Бузов Г.А., Калинин С.В., Кондратьев А.В. Защита от утечки информации по техническим каналам (2005) (1095364), страница 38
Текст из файла (страница 38)
В программно-аппаратных комплексах систем защиты информации (ПАКСЗИ) от НСД это обычно реализуется: 203 Глава 4 ° проверкой уникальных идентификаторов аппаратных частей ПЭВМ; ° проверкой целостности назначенных для контроля системных файлов, в том числе файлов ПАКСЗИ НСД, пользовательских программ и данных; ° контролем обращения к операционной системе напрямую, в обход прерываний 008; ° исключением возможности использования ПЭВМ без аппаратного контроллера комплекса; ° механизмом создания замкнутой программной среды, запрещающей запуск привнесенных программ, исключающих несанкционированный выход в ОС.
При проверке целостности программной среды ПЭВМ вычисляется контрольная сумма файлов и сравнивается с эталонным (контрольным) значением, хранящимся в специальной области данных. Эти данные заносятся при регистрации пользователя и могут изменяться в процессе эксплуатации ПЭВМ. В комплексах защиты от НСД используется сложный алгоритм расчета контрольных сумм— вычисление значения их хэш-функций, исключающий факт необнаружения модификации файла.
Подсистема крилтоарафической защиты Подсистема криптографической защиты предназначена для усиления защиты пользовательской информации, хранящейся на жестком диске ПЭВМ или сменных носителях. Подсистема криптографической защиты информации позволяет пользователю зашифровать!расшифровать свои данные с использованием индивидуальных ключей, как правило, хранящихся в персональном ТМ-идентификаторе. Состав типового комплекса защиты от несанкционированного доступа В состав типового комплекса защиты ПЭВМ от НСД входят аппаратные и программные средства. К аппаратным средствам относятся аппаратный контроллер, съемник информации и персональные идентификаторы пользователей.
Аппаратный контроллер (рис. 4.15) представляет собой плату ((ЯА/РС)), устанавливаемую в один из слотов расширения материнской платы ПЭВМ. Аппаратный контроллер содержит ПЗУ с программным обеспечением, разъем для подключения считывателя информации и дополнительные устройства. 204 Методвг и средства защиты ин Рис.
4.15. Аппаратный контроллер Соболь» В качестве дополнительных устройств на аппаратном контроллере могут быть установлены реле блокировки загрузки внешних устройств (ЮС, СС1-РОМ, 8С81, Е!Р и т,п.); аппаратный датчик случайных чисел; энергонезависимая память. Считыватель информации представляет собой устройства, предназначенное для считывания информации с предьявляемого пользователем персонального идентификатора. Наиболее часто в комплексах защиты от НСД применяются считыватели информации с персональных идентификаторов типа Тоцсп Метогу ()Ьицоп) С8199Х, представляющие собой контактныв устройства.
В качестве считывателей информации могут использоваться считыватели смарт-карт (Вгпаг( Сагг! Неаг(ег) контактные и бесконтактные, а также биометрические считыватели информации, позволяющие идентифицировать пользователя по его биометрическим характеристикам (отпечаток пальца, личная подпись и т.п.). Персональный идентификатор пользователя представляет собой аппаратное устройство, обладающее уникальными некопируемыми характеристиками. Наиболее часто а системах защиты от НСД используются идентификаторы типа Тоасц-Мепюгу (!Ьцйоп), представляющие собой электронную схему, снабженную элементом питания и обладающую уникальным идентификационным номером длиной 64 бита, который формируется технологически.
Срок эксплуатации электронного идентификатора, декларируемый фирмой-производителем, составляет около 10 лет. Помимо ТМ-идентификаторов, в системах защиты от НСД используются идентификаторы типа Згпап Сагд (« Смарт-карта ). 20б Глава 4 Рис. 4.16. Смарт-карта Смарт-карта представляет собой пластиковую карточку (рис. 4.16.), со встроенной в нее микросхемой, содержащей энергонезависимую перезаписываемую память. Некоторые системы защиты от НСД допускают использование в качестве идентификатора биометрические признаки пользователя (личная подпись, отпечаток пальца и т.п.). Состав программных средств типовой системы защиты информации (СЗИ) от НСД приведен на рис. 4.17.
