента
являются:
– файл rc.local – содержит информацию о настройках сетевых интерфейсов eth0 и eth1
устройства защиты клиента. Файл rc.local расположен в директории /etc/rc.d;
– файл ipsec.conf – содержит информацию о настройках программного обеспечения
устройства защиты клиента. Файл ipsec.conf расположен в директории /etc/.
Примечание: в начале некоторых строк файлов rc.local и ipsec.conf присутствует
символ «#». Данный символ означает, что строка является неактивной, и записанные в ней
параметры не воспринимаются операционной системой устройства. Для активации такой
строки нужно удалить символ «#», сохранить изменения в файле и перезагрузить
операционную систему устройства.
2.2.5.2 Настройка сетевых интерфейсов и программного обеспечения устройства
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
19
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
защиты клиента осуществляется путем редактирования файлов rc.local и ipsec.conf при
помощи текстового редактора vi. Для редактирования файла rc.local необходимо подать
команду vi /etc/rc.d/rc.local в командную строку устройства защиты клиента. Для
редактирования файла ipsec.conf необходимо подать команду vi /etc/ipsec.conf в командную
строку устройства защиты клиента.
2.2.5.3 Текстовый редактор vi имеет три основных режима:
– командный режим – используется для перемещения по файлу и выполнения
редактирующих команд над текстом. Редактирующие команды вызываются латинскими
буквами с клавиатуры ПЭВМ. Для перемещения по файлу в командном режиме можно
использовать стрелки на клавиатуре ПЭВМ;
– режим ввода текста – используется для внесения текстовой информации в файл.
Переход из командного режима в режим ввода текста осуществляется путем ввода одной из
команд редактирования текста (например, путем ввода команды a с клавиатуры ПЭВМ).
Переход из режима ввода текста в командный режим осуществляется путем нажатия клавиши
ESC на клавиатуре ПЭВМ;
– режим строчного редактора – используется для управления файлами. Переход в
режим строчного редактора осуществляется из командного режима. Команды в режиме
строчного редактора начинаются с символа «:».
2.2.5.4 Некоторые команды текстового редактора vi приведены в таблице 2:
Таблица 2 – Некоторые команды текстового редактора vi
Команда
h
j
k
l
w
e
b
dd
x
p
Функция
Перейти на один символ влево в текущей строке
Перейти к следующей строке
Перейти к предыдущей строке
Перейти на один символ вправо в текущей строке
Перейти к следующему слову в текущей строке
Перейти к концу текущего слова в текущей строке
Перейти к началу текущего слова в текущей строке
Удалить текущую строку
Удалить символ в позиции курсора
Поместить последний удаленный текст после текущего
символа
Заместить символ в позиции курсора символом,
находящимся справа от него
Удалить оставшуюся часть текущего слова
xp
dw
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
20
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
Продолжение таблицы 2
Перейти в режим ввода текста перед символом в текущей
позиции
Перейти в режим ввода текста после символа в текущей
позиции
Изменить текущий символ и перейти в режим ввода текста
для ввода символов замены
Вставить новую строку после текущей строки
i
a
C
o
cw
ESC (в режиме ввода
текста)
:q!+Enter
:w!+Enter
:wq+Enter
:ZZ+Enter
Удалить оставшуюся часть текущего слова и перейти в
режим вставки для его замены
Перейти из режима ввода текста в командный режим
Завершить редактирования файла с отменой всех
изменений
Записать файл (независимо от того, был ли он изменен или
нет)
Завершить редактирования файла с сохранением всех
изменений
Записать файл, если он был изменен, а затем выйти из
редактора
2.2.5.5 Для просмотра файлов rc.local и ipsec.conf без возможности редактирования
рекомендуется использовать редактор cat, подав в командную строку устройства защиты
клиента команды cat /etc/rc.d/rc.local и cat /etc/ipsec.conf, соответственно.
2.2.6 Смена пароля администратора на устройстве защиты клиента
2.2.6.1 В случае, если настройка устройства защиты клиента осуществляется в первый
раз, необходимо сменить пароль администратора.
ВНИМАНИЕ: ПРОЦЕДУРА СМЕНЫ ПАРОЛЯ АДМИНИСТРАТОРА ЯВЛЯЕТСЯ
ОБЯЗАТЕЛЬНОЙ, И В СЛУЧАЕ НЕВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ПО СМЕНЕ ПАРОЛЯ
ПРОИЗВОДИТЕЛЬ
НЕ
ГАРАНТИРУЕТ
ВЫПОЛНЕНИЕ
УСТРОЙСТВОМ
СВОИХ
ФУНКЦИЙ.
2.2.6.2 Для смены пароля администратора необходимо:
– осуществить подключение устройства защиты клиента и вход в операционную
систему согласно п. 2.2.4 настоящего РЭ;
– ввести команду passwd root в командную строку устройства защиты клиента;
– ввести новый пароль администратора, нажать клавишу Enter;
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
21
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
– повторно ввести новый пароль для подтверждения правильность набора;
– ввести команду reboot для перезагрузки операционной системы устройства;
– осуществить вход в систему, используя логин root и новый пароль администратора.
2.2.7 Настройка сетевых интерфейсов и маршрутизации устройства защиты
клиента
2.2.7.1 Настройка сетевых интерфейсов и маршрутизации устройства защиты клиента
осуществляется путем редактирования файла rc.local при помощи текстового редактора vi.
Порядок редактирования файлов при помощи vi описан в пп. 2.2.5.3, 2.2.5.4 настоящего РЭ.
2.2.7.2 Файл rc.local разделен на секции, в каждой из которых описаны определенные
параметры операционной системы устройства защиты клиента. Название каждой секции
начинается с символа «#» и пишется прописными латинскими буквами. В процессе настройки
устройства администратору необходимо отредактировать следующие секции файла rc.local:
– #ABONENT – содержит параметры сетевого интерфейса eth0 устройства защиты
клиента. Интерфейс eth0 соответствует порту «Абонент» устройства защиты клиента;
– #NETWORK – содержит параметры сетевого интерфейса eth1 устройства защиты
клиента. Интерфейс eth1 соответствует порту «Сеть» устройства защиты клиента;
– #ROUTES – содержит параметры маршрутизации между устройством защиты
клиента и сервером защиты.
ВНИМАНИЕ: РЕДАКТИРОВАНИЕ ОСТАЛЬНЫХ СЕКЦИЙ ФАЙЛА RC.LOCAL
НЕДОПУСТИМО.
