Глава 4

• проверкой уникальных идентификаторов аппаратных частей ПЭВМ;

• проверкой целостности назначенных для контроля системных файлов, в том числе файлов ПАКСЗИ НСД, пользовательских про­грамм и данных;

• контролем обращения к операционной системе напрямую, в обход прерываний DOS;

• исключением возможности использования ПЭВМ без аппарат­ного контроллера комплекса;

• механизмом создания замкнутой программной среды, запре­щающей запуск привнесенных программ, исключающих несанкцио­нированный выход в ОС.

При проверке целостности программной среды ПЭВМ вычисля­ется контрольная сумма файлов и сравнивается с эталонным (кон­трольным) значением, хранящимся в специальной области данных. Эти данные заносятся при регистрации пользователя и могут изме­няться в процессе эксплуатации ПЭВМ. В комплексах защиты от НСД используется сложный алгоритм расчета контрольных сумм -вычисление значения их хэш-функций, исключающий факт необна­ружения модификации файла.

Подсистема криптографической защиты

Подсистема криптографической защиты предназначена для усиления защиты пользовательской информации, хранящейся на жестком диске ПЭВМ или сменных носителях. Подсистема крип­тографической защиты информации позволяет пользователю за­шифровать/расшифровать свои данные с использованием инди­видуальных ключей, как правило, хранящихся в персональном ТМ-идентификаторе.

Состав типового комплекса защиты от несанкционированного

доступа

В состав типового комплекса защиты ПЭВМ от НСД входят ап­паратные и программные средства. К аппаратным средствам отно­сятся аппаратный контроллер, съемник информации и персональ­ные идентификаторы пользователей.

Аппаратный контроллер (рис. 4.15) представляет собой плату (ISA/PCI), устанавливаемую в один из слотов расширения материн­ской платы ПЭВМ. Аппаратный контроллер содержит ПЗУ с про­граммным обеспечением, разъем для подключения считывателя информации и дополнительные устройства.

204

Методы и средства защиты информации

Рис. 4.15. Аппаратный контроллер «Соболь»

В качестве дополнительных устройств на аппаратном контрол­лере могут быть установлены реле блокировки загрузки внешних устройств (FDD, CD-ROM, SCSI, ZIP и т.п.); аппаратный датчик слу­чайных чисел; энергонезависимая память.

Считыватель информации представляет собой устройство, предназначенное для считывания информации с предъявляемого пользователем персонального идентификатора. Наиболее часто в комплексах защиты от НСД применяются считыватели информации с персональных идентификаторов типа Touch Memory (Ibutton) DS199X, представляющие собой контактные устройства.

В качестве считывателей информации могут использоваться считыватели смарт-карт (Smart Card Reader) контактные и бескон­тактные, а также биометрические считыватели информации, позво­ляющие идентифицировать пользователя по его биометрическим характеристикам (отпечаток пальца, личная подпись и т.п.).

Персональный идентификатор пользователя представляет со­бой аппаратное устройство, обладающее уникальными некопируе-мыми характеристиками. Наиболее часто в системах защиты от НСД используются идентификаторы типа Touch-Memory (Ibutton), представляющие собой электронную схему, снабженную элемен­том питания и обладающую уникальным идентификационным но­мером длиной 64 бита, который формируется технологически. Срок эксплуатации электронного идентификатора, декларируемый фир­мой-производителем, составляет около 10 лет.

Помимо ТМ-идентификаторов, в системах защиты от НСД используются идентификаторы типа Smart Card («Смарт-карта»).

Рис. 4.16. Смарт-карта

Смарт-карта представляет собой пластиковую карточку (рис. 4.16.), со встроенной в нее микросхемой, содержащей энергонеза­висимую перезаписываемую память.

Некоторые системы защиты от НСД допускают использование в качестве идентификатора биометрические признаки пользователя (личная подпись, отпечаток пальца и т.п.). Состав программных средств типовой системы защиты информации (СЗИ) от НСД при­веден на рис. 4.17.

Все программное обеспечение комплекса защиты от НСД может быть условно разделено на три группы.

Системные программы защиты - программы, выполняющие функции по защите и разграничению доступа к информации. Также с использованием данной группы программ выполняется настройка и управление системой защиты в процессе работы.

Спецзагрузчик - программа, обеспечивающая доверенную за­грузку базовой ОС.

Драйвер защиты («монитор безопасности») - резидентная программа, осуществляющая контроль полномочий и разграниче­ние доступа к информационным и аппаратным ресурсам в процессе работы пользователя на АС (ПЭВМ).

