Конявская Текхнология доверенного сеанса связи ДСС и средство 2015

ОС терминальных станций по сети и дальнейшей организации защищенной терминальной сессии с терминальным сервером, защищенным ПАК «Аккорд TSE». Однако и то, и другое решения предназначены для того, чтобы унифицировать клиентские рабочие места различного аппаратного состава, имеющие различные встроенные ОС или даже вовсе не имеющие в своем составе жесткого диска с какой-либо ОС. В дальнейшем о каждом из этих решений пойдет речь подробно.

ПАК «Центр-Т» построен на аппаратной базе ПСКЗИ ШИПКА – все компоненты комплекса реализованы на ШИПКАХ, которые в рамках этого решения выступают в качестве загрузочных носителей, применяются для контроля целостности и подлинности загружаемых по сети образов ПО (вычисления и проверки кодов аутентификации (КА)) и используются как идентификаторы в комплексе «Аккорд TSE» на терминальном сервере.

Также эти же самые ШИПКИ могут быть хранилищем ключей VPN, если дополнительно каналы в этой терминальной системе защищаются с помощью решений такого класса, и хранилищем ключей программных СКЗИ, если они используются в системе.

Кроме этого, ШИПКА может быть идентификатором для входа в ОС Windows и в Домен Windows (как смарт-карта).

Все эти функции являются дополнительными к основной криптографической функциональности ПСКЗИ ШИПКА. А именно:

-шифрование и подпись файлов и папок;

-защищенная электронная почта;

-защищенное хранение паролей и доступ к приложениям;

-защищенное хранение ключей и сертификатов.

Вдвух словах стоит сказать о последнем. ПСКЗИ ШИПКА позволяет организовать работу с криптографическими ключами тремя способами: напрямую с ключами как отдельными объектами, с обменом «из рук в руки», через использование цифровых сертификатов (как сертификатов, выдаваемых удостоверяющими центрами, так и самоподписанных), и в парадигме «сети доверия» (через специальную программную оболочку «Privacy»).

При этом возможно получение сертификатов на ключи, выработанные ШИПКОЙ, в самых разных УЦ, как путем заполнения webанкет, так и через запросы на сертификат в формате pkcs7.

Подробно эти функции будут рассмотрены в рамках соответствующей темы, наряду с применением ШИПКИ в составе УАПК

21

«Аккорд-У» (и совместно с этим комплексом), в составе ПАК «Аккорд», ПАК «Аккорд-В.», совместно с КриптоПро CSP, СКАД

«Сигнатура», VipNetClient, VPN Gate Client и др., а также ПАК

Privacy, построенным на базе ШИПКИ.

Этот комплекс позволяет сделать мобильными без потери защищенности не только ключи и само СКЗИ, но и настройки, которые зачастую представляют существенную сложность и ограничивают возможности человека по использованию, например, защищенной почты: повторить настройки на почтовом клиенте на очередном компьютере – не каждому под силу. Privacy же позволяет носить с собой настройки, поскольку они задаются не в почтовом клиенте, а непосредственно в Privacy и сохраняются в ШИПКЕ.

СКЗИ, полностью аналогичным ШИПКЕ, но в форм-факторе PCI-платы, является «Аккорд-У». За счет того, что PCI-плата позволяет несколько больше, чем USB-устройство, помимо версии, сертифицированной ФСБ России на класс КС3, нам удалось сделать также версию, сертифицированную на КВ2. Но с точки зрения реализации криптографических алгоритмов и даже с точки зрения пользовательского интерфейса «Аккорд-У» и ШИПКА – полностью аналогичны, и тот, кто умеет работать с ШИПКОЙ, не испытает ни малейших затруднений в работе с «Аккорд-У». Продукты могут работать навстречу, например, при построении обмена зашифрованными данными между центральным офисом и филиалами, в центральном офисе, где данных для обработки будет больше, может использоваться «Аккорд-У», а в филиалах – ШИПКИ. Именно так использует эти продукты один наш заказчик из сферы телерадиовещания.

