Конявская Текхнологии зашчишченного применения УСБ-носителеы 2014

та через приложения, работа в составе ПАК (Центр-Т, Privacy, УЦ «Автограф»), Аккорд-У. (Лекция – 1 уч.ч.)

12.Работа с собственным ПО ПСКЗИ ШИПКА (Практическое занятие – 4 уч.ч)

12.1.Установка и настройка, параметры авторизации, инициализация и форматирование, разделение функций администратора и пользователя в корпоративной среде

12.2.Работа с программой «Ключи: шифрование и подпись файлов» (работа с ключами, работа с файлами)

12.3.Работа с программой «Сертификаты: шифрование и подпись данных» (работа с сертификатами (самоподписанными, сертификатами УЦ (через анкету, через запрос), импорт-экспорт сертификатов и ключей), работа с данными)

12.4.Работа с программой «Защищенный вход в ОС»

12.5.Работа с программой «Помощник авторизации»

13.Работа с ПСКЗИ ШИПКА через внешние приложения (Практическое занятие – 1 уч.ч)

13.1.Работа с ключами внешних (программных) СКЗИ (на примере КриптоПро)

13.2.Защита переписки по электронной почте (Outlook, Outlook Express, The Bat!)

13.3.Защищенный вход в домен по ШИПКЕ как по смарт-карте

13.4.Защищенный вход на терминальный сервер

13.5.Защищенная загрузка ПО терминальных станций

13.6.Защищенное применение криптографических ключей в терминальном режиме

14.Выполнение упражнений (Лабораторных работ) (Практическое занятие – 2 уч.ч)

15.Применение ПСКЗИ ШИПКА в составе программноаппаратных комплексов на ее основе (Лекция – 1 уч.ч)

15.1.ПАК «Центр-Т» (Практическое занятие – 3 уч.ч)

15.1.1.Применение ШИПКИ в ПАК «Центр-Т», архитектура решения, общая логика работа и обязанности персонала

15.1.2.Работа Администратора АМР «Центр»

11

15.1.3.Работа Администратора Сервера хранения и сетевой загрузки образов

15.1.4.Работа Администратора информационной безопасности Сервера хранения и сетевой загрузки образов

15.1.5.Действия оператора терминальной станции при работе с ПАК «Центр-Т»

15.1.6.Выполнение упражнений (Лабораторных работ)

15.2. ПАК Privacy (Практическое занятие – 4 уч.ч)

15.2.1.Общие сведения о принципе работы ПАК Privacy и его функциональности

15.2.2.Установка и настройка ПАК Privacy, разграничение функций оператора и администратора в корпоративных условиях

15.2.3.Работа с симметричными ключами в ПАК Privacy

15.2.4.Работа с парами ключей в ПАК Privacy, «сеть доверия», атрибуты ключей, верификация ключей, отзыв ключей и подписей

ипрочие детали работы в логике «сети доверия».

15.2.5.Разбор примера построения работы с ключами с применением ПАК Privacy (пример, самостоятельная работа по заданию)

15.2.6.Защита переписки по электронной почте (создание аккаунта, формирование политик обработки писем, работа пользователя, обработка пропущенной корреспонденции)

15.2.7.Защита переписки по ICQ (факультативно)

15.2.8.Работа с защищенными виртуальными дисками (создание, монтирование, работа с дисками, работа с общими виртуальными дисками)

15.2.9.Выполнение упражнений (Лабораторных работ)

16.УЦ Автограф, обзор. (Лекция – 1 уч.ч)

17.Выходной контроль (1 уч.ч)

Раздел «Технологии защищенного применения USBносителей» (продолжительность – 1 день)

18. Основные проблемы применения USB-накопителей и причины неэффективности традиционных методов противодействия связанным с ними угрозам (Лекция – 1 уч.ч)

12

19.Концептуальная основа технологии «Секрет»: «рукопожатие» – логика и техника (Лекция – 2 уч.ч)

19.1.Взаимная аутентификация – теория

19.2.Флешки и «Секреты» с точки зрения аппаратных ресурсов

19.3.Базовая и криптографическая модификации «Секретов»

19.4.Рукопожатие «Секрета» и «Секретного агента»

19.5.Взаимная аутентификация как метод противодействия атакам на флешки (кража, отъем, завладение оставленным без присмотра устройством, завладение путем мошенничества, покупка у мотивированного инсайдера)