2.2.7.3 Для настройки сетевых служб устройства защиты клиента необходимо:
– осуществить подключение устройства защиты клиента и вход в операционную
систему согласно п. 2.2.4 настоящего РЭ;
– ввести команду vi /etc/rc.d/rc.local в командную строку устройства защиты клиента
для редактирования файла rc.local при помощи редактора vi;
– при помощи стрелок на клавиатуре ПЭВМ перейти к секции #ABONENT файла
rc.local;
– перейти к строке формата
ifconfig eth0 XXX.XXX.XXX.XXX netmask YYY.YYY.YYY.YYY up,
где:
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
22
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
XXX.XXX.XXX.XXX – IP-адрес сетевого интерфейса eth0 устройства защиты клиента;
YYY.YYY.YYY.YYY – маска подсети, в которой находится IP-адрес сетевого
интерфейса eth0 устройства защиты клиента;
– изменить IP-адрес, установленный по умолчанию, на IP-адрес интерфейса eth0
устройства защиты клиента, используя клавиатуру ПЭВМ;
– изменить маску подсети, установленную по умолчанию, на маску подсети, в которой
находится IP-адрес сетевого интерфейса eth0 устройства защиты клиента;
– перейти к секции #NETWORK файла rc.local;
– перейти к строке формата
ifconfig eth1 XXX.XXX.XXX.XXX netmask YYY.YYY.YYY.YYY up,
где:
XXX.XXX.XXX.XXX – IP-адрес сетевого интерфейса eth1 устройства защиты клиента;
YYY.YYY.YYY.YYY – маска подсети, в которой находится IP-адрес сетевого
интерфейса eth1 устройства защиты клиента;
– изменить IP-адрес, установленный по умолчанию, на IP-адрес интерфейса eth1
устройства защиты клиента;
– изменить маску подсети, установленную по умолчанию, на маску подсети, в которой
находится IP-адрес сетевого интерфейса eth1 устройства защиты клиента;
– перейти к секции #ROUTES файла rc.local;
– перейти к строке формата
route add -net XXX.XXX.XXX.XXX/YY gw ZZZ.ZZZ.ZZZ.ZZZ dev eth1,
где:
XXX.XXX.XXX.XXX – IP-адрес подсети, в которой находится IP-адрес сетевого
интерфейса eth0 сервера защиты.
YY – маска подсети, в которой находится IP-адрес сетевого интерфейса eth0 сервера
защиты. Маска подсети для сервера защиты указывается в формате CIDR;
ZZZ.ZZZ.ZZZ.ZZZ – IP-адрес сетевого интерфейса eth1 сервера защиты;
– изменить адрес и маску подсети, установленные по умолчанию, на адрес и маску
подсети, в которой находится IP-адрес сетевого интерфейса eth0 сервера защиты;
– изменить IP-адрес, установленный по умолчанию, на IP-адрес интерфейса eth1
сервера защиты;
– сохранить внесенные изменения в файле rc.local и выйти из редактора vi.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
23
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
2.2.7.4 Подать команду reboot для перезагрузки операционной системы устройства
защиты клиента и загрузки новых сетевых параметров.
2.2.7.5 Содержимое
файла
rc.local
устройства
защиты
клиента
приведено
в
Приложении B.
2.2.7.6 Информацию о настройках интерфейсов можно получить путем подачи в
командную строку команды ifconfig.
2.2.8 Настройка программного обеспечения устройства защиты клиента
2.2.8.1 Настройка
программного
обеспечения
устройства
защиты
клиента
осуществляется путем редактирования файла ipsec.conf при помощи текстового редактора vi.
2.2.8.2 Файл ipsec.conf разделен на секции, в каждой из которых описаны
определенные параметры IPSec-соединения:
– conn %default – содержит общие параметры для всех IPSec-соединений;
– conn <Имя_соединения> – содержит параметры конкретного IPSec-соединения.
2.2.8.3 Для настройки программного обеспечения устройства защиты клиента
необходимо:
– подать команду vi /etc/ipsec.conf в командную строку устройства защиты клиента для
редактирования файла ipsec.conf при помощи редактора vi;
– при помощи стрелок на клавиатуре ПЭВМ перейти к секции conn %default файла
ipsec.conf, содержащей общие настройки IPsec-соединения;
– перейти к строке формата
left=XXX.XXX.XXX.XXX,
где:
XXX.XXX.XXX.XXX – IP-адрес
интерфейса
eth1
устройства
защиты
клиента,
соответствующего порту «Сеть» устройства защиты клиента;
– изменить IP-адрес, установленный по умолчанию, на IP-адрес интерфейса eth1
устройства защиты клиента;
– перейти к строке формата
leftsubnet=XXX.XXX.XXX.XXX/YY,
где:
XXX.XXX.XXX.XXX – IP-адрес подсети, в которой находится IP-адрес интерфейса
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
24
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
eth0 устройства защиты клиента, соответствующего порту «Абонент» устройства защиты
клиента;
YY – маска подсети в формате CIDR, в которой находится IP-адрес интерфейса eth0
устройства защиты клиента, соответствующего порту «Абонент» устройства защиты клиента;
– изменить адрес и маску подсети, установленные по умолчанию, на адрес и маску
подсети, в которой находится IP-адрес сетевого интерфейса eth0 устройства защиты клиента;
– перейти к строке формата
leftid=X,
где:
X – идентификатор
устройства
защиты
клиента
для
IPSec-соединения
между
устройством защиты клиента и сервером защиты;
– изменить идентификатор по умолчанию на идентификатор устройства защиты
клиента;
– выбрать используемый алгоритм шифрования, удалив в одной из строк формата
#esp=xxxx_xxx символ «#», приведя строку к виду esp=xxxx_xxx. Список обозначений
доступных алгоритмов шифрования приведен в Приложении Г. Выбранный алгоритм
шифрования должен совпадать с алгоритмом, используемым на сервере защиты;
– убедиться, что символ «#» присутствует перед обозначениями оставшихся
алгоритмов;
– перейти к секции conn serv-client1 файла ipsec.conf, содержащей настройки IPsecсоединения между устройством защиты клиента и сервером защиты;
– перейти к строке формата
right=XXX.XXX.XXX.XXX,
где:
XXX.XXX.XXX.XXX – IP-адрес интерфейса eth1 сервера защиты, соответствующего
порту «Сеть» сервера защиты;
– изменить IP-адрес, установленный по умолчанию, на IP-адрес сетевого интерфейса
eth1 сервера защиты;
– перейти к строке формата
rightsubnet=XXX.XXX.XXX.XXX/YY,
где:
XXX.XXX.XXX.XXX – IP-адрес подсети, в которой находится адрес интерфейса eth0
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
25
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
сервера защиты, соответствующего порту «Абонент» сервера защиты;
YY – маска подсети в формате CIDR, в которой находится адрес интерфейса eth0
сервера защиты, соответствующего порту «Абонент» сервера защиты;
– изменить адрес и маску подсети, установленные по умолчанию, на адрес и маску
подсети, в которой находится IP-адрес сетевого интерфейса eth0 устройства защиты клиента;
– перейти к строке формата
rightid=X,
где:
X – идентификатор сервера защиты для IPSec-соединения между устройством защиты
клиента и сервером защиты;
– изменить идентификатор, установленный по умолчанию, на идентификатор сервера
защиты;
– сохранить внесенные изменения в файле ipsec.conf;
– выйти из редактора vi.