Еще один крайне интересный пример использования ШИПОК и «Аккордов-У» – это построение на их базе УЦ «Автограф». Это не наш продукт, а ФГНУ ЦИТиС, но поскольку это единственный известный нам удостоверяющий центр, абсолютно все криптографические преобразования в котором выполняются аппаратно и, более того, на наших СКЗИ, то мы считаем необходимым остановиться на нем отдельно в рамках соответствующей темы.

Есть такие инфраструктурные элементы, которые почти никак не зависят от способа построения системы. Например, флешки. Как

22

бы ни строилась информационная система, они в ней почти всегда есть, даже если официально – нет. Флешки существенно упрощают жизнь, но и являются источником многих проблем. Однако если систематизировать, то проблем с флешками ровно две:

1)на них можно вынести то, что не положено, и считать на любом другом компьютере;

2)на них можно принести в информационную систему организации то, что не надо, например вирусы, подхваченные дома в похвальном стремлении повысить производительность труда.

Обе эти проблемы связаны с одной ключевой особенностью флешек: все компьютеры для них – одинаковы. Компьютеры могут различать флешки и допускать применение только разрешенных. Флешке же не объяснишь, что компьютеры тоже бывают разрешенные и неразрешенные, поэтому границы информационной системы для флешек носят условный характер и поддерживаются только организационными мерами.

На исключение именно этого недостатка направлено применение линейки «Секрет». Защищенные служебные носители «Секрет»

–это такие флешки, которые работают только на разрешенных для них компьютерах, а на всех остальных их диски просто не монтируются, поэтому не определяются системой как диск mass-storage. Этим достигается эффект отсутствия доступа не только пользователя к данным, но и системы к диску, то есть вирусы на подключенную, но не примонтированную флешку не запишутся.

Семейству продуктов «Секрет» посвящен отдельный однодневный курс.

Такое разнообразие линеек продуктов ОКБ САПР приводит на сегодняшний день к тому, что все, кроме каналов передачи данных, можно защитить комплексом наших взаимосвязанных средств, избегая тем самым пресловутого «зоопарка» средств защиты, чреватого проблемами совместимости и дублирования функций. Однако разработчиками ОКБ САПР постоянно ведутся работы по проверке (а в случае отрицательного результата – обеспечения) совместимости с продуктами других вендоров, а с наиболее авторитетными средствами защиты каналов мы интегрированы вплоть до интеграции в рамках одного средства (СОДС «МАРШ!»). Вопросы совместимости не вынесены в отдельную тему, но должны освещаться при рассмотрении каждого конкретного продукта.

23

Технология доверенного сеанса связи (ДСС) и средство обеспечения доверенного сеанса связи (СОДС) «МАРШ!»

(продолжительность стажировки – 1 день)

1. Теоретические и методологические основы метода

Парадигма доверенных вычислительных систем (вычислений, программного обеспечения, информационного взаимодействия) сформировалась далеко не единовременно. Первые ее «воплощения» были предложены, насколько нам известно, в 90-х годах прошлого столетия. Задача тогда формулировалась как задача создания функционально-замкнутой среды (ФЗС) и была предложена (опять-таки предположительно) А. Малютиным и А. Петровым.

Самой популярной в это время операционной системой была операционная система MS DOS, которая, напомним, была средой однопотоковой и однозадачной. ФЗС трактовалась как проверенная операционная среда, в которой выполняется проверенная задача из конечного списка проверенных задач, использующая проверенные данные.

После завершения работы этой программы можно было запустить другую из списка проверенных, но для этого нужно было повторить загрузку ОС с самого начала, повторяя тем самым все контрольные процедуры, обеспечивающие создание ФЗС. Эта концепция более чем соответствовала современному (на тот момент) уровню развития информационных технологий и поэтому оказалась востребованной организациями, использующими стандартизованные технологии обработки информации, в первую очередь банками.