20.Линейка «Секретов»

20.1.Состав и логика построения линейки (Лекция – 1 уч.ч)

20.2.«Личный Секрет» – демонстрация (Практическое занятие – 0,5 уч.ч)

- личное применение - корпоративное применение

20.3.«Секрет Фирмы» – демонстрация (Практическое занятие –

0,5 уч.ч)

- состав и архитектура комплекса - понятие эмиссии

- понятие вторичной регистрации в рамках СФ - типы специальных носителей, входящих в состав комплекса - управляющий персонал и его обязанности

20.4.«Секрет особого назначения» – теория, демонстрация (Практическое занятие – 0,5 уч.ч)

- действия пользователя и администратора - особенности возможностей администрирования

20.5.Области применения продуктов линейки (Лекция – 0,5

уч.ч)

21.Выполнение упражнений по работе с продуктами линейки (Практическое занятие – 2 уч.ч)

21.1.Самостоятельное задание по ПАК «Личный Секрет»

21.2.Самостоятельное задание по ПАК «Секрет Особого Назна-

чения»

22.Выходной контроль (1 уч.ч)

13

Раздел «Технология доверенного сеанса связи (ДСС) и средство обеспечения доверенного сеанса связи (СОДС) “МАРШ!”»

(продолжительность – 1 день)

23. Теоретические и методологические основы метода (Лекция – 3 уч.ч)

23.1.Доверенный сеанс связи, методология.

23.2.Технология ДСС на базе ПАК Аккорд с sataкоммутатором, разбор примера

23.3.Технология ДСС на базе СОДС «МАРШ!»

23.4.«МАРШ!» как устройство

-архитектура,

-возможности,

-обязательный и опциональный функционал (конструктор) 23.5. Сценарии применения, обзорно

-web-системы,

-терминальные системы.

24.Практическая работа с СОДС «МАРШ!» (Практика – 2

уч.ч)

24.1.Работа администратора по настройке системы на применение СОДС «МАРШ!»

- Настройка параметров BIOS АРМ пользователя

- Управление сетевыми настройками (варианты сетевых настроек, управление конфигурациями сетевого соединения, завершение текущего сеанса работы)

24.2.Действия пользователя (обзорно). - Загрузка СОДС «МАРШ!»

- Рабочий стол пользователя СОДС «МАРШ!» - Работа с браузером и подключение к информационным ресур-

сам

25.Интеграция в существующие системы (Лекция – 1 уч.ч)

25.1.Общие принципы интеграции, обзорно.

- МАРШ! как продукт интеграции решений («внутренняя инте-

грация»)

-интеграция МАРШ! в другие решения («внешняя интеграция»)

-интеграция МАРШ! в системы («системная» интеграция)

14

25.2. Разбор примеров применения СОДС «МАРШ!» в различных отраслевых системах (Лекция – 1 уч.ч)

26.Выходной контроль (1 уч.ч)

27.Выходной контроль по всему циклу

Повествование в пособиях по каждому курсу построено в соответствии с порядком вышеперечисленных тем. В настоящем пособии представлен материал для первой вводной лекции и последнего цикла.

Также в этом пособии приведен пример вопросов выходного контроля по всему циклу обучения.

Вводная лекция:

«Резидентный компонент безопасности: концепция корректного старта и ее развитие в истории эволюции СВТ и СЗИ»

Содержание вводной лекции должно определяться преподавателем в зависимости от того, насколько данная конкретная группа обучающихся знакома с продукцией ОКБ САПР. В соответствии с имеющимся у слушателей опытом необходимо более подробно или более кратко останавливаться на тех или иных продуктах, в рассказе о неизвестном слушателям опираться на уже известное им, проводить явные аналогии, связи или наоборот – противопоставления.

Задача вводной лекции – построить для слушателей систему, в рамках которой они будут воспринимать дальнейший материал. При этом содержание и композиция лекции могут быть следующими.

В основе подхода ОКБ САПР к технологиям защиты информации лежит концепция «правильного старта». Для того чтобы действовать в парадигме утверждения – «компьютер – это только инструмент», необходимо иметь возможность убедиться в том, что это именно Ваш инструмент, а не кого-то, кто его модифицировал

15

для выполнения собственных задач, возможно, далеко не совпадающих с задачами легального пользователя.