2.2.8.4 Содержимое файла ipsec.conf устройства защиты клиента приведено в
Приложении Д.
2.2.9 Настройка даты и времени на устройстве защиты клиента
2.2.9.1 Для настройки даты и времени администратору необходимо выполнить
следующие действия:
– осуществить подключение устройства защиты клиента и вход в операционную
систему согласно п. 2.2.4 настоящего РЭ;
– подать команду формата date MMDDhhmmCCYY.ss в командную строку устройства
защиты клиента, где
MM – текущий месяц;
DD – день месяца;
hh – часы;
mm – минуты;
CCYY – 4 цифры года;
ss – секунды;
– подать команду hwclock -w;
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
26
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
– подать команду hwclock -r. В случае, если настройка была завершена успешно, на
экран будет выведено текущее значение даты и времени;
– подать команду reboot в командную строку для перезагрузки операционной системы
устройства защиты клиента.
2.2.10 Управление ключевой информацией устройства защиты клиента
2.2.10.1 Для создания ключевой информации администратору необходимо:
– произвести подготовку устройства защиты клиента;
– сгенерировать ключевую пару;
– перенести открытый ключ из устройства защиты клиента на ПЭВМ;
– выпустить сертификат открытого ключа;
– загрузить корневой сертификат и сертификат открытого ключа в устройство защиты
клиента.
2.2.10.2 Подготовка устройства защиты клиента к созданию ключевой информации
заключается в следующем:
– отключить абонентское устройство от порта «Абонент» устройства защиты клиента;
– подключить к порту «Абонент» устройства защиты клиента ПЭВМ, используемую
для настройки устройства;
– получить доступ к настройкам сетевого соединения ПЭВМ;
– присвоить ПЭВМ IP-адрес, принадлежащий подсети, в которой находится IP-адрес
логического интерфейса eth0 устройства защиты клиента;
– указать маску подсети, в которой находится IP-адрес логического интерфейса eth0
устройства защиты клиента;
– сохранить внесенные изменения;
– на ПЭВМ выбрать директорию, предназначенную для обмена данными с
устройством защиты клиента, и поместить в нее корневой сертификат.
2.2.10.3 Для генерации личного ключа администратору необходимо выполнить
следующие действия:
– подать команду cd /etc/support в командную строку для перехода в папку,
содержащую утилиты тестирования и управления;
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
27
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
– выполнить процедуру генерации пары ключей, подав команду ./genpair в командную
строку, после чего устройство защиты клиента генерирует личный ключ и сохраняет его в
защищенной области, на его основе вырабатывает открытый ключ, который сохраняет в
файле PublicKey.txt в директории /etc/certs/.
2.2.10.4 Для переноса открытого ключа на ПЭВМ необходимо:
– на ПЭВМ запустить программу tftpd32.exe;
– в выпадающем меню Server interfaces программы tftpd32 указать IP-адрес ПЭВМ;
– нажать кнопку Browse, выбрать директорию, предназначенную для обмена данными
с устройством защиты клиента, нажать OK;
– подать в командную строку устройства защиты клиента команду cd /etc/certs для
перехода в директорию, предназначенную для временного хранения открытых ключей;
– подать в командную строку устройства защиты клиента команду
tftp -p -l <Имя_файла> <IP-адрес>,
где:
<Имя_файла> – имя временного файла, содержащего открытый ключ;
<IP-адрес> – IP-адрес ПЭВМ;
для передачи файла, содержащего открытый ключ, на ПЭВМ.
– убедиться в успешной передаче файла, содержащего открытый ключ, в директорию,
предназначенную для обмена данными с устройством защиты клиента.
2.2.10.5 Используя внешнее средство, выпустить сертификат открытого ключа,
сохранив его в директории, предназначенной для обмена данными с устройством защиты
клиента.
2.2.10.6 Для загрузки корневого сертификата и сертификата открытого ключа в
устройство защиты клиента необходимо:
– подать в командную строку устройства защиты клиента команду cd /etc/certs для
перехода в директорию, предназначенную для хранения корневого сертификата и
сертификата открытого ключа;
– подать в командную строку устройства защиты клиента команду
tftp -g -r <Имя_файла> <IP-адрес>,
где:
<Имя_файла> – полное имя файла сертификата открытого ключа;
<IP-адрес> – IP-адрес ПЭВМ;
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
28
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
для записи сертификата открытого ключа в устройство защиты клиента.
– повторить предыдущую команду, указав в качестве <Имени_файла> имя корневого
сертификата для записи корневого сертификата в устройство защиты клиента.
– подать в командную строку устройства защиты клиента команду ls для получения
списка файлов в директории;
– убедиться в успешной передаче сертификатов в файловую систему устройства
защиты клиента.
2.2.11 Настройка сервера защиты
2.2.11.1 Ввод в эксплуатацию сервера защиты состоит из следующих этапов:
– смена пароля администратора на сервере защиты;
– настройка сетевых интерфейсов сервера защиты;
– настройка программного обеспечения сервера защиты;
– настройка даты и времени;
– размещение личных ключей и сертификатов открытых ключей в памяти сервера
защиты;
– регистрация устройств защиты клиента на сервере защиты.
ВНИМАНИЕ:
ПОСЛЕ
ВЫПОЛНЕНИЯ
ВСЕХ
ВЫШЕПЕРЕЧИСЛЕННЫХ
НАСТРОЕК НЕОБХОДИМО ПЕРЕЗАГРУЗИТЬ СЕРВЕР ЗАЩИТЫ.
2.2.11.2 Для осуществления настройки сервера защиты необходимо предварительно
выполнить следующие операции:
– подключить к серверу защиты монитор, клавиатуру и мышь;
– включить питание сервера защиты, нажав кнопку на корпусе устройства;
– убедиться в появлении на экране приглашения на ввод логина и пароля;
– осуществить вход в операционную систему сервера защиты, введя логин
администратора server и транспортный пароль 11111111;
– получить доступ к командной строке операционной системы сервера защиты, открыв
программу Terminal при помощи ярлыка, находящегося на рабочем столе сервера защиты;
– ввести команду sudo –i для получения прав суперпользователя;
– повторно ввести транспортный пароль администратора 11111111 в ответ на запрос
пароля.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
29
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
2.2.12 Конфигурационные файлы сервера защиты
2.2.12.1 Основным конфигурационным файлом сервера защиты является файл
ipsec.conf. Данный файл содержит информацию о настройках программного обеспечения
сервера защиты. Файл ipsec.conf расположен в директории usr/local/etc/.