Впервые в полном объеме решение задачи обеспечивалось СЗИ НСД «Аккорд» и СПО «Аккорд-1.х», что и послужило толчком к развитию аппаратных средств защиты от НСД.

Прошло несколько лет, и ФЗС стала сдерживающим фактором, так как новые операционные системы стали многозадачными и желающих ограничивать себя в использовании новых возможностей находилось все меньше.

Возникло противоречие между развивающимися возможностями ОС и прикладного ПО на этой основе и возможностями устаревших средств защиты от НСД, резко ограничивающих использование новых свойств информационных технологий. Противоречие

24

могло быть снято только развитием парадигмы защиты, и, конечно, долго ждать не пришлось.

Авторами следующего шага можно с высокой степенью уверенности назвать А. Петрова и А. Щербакова. Именно им принадлежит пальма первенства в формулировании концепции изолированной программной среды – ИПС. Ориентированная на многозадачные среды, концепция предполагала создание условий, при которых защищенная специальным образом операционная среда исключала взаимовлияние одновременно выполняемых задач. И в этом состояла изолированность исполняемых проверенных программ в проверенной ОС с проверенными данными.

Как и ранее, концепция была технически поддержана следующей версией СЗИ НСД «Аккорд» и СПО разграничения доступа «Аккорд-2.х».

Именно тогда развитие СВТ достигло уровня, при котором многие из компонентов компьютера сами по себе стали представлять собой независимые вычислительные системы – вплоть до собственного микропрограммного обеспечения. Стало понятно, что не только программы, ОС и данные должны быть проверенными. Необходимо быть уверенными и в «невредоносности» аппаратных средств.

А вот в этом убедиться уже просто невозможно.

Как можно проверить всю аппаратуру, все микропрограммы, во всех сочетаниях и вариантах?! Потребность в защищенности вновь вступила в противоречие со сложностью анализа. Сложность должна была быть многократно снижена – иначе декларирование защищенности становилось всего лишь ритуальными плясками при фактическом наличии «синдрома Мюнхгаузена» – имитации бурной деятельности по вытягиванию себя за волосы из болота.

Решение было найдено очень несложное – вынести ключевые операции по обеспечению безопасности в изолированную АППАРАТНУЮ среду, сложность которой позволяет проверить и ее, и микропрограммы управления, причем технологически выполненную так, чтобы целостность СЗИ не нарушалась. Такое решение получило название «резидентный компонент безопасности» – РКБ, а уточненная концепция ИПС стала называться доверенной вычислительной средой – ДВС, в англоязычной литературе впоследствии обозначаемой TPM – Trusted Platform Module.

Поддержанная возможностями нового варианта СЗИ «Аккорд»,

25

эта концепция сегодня является основной. Достаточно сказать, что условие доверенности необходимо при использовании ЭЦП. А можно ли представить себе современные системы без этих технологий?

Но прошло совсем немного времени, и мы столкнулись с неожиданным эффектом – эффектом лавинообразного внедрения информационных технологий в каждодневную жизнь людей: в банковскую сферу, сферу взаимодействия с государством, медицину, образование.

Информационные системы, между тем, постоянно усложняются

– такова логика бизнеса: потребитель неизбежно осознает, что ему требуется все больше и больше возможностей, сервисов и ресурсов. Пропорционально растет и сложность подсистем информационной безопасности, обеспечивающих серьезный уровень защищенности информационного взаимодействия. Взаимодействия либо просто очень большого, либо и вовсе неограниченного количества пользователей не контролируемых никем компьютеров, обладающих неограниченным разнообразием различных программных

иаппаратных ресурсов, с теми или иными информационными системами (банков, госуслуг, медицинских информационных систем

ит. д.). И если защитить сами эти информационные системы средствами обеспечения ДВС вполне возможно, то установить РКБ на каждый «домашний» компьютер абсолютно невозможно, как бы нам этого ни хотелось.

