- •1. Доступ к данным. Этапы идентификации и аутентификации, реализуемые ос Windows. Разграничение доступа к устройствам.
- •2. Идентификация и аутентификация субъекта "процесс" при запросах на доступ. Замкнутая программная среда. Вопросы корректности идентификации пользователя.
- •4. Электронные увип. Приборы на базе iButton. Смарт-карты.
- •5. Биометрическая идентификация пользователей. Идентификация по манере работы по клавиатуре. Идентификация по голосу. Распознавание пользователей по лицу.
- •6. Идентификация по отпечатку пальцев
- •7. Технологии аутентификации. Аутентификации по многоразовым паролям.
- •8. Технологии аутентификации. Аутентификация на основе одноразовых паролей.
- •9. Технологии аутентификации. Аутентификация по предъявлению цифрового сертификата. Использование смарт-карт и usb-ключей.
- •10. Принципы организации контроллера зи.
- •11. Принципы организации контролера зи.
- •12. Характеристики сзи.
- •13. Аппаратные системы разграничения доступа. Использование архитектур, отличных от фоннеймановской.
- •14. Аппаратные системы разграничения доступа. Системы перлюстрации запросов на обращение к данным. Защита от считывания со сменных носителей.
- •15. Программно-аппаратные криптосистемы. Алгоритмы шифрования.
- •16. Общие сведения об аппаратных криптосистемах. Механизмы аппаратной шифрации. Криптографический контроль целостности.
- •18. Варианты реализации криптосистем. Сравнение аппаратных и прогаммных шифраторов.
- •19. Виды защиты от несанкционированного копирования программ. Программно-аппаратная защита от копирования программ.
- •20. Защита программ от изучения. Цели, методы, средства изучения программ.
- •21. Защита программ от дизассемблирования.
- •22. Борьба с трассировкой программы пошаговыми отладчиками.
- •23. Ошибки в созданных и предлагаемых защитах от копирования.
- •24. Виды деструктивных программ. Компьютерные вирусы и их классификация.
- •25. Шпионские программы. Общая характеристика.
- •26. Программные кейлогеры.
- •27. Варианты реализации программных кейлогеров
- •28. Аппаратные кейлогеры.
- •29. Методы противодействия программам-шпионам и аппаратным кейлогерам.
13. Аппаратные системы разграничения доступа. Использование архитектур, отличных от фоннеймановской.
Использование архитектур, отличных от фоннеймановской (системно–зависимые средства)
Очень простым, но весьма эффективным средством обеспечения безопасности данных является специальная конструкция компьютера, благодаря которой воровство или искажение файлов становится невозможным. Фирма Earth Computer из Калифорнии делает серию компьютеров EarthStation, приспособленных для работы в локальной сети, но не имеющей шинных разъемов, то есть нерасширяемых. Единственная плата этого компьютера расположена в клавиатуре. Управление клавиатурой, видеоадаптер и сетевой адаптер объединены на этой плате. Даже монитор предлагается покупать отдельно. В компьютере находится специальный вариант BIOS, позволяющий загружать ОС по сети.
Большинство фирм, однако, защищают свое оборудование с помощью одного из вариантов парольной защиты более или менее интегрированной с оборудованием. К их числу относятся, например, фирмы Compaq и Hewlett-Packard. Compaq разработала для своих моделей DeskPro специальную версию BIOS, содержащую элементы защиты от несанкционированного использования компьютера. При загрузке компьютера при включении питания еще во время процедуры POST требуется указать правильный пароль, чтобы машина продолжала работу (такую возможность защиты компьютера предоставляют многие фирмы, более того, часто возможность реализована в BIOS, но не описана в документации, некоторые вирусы могут записывать в поле пароля случайную информацию, и однажды пользователь обнаруживает, что его машина неплохо защищена от него). Сам пароль хранится в области CMOS и при большом желании, безусловно, может быть стерт (фирма Hewlett-Packard предусматривает хранение в специальной области CMOS предыдущей конфигурации компьютера, и по нажатию кнопки эта конфигурация может быть восстановлена в обычной области CMOS), но для затруднения доступа к "внутренностям" компьютера корпус снабжен замком. Кроме этой возможности в BIOS реализованы программы, поддерживающие следующие области разделения доступа: возможность быстрого запирания компьютера, защита серверного состояния компьютера, защита жесткого диска, гибкого диска, последовательного и параллельного портов (и эти возможности защиты реализованы только в BIOS фирмы Compaq). Запуск защитных программ из BIOS регулируется переключателями на плате компьютера.
Альтернативой известным архитектурам может быть использование для безопасного доступа к данным нейросетевых структур. Существует большое количество разработок, в основе функционирования которых положен принцип отсутствия как таковых операций чтения и записи данных в запоминающие устройства. Цикл «чтение – обработка – запись» проходит без участия центрального процессорного устройства, а реализуется в отдельных функциональных блоках. Как следствие объём данных, передаваемых между узлами системы, сокращается и уменьшается вероятность НСД к ним. Функциональные блоки данной системы выполнены на единой платформе и могут работать параллельно, что помимо надёжности хранения данных увеличивает её производительность. Множество пулов выполняют независимую обработку данных без участи центрального процессора. Если необходим обмен данными между пулами, то он производится зашифрованными пакетами. Быстрое шифрование–расшифрование осуществляется в пулах нейросетевыми устройствами. Применимость данного способа ограничивается тем, что нейросетевые технологии слабо распространены в ЭВМ общего назначения. К тому же архитектура описанной нейросетевой системы требует принципиально иного программного обеспечения.
Другим примером использования альтернативной архитектуры являются машинные старые системы Bendix – 20 и Barroughs B 6700. В них реализована так называемая маркированная архитектура, при которой с каждым словом основной памяти связываются биты особого доступа, определяющие права доступа к данному слову на чтение и запись. Эти права проверяются при каждом цикле выборки слова из памяти. Проверка осуществляется аппаратно без участия программных средств,. Для этого типа архитектуры требовались лишь дополнительные биты памяти для каждого слова, что при небольших объёмах памяти первых ЭВМ, на которых она была реализована, не требовало больших затрат.
Следующий механизм контроля доступа предусматривает использование схемы паролей для доступа к файлам и применение устройства шифрования данных файла, расположенного на диске. При такой схеме пользователь файла формирует пароль, ассоциируемый с файлом. При попытке доступа к файлу необходимо ввести имя файла и пароль. Устройство проверяет введённые имя и пароль на совпадение с именем и паролем, хранящимся в специально отведённой для этого области диска. При их совпадении устройство шифрования, в зависимости от вида доступа, который осуществляется к файлу, выполняет шифрование или расшифрование данных файла по ключу, формируемому сдвиговым регистром. Шифрование происходит с использованием элементов «исключающее или», формирующих результирующий код, обрабатывая исходные данные и ключ.