Принципы построения и применения |
23 |
ГЛАВА 5. Основные средства защиты
Система защиты Secret Net дополняет операционные системы Windows NT, Windows 2000, Windows’9x и MP-RAS рядом защитных функций, которые можно отнести к следующим группам средств защиты:
1.Средства защиты от несанкционированного входа в систему:
•механизм идентификации и аутентификации пользователей, обеспечивающий (в том числе с помощью аппаратных средств) защиту от входа постороннего пользователя в систему при загрузке компьютера;
•функция временной блокировки компьютера, обеспечивающая защиту работающего компьютера от постороннего пользователя;
•функция программной защиты от загрузки с гибкого диска, обеспечивающая защиту локальных жестких дисков в случае загрузки компьютера с гибкого диска;
•аппаратные средства внешней защиты, предотвращающие загрузку операционной системы с гибкого диска и блокирующие вход в систему, минуя внешнюю защиту.
2.Средства управления доступом к ресурсам:
•разграничение доступа пользователей к ресурсам компьютера с использованием
механизмов избирательного и полномочного управления доступом;
•создание для любого пользователя ограниченной замкнутой среды программного обеспечения (списка разрешенных для запуска программ).
3.Средства криптографической защиты данных:
•шифрование информации, хранящейся в файлах на сетевых и локальных дисках;
•вычисление и проверка электронной цифровой подписи (ЭЦП).
4.Средства регистрации и оперативного контроля:
•ведение журнала регистрации событий, имеющих отношение к безопасности системы. Работа с журналами, управление временем хранения и с удалением записей;
•контроль целостности различных объектов.
Отличительной особенностью системы Secret Net является возможность гибкого управления набором используемых средств защиты. Пользователь, имеющий привилегии администратора безопасности, может активизировать на компьютере различные комбинации защитных механизмов системы, выбирая из них только необходимые и устанавливая соответствующие режимы их работы.
5.1. Защита от несанкционированного входа в систему
Внешняя защита предназначена для предотвращения доступа посторонних пользователей к защищенному компьютеру. Система Secret Net включает в свой состав следующие средства внешней защиты компьютера (см. Рис. 8):
•программные и аппаратные средства идентификации и аутентификации пользователей;
24 |
Система защиты Secret Net |
•функция временной блокировки компьютера, обеспечивающая защиту работающего компьютера от постороннего пользователя;
•функция программной защиты от загрузки с гибкого диска, обеспечивающая защиту локальных жестких дисков в случае загрузки компьютера с гибкого диска;
•аппаратные средства внешней защиты, предотвращающие загрузку операционной системы с гибкого диска и блокирующие вход в систему в обход внешней защиты.
Средства защиты от несанкционированного входа |
||
Средства идентификации и |
Временная блокировка |
|
аутентификации пользователя |
компьютера |
|
|
Защита от загрузки с гибкого диска |
|
|
Аппаратные средства |
|
Аппаратные средства |
Программные средства |
|
аутентификации |
||
|
||
Рис. 8 Средства внешней защиты компьютера |
||
5.1.1. Механизм идентификации и аутентификации пользователей
Идентификация (распознавание) и аутентификация (проверка подлинности) пользователей осуществляется при каждом входе пользователя в систему. При загрузке компьютера система Secret Net запрашивает у пользователя его идентификатор и пароль. Затем проверяется, был ли зарегистрирован в системе пользователь с указанным именем и правильно ли указан его пароль. Если идентификатор и пароль указаны верно, то пользователю разрешен вход в систему.
В качестве идентификаторов могут использоваться: уникальные имена и уникальные номера аппаратных устройств идентификации (персональных идентификаторов). Имя присваивается пользователю при создании в системе Secret Net объекта “пользователь”, который будет соответствовать данному реальному пользователю компьютера. Если компьютер оснащен устройством чтения персональных идентификаторов (см. П.5.1.4. на стр.25), пользователю может быть присвоен такой персональный идентификатор, уникальный номер которого будет однозначно его идентифицировать.
Аутентификация пользователя осуществляется после его идентификации для подтверждения того, что пользователь действительно является тем, кем представился.
При аутентификации пользователя осуществляется проверка правильности указанного им пароля. Если пароль указан неверно, подается звуковой сигнал и в системном журнале регистрируется попытка несанкционированного доступа к компьютеру. При неоднократном вводе неверного пароля блокируется клавиатура рабочей станции, подается звуковой сигнал, на экран выдается соответствующее сообщение.
Принципы построения и применения |
25 |
Идентификаторы пользователей (имена и номера аппаратных идентификаторов) хранятся в базе данных системы защиты в открытом виде. А пароли пользователей хранятся в базе данных системы защиты в виде значения хеш-функции от пароля пользователя.
Пароль может быть изменен только самим пользователем или администратором безопасности (пользователем, имеющим соответствующие привилегии) при помощи специальных программных средств. Администратор может назначать пользователям новые пароли, но не имеет возможности узнать значения старых паролей. Факт смены пароля пользователя регистрируется в системном журнале.
5.1.2. Функция временной блокировки компьютера
В системе Secret Net предусмотрена возможность временной блокировки компьютера. Эта функция используется в тех случаях, когда необходимо прервать свою работу и отойти на некоторое время от компьютера, не выключая. Это защищает работающий компьютер от возможности использования его посторонними лицами.
Включить режим временной блокировки компьютера может сам пользователь, нажав соответствующую комбинацию клавиш. Также компьютер может быть заблокирован автоматически после истечения некоторого интервала времени, в течении которого он не использовался. Длительность этого интервала устанавливается настройкой параметров. В этом режиме блокируются устройства ввода (клавиатура и мышь) и экран монитора (хранителем экрана). Вывести компьютер из режима блокировки можно, только если вновь указать пароль.
5.1.3. Функция программной защиты от загрузки с гибкого диска
Если на компьютере не установлена плата аппаратной поддержки внешней защиты, то средств защиты системы Secret Net можно обойти, загрузив операционную систему с гибкого диска. Функция программной защиты от загрузки с гибкого диска позволяет предотвратить такую возможность, сделав “невидимым” жесткий диск компьютера.
При использовании этой функции изменяются системные области локальных жестких дисков компьютера. В результате, при загрузке с гибкого диска без системы защиты, пользователь не сможет работать с жесткими дисками компьютера. Для работы с защищенными дисками будут необходимы специальные программные средства чтения системных областей жестких дисков, которые доступны только при загрузке системы защиты.
5.1.4. Аппаратные средства внешней защиты
В системе Secret Net предусмотрена аппаратная поддержка внешней защиты. Она обеспечивается специальными техническими устройствами, например, Secret Net Touch Memory Card, ЭЗ "Соболь" и др. Аппаратная поддержка внешней защиты также может быть обеспечена установкой микросхемы Secret Net ROM в разъем Remote Boot ROM (ПЗУ удаленной загрузки) на сетевой плате. Аппаратные средства внешней защиты обеспечивают: защиту от загрузки операционной системы с гибкого диска и проникновения в систему, минуя внешнюю защиту, а также идентификацию пользователя с помощью аппаратных средств идентификации.