Чтобы убедиться в неизменности аппаратной и программной среды компьютера, необходимо провести контрольные процедуры. Однако очевидно, что если контрольные процедуры производятся измененным в свою очередь компонентом, то в них нет никакого смысла.

Именно поэтому контролировать неизменность среды нельзя программными средствами – так как программа может быть изменена. Для того чтобы убедиться, что она не была изменена – ее нужно сначала проверить. Если ее мы проверяем другой программой, то сначала нужно проверить ту программу, которой мы проверяем первую… и так далее. Мы попадаем в зону действия известного парадокса «кто будет сторожить сторожей?». В защите информации попытки контролировать целостность среды программными средствами носит название «синдром Мюнгхаузена», поскольку аналогичен попыткам вытащить себя самого из болота за волосы [1,2,3].

Продолжая эту аналогию легко прийти к правильным выводам: вытащить себя из болота за волосы – нельзя, потому что нет точки опоры. А вот если тянуть за ветку дерева, растущего на кочке – то можно, потому что у дерева есть точка опоры.

Что может означать «точка опоры» применительно к компьютерной системе фон-неймановского типа, не различающей команды и данные, системе, в которой одним из основных действий является «запись», то есть системе принципиально модифицируемой?

«Точка опоры» может означать только одно: контролирующие процедуры должны быть вынесены из этой модифицируемой среды в среду немодифицируемую и легко проверяемую, то есть простую, небольшую по объему (тогда легко обеспечить ее верифицируемость). Это означает аппаратное устройство, независимое от компьютера, который оно проверяет.

Независимость контролирующего устройства – обязательное требование: если часть процедур или решений об обработке их результатов вынесены в основной (контролируемый) компьютер, то модифицированной системой могут быть навязаны любые результаты контроля. Эффект от применения аппаратуры сведется к нулю.

16

И наконец, самое главное – независимое аппаратное контролирующее устройство должно стартовать первым, до старта операционной системы, иначе у модифицированной системы будет возможность отключить контроллера. «Кто первый встал, того и тапки». Стартовать первым должно то, чему мы доверяем.

Такое аппаратное, простое, независимое от компьютера контролирующее устройство, стартующее первым, до загрузки ОС компьютера – называется резидентный компонент безопасности (РКБ) [2].

Определение: Резидентный компонент безопасности – это встроенный в вычислительную систему объект, способный контролировать целостность среды путем сравнения ее параметров с эталонными.

Ключевые характеристики РКБ:

-это устройство памяти с очень высоким уровнем защищенности (его внутреннее программное обеспечение должно быть немодифицируемым)

-примитивное (иначе обеспечение его собственной защищенности эквивалентно задаче защиты компьютера, который он защищает)

-встроенное в контролируемую систему и стартующее до старта основной ОС (иначе его функционирование будет необязательным)

-независимое от контролируемой системы (функционирующее автономно)

-перестраиваемое (то есть предполагающее функционирование

врежиме управления, когда возможно изменение политик (только специальным привилегированным пользователем) и в пользовательском режиме, когда изменение политик невозможно, и осуществляется только контроль их выполнения).

Концепция РКБ реализована во всех решениях ОКБ САПР, каждое из которых включает в себя аппаратный компонент (базис) и может включать в себя программную надстройку, неразрывно связанную с этим базисом.

17

Таким образом построены следующие группы продуктов, каждая из которых включает в себя стационарные и мобильные средства.

1)Средства защиты информации от несанкционированного доступа (СЗИ НСД). В этой группе стационарными являются СЗИ НСД на базе контроллеров «Аккорд», а мобильными – СЗИ НСД на базе контроллера «Инаф».

2)Средства криптографической защиты информации (СКЗИ) и средства электронной подписи (СЭП). В этой группу стационарное средства – УАПК «Аккорд-У» (версий класса КС3 и КВ2), а мобильные – продукты семейства ПСКЗИ ШИПКА.

3)Инфраструктурные решения. Стационарные – ПАК «Аккорд- В.», «ГиперАккорд», и мобильные – ПАК «Центр-Т», СОДС «МАРШ!».

Особняком среди этих групп стоят защищенные служебные носители – флешки «Секрет». По понятной причине – носители принципиально не делятся на стационарные и мобильные. Носители предназначены для переноса данных и они всегда – мобильны. В этой линейке у нас представлено на сегодняшний день 3 продукта: «Личный Секрет», «Секрет Фирмы» и «Секрет Особого Назначения».