2.2.12.2 Настройка программного обеспечения сервера защиты осуществляется путем
редактирования файла ipsec.conf при помощи текстового редактора nano. Для редактирования
файла ipsec.conf необходимо подать команду nano usr/local/etc/ipsec.conf в командную строку
сервера защиты.
Примечание: в начале некоторых строк файла и ipsec.conf присутствует символ «#».
Данный символ означает, что строка является неактивной, и записанные в ней параметры не
воспринимаются операционной системой устройства. Для активации такой строки нужно
удалить символ «#», сохранить изменения в файле и перезагрузить операционную систему
устройства.
2.2.12.3 Перемещение по файлу в редакторе nano осуществляется при помощи стрелок
на клавиатуре сервера защиты. Ввод текстовой информации осуществляется латинскими
буквами с клавиатуры. Для удаления символов используются клавиши Backspace и Delete,
для вставки новой строки – клавиша Enter. Для выхода из редактора nano с сохранением
изменений необходимо ввести сочетание клавиш Ctrl+X, а затем клавиши Y и Enter. Для
выхода из редактора nano без сохранения изменений необходимо ввести сочетание клавиш
Ctrl+X, а затем клавиши N и Enter.
2.2.12.4 Для
просмотра
файла
ipsec.conf
без
возможности
редактирования
рекомендуется использовать редактор cat, подав в командную строку сервера защиты команду
cat usr/local/etc/ipsec.conf.
2.2.13 Смена пароля администратора на сервере защиты
2.2.13.1 В случае, если настройка сервера защиты осуществляется в первый раз,
необходимо сменить пароль администратора.
ВНИМАНИЕ: ПРОЦЕДУРА СМЕНЫ ПАРОЛЯ АДМИНИСТРАТОРА ЯВЛЯЕТСЯ
ОБЯЗАТЕЛЬНОЙ, И В СЛУЧАЕ НЕВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ПО СМЕНЕ ПАРОЛЯ
ПРОИЗВОДИТЕЛЬ
НЕ
ГАРАНТИРУЕТ
ВЫПОЛНЕНИЕ
УСТРОЙСТВОМ
СВОИХ
ФУНКЦИЙ.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
30
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
2.2.13.2 Для смены пароля администратора необходимо:
– осуществить вход в операционную систему сервера защиты согласно п. 2.2.11.2;
– ввести команду passwd server в командную строку сервера защиты;
– ввести новый пароль администратора, затем подтвердить правильность набора,
повторно введя новый пароль;
– ввести команду reboot для перезагрузки операционной системы сервера защиты;
– осуществить вход в операционную систему сервера защиты согласно п. 2.2.11.2,
используя новый пароль администратора.
2.2.14 Настройка сетевых интерфейсов сервера защиты
2.2.14.1 Настройка сетевых интерфейсов eth0 и eth1 сервера защиты осуществляется
при помощи встроенного ПО Network Manager. Интерфейс eth0 соответствует порту
«Абонент» сервера защиты. Интерфейс eth1 соответствует порту «Сеть» сервера защиты.
2.2.14.2 Для настройки сетевого интерфейса eth0 сервера защиты необходимо:
– запустить ПО Network Manager при помощи ярлыка Network Connections,
находящегося на рабочем столе сервера защиты;
– при наличии в списке уже установленных соединений удалить их, последовательно
выделяя мышью строки с названием соединения и нажимая кнопку Delete;
– для создания нового соединения нажать кнопку Add, в выпадающем меню Choose a
Connection Type выбрать тип соединения Ethernet, нажать кнопку Create…;
– в выпадающем меню Device MAC address выбрать MAC-адрес физического сетевого
интерфейса (порта «Абонент»), которому соответствует логический сетевой интерфейс eth0;
– перейти к содержимому вкладки IPv4 Settings;
– в выпадающем меню Method выбрать Manual;
– нажать кнопку Add;
– в поле Address ввести IP-адрес интерфейса eth0, в поле Netmask указать маску
подсети, в которой находится IP-адрес интерфейса eth0, поле Gateway оставить без
изменений.
– нажать кнопку Save.
2.2.14.3 Для настройки сетевого интерфейса eth1 сервера защиты необходимо:
– нажать кнопку Add, в выпадающем меню Choose a Connection Type окна выбрать тип
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
31
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
соединения Ethernet, нажать кнопку Create…;
– в выпадающем меню Device MAC address выбрать MAC-адрес физического сетевого
интерфейса (порта «Сеть»), которому соответствует логический сетевой интерфейс eth1;
– перейти к содержимому вкладки IPv4 Settings;
– в выпадающем меню Method выбрать Manual;
– нажать кнопку Add;
– в поле Address ввести IP-адрес интерфейса eth1, в поле Netmask указать маску
подсети, в которой находится IP-адрес интерфейса eth1, поле Gateway оставить без
изменений.
– нажать кнопку Save.
2.2.14.4 Информацию о настройках интерфейсов можно получить путем подачи в
командную строку команды ifconfig.
2.2.15 Настройка маршрутизации сервера защиты
2.2.15.1 Настройка маршрутизации сервера защиты осуществляется следующим
образом:
– запустить ПО Network Manager при помощи ярлыка Network Connections,
находящегося на рабочем столе сервера защиты;
– выделить соединение, соответствующее интерфейсу eth1, нажать кнопку Edit…;
– перейти к содержимому вкладки IPv4 Settings;
– нажать кнопку Routes…;
– в появившемся окне Editing IPv4 routes for Ethernet connection нажать кнопку Add…;
– в поле Address ввести IP-адрес подсети, в которой находится IP-адрес сетевого
интерфейса eth0 устройства защиты клиента №1, в поле Network указать маску подсети, в
которой находится IP-адрес сетевого интерфейса eth0 устройства защиты клиента №1, в поле
Gateway указать в качестве шлюза IP-адрес сетевого интерфейса eth1 устройства защиты
клиента №1, поле Metric оставить без изменений, нажать кнопку OK;
– аналогичным образом добавить маршрутизацию для каждого из устройств защиты
клиента, регистрируемых на сервере защиты;
– нажать кнопку Save.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
32
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
2.2.16 Настройка программного обеспечения сервера защиты
2.2.16.1 Настройка
программного
обеспечения
устройства
защиты
клиента
осуществляется путем редактирования файла ipsec.conf при помощи текстового редактора
nano.
2.2.16.2 Файл ipsec.conf разделен на секции, в каждой из которых описаны
определенные параметры IPSec-соединения:
– conn %default – содержит общие параметры для всех IPSec-соединений;
– conn <Имя_соединения> – содержит параметры конкретного IPSec-соединения.