Программы установки -доступный только администратору СЗИ набор программ для управления работой системы защиты инфор­мации. Данный набор программ позволяет осуществлять штатный процесс установки и удаления системы защиты информации.

Программы системы идентификации/аутентификации пред­ставляют собой набор программ для формирования и анализа ин­дивидуальных признаков пользователя, используемых при прове­дении идентификации/аутентификации. В состав данной группы также входят программы создания и управления базой данных пользователей системы.

Программа обучения - в общем случае представляет собой про­грамму для накопления и анализа индивидуальных признаков пользователя (буквенно-цифровая комбинация персонального пароля, личная подпись, отпечатки пальцев) и выработки индивидуальной характеристики, которая записывается в базу данных.

База пользователей содержит уникальные номера идентифика­торов пользователей, зарегистрированных в системе, а также слу­жебную информацию (права пользователей, временные ограниче­ния, метки конфиденциальности и т.д.).

Программа идентификации управляет процессом проведения идентификации пользователя: выдает запрос предъявления иден­тификатора, производит считывание информации из персонального идентификатора, производит поиск пользователя в базе данных пользователей. В случае если пользователь зарегистрирован в системе, формирует запрос к базе данных индивидуальных харак­теристик пользователей.

База данных индивидуальных характеристик содержит инди­видуальные характеристики всех пользователей, зарегистрирован­ных в системе, и производит выборку необходимой характеристики по запросу программы идентификации.

Технологические программы представляют собой вспомогатель­ные средства для обеспечения безопасного функционирования систе­мы защиты, доступные только администратору системы защиты.

Программы восстановления станции предназначены для вос­становления работоспособности станции в случае аппаратных или программных сбоев. Данная группа программ позволяет восстанав­ливать первоначальную рабочую среду пользователя (существо­вавшую до установки системы защиты), а также производить вос­становление работоспособности аппаратной и программной части системы защиты.

Важной особенностью программ восстановления станции является возможность снять систему защиты нештатным образом, т.е. без ис­пользования программы установки, вследствие чего хранение и учет данной группы программ должен производиться особо тщательно.

Программа ведения системного журнала предназначена для регистрации в системном журнале (специальном файле) всех со­бытий, возникающих в системе защиты в момент работы пользова­теля. Программа позволяет формировать выборки из системного журнала по различным критериям (все события НСД, все события входа пользователя в систему и т.п.) для дальнейшего анализа.

Динамика работы комплекса защиты от НСД

Для реализации функций комплекса защиты от НСД применяют­ся следующие механизмы:

1. Механизм защиты от несанкционированной загрузки ОС, включающий идентификацию пользователя по уникальному идентификатору и аутентификацию подлинности владельца предъяв­ленного идентификатора.

2. Механизм блокировки экрана и клавиатуры в тех случаях, ко­гда могут быть реализованы те или иные угрозы информационной безопасности.

3. Механизм контроля целостности критичных, с точки зрения информационной безопасности, программ и данных (механизм за­щиты от несанкционированных модификаций).

4. Механизм создания функционально замкнутых информацион­ных систем путем создания изолированной программной среды;

5. Механизм разграничения доступа к ресурсам АС, определяе­мый атрибутами доступа, которые устанавливаются администрато­ром системы в соответствии каждой паре «субъект доступа-объект доступа» при регистрации пользователей.

6. Механизм регистрации управляющих событий и событий НСД, возникающих при работе пользователей.

7. Дополнительные механизмы защиты.

На этапе установки комплекса защиты от НСД производится ус­тановка аппаратного контроллера в свободный слот материнской платы ПЭВМ и инсталляция программного обеспечения на жесткий диск.

Настройка комплекса заключается в установлении прав разгра­ничения доступа и регистрации пользователей. При регистрации пользователя администратором системы защиты определяются его права доступа: списки исполняемых программ и модулей, разре­шенных к запуску данному пользователю.

На этапе установки также формируются списки файлов, целост­ность которых будет проверяться при запуске ПЭВМ данным поль­зователем. Вычисленные значения хэш-функций (контрольных сумм) этих файлов сохраняются в специальных областях памяти (в некоторых системах заносятся в память персонального ТМ-идентификатора).

