- •Оглавление
- •Введение
- •Аппаратная поддержка системы Secret Net
- •Устройства ввода идентификационных признаков
- •iButton (Touch Memory)
- •Smart Card
- •eToken
- •Proximity
- •Изделия аппаратной поддержки системы защиты Secret Net
- •Электронные замки "Соболь-PCI" и "Соболь"
- •Изделия Secret Net Touch Memory Card PCI и Secret Net Touch Memory Card
- •Сетевой адаптер с микросхемой Secret Net ROM BIOS
- •Изделие Secret Net Card
- •Варианты применения аппаратных средств Secret Net
- •Базовые варианты
- •Дополнительные варианты
- •Установка аппаратных средств системы Secret Net
- •Электронные замки "Соболь-PCI" и "Соболь"
- •Установка электронного замка "Соболь-PCI" для работы в автономном режиме
- •Установка электронного замка "Соболь" для работы в автономном режиме
- •Интеграция электронных замков с системой Secret Net
- •Изделия Secret Net Touch Memory Card PCI и Secret Net Touch Memory Card
- •Установка Secret Net Touch Memory Card PCI
- •Установка Secret Net Touch Memory Card
- •Сетевой адаптер с микросхемой Secret Net ROM BIOS
- •Изделие Secret Net Card
- •Словарь терминов
- •Литература
Система защиты информации Secret Net. Аппаратные средства
Устройство чтения может быть помещено внутрь корпуса компьютера. Взаимная ориентация идентификатора и считывателя не имеет значения, а ключи или другие предметы, находящиеся в контакте с картой, не мешают передаче информации.
В мире насчитывается большое число производителей идентификаторов и считывателей Proximity, основными из которых являются фирмы HID (Hughes Identification Devices), Motorola Indala, Texas Instruments. Среди отечественных предприятий мож-
но отметить НПФ "Сигма", ОАО "Ангстрем", PERCo, ARSEC и ряд других.
Система Secret Net поддерживает взаимодействие с радиочастотными УВИП различных фирм-прозводителей. Для работы с идентификатором Proximity используется изделие Secret Net Touch Memory Card.
Основными достоинствами УВИП Proximity являются:
•долговечность пассивных идентификаторов (некоторые производители дают на карты пожизненную гарантию);
•отсутствие необходимости чёткого позиционирования идентификатора и считывателя, удобство считывания идентификационных признаков.
К недостаткам можно отнести слабую электромагнитную защищённость, относительно высокую стоимость.
Изделия аппаратной поддержки системы защиты Secret Net
Рассмотренные выше контактные и бесконтактные УВИП обеспечивают важнейший механизм защиты – идентификацию и аутентификацию пользователей. В зависимости от решаемых Secret Net задач их функционирование осуществляется совместно с линейкой изделий аппаратной поддержки системы (см. Табл. 1), выпускаемых ЗАО НИП "ИНФОРМЗАЩИТА".
Свои основные функции многие изделия аппаратной поддержки реализуют до загрузки операционной системы компьютера. Для этого в составе каждого средства имеется собственная память EEPROM, содержимое которой дополняет базовую систему ввода-вывода BIOS компьютера. При включении компьютера выполняется копирование содержимого EEPROM BIOS аппаратного средства в так называемую теневую область (Shadow Memory) оперативной памяти, с которой и ведется дальнейшая работа. Поэтому не допускается использование системной BIOS режима Shadow Memory для адресного пространства, в котором размещается расширение BIOS, содержащееся в EEPROM изделий.
Электронные замки "Соболь-PCI" и "Соболь"
Изделия "Программно-аппаратный комплекс "Соболь-PCI" и "Электронный замок "Соболь" версии 1.0" (в дальнейшем – электронные замки "Соболь-PCI"и "Соболь") предназначены для организации защиты компьютера от НСД посторонних пользователей. Они обеспечивает:
•идентификацию и аутентификацию пользователей с помощью УВИП на базе
Touch Memory;
•блокировку загрузки операционной системы с внешних съёмных носителей;
•блокировку пользователя при превышении им количества допустимых попыток ввода неправильного пароля;
•контроль целостности программной среды компьютера до загрузки ОС;
•регистрацию событий, связанных с попытками входа пользователей и результатами работы подсистемы контроля целостности.
В состав каждого изделия входят плата электронного замка, идентификатор Touch Memory и контактное устройство (считыватель Touch Memory). Плата электронного
16
Глава 1. Аппаратная поддержка системы Secret Net
замка "Соболь-PCI" устанавливается в разъём системной шины PCI, а плата "Соболь" - в разъём системной шины ISA. Считыватель Touch Memory может подключаться как к внешнему разъёму платы, так и к внутреннему. На плате (см. Рис. 5) размещаются микросхемы энергонезависимой памяти, перепрограммируемая логическая матрица, реле аппаратной блокировки устройств (на плате "Соболь-PCI" – 3 реле, на плате "Соболь" – 2 реле), встроенный датчик случайных чисел.
