Yazov_ITKS

Система защиты информации

Подсистема управления

Функциональные подсистемы

Рис. 6.2. Состав подсистем системы защиты информации

591

При построение системы защиты возможна реализация нескольких принципов построения (управления системой защиты): централизации построения (управления), децентрализации построения (управления) и смешанный принцип (рис. 6.3). Следует отметить, что сегодня в основном реализуется на практике лишь принцип централизации построения СЗИ. Крайним случаем использования этого принципа является создание терминальных систем (см. раздел 6.2). Децентрализация построения систем защиты приводит к созданию так называемых многоагентных систем (см. раздел 6.3).

Наконец весьма важным для построения СЗИ является то, какие принципы разграничения доступа к информации должны быть реализованы в ней. Наряду с упомянутыми ранее дискреционным и мандатными принципами (см. раздел 4), могут реализовываться и иные принципы, краткая характеристика которых приведена на рис. 6.4.

В этой связи необходимо отметить, что развитие принципа изолирования программной среды объективно привело к появлению технологий создания доверенных сред.

Под доверенной вычислительной средой понимается вычислительная среда, в которой выполняются заданные требования разграничения доступа и обеспечивается определенный уровень доверия к тому, что в ней не могут выполняться какие-либо несанкционированные действия лицом или процессом, не допущенным к этой среде.

592

Рис. 6.3. Принципы построения системы защиты информации (управления системой защиты информации)

593

Вдоверенной среде имеет место:

доверенность конфигурации и настройки;

целостность всех элементов;

подконтрольность всех действий;

документированность всех событий;

доверенное окружение и субъекты;

доверенные правила разграничения доступа, обеспечения целостности и доступности информации (политики безопасности);

доверенная аппаратная платформа (Hard);

доверенная программная платформа (Soft);

доверенные каналы передачи информации.

Внастоящее время развитие технологий создания доверенных сред является одним из важнейших направлений совершенствования способов защиты информации в отдельных компьютерах, в компьютерных системах, в системах связи различного назначения. Целью формирования таких сред является создание не только «безопасного компьютера», но и защищенной ИТКС, в которой аппаратное, программное обеспечение, а также все процессы связи проверяются и защищаются. Слово «связь» здесь следует понимать в широком смысле, поскольку сюда же относятся взаимодействия между различными компонентами программного обеспечения.

Попытки создания доверенных вычислительных сред стали предприниматься уже в период создания первых компьютеров, на которых стала обрабатываться информация ограниченного доступа. Особенно остро проблема обеспечения доверия к вычислительной среде встала

сразвитием сетевых технологий в 70-х годах прошлого века. Ее решение первоначально связывалось с идентификацией (проверкой имени) и аутентификацией (проверкой

595

подлинности) пользователей, а также с применением криптографии в интересах шифрования паролей и данных. Сегодня активно развиваются и иные технологии, связанные с созданием эффективных средств контроля доступа на основе применения, например, биометрии, терминальных систем с ограниченной операционной средой пользователей, программных и аппаратных (программно-аппаратных) доверенных модулей, обеспечивающих проверку допустимости выполнения операций пользователем и др. Если такая технология связывается с архитектурными изменениями программно-аппаратной среды и направлена на обеспечение доверия к ней, то такую технологию относят к технологии создания доверенной вычислительной среды.

Сегодня практически отсутствует классификация технологий создания доверенных сред. Вместе с тем имеется достаточно много публикаций, раскрывающих их содержание и позволяющих выделить некоторые признаки для систематизации и классификации рассматриваемых технологий. В связи с этим ниже приводится один из вариантов такой классификации основных технологий создания доверенных вычислительных сред по следующим четырем признакам:

платформе реализации (аппаратной или программной);

основному способу разграничения доступа в вычислительную среду (на основе контролируемых признаков, осуществления идентификации и аутентификации пользователя, процессов и устройств и т.п.);

степени зависимости от операционной системы, реализующей вычислительную среду;

уровню архитектуры доверенной вычислительной среды (на уровне сети, сетевого сервиса, ра-

596

бочей станции или отдельного компьютера, прикладной программы, ядра операционной системы, процессора компьютера).

Общая классификационная схема современных технологий создания доверенных вычислительных сред приведена на рис. 6.5.