Механизм защиты от несанкционированной загрузки ОС реа­лизуется путем проведения процедур идентификации, аутентифи­кации и контроля целостности защищаемых файлов до загрузки операционной системы. Это обеспечивается при помощи ПЗУ, ус­тановленного на плате аппаратного контроллера, которое получает управление во время так называемой процедуры ROM-SCAN. Суть данной процедуры в следующем: в процессе начального старта после проверки основного оборудования BIOS компьютера начинает поиск внешних ПЗУ в диапазоне от С800Ю000 до ЕОООЮООО с шагом в 2К. Признаком наличия ПЗУ является наличие слова АА55Н в первом слове проверяемого интервала. Если данный при­знак обнаружен, то в следующем байте содержится длина ПЗУ в страницах по 512 байт. Затем вычисляется контрольная сумма всего ПЗУ, и если она корректна - будет произведен вызов проце­дуры, расположенной в ПЗУ со смещением. Такая процедура обыч­но используется при инициализации аппаратных устройств.

В большинстве комплексов защиты от НСД эта процедура пред­назначена для реализации процесса идентификации и аутентифи­кации пользователя. При ошибке (отказ в доступе) возврат из про­цедуры не происходит, т.е. дальнейшая загрузка ПЭВМ выполнять­ся не будет.

При установленном аппаратном контроллере и инсталлирован­ном программном обеспечении системы защиты от НСД, загрузка ПЭВМ осуществляется в следующем порядке:

1. BIOS компьютера выполняет стандартную процедуру POST (проверку основного оборудования компьютера) и по ее заверше­нии переходит к процедуре ROM-SCAN, во время которой управле­ние перехватывает аппаратный контроллер системы защиты от НСД.

2. Осуществляется процесс идентификации пользователя, для чего на монитор ПЭВМ выводится приглашение предъявить свой персональный идентификатор (в некоторых системах защиты одно­временно с выводом приглашения запускается обратный отсчет времени, позволяющий лимитировать по времени попытку иденти­фикации).

3. В случае предъявления пользователем идентификатора про­исходит считывание информации. Если идентификатор не предъ­явлен, доступ в систему блокируется.

4. Если предъявленный идентификатор не зарегистрирован в системе, то выводится сообщение об отказе в доступе и происхо­дит возврат к П.2.

5. Если предъявленный идентификатор зарегистрирован в сис­теме, система переходит в режим аутентификации. В большинстве систем защиты от НСД для аутентификации используется ввод персонального пароля.

6. При неправильно введенном пароле происходит возврат к П.2.

7. При правильно введенном пароле аппаратный контроллер передает управление ПЭВМ и производится штатный процесс за-

210

Методы и средства защиты информации

грузки ОС.

Добавим, что многие системы позволяют ограничить количество «неверных» входов, проводя перезагрузку в случае заданного чис­ла отказов.

Устойчивость процедуры идентификации/аутентификации сильно зависит от используемых персональных идентификаторов и алгорит­мов подтверждения подлинности пользователя. В случае если в ка­честве идентификатора используется ТМ-идентификатор, а процеду­ра аутентификации представляет собой ввод персонального пароля, устойчивость ее к взлому будет зависеть от длины пароля.

При осуществлении контрольных процедур (идентификации и аутентификации пользователя, проверке целостности) драйвер системы защиты от НСД блокирует клавиатуру и загрузку ОС. При касании считывателя информации осуществляется поиск предъяв­ленного ТМ-идентификатора в списке зарегистрированных на ПЭВМ идентификаторов. Обычно список хранится на диске С. Если предъявленный ТМ-идентификатор обнаружен в списке, то в неко­торых системах защиты от НСД производится контроль целостно­сти файлов в соответствии со списком, составленным для данного пользователя.

В этом случае при проверке перечня файлов пользователя на целостность вычисляется хэш-функция контрольной суммы этих файлов и сравнивается с эталонным (контрольным) значением, считываемым из предъявленного персонального ТМ-идентифика­тора. Для проведения процедуры аутентификации предусмотрен режим ввода пароля в скрытом виде - в виде специальных симво­лов (например, символ - «*»). Этим предотвращается возможность раскрытия индивидуального пароля и использования утраченного (похищенного) ТМ-идентификатора.

При положительном результате указанных выше контрольных процедур производится загрузка ОС. Если предъявленный пользова­телем идентификатор не зарегистрирован в списке или нарушена целостность защищаемых файлов, загрузка ОС не производится. Для продолжения работы потребуется вмешательство администратора.

Таким образом, контрольные процедуры: идентификация, аутен­тификация и проверка целостности, осуществляются до загрузки ОС. В любом другом случае, т.е. при отсутствии у данного пользователя прав на работу с данной ПЭВМ, загрузка ОС не выполняется.

При выполнении файлов конфигурации CONFIG.SYS и AUTOEXEC.BAT производится блокировка клавиатуры и загрузка «монитора безопасности» системы защиты от НСД, осуществ­ляющего контроль за использованием пользователем только раз­решенных ему ресурсов.