Также особняком, но по другой причине – стоят средства управления и мониторинга – не являющиеся собственно средствами защиты. Это Подсистема распределенного аудита и управления «Ак- корд-РАУ» и Система удаленного централизованного управления – «СУЦУ».

Первым, с чего началась практическая реализация ОКБ САПР парадигмы аппаратной защиты, стало СЗИ НСД «Аккорд-АМДЗ», положивший начало линейке «Аккорд» [1].

«Аккорд-АМДЗ» – это аппаратный модуль доверенной загрузки, РКБ, обеспечивающий тот самый «правильный старт» компьютерной системы, доверенную загрузку операционной системы.

Определение: «Доверенная загрузка» – это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки це-

18

лостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и идентификации / аутентификации пользователя.

Аккорд-АМДЗ может быть реализован на различных контроллерах, но его базовая функциональность всегда остается одинаковой и соответствует заявленной и отраженной в сертификатах соответствия.

Выбор контроллера зависит, в первую очередь, от того, свободный слот с каким шинным интерфейсом есть у средства вычислительной техники (компьютера, сервера, ноутбука, моноблока), в которое Вы планируете установить «Аккорд-АМДЗ».

Это может быть:

•PCI или PCI-X – контроллеры Аккорд-5МХ или Аккорд-5.5

•PCI-express – контроллеры Аккорд-5.5.е или Аккорд-GX

•Mini PCI-express – Аккорд-GXM

•Mini PCI-express half card – контроллер Аккорд-GXMH

Существует также вариант исполнение «Аккорд-АМДЗ» на базе USB-устройства, которое называется «Инаф» (от английского enough – достаточно). Этот вариант имеет определенные ограничения, которые должны восполняться орг. мерами или применением дополнительных механизмов, однако в ряде случаев этого вполне достаточно, отсюда и название.

Подробно речь о различных исполнениях СЗИ НСД «АккордАМДЗ» пойдет в соответствующей теме.

«Аккорд-АМДЗ» контролирует только старт компьютера и не работает в операционной системе. Поэтому в тех случаях, когда необходимо не только загрузить доверенную среду, но и разграничить доступ к ресурсам компьютера уже в ходе работы пользователей, особенно при многопользовательском режиме работы или в распределенных инфраструктурах, необходимо применять про- граммно-аппаратные комплексы на базе «Аккорд-АМДЗ» – ПАК «Аккорд-Win32», «Аккорд-Win64» или «Аккорд-Х». Они предназначены, соответственно, для разграничения доступа в 32-х и 64-х разрядных ОС Windows и в ОС Linux.

19

Функциональность комплексов одинакова – в них реализованы дискреционный (с использованием 13 атрибутов) и мандатный механизмы разграничения доступа, в том числе – контроль печати из любых приложений на принтеры любых типов (сетевые, локальные, виртуальные).

Для терминальных систем как на базе Microsoft, так на базе Citrix, предназначены версии TSE (Terminal Server Edition) поддерживающие управление терминальными сессиями. Cерверные и клиентские компоненты комплексов взаимодействуют в рамках протоколов ICA или RDP, формируя собственный виртуальный канал.

Подробно эти комплексы будут рассмотрены в рамках соответствующих тем.

Для виртуальных инфраструктур, на которых сейчас все чаще строятся ЦОДы, в линейке «Аккордов» предназначены программ- но-аппаратные комплексы «Аккорд-В.» и «ГиперАккорд». Первый предназначен для виртуализации на базе VMWare, второй – для виртуализации на базе Microsoft.

Работа конечных пользователей с ЦОДом может строиться несколькими различными способами: работа с виртуальными рабочими станциями, работа на основе терминального доступа, webдоступа или смешанно. Во всех этих случаях пользователь физически работает на каком-то СВТ, и оно также является объектом защиты, поскольку именно с него осуществляется доступ к защищаемому ЦОДу. Система защиты должна учитывать все нижеперечисленные требования:

-доступ к системе должен осуществляться из доверенной среды, которая должна, соответственно, обеспечиваться на клиентских средствах вычислительной техники,

-внедрение системы защиты не должно вести к замене оборудования, не вышедшего еще из строя, даже если это «зоопарк» разных СВТ с разными ОС),

-защищенный доступ к системе не должен быть разорван с подсистемой разграничения доступа в самой системе.

20