В состав энергонезависимой памяти входят микросхемы оперативной памяти и EEPROM, содержимое которой дополняет системную BIOS компьютера. В электронном замке "Соболь-PCI" поиск свободной области оперативной памяти компьютера для загрузки содержимого EEPROM осуществляется автоматически. В отличие от изделия "Программно-аппаратный комплекс "Соболь-PCI" в замке "Соболь" выбор начального адреса загрузки расширения BIOS, содержащегося в EEPROM платы, а также адреса порта обмена данными с памятью идентификатора выполняется вручную (см. [ 2 ]). Для этого на плате имеются шесть перемычек.
Рис. 5. Плата электронного замка "Соболь"
Идентификация пользователя осуществляется при помощи УВИП Touch Memory. Скорость обмена данными между персональным идентификатором и платой замка составляет 16 Кбит/с. Аутентификация пользователя осуществляется по паролю и персональному идентификатору. В электронном замке поддерживается работа с паролями длиной до 16 символов. Персональный идентификатор пользователя вырабатывается при его регистрации с помощью датчика случайных чисел.
Запрет загрузки ОС с внешних носителей (магнитных, оптических и магнитнооптических дисков) может осуществляться программным и аппаратным способами путем блокирования доступа к устройствам чтения этих дисков при запуске компьютера. После успешной загрузки ОС доступ к этим устройствам восстанавливается с помощью специальной программы, входящей в состав программного обеспечения электронных замков.
Контроль целостности программной среды компьютера заключается в проверке изменения файлов и секторов жёсткого диска. Для этого вычисляются некоторые текущие контрольные значения проверяемых объектов и сравниваются с эталонными значениями, заранее рассчитанными для каждого из этих объектов.
Сведения, необходимые администратору для установки и эксплуатации электронных замков "Соболь-PCI" и "Соболь", приводятся соответственно в документах [ 1 ] и [ 2 ].
Изделия Secret Net Touch Memory Card PCI и Secret Net Touch Memory Card
Изделия Secret Net Touch Memory Card PCI и Secret Net Touch Memory Card предна-
значены для:
•идентификации и аутентификации пользователей;
•блокировки загрузки операционной системы с внешних съёмных носителей.
Всостав изделия Secret Net Touch Memory Card входят плата (см. Рис. 6) и УВИП Touch Memory или Proximity (по выбору заказчика). Плата устанавливается в разъём
17
Система защиты информации Secret Net. Аппаратные средства
системной шины ISA. На плате имеются разъёмы для подключения считывателей
Touch Memory (внешний) и Proximity (внутренний).
В состав изделия Secret Net Touch Memory Card PCI входят плата и УВИП Touch Memory. Плата устанавливается в разъём системной шины PCI. Считыватель Touch Memory может подключаться как к внешнему разъёму платы, так и к внутреннему.
Основу изделий составляют память EEPROM (изделие Secret Net ROM BIOS), содержимое которой дополняет системную BIOS, и перепрограммируемая логическая матрица. В Secret Net Touch Memory Card PCI поиск свободной области оперативной памяти компьютера для загрузки содержимого EEPROM осуществляется автоматически. В Secret Net Touch Memory Card выбор начального адреса загрузки расширения BIOS, содержащегося в EEPROM платы, а также адреса порта обмена данными с памятью идентификатора выполняется вручную (см. стр. 28). Для этого на плате имеются четыре перемычки.
Рис. 6. Плата Secret Net Touch Memory Card
Блокировка загрузки ОС с внешних носителей (магнитных, оптических и магнитнооптических дисков) осуществляется программным способом путем запрета доступа к устройствам чтения этих дисков при запуске компьютера. После успешной загрузки ОС доступ к этим устройствам восстанавливается.
Сетевой адаптер с микросхемой Secret Net ROM BIOS
Сетевой адаптер в качестве изделия аппаратной поддержки системы Secret Net предназначен для запрета загрузки ОС со сменных носителей (для Secret Net 9x/NT/2000), а также идентификации и аутентификации пользователей без электронного идентификатора (для Secret Net 9x).
Сетевой адаптер представляет собой PCI-плату (см. Рис. 7) стандарта Ethernet, в гнездо начальной загрузки которой помещается микросхема BIOS (изделие Secret Net ROM BIOS).
Рис. 7. Сетевая плата с микросхемой Secret Net ROM BIOS
Блокировка загрузки ОС с внешних носителей (магнитных, оптических и магнитнооптических дисков) осуществляется программным способом путем её запрета.
18
Глава 1. Аппаратная поддержка системы Secret Net
Изделие Secret Net Card
Изделие Secret Net Card предназначено для запрета загрузки операционной системы с внешних съёмных носителей (для Secret Net 9x/NT/2000), а также идентификации и аутентификации пользователей без электронного идентификатора (для Secret Net 9x).
Изделие Secret Net Card представляет собой плату (см. Рис. 8) устанавливаемую внутри системного блока компьютера в разъём системной шины ISA.
Рис. 8. Изделие Secret Net Card
На плате размещается микросхема EEPROM (изделие Secret Net ROM BIOS), 4 микросхемы комбинационного типа 555-ой серии и 4 перемычки, которые предназначены для установки начального адреса загрузки содержимого Secret Net ROM BIOS в оперативную память компьютера (см. стр. 31).
Блокировка загрузки ОС с внешних носителей (магнитных, оптических и магнитнооптических дисков) осуществляется программным способом путём её запрета.
19