2.2.16.3 Для настройки программного обеспечения сервера защиты необходимо:
– подать команду nano /usr/local/etc/ipsec.conf в командную строку сервера защиты
для редактирования файла ipsec.conf;
– при помощи стрелок на клавиатуре перейти к секции conn %default файла ipsec.conf,
содержащей общие настройки IPsec-соединения;
– перейти к строке формата
left=XXX.XXX.XXX.XXX,
где:
XXX.XXX.XXX.XXX – IP-адрес интерфейса eth1, соответствующего порту «Сеть»
сервера защиты;
– изменить IP-адрес, установленный по умолчанию, на IP-адрес интерфейса eth1
сервера защиты;
– перейти к строке формата
leftsubnet=XXX.XXX.XXX.XXX/YY,
где:
XXX.XXX.XXX.XXX – IP-адрес подсети, в которой находится IP-адрес интерфейса
eth0, соответствующего порту «Абонент» сервера защиты;
YY – маска подсети в формате CIDR, в которой находится IP-адрес интерфейса eth0,
соответствующего порту «Абонент» сервера защиты;
– изменить адрес и маску подсети, установленную по умолчанию, на адрес и маску
подсети, в которой находится IP-адрес сетевого интерфейса eth0 сервера защиты;
– перейти к строке формата
leftid=X,
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
33
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
где:
X – идентификатор сервера защиты для IPSec-соединения между устройством защиты
клиента и сервером защиты;
– изменить идентификатор по умолчанию на идентификатор сервера защиты;
– выбрать используемый алгоритм шифрования, удалив в одной из строк формата
#esp=xxxx_xxx символ «#», приведя строку к виду esp=xxxx_xxx. Список обозначений
доступных алгоритмов шифрования приведен в Приложении B. Выбранный алгоритм
шифрования также должен быть установлен на каждом из устройств защиты клиента,
зарегистрированных на сервере;
– убедиться, что символ «#» присутствует перед обозначениями оставшихся
алгоритмов;
– перейти к секции conn serv-client1 файла ipsec.conf, содержащей настройки IPsecсоединения между сервером защиты и устройством защиты клиента №1;
– перейти к строке формата
right=XXX.XXX.XXX.XXX,
где:
XXX.XXX.XXX.XXX – IP-адрес интерфейса eth1 устройства защиты клиента №1,
соответствующего порту «Сеть» устройства защиты клиента №1;
– изменить IP-адрес по умолчанию на IP-адрес интерфейса eth1 устройства защиты
клиента №1;
– перейти к строке формата
rightsubnet=XXX.XXX.XXX.XXX/YY,
где:
XXX.XXX.XXX.XXX – IP-адрес подсети, в которой находится адрес интерфейса eth0
устройства защиты клиента №1, соответствующего порту «Абонент» устройства защиты
клиента №1;
YY – маска подсети в формате CIDR, в которой находится адрес интерфейса eth0
устройства защиты клиента №1, соответствующего порту «Абонент» устройства защиты
клиента №1;
– изменить адрес и маску подсети, установленные по умолчанию, на адрес и маску
подсети, в которой находится IP-адрес сетевого интерфейса eth0 устройства защиты клиента
№1;
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
34
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
– перейти к строке формата
rightid=X,
где:
X – идентификатор устройства защиты клиента №1 для IPSec-соединения между
устройством защиты клиента №1 и сервером защиты;
– изменить идентификатор по умолчанию на идентификатор устройства защиты
клиента №1;
– для каждого из устройств защиты клиента, регистрируемых на сервере защиты,
необходимо создать секцию с описанием соединения conn <Имя_соединения>, аналогичную
секции conn serv-client1;
– выйти из редактора nano, сохранив внесенные в файл ipsec.conf изменения.
2.2.16.4 Содержимое файла ipsec.conf сервера защиты приведено в Приложении E.
2.2.17 Настройка даты и времени на сервере защиты
2.2.17.1 Для настройки даты и времени администратору необходимо выполнить
следующие действия:
– запустить системную службу настройки даты и времени при помощи ярлыка
Time & Date, находящегося на рабочем столе сервера защиты;
– в окне настройки даты и времени поставить отметку в опции Manually;
– выставить текущие значения даты и времени;
– закрыть окно программы;
– подать команду reboot в командную строку для перезагрузки операционной системы
сервера защиты.
2.2.18 Управление ключевой информацией сервера защиты
2.2.18.1 Для создания ключевой информации администратору необходимо:
– сгенерировать ключевую пару;
– перенести открытый ключ из сервера защиты на ПЭВМ, имеющую инструменты для
выпуска сертификатов открытых ключей;
– выпустить сертификат открытого ключа;
– загрузить корневой сертификат и сертификат открытого ключа в сервер защиты.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
35
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
2.2.18.2 Для генерации личного ключа администратору необходимо выполнить
следующие действия:
– подать команду cd /etc/support в командную строку для перехода в папку,
содержащую утилиты тестирования и управления;
– выполнить процедуру генерации пары ключей, подав команду ./genpair в командную
строку, после чего сервер защиты генерирует личный ключ и сохраняет его в защищенной
области, на его основе вырабатывает открытый ключ, который сохраняет в файле
PublicKey.txt в директории /etc/certs/.
2.2.18.3 Для переноса открытого ключа на ПЭВМ, имеющую инструменты для выпуска
сертификатов открытых ключей, можно воспользоваться любым удобным способом,
поддерживаемым ОС сервера защиты.
2.2.18.4 Используя внешнее средство, выпустить сертификат открытого ключа.
2.2.18.5 Поместить корневой сертификат и сертификат открытого ключа в директорию
/etc/certs/ сервера защиты. Для этого можно воспользоваться любым удобным способом,
поддерживаемым ОС сервера защиты.
2.3 Использование изделия
2.3.1 В процессе эксплуатации возможны три основных состояния ПАК «БАС»:
– нормальная работа;
– ошибка;
– администрирование устройства.
2.3.2 Нормальная
работа
ПАК «БАС»
не
предполагает
непосредственного
взаимодействия между пользователем и устройством. Поскольку ПАК «БАС» не накладывает
ограничений на функциональные возможности IP-телефонов и Call-центра, пользователь
имеет возможность осуществлять исходящие звонки, а также принимать входящие звонки при
помощи IP-телефона в обычном режиме.
2.3.3 ПАК «БАС» имеет световую индикацию. На лицевую панель ПАК «БАС»
вынесены 3 светодиода: «Работа», «Ошибка», «Питание». При правильной подаче на
устройство напряжения питания загорается светодиод «Питание», и начинается загрузка ОС,
после успешного завершения которой ПАК «БАС» готов к работе, о чем сообщит
загоревшийся светодиод «Работа» устройства защиты клиента. Светодиодом «Работа» сервера
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
36
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
защиты является светодиод активности жесткого диска, поэтому о загрузке ОС сервера
защиты и готовности к работе будет свидетельствовать его активное моргание. Нормальная
загрузка ОС устройства защиты клиента не должна превышать 60 сек.
2.3.4 В процессе работы ПАК «БАС» производит проверку своей работоспособности
при включении и по запросу администратора.