Механизм контроля целостности реализуется процедурой сравнения двух векторов для одного массива данных: эталонного (контрольного), выработанного заранее на этапе регистрации поль­зователей, и текущего, т.е. выработанного непосредственно перед проверкой.

Эталонный (контрольный) вектор вырабатывается на основе хэш-функций (контрольной суммы) защищаемых файлов и хранится в специальном файле или идентификаторе. В случае санкциониро­ванной модификации защищенных файлов осуществляется проце­дура перезаписи нового значения хэш-функций (контрольной сум­мы) модифицированных файлов.

Механизм создания изолированной программной среды реали­зуется с использованием резидентной части «монитора безопасно­сти» системы защиты от НСД. В процессе функционирования сис­темы защиты от НСД резидентная часть «монитора безопасности» проверяет файлы всех загруженных из файла CONFIG.SYS драй­веров и обеспечивает оперативный контроль целостности испол­няемых файлов перед передачей им управления. Тем самым обес­печивается защита от программных вирусов и закладок. В случае положительного исхода проверки управление передается ОС для загрузки файла на исполнение. При отрицательном исходе провер­ки запуск программы не происходит.

Механизм разграничения доступа реализуется с использовани­ем резидентной части «монитора безопасности» системы защиты от НСД, который перехватывает на себя обработку функций ОС (в основном, это прерывание int 21, а также int 25/26, и int 13). Смысл работы данного резидентного модуля в том, что при получении от пользовательской программы запроса, например, на удаление файла, начале производится проверка наличия таких полномочий у пользователя.

Если такие полномочия есть, управление передается обычному обработчику ОС для исполнения операции. Если таких полномочий нет, имитируется выход с ошибкой.

Правила разграничения доступа устанавливаются присвоением объектам доступа атрибутов доступа. Установленный атрибут озна­чает, что определяемая атрибутом операция может выполняться над данным объектом.

Установленные атрибуты определяют важнейшую часть ПРД пользователя.

От правильности выбора и установки атрибутов во многом зави­сит эффективность работы системы защиты. В этой связи админи­стратор системы защиты должен ясно представлять, от чего и как зависит выбор атрибутов, назначаемых объектам, к которым имеет доступ пользователь. Как минимум, необходимо изучить принцип разграничения доступа с помощью атрибутов, а также особенности работы программных средств, которые будут применяться пользо­вателем при работе.

Программное обеспечение систем защиты от НСД позволяет для каждой пары субъект-объект определить (часть указанных ха­рактеристик доступа или все):

для дисков:

• доступность и видимость логического диска;

• создание и удаление подкаталогов;

• переименование файлов и подкаталогов;

• открытие файлов для чтения и записи;

• создание и удаление файлов;

• видимость файлов;

• исполнение задач;

• наследование подкаталогами атрибутов корневого каталога (с распространением прав наследования только на следую­щий уровень либо на все следующие уровни);

для каталогов:

• доступность (переход к данному каталогу);

• видимость;

• наследование подкаталогами атрибутов каталога (с распро­странением прав наследования только на следующий уро­вень либо на все следующие уровни);

для содержимого каталога:

• создание и удаление подкаталогов;

• переименование файлов и подкаталогов;

• открытие файлов для чтения и записи;

• создание и удаление файлов;

• видимость файлов; для задач:

• исполнение.

Механизм регистрации управляющих событий и событий НСД содержит средства выборочного ознакомления с регистрационной информацией, а также позволяет регистрировать все попытки дос­тупа и действия выделенных пользователей при их работе на ПЭВМ с установленной системой защиты от НСД. В большинстве систем защиты от НСД администратор имеет возможность выби­рать уровень детальности регистрируемых событий для каждого пользователя.

Регистрация осуществляется в следующем порядке:

• Для каждого пользователя администратор системы устанавли­вает уровень детальности журнала.

• Для любого уровня детальности в журнале отражаются пара­метры регистрации пользователя, доступ к устройствам, запуск за­дач, попытки нарушения ПРД, изменения ПРД.

• Для среднего уровня детальности в журнале отражаются до­полнительно все попытки доступа к защищаемым дискам, катало­гам и отдельным файлам, а также попытки изменения некоторых системных параметров.

• Для высокого уровня детальности в журнале отражаются до­полнительно все попытки доступа к содержимому защищаемых ка­талогов.

• Для выделенных пользователей в журнале отражаются все из­менения ПРД.

Кроме этого, предусмотрен механизм принудительной регистра­ции доступа к некоторым объектам.

В общем случае системный журнал содержит следующую ин­формацию:

1. Дата и точное время регистрации события.