Все программное обеспечение комплекса защиты от НСД может быть условно разделено на три группы. Системные программы защиты — программы, выполняющие функции по защите и разграничению доступа к информации. Также с использованием данной группы программ выполняется настройка и управление системой защиты в процессе работы. Спецзагрузчик — программа, обеспечивающая доверенную загрузку базовой ОС.
Драйвер защиты («монитор безопасности» ) — резидентная программа, осуществляющая контроль полномочий и разграничение доступа к информационным и аппаратным ресурсам в процессе работы пользователя на АС (ПЭВМ). Программы установки — доступный только администратору СЗИ набор программ для управления работой системы защиты информации. Данный набор программ позволяет осуществлять штатный процесс установки и удаления системы защиты информации.
Программы системы идентификацииlаутентификации представляют собой набор программ для формирования и анализа индивидуальных признаков пользователя, используемых при проведении идентификации/аутентификации. В состав данной группы также входят программы создания и управления базой данных пользователей системы. Программа обучения — в общем случае представляет собой программу для накопления и анализа индивидуальных признаков поль- 206 Методы и средства защиты информации зователя (буквенно-цифровая комбинация персонального пароля, личная подпись, отпечатки пальцев) и выработки индивидуальной характеристики, которая записывается в базу данных. Программное обеспечение СЗИ Система идентификации/ Технологические программы а енти ика ии Спецзагрузчик Драйвер защиты Программа обучения Программы установки Программы администратора Программа идентификации База пользователей Рис.
4.1?. Состав программных средств типовой системы защиты информации 207 Системные программы защиты Программа формирования и анализа индивидуальных характеристик Программа восстановления стан ии Программа ведения системного журнала Базаданных характеристик пользователей Глава 4 База пользователей содержит уникальные номера идентификаторов пользователей, зарегистрированных в системе, а также служебную информацию (права пользователей, временные ограничения, метки конфиденциальности и т.д.). Программа идентификации управляет процессом проведения идентификации пользователя: выдает запрос предъявления идентификатора, производит считывание информации из персонального идентификатора, производит поиск пользователя в базе данных пользователей.
В случае если пользователь зарегистрирован в системе, формирует запрос к базе данных индивидуальных характеристик пользователей. База данных индивидуальных характеристик содержит индивидуальные характеристики всех пользователей, зарегистрированных в системе, и производит выборку необходимой характеристики по запросу программы идентификации. Технологические программы представляют собой вспомогательные средства для обеспечения безопасного функционирования системы защиты, доступные только администратору системы защиты. Программы восстановления станции предназначены для восстановления работоспособности станции в случае аппаратных или программных сбоев.
Данная группа программ позволяет восстанавливать первоначальную рабочую среду пользователя (существовавшую до установки системы защиты), а также производить восстановление работоспособности аппаратной и программной части системы защиты. Важной особенностью программ восстановления станции является возможность снять систему защиты нештатным образом, т.е. без использования программы установки, вследствие чего хранение и учет данной группы программ должен производиться особо тщательно. Программа ведения системного журнала предназначена для регистрации в системном журнале (специальном файле) всех событий, возникающих в системе защиты в момент работы пользователя.
Программа позволяет формировать выборки из системного журнала по различным критериям (все события НСД, все события входа пользователя в систему и т.п.) для дальнейшего анализа. Динамика работы комплекса защиты от НСД Для реализации функций комплекса защиты от НСД применяются следующие механизмы: 1. Механизм защиты от несанкционированной загрузки ОС, включающий идентификацию пользователя по уникальному иден- 208 Методы и средства защиты информации тификатору и аутентификацию подлинности владельца предъявленного идентификатора.
2. Механизм блокировки экрана и клавиатуры в тех случаях, когда могут быть реализованы те или иные угрозы информационной безопасности. 3. Механизм контроля целостности критичных, с точки зрения информационной безопасности, программ и данных (механизм защиты от несанкционированных модификаций). 4. Механизм создания функционально замкнутых информационных систем путем создания изолированной программной среды; 5. Механизм разграничения доступа к ресурсам АС, определяемый атрибутами доступа, которые устанавливаются администратором системы в соответствии каждой паре «субъект доступа-объект доступа» при регистрации пользователей.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