2.3.5 При обнаружении неисправности ПАК «БАС» формирует серии вспышек
светодиода «Ошибка». При этом количество вспышек в серии указывает на причину
неисправности:
– одна вспышка – был вскрыт корпус, уничтожен личный ключ;
– две вспышки – ошибка генератора случайных чисел или плохое качество случайной
числовой последовательности;
– четыре вспышки – ошибка выполнения криптографических алгоритмов;
– восемь вспышек – ошибка целостности программного обеспечения.
2.3.6 При возникновении ошибки пользователю следует обратиться к администратору
устройства.
2.3.7 Для проверки работоспособности ПАК «БАС» администратору необходимо:
– подать команду cd /etc/support в командную строку ПАК «БАС» для перехода в
папку, содержащую утилиты тестирования;
– подать команду ./check_prs в командную строку ПАК «БАС»;
– убедиться,
что
ПАК «БАС»
производит
генерацию
случайной
числовой
последовательности и выполняет проверку ее качества с выводом результата в командную
строку.
2.3.8 Администрирование
устройства
производится
администратором,
который
выполняет следующие основные функции:
– управление личной ключевой информацией пользователей (запись, удаление,
администрирование);
– периодический контроль работоспособности устройства и изменение настроек
устройства, если это необходимо;
– администрирование журнала;
– регистрация устройств защиты клиента на сервере защиты;
– восстановление работоспособности устройства в случае возникновения ошибок.
2.3.9 Администратор осуществляет периодическую смену ключевой информации.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
37
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
Процедура генерации пары ключей описана в п.п. 2.2.10, 2.2.18.
2.3.10 В
случае
ввода
в
эксплуатацию
нового
устройства
защиты
клиента
администратор должен зарегистрировать это устройство на сервере защиты. Процедура
регистрации устройств защиты клиента на сервере защиты описана в п. 2.2.16.
2.3.11 При необходимости администратор может сменить используемый режим
шифрования на сервере защиты. Процедура смены режима шифрования описана в п. 2.2.16.
После смены режима шифрования необходимо перезапустить ПО сервера защиты, подав в
командную строку устройства команду ipsec restart.
2.3.12 В случае смены режима шифрования на сервере защиты администратор должен
установить соответствующий режим шифрования на каждом из устройств защиты клиента,
зарегистрированных на сервере защиты.
2.3.13 В случае смены режима шифрования на сервере защиты администратор должен
установить на устройстве защиты клиента соответствующий режим шифрования. Процедура
смены режима шифрования описана в п. 2.2.8. После смены режима шифрования необходимо
перезапустить ПО устройства защиты клиента, подав в командную строку устройства
команду ipsec restart.
2.3.14 ПАК «БАС» ведет циклически организованный журнал аудита, который
включает в себя следующую информацию:
– дата и время;
– вызываемая функция;
– идентификационные данные пользователя;
– результат (успешно/неуспешно).
2.3.15 Контроль системного журнала осуществляет администратор.
2.3.16 Для получения доступа к системному журналу ПАК «БАС» администратору
необходимо подать в командную строку устройства команду cat /var/log/messages.
2.3.17 В случае возникновения ошибки администратор должен принять меры по ее
устранению. Наиболее вероятные ошибки описаны в разделе 4 настоящего РЭ.
2.4 Вывод устройства из эксплуатации
2.4.1 Вывод устройства из эксплуатации осуществляется администратором. На этапе
вывода из эксплуатации происходит полное уничтожение всей ключевой информации,
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
38
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
хранящейся в памяти ПАК «БАС», а также отключение устройства от сети передачи
защищаемых данных.
2.4.2 Для
полного
удаления
ключевой
информации
из
памяти
ПАК «БАС»
администратору необходимо:
– подать команду cd /etc/support в командную строку для перехода в папку,
содержащую утилиты тестирования;
– подать команду ./delkey в командную строку ПАК «БАС»;
– убедиться, что ПАК «БАС» производит обнуление личного ключа с выводом
результата в командную строку.
2.4.3 Вывод устройства защиты клиента из эксплуатации производится в следующем
порядке:
– отключить абонентское устройство от порта «Абонент» устройства защиты клиента;
– отключить устройство защиты клиента от сети передачи данных;
– если для электропитания устройства защиты клиента используется инжектор PoE,
отключить его от сети электропитания 220 В и сети передачи защищаемых данных;
– произвести запись об отключении устройства в паспорте;
– поместить устройство защиты клиента в упаковку.
2.4.4 Вывод сервера защиты из эксплуатации производится в следующем порядке:
– подать в командную строку команду shutdown –h 0;
– отключить сервер защиты от сети электропитания 220 В;
– отключить сервер защиты от сети передачи защищаемых данных;
– отключить сервер защиты от SIP-сервера;
– произвести запись об отключении устройства в паспорте;
– поместить сервер защиты в упаковку.
2.5 Действия в экстремальных условиях
2.5.1 На случай пожара, аварии или стихийного бедствия должны быть разработаны
специальные инструкции, утвержденные руководством предприятия, учреждения, в которых
предусматривается порядок вызова администрации, должностных лиц, вскрытие помещений,
очередность и порядок спасения.
2.5.2 В случае возгорания немедленно обесточить цепи питания и принять меры по
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
39
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
ликвидации очага возгорания имеющимися средствами пожаротушения.
ВНИМАНИЕ:
В
СВЯЗИ
С
ТЕМ,
ЧТО
ПРИБОР
ПОДКЛЮЧЕН
К
СЕТИ
ЭЛЕКТРОПИТАНИЯ НАПРЯЖЕНИЕМ 220 В, ЗАПРЕЩАЕТСЯ ПРИМЕНЯТЬ ДЛЯ
ТУШЕНИЯ КИСЛОТНЫЕ ОГНЕТУШИТЕЛИ.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
40
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
3 Техническое обслуживание
3.1 Общие указания
3.1.1 Техническое обслуживание проводят с целью обеспечения нормальной работы
ПАК «БАС» в течение всего срока эксплуатации.
3.1.2 Техническое обслуживание должно проводиться по графику, составленному и
утвержденному потребителем на основании рекомендаций настоящего раздела.
3.2 Меры безопасности
3.2.1 К техническому обслуживанию допускаются работники, изучившие настоящее
руководство по эксплуатации. При выполнении технического обслуживания необходимо
соблюдать все меры по технике безопасности при работе с электроустановками.
3.3 Порядок технического обслуживания
3.3.1 ПАК «БАС»
является
необслуживаемым
устройством.
При
эксплуатации
ПАК «БАС» должны выполняться профилактические осмотры не реже одного раза в год, при
этом:
– проверяется
целостность
корпусов
ПАК «БАС»,
надежность
крепления
и
подключения в местах использования;
– корпуса ПАК «БАС» очищаются от пыли и грязи.