Ищем выход.

1.1. Доверенный сеанс связи, методология

До сих пор каждое новое решение было сложнее предыдущего, поскольку усложнялась задача. В данном случае не происходит изменения качества, происходит изменение количества. Значит, решение задачи путем усложнения инструментария – системно ошибочно, выход должен быть совсем прост.

Он основывается на разумном предположении, что далеко не все время гражданин взаимодействует с государством (и даже с банком). Есть у него и другие дела. Стало быть, можно снизить накал борьбы – и от дорогих мер по созданию ДВС «навсегда» перейти к обеспечению доверенного сеанса связи (ДСС) только на время связи. Закончится сеанс – перезагрузись, получи доступ ко

26

всем, даже непроверенным, ресурсам и работай, как обычно, довольствуясь антивирусом. Нужна связь с государственными или банковскими информационными системами – загрузись с помощью создания средств ДСС, и на протяжении сеанса и сам будешь в безопасности, и другим не навредишь. Конечно, не все ресурсы компьютера будут при этом доступны, но вряд ли стоит переписываться с подружкой, когда твоего ответа ждет чиновник, ответа которого ждут еще сотни граждан, или слушать музыку, отправляя платежи.

Это очевидным образом напоминает ФЗС, но только на новом уровне. Значит, уже сейчас можно предсказать, как будет развиваться парадигма безопасности дальше.

Концепция ДСС развивается ОКБ САПР уже довольно давно. Суть концепции заключается в том, что компьютер практически всегда используется в незащищенных сетях, и только иногда – в защищенных. Значит, нужно добиваться не «тотальной» защиты, что дорого и неудобно, а защиты, при которой «опасные» ресурсы разделяются и не могут использоваться совместно.

Необходимый уровень защищенности ПК обеспечивается только на те периоды времени, когда высокая защищенность действительно требуется.

При этом пользователи могут выбирать режим работы на своем ПК: обычный режим (без доступа к сервисам доверенной информационной системы (ИС)) и режим доверенного сеанса связи, в рамках которого обеспечивается защищенная работа с сервисами ИС. В рамках первого они работают без ограничений, накладываемых безопасностью: запускают любые программы, свободно «гуляют» по Интернету, подключают любое неизвестное и непроверенное оборудование. В рамках же второго режима им недоступны никакие ресурсы компьютера, кроме доверенных, предназначенных только для работы с доверенной ИС и гарантированно не используемых ни для каких других целей.

Определение: Доверенный сеанс связи – период работы компьютера, в рамках которого обеспечивается доверенная загрузка ОС, организуется защищенное соединение, а также поддерживаются достаточные условия работы с ЭП.

27

1.2.Технология ДСС на базе ПАК «Аккорд» с SATA-коммутатором, разбор примера

Интересный вариант создания ДСС используется с 2008 года в одной из государственных структур. Задача – использовать одни и те же ПК в различных режимах в разные временные интервалы. При этом в защищенном режиме отключена сеть и недоверенные источники информационных ресурсов, а в незащищенном режиме недоступен защищенный диск. Такой режим обеспечивается совместным применением многих СЗИ НСД, в том числе «АккордАМДЗ» и «Аккорд-Win32», а переключение дисков «на лету» осуществляется с помощью специального аппаратного дополнения к СЗИ НСД «Аккорд», которое называется «Коммутатор SATAустройств».

Логика решения довольно проста. Есть известный во многих организациях прием, когда для работы с контурами разной степени защищенности ставятся отдельные ПК. Это дорого и громоздко. Если же использовать один ПК с двумя изолированными жесткими дисками, то получается и меньше места, и меньше лишних переплат.