2. Субъект доступа.

3. Тип операции.

4. Объект доступа. Объектом доступа может быть файл, каталог, диск. Если событием является изменение прав доступа, то отобра­жаются обновленные ПРД.

5. Результат события.

6. Текущая задача - программа, функционирующая на станции в момент регистрации события.

Дополнительные механизмы защиты от несанкционированного доступа к ПЭВМ

Дополнительные механизмы защиты от НСД к ПЭВМ (АС) по­зволяют повысить уровень защиты информационных ресурсов, от­носительно базового уровня, достигаемого при использовании штатных функций системы защиты. Для повышения уровня защиты информационных ресурсов целесообразно использовать следую­щие механизмы защиты:

• ограничение времени «жизни» пароля и его минимальной дли­ны, исключая возможность быстрого его подбора в случае утери пользователем персонального идентификатора;

• использование «временных ограничений» для входа пользова­телей в систему путем установки для каждого пользователя интер­вала времени по дням недели, в котором разрешена работа;

• установка параметров управления хранителя экрана - гаше­ние экрана через заранее определенный интервал времени (в случае если в течение указанного интервала действия опера­тором не выполнялись). Возможность продолжения работы пре­доставляется только после проведения повторной идентификации по предъявлению персонального идентификатора пользователя (или пароля);

• установка для каждого пользователя ограничений по выводу защищаемой информации на отчуждаемые носители (внешние магнитные носители, порты принтеров и коммуникационных уст­ройств и т.п.);

• периодическое осуществление проверки целостности систем­ных файлов, в том числе файлов программной части системы за­щиты, а также пользовательских программ и данных;

• контроль обращения к операционной системе напрямую, в об­ход прерываний ОС, для исключения возможности функционирова­ния программ отладки и разработки, а также программ «вирусов»;

• исключение возможности использования ПЭВМ при отсутствии аппаратного контроллера системы защиты, для исключения воз­можности загрузки операционной системы пользователями со сня­той системой защиты;

• использование механизмов создания изолированной про­граммной среды, запрещающей запуск исполняемых файлов с внешних носителей либо внедренных в ОС, а также исключающей несанкционированный вход незарегистрированных пользователей в ОС;

• индикация попыток несанкционированного доступа к ПЭВМ и защищаемым ресурсам в реальном времени путем подачи звуко­вых, визуальных или иных сигналов.

Контрольные вопросы для самостоятельной работы

1. Назовите организационные меры, которые нужно принять для защиты объекта.

2. Какую цель преследуют поисковые мероприятия?

3. Назовите пассивные и активные методы технической защиты.

4. Перечислите методы защиты речевой информации.

5. Какая разница между звукоизоляцией и виброакустической защитой помещения?

6. Каким образом нейтрализуются звукозаписывающие устрой­ства и радиомикрофоны?

7. Дайте характеристики устройств защиты оконечного оборудо­вания слаботочных линий.

8. Перечислите способы защиты абонентских телефонных линий.

9. Какова основная цель экранирования?

10. Перечислите основные требования, предъявляемые к уст­ройствам заземления.

11. Сравните защитные свойства сетевых помехоподавляющих фильтров и генераторов зашумления сети питания. Укажите облас­ти применения данных изделий.

12. Назовите технические мероприятия защиты информации в СВТ.

13.Перечислите основные критерии защищенности СВТ.

14. Порядок и особенности проведения специальных исследо­ваний технических средств ЭВТ.

15.В чем сущность графического метода расчета радиуса зоны II (Я₂)?

16. Основное назначение комплексов защиты от несанкциони­рованного доступа.

17. Что такое персональный идентификатор? Какие виды иден­тификаторов применяются в системах защиты от НСД, назовите основные свойства идентификатора.

18. Какие процедуры выполняются системой защиты от НСД до момента загрузки ОС?

19. Что выполняется в процессе аутентификации. Какие виды процессов аутентификации применяются в системах защиты от НСД?

20. Чем определяется стойкость процесса идентифика­ции/аутентификации?

21. Что понимается под определением права разграничения доступа?

22. Что понимается под объектом доступа?

23. Как реализуется мандатный принцип разграничения доступа?

24 Какие подсистемы входят в состав средств разграничения доступа?

25. Какие аппаратные ресурсы входят в типовой состав системы 1ащиты от НСД?

26. Какие параметры регистрируются в системном журнале в процессе работы пользователя. Для чего ведется системный журнал?

27. Какие системы защиты от НСД могут применяться в АС, обра-эатывающих информацию, составляющую государственную тайну?