3.3.2 В процессе обслуживания вскрытие корпуса ПАК «БАС» не допускается,
поскольку вскрытие корпуса приводит к нарушению установленной политики безопасности и
уничтожению ключевой информации.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
41
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
4 Текущий ремонт
4.1 Текущий ремонт ПАК «БАС» осуществляется предприятием-изготовителем.
4.2 Краткий перечень возможных неисправностей приведен в таблице 3.
Таблица 3 – Краткий перечень возможных неисправностей ПАК «БАС»
Вид неисправности
Не загорается светодиод
«Питание» после
включения устройства.
Причина
Неправильное включение
устройства защиты клиента.
Не загорается светодиод
«Питание» после
включения устройства.
Не загорается светодиод
«Работа».
Не загорается светодиод
«Работа».
Серия одиночных вспышек
светодиода «Ошибка».
Серия многократных
вспышек светодиода
«Ошибка».
Выход из строя ПАК «БАС».
Сбой загрузки ОС устройства
защиты клиента.
Выход из строя ПО ПАК «БАС».
Был вскрыт корпус. Уничтожена
ключевая информация.
Выход из строя отдельных узлов
ПАК «БАС».
Способ исправления
Проверить правильность
подключения устройства
защиты клиента.
Произвести подключение
согласно пункту 2.2.1
данного РЭ.
Обратиться к
производителю.
Перезапустить устройство
защиты клиента.
Обратиться к
производителю.
Произвести генерацию
новых ключей.
Обратиться к
производителю.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
42
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
5 Хранение
5.1 ПАК «БАС» не содержит в своем составе веществ и материалов, опасных для
жизни и здоровья человека и окружающей среды, и не требует принятия специальных мер
предосторожности при хранении.
5.2 Не допускается хранение ПАК «БАС» совместно с испаряющимися жидкостями,
кислотами и другими веществами, которые могут вызвать коррозию.
5.3 Хранение должно осуществляться в упаковке в отапливаемых складских
помещениях при температуре окружающего воздуха от плюс 5 до плюс 40 ºС и относительной
влажности не более 80 % при температуре окружающего воздуха плюс 25 ºС.
5.4 Постановка ПАК «БАС» на хранение и снятие с хранения оформляется приказом
(распоряжением) руководителя эксплуатирующей организации, в котором указывается
перечень работ, правила их проведения, меры безопасности, условия хранения.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
43
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
6 Транспортирование
6.1 ПАК «БАС» не содержит в своем составе веществ и материалов, опасных для
жизни и здоровья человека и окружающей среды, и не требует принятия специальных мер
предосторожности при транспортировании.
6.2 ПАК «БАС» в тарной упаковке должно транспортироваться в подборной таре
железнодорожным, авиационным (в герметизированных отсеках), водным (кроме морского) и
автомобильным видом транспорта на любое расстояние, в соответствии с правилами
перевозок, действующими на каждом виде транспорта.
6.3 Размещение и крепление транспортной тары с транспортируемыми изделиями в
транспортных средствах должно обеспечивать ее устойчивое положение и не допускать
перемещения во время транспортирования.
6.4 ПАК «БАС» должно сохранять после транспортирования в упакованном виде
конструкцию, внешний вид и работоспособность при воздействии на него в процессе
транспортирования механических ударных нагрузок многократного действия с пиковым
ускорением до 147 м/с2 (15 g) при длительности действия ударного ускорения от 10 до 15 мс.
6.5 Условия транспортирования ПАК «БАС» должны соответствовать:
– температура окружающего воздуха при транспортировании – от минус 40 до плюс
50 °С;
– относительная влажность окружающего воздуха – не более 95 % при температуре
окружающего воздуха плюс 25 °С;
– атмосферное давление от 84 до 107 кПа (от 630 до 800 мм рт. ст.).
6.6 В транспортных средствах, где перевозятся ПАК «БАС», не должно быть паров
кислот, щелочей и других химически активных веществ, пары или газы которых могут
вызвать коррозию.
6.7 Распаковку ПАК «БАС» после транспортирования при температуре ниже минус
10 °С проводить в отапливаемом помещении, предварительно выдержав его нераспакованным
не менее 2 ч.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
44
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
7 Утилизация
7.1 ПАК «БАС» не содержит в своем составе ядовитых и вредных веществ и
материалов, опасных для жизни и здоровья человека, а также представляющих опасность для
окружающей среды, и не требует специальных мер предосторожности при утилизации.
7.2 Утилизацию ПАК «БАС» проводят после окончания срока службы и заключения
комиссии о нецелесообразности дальнейшей эксплуатации ПАК «БАС».
7.3 Мероприятия по подготовке и отправке на утилизацию разрабатываются согласно
распоряжению
руководителя
предприятия в
соответствии
с
порядком
утилизации,
установленным на предприятии.
7.4 Все мероприятия по подготовке и отправке ПАК «БАС» на утилизацию должны
производиться при полном отключении защищаемых сетей.
7.5 При подготовке ПАК «БАС» к утилизации следует соблюдать меры безопасности,
предусмотренные для монтажных и механических работ. Для подготовки к утилизации
следует провести демонтаж ПАК «БАС» с целью извлечения узлов с электронными
компонентами,
которые
содержат
драгоценные
металлы,
и
извлечения
деталей,
изготовленных из цветных металлов.
7.6 ПАК «БАС» не представляет опасности для жизни, здоровья и окружающей среды
после окончания срока службы (эксплуатации).
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
45
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
8 Ресурсы, сроки службы и хранения, гарантии изготовителя (поставщика)
8.1 ПАК «БАС» при эксплуатации обеспечивает:
а) средний срок службы – не менее 10 лет с учетом проведения восстановительных
работ;
б) средний срок сохраняемости (от момента изготовления до ввода в эксплуатацию) –
не менее 18 месяцев, при соблюдении условий хранения.
8.2 Предприятие-изготовитель (поставщик) гарантирует соответствие ПАК «БАС»
требованиям технической документации при соблюдении потребителем правил и условий
эксплуатации, хранения, транспортирования и монтажа, установленных документацией.
8.3 Гарантийный срок хранения и эксплуатации ПАК «БАС» – 18 мес. со дня
реализации предприятием-изготовителем, при соблюдении условий хранения и эксплуатации.
8.4 Гарантийное обслуживание ПАК «БАС» осуществляется изготовителем или другой
организацией, имеющей с изготовителем соответствующее соглашение, за счет изготовителя.
8.5 Потребитель лишается права на гарантийное обслуживание при нарушении
условий эксплуатации, хранения, транспортирования и монтажа ПАК «БАС».
8.6 Послегарантийное обслуживание ПАК «БАС» осуществляется за счет потребителя
по договору между изготовителем или другой организацией, имеющей с изготовителем
соответствующее соглашение, и потребителем.
