Назначение и характер аппаратных средств защиты информации

лексе     средств     защиты      информации
от несанкционированного доступа — аппаратном модуле  доверенной  загрузки  —
«Аккорд-АМДЗ».  Этот комплекс   обеспечивает   режим   доверенной   загрузки
в различных   операционных   средах:   MS DOS,   Windows 3.x,   Windows 9.x,
Windows NT/2000/XP, OS/2, Unix, Linux .
      Основным принципом работы «Аккорд-АМДЗ» является выполнение  процедур,
реализующих  основные  функции   системы   защиты   информации   до загрузки
операционной    системы.    Процедуры     идентификации /     аутентификации
пользователя,  контроля  целостности   аппаратных   и программных   средств,
администрирование,  блокировка  загрузки  операционной   системы   с внешних
носителей информации размещены во внутренней памяти  микроконтроллера  платы
«Аккорд».  Таким  образом,  пользователь  не имеет   возможности   изменения
процедур, которые  влияют  на функциональность  системы  защиты  информации.
В энергонезависимой  памяти   контроллера   «Аккорд»   хранится   информация
о персональных  данных  пользователей,   данные   для контроля   целостности
программных  и аппаратных  средств,  журнал  регистрации  и учета  системных
событий  и действий  пользователя.  Эти данные  могут быть  изменены  только
авторизованным  администратором  безопасности  информации,  так как   доступ
к энергонезависимой   памяти   полностью   определяется    логикой    работы
программного обеспечения, размещенного в микроконтроллере платы.
      СЗИ НСД семейства «Аккорд» реализованы  на базе  контроллера  «Аккорд-
4.5»  (для ПЭВМ  с шинным  интерфейсом ISA)  и его функционального   аналога
для шинного интерфейса РСI — «Аккорд-5».
      PCI-устройства   ОКБ САПР    являются    легальными    и имеют    свой
идентификатор, предоставленный ассоциацией разработчиков  данных  устройств:
Vendor ID 1795.
      Для  организаций,  использующих   промышленные   компьютеры   с шинным
интерфейсом РС/104,   может   представлять   интерес   программно-аппаратный
комплекс СЗИ НСД «Аккорд-РС104». Данный комплекс прошел испытания  в жестких
условиях эксплуатации (повышенная  вибрация,  широкий  диапазон  температур,
высокая  влажность  и т. д.).  Он может   применяться   в специализированных
компьютерах,  используемых  в бортовой  аппаратуре   (наземные,   воздушные,
морские и промышленные системы), в измерительной  аппаратуре,  в устройствах
связи, в мобильных системах, в том числе и военного назначения.
      Наиболее  наукоёмкой   разработкой   ОКБ САПР   является   сопроцессор
безопасности «Аккорд-СБ», в котором интегрированы  все необходимые  средства
для реализации   комплексной   защиты    информации    от НСД.    Контроллер
сопроцессора   безопасности   «Аккорд-СБ/2»   имеет   высокопроизводительный
микропроцессор  и аппаратный  ускоритель  математических   функций.   Доступ
к функциям   этого   процессора    определяется    встроенным    программным
обеспечением контроллера.
      Используя библиотеку программирования (SDK)  контроллера  сопроцессора
безопасности «Аккорд-СБ/2»,  разработчик  может  применять  данный  комплекс
как многофункциональное  устройство.  В частности,  кроме  задач   по защите
информации  от несанкционированного   доступа,   он может быть   использован
для передачи   конфиденциальной   информации   по открытым   каналам   связи
в зашифрованном  виде  с высокой  скоростью  обработки  и передачи   данных,
шифрования   дисков,   формирования   и проверки ЭЦП,   защиты   электронных
документов с использованием  защитных  кодов  аутентификации (ЗКА),  а также
в качестве межсетевого экрана.
      Требования    к аппаратным СЗИ    и принципы    аппаратной     защиты,
реализованные   в СЗИ НСД   семейства   «Аккорд»,   уже стали    фактическим
стандартом  и применяются  всеми  крупными  разработчиками  средств  защиты,
действующими на российском рынке СЗИ.