При создании доверенных сред находят широкое применение меры и средства, рассмотренные в разделе 5, в том числе электронные замки, средства доверенной загрузки программные и программно-аппаратные комплексы разграничения доступа, криптографические и биометрические средства аутентификации и т.д. Особенно активно развиваются технологии создания доверенных сред с использованием приемов криптографии.

Прорыв в этих технологиях связывают, прежде все-

го, с созданием доверенного платформенного модуля

(Trusted Platform Module, TPM) – специального чипа (от англ. chip — тонкая пластинка), то есть микросхемы, устанавливаемой на материнской плате, который активизируется в процесс загрузки системы.Базовые принципы работы TPMсводятся к следующему. В первую очередь при включении компьютера он проверяет состояние системы.

Модули TPM обеспечивают расчет так называемой хэш-функции (hash) для системы с помощью специального алгоритма (SHA1 - Secure Hash Algorithm). Значение хэш-

функции получается из информации, полученной от всех ключевых компонентов каждого компьютера системы (например, видеокарты, процессора, дисплея, клавиатуры и т.д.) в сочетании с программными элементами (операционной системой, среди всего прочего).

597

Компьютер будет стартовать только в проверенном состоянии, когда TPM получит правильное значение хэша. В проверенном состоянии операционная система получает доступ к корневому ключу шифрования (encrypted root key), который требуется для работы приложений и доступа

кданным, защищённым системой TPM. Если при загрузке было получено неправильное значение хэша, то система считается недоверенной, и на ней будут работать только обычные, свободные файлы и программы.

Насущная необходимость разработки и стандартизации решений по архитектуре доверенной среды привела

кпоявлению за рубежом организации Trusted Computing Group (TCG). Данная организация разрабатывает и продвигает открытые спецификации промышленного стандарта, определяющего доверенные модули, их программные интерфейсы, а также спецификации по трем направлениям:

по доверенным рабочим станциям;

по доверенным серверам;

по доверенному сетевому взаимодействию (Trus- tedNetConnection-TNC).

При этом возможности доверенной платформы не ограничены одним компьютером. Область применения технологии доверенной вычислительной среды должна охватывать и сетевые соединения, устройства ввода, накопители и др. В качестве расширений «доверенного платформенного модуля» могут использоваться устройства безопасности вроде считывателя отпечатка пальцев или радужной оболочки глаза и др.

Применяются и специальные приемы проектирования интегральных схем: «запутывание» топологии слоев, усложняющее анализ функций элементов микросхемы, а также шифрование данных, хранящихся в памяти и передающихся по шинам.

599

Ряд технологических особенностей чипов безопасности специально не разглашается компаниямипроизводителями, чтобы уменьшить вероятность взлома даже в том случае, когда для этого применяются современные методы анализа функционирования микросхем и дорогостоящее оборудование.

В настоящее время TCG объединяет множество компаний, в том числе поставщиков платформ персональных компьютеров, операционных систем и «доверенных платформенных модулей». Модули TPM выпускают, в ча-

стности, компании Atmel, Infineon, National Semiconductor

иSTMicroelectronics. До последнего времени TCG занималась разработкой спецификаций TPM для персональных компьютеров. В России также активно занимаются внедрением TPM, например, компании «Элвис+», «Анкад», корпорация «Крок» и др.

Следующим этапом развития концепции TPM стало разработка технологии под названием Execute Disable Bit (XD) у компании Intel, Non Execute (NX) у компании AMD

иData Execution Protection (DEP) у Microsoft. Эта техноло-

гия защищает даже от атак типа «Отказ в обслуживании», реализуемых, например, путем переполнения буфера: память разделяется на области, из которых может выполняться код и из которых выполнение запрещено. Концепция доверенных вычислений (Trusted Computing) является продуманным технологическим подходом, который обеспечивает разумные решения по парированию многих рисков нарушений безопасности в информационных системах. Указанные технологии сегодня постепенно перерастают в более сложные технологии типа LaGrande (Intel) и Presidio (AMD), о разработке которых стали писать еще в начале

2000-х годов.

Принципы, на которых базируются технологии типа LaGrande (LT), сводятся к следующему.

600