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
46
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
Приложение А
(справочное)
Перечень принятых сокращений
В настоящем руководстве по эксплуатации приняты следующие сокращения:
ВУ
– вычислительное устройство
ДСЧП
– датчик случайных числовых последовательностей
ОЗУ
– оперативное запоминающее устройство
ОC
– операционная система
ПАК
– программно-аппаратный комплекс
ПЗУ
– постоянное запоминающее устройство
ПО
– программное обеспечение
ПЭВМ
– персональная электронно-вычислительная машина
РЭ
– руководство по эксплуатации
ЭД
– эксплуатационный документ
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
47
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
Приложение Б
(справочное)
Конфигурация защищенной сети IP-телефонии для двух абонентов
SIP-сервер
10.1.0.10
10.1.0.1 eth0
Сервер
защиты
Устройство
защиты
клиента
УАЗИ1
192.168.0.2 eth1
Устройство
защиты
192.168.0.1 eth1
клиента
УАЗИ2
192.168.0.3 eth1
10.2.0.1 eth0
10.3.0.1 eth0
Маршрутизатор
10.2.0.10
10.3.0.10
ТЕЛ1
ТЕЛ2
Рисунок Б.1 – Пример конфигурации защищенной сети IP-телефонии
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
48
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
Приложение В
(справочное)
Пример содержимого файла rc.local устройства защиты клиента
#GLOBAL
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here
if [ -x "/usr/bin/rpm" -a -e "/tmp/ltib" ]
then
echo "rebuilding rpm database"
rm -rf /tmp/ltib
rpm --rebuilddb
fi
# fix up permissions
if [ -d /home/user ]
then
chown -R user.user /home/user
fi
# Add nodes when running under the hypervisor and static devices
if [ -r /sys/class/misc/fsl-hv/dev -a ! -r /dev/fsl-hv ]
then
echo "creating hypervisor nodes"
DEVID=`cat /sys/class/misc/fsl-hv/dev`
if [ -n "$DEVID" ]
then
MAJOR="${DEVID%:*}"
MINOR="${DEVID##*:}"
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
49
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
if [ \( "$MAJOR" -gt 0 \) -a \( "$MINOR" -gt 0 \) ]
then
rm -f /dev/fsl-hv
mknod /dev/fsl-hv c $MAJOR $MINOR
fi
fi
for i in 0 1 2 3 4 5 6 7
do
mknod /dev/hvc$i c 229 $i
done
fi
# add the fm device nodes
if [ -n "$(cat /proc/devices | grep fm | sed 's/\([0-9]*\).*/\1/')" -a ! -r /dev/fm0 ]
then
echo "creating fman device nodes"
cd /usr/share/doc/fmd-uspace-01.01/test/
sh fm_dev_create
cd fi
for i in 0 1 2; do
if [ -e /sys/class/graphics/fb$i ]; then
chmod 0666 /sys/class/graphics/fb$i/pan
fi
done
#GPIO LED
echo 68 > /sys/class/gpio/export
echo out > /sys/class/gpio/gpio68/direction
echo 1 > /sys/class/gpio/gpio68/value
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
50
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
#RM
rm -f /var/run/pluto.pid
rm -f /var/run/starter.pid
#ABONENT
ifconfig eth0 10.2.0.1 netmask 255.255.0.0 hw ether 00:00:00:00:00:03 up
#NETWORK
ifconfig eth1 192.168.0.2 netmask 255.255.255.0 hw ether 00:00:00:00:00:04 up
#FORWARDING
echo "1" > /proc/sys/net/ipv4/ip_forward
#ROUTES
route add -net 10.1.0.0/16 gw 192.168.0.1 dev eth1
#SYSCTL
sysctl -w net.ipv4.conf.all.rp_filter=2
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
51
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
Приложение Г
(справочное)
Список обозначений доступных алгоритмов шифрования
Таблица Г 1 – Список обозначений доступных алгоритмов шифрования для записи в ipsec.conf
gost28147_ctr
gost28147_cfb
belt_cbc
belt_cfb
Алгоритм шифрования ГОСТ 28147-89 в режиме гаммирования
Алгоритм шифрования ГОСТ 28147-89 в режиме гаммирования с
обратной связью
Алгоритм шифрования СТБ 34.101.31 – 2011 в режиме сцепления блоков
Алгоритм шифрования СТБ 34.101.31 – 2011 в режиме гаммирования с
обратной связью
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
52
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
Приложение Д
(справочное)
Пример содержимого файла ipsec.conf устройства защиты клиента
# /etc/ipsec.conf - strongSwan IPsec configuration file
config setup
charondebug = "lib 4"
conn %default
ikelifetime = 60m
keylife = 60m
rekeymargin = 3m
keyingtries = 1
# authby = secret
keyexchange = ikev2
mobike = no
# ike = aes256-sha1-modp1024
# esp = gost28147_cfb-sha1
# esp = gost28147_ecb-sha1
# esp = gost28147_ctr-sha1
# esp = belt_ecb-sha1
esp = belt_cbc-sha1
# esp = belt_cfb-sha1
# esp = belt_ctr-sha1
left = 192.168.0.2
leftsubnet = 10.2.0.0/16
leftid = @bas1
leftfirewall = yes
leftauth = eap-bsts
auto = route
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
53
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
conn serv-client1
right = 192.168.0.1
rightsubnet = 10.1.0.0/16
rightid = @server
rightauth = eap
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
54
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
Приложение Е
(обязательное)
Пример содержимого файла ipsec.conf сервера защиты
# /etc/ipsec.conf - strongSwan IPsec configuration file
config setup
conn %default
ikelifetime = 60m
keylife = 60m
rekeymargin = 3m
keyingtries = 1
# authby = secret
keyexchange = ikev2
mobike = no
# ike = aes256-sha1-modp1024
# esp = gost28147_cfb-sha1
# esp = gost28147_ecb-sha1
# esp = gost28147_ctr-sha1
# esp = belt_ecb-sha1
esp = belt_cbc-sha1
# esp = belt_cfb-sha1
# esp = belt_ctr-sha1
left = 192.168.0.1
leftsubnet = 10.1.0.0/16
leftid = @server
leftfirewall = yes
leftauth = eap
auto=route
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
55
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
conn serv-client1
right=192.168.0.2
rightsubnet=10.2.0.0/16
rightid=@bas1
rightauth = eap-bsts
conn serv-client2
right=192.168.0.3
rightsubnet=10.3.0.0/16
rightid=@bas2
rightauth = eap-bsts
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
56
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4
Лист регистрации изменений
Номера листов (страниц)
Изм.
изменен- замененаннулиновых
ных
ных
рованных
Всего
листов
(страниц)
в докум.
Входящий
№
№
Подп.
докум. сопроводительного
докум.
и дата
Дата
Лист
СЮИК.465634.001 РЭ
Изм Лист
№ докум.
Инв. № подл.
Подп.
57
Дата
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
Формат А4