Итак, на одном и том же ПК должны быть установлены два независимых друг от друга жестких диска, с которых загружаются разные операционные системы. Один из дисков предназначен для обработки сведений ограниченного распространения, а другой – нет. Хорошо понятно, что защищенность в такой модели может быть обеспечена на должном уровне только в одном случае – если доступ к этим дискам строго разграничен и у них нет общих ресурсов, через которые могла бы произойти утечка информации. То есть это по сути должны быть два разные компьютера в одном корпусе.

Как это реально можно осуществить? Очевидно, что программными средствами нельзя. Но и не любыми аппаратными средствами можно обеспечить разграничение доступа не на уровне приложений, ОС или внешних устройств типа принтера или сканера, а на уровне разграничения доступа к дисковым устройствам.

С помощью коммутатора SATA-устройств доступ к тому или иному жесткому диску блокируется на аппаратном уровне, и эту блокировку невозможно обойти в принципе. Единственный общий ресурс в этом решении – это оперативная память. Во избежание

28

утечек через оперативную память ее очистка обеспечивается механизмами «Аккорда».

Рис. 1. Два жестких диска, скоммутированные через контроллер «Аккорд» с SATA-коммутатором

Решение выглядит следующим образом: ПК с двумя жесткими дисками, в который установлен «Аккорд-АМДЗ» на базе контроллера с USB-хостом, оснащенный SATA-блокиратором. В зависимости от того, подключена ли в момент подачи питания к USB-хосту контроллера ШИПКА, зарегистрированная в контроллере как принадлежащая лицу с необходимым уровнем доступа, коммутируется один или другой жесткий диск и после контрольных процедур АМДЗ загружается соответствующая ОС, в каждой из которых установлено CПО «Аккорд».

ВНИМАНИЕ: Необходимо продемонстрировать слушателям сам SATA-коммутатор, и как именно он присоединяется к контроллеру! Если нет возможности показать устройство, нужно продемонстрировать хотя бы фотографию!

29

Если подключен жесткий диск, предназначенный для обработки информации ограниченного доступа, второй жесткий диск – предназначенный для обработки общедоступной информации – будет недоступен физически – он просто не подключен к материнской плате, значит, никакие ресурсы этого диска не смогут оказать влияния на доверенную среду. А в случае же работы на втором жестком диске, имеющем недоверенные ресурсы, будет полностью исключен доступ к первому.

Причем поскольку на разных жестких дисках одного ПК в описываемой модели работа ведется под управлением разных ОС, то с помощью настроек сети или специального ПО либо аппаратных решений несколько таких компьютеров можно объединить в локальную сеть на уровне ресурсов одного контура (уровня доступа), и для этой сети ресурсов другого уровня доступа вообще не будет существовать. Или они могут быть объединены параллельно в две изолированные друг от друга локальные сети.

Естественно, для того чтобы сменить контур, пользователю необходимо перезагрузить компьютер.

Решение очень интересное и надежное, однако для большинства задач, допустим, для дистанционного банковского обслуживания (ДБО) небольшой компании несколько дороговато. Широко применяемые решения должны быть дешевле. По сути, переключение между сеансами здесь имеет целью повышение комфорта пользователей, а не экономию на обеспечении доверенной среды. Для пользователей создается возможность работать «в свободном режиме», без жестких ограничений – тогда, когда в них нет необходимости, и при этом не пересаживаться за другой АРМ. Это очень важно – чтобы у пользователя не было лишних ограничений, но это не единственное, что его волнует, и если государственная организация могла себе позволить организовать рабочие места таким образом (и это даже явилось экономией), то для частного клиента облачного сервиса, например, такой вариант вряд ли приемлем.

Более того, если проанализировать потребность клиентского рабочего места в ресурсах во время доверенного сеанса связи, то станет очевидно, что требуется их совсем немного и все предпосылки для создания более экономичного решения есть.

Такое решение ОКБ САПР создано – это средство обеспечения доверенного сеанса «МАРШ!», изготавливаемое в виде специализированного USB-устройства.

30