      Применение сильной аппаратной поддержки в комплексах СЗИ НСД семейства
«Аккорд»  позволило  выйти  на новый  уровень  в развитии   средств   защиты
информации.   Как известно,   для построения    автоматизированных    систем
по классам защищённости  1Д–1А   требуется  установка  правил  разграничения
доступа к ее информационным ресурсам. Для реализации  функций  разграничения
доступа пользователей  к информационным  ресурсам  и создания  изолированной
программной среды  (ИПС)  программистами  ОКБ САПР  разработано  специальное
программное  обеспечение,  поддерживающее  все типы  контроллеров  «Аккорд»,
включая работу с датчиком случайных чисел. Это такие комплексы СЗИ НСД,  как
«Аккорд-1.95» (MS DOS, Windows 9x), «Аккорд-1.95-00» (Windows 9x),  «Аккорд-
NT/2000» (Windows NT/2000/ХР).
      Особенностью   комплексов    «Аккорд-1.95-00»    и    «Аккорд-NT/2000»
является то,  что  в данных  версиях,   кроме   дискреционного,   реализован
мандатный принцип доступа субъектов к информационным  ресурсам.  Специальное
программное  обеспечение,   реализующее   функции   разграничения   доступа,
позволяет   администратору    безопасности    информации    описать    любую
не противоречивую политику безопасности на основе  наиболее  полного  набора
атрибутов (более  15 атрибутов  по доступу  к файлам  и каталогам)   и меток
конфиденциальности  объектов  (файлов)  и процессов  (программ),   с помощью
которых осуществляется их обработка.
      Следующим   этапом   стала   разработка   основ    защиты    локальных
вычислительных  сетей  с применением  программно-аппаратных  средств  защиты
от НСД к информации. Для полноценной защиты  локальной  вычислительной  сети
ОКБ САПР предлагает комплексную технологию:
      -установку на рабочих станциях СЗИ «Аккорд АМДЗ» с  ПО  «Аккорд-1.95»,
«Аккорд-1.95-00», «Аккорд-NT/2000»;
      -установку подсистемы контроля целостности на каждом файл-сервере;
      -установку подсистемы распределенного аудита и управления;
      -установку подсистемы усиленной аутентификации.
      Управление вышеперечисленными подсистемами в локальных  вычислительных
сетях   обеспечивается   с помощью   автоматизированного   рабочего    места
администратора   безопасности   (АРМ АБИ).   Данная   технология   позволяет
администратору безопасности информации однозначно опознавать  авторизованных
пользователей  и зарегистрированные   рабочие   станции   в сети;   в режиме
реального  времени  контролировать   задачи,   выполняемые   пользователями;
в случае   несанкционированных   действий   блокировать   рабочие   станции,
с которых такие действия осуществлялись; удаленно  вести  администрирование.
Особый  интерес  представляет  подсистема  усиленной  аутентификации,   суть
которой заключается в дополнительном механизме проверки подлинности  рабочих
станций.  Процедура  проверки  подлинности  выполняется  не только  в момент
подключения станции, но и  с установленной  администратором  периодичностью.
Подсистема предотвращает  как подмену  локальной  станции  или сервера,  так
и подключение    в ЛВС    нелегальных    станций /    серверов.    Усиленная
аутентификация  в ЛВС   основана   на применении   математических   методов,
позволяющих однозначно опознать участников диалога.
      Как известно, невозможно решить все вопросы обработки информации  в АС
только средствами защиты от НСД к защищаемой информации. Поэтому  необходимо
также  обеспечить  юридическую   доказательность   подлинности   электронных
документов.  Специалистами  ОКБ САПР  предложен  и реализован  новый  путь —
разработка  контролируемой  технологии  обработки   электронных   документов
в вычислительных  системах —  технология   защиты   электронных   документов
с использованием защитных  кодов  аутентификации  (ЗКА).  Данная  технология
уже используется  в банковских  платежных  системах  с целью  предотвращения
попыток злоумышленников ввести фиктивные  или модифицировать  обрабатываемые
электронные банковские  документы,  а также  с целью  организации  сквозного
контроля при прохождении электронных  документов  всех  предписанных  этапов
их существования (создание,  обработка,  передача,  хранение,  окончательный
зачет).   Это обеспечивается   установкой   на документ ЗКА.    В результате
электронный  документ  на каждом  этапе  обработки  имеет  два ЗКА,   первый
из которых  позволяет   авторизовать   и проконтролировать   его целостность
на предыдущем  этапе   обработки,   а второй   является   его индивидуальным
признаком на текущем.
      Технологическая защита электронного документооборота реализуется всеми
типами контроллеров семейства «Аккорд».  Кроме того,  для реализации  данной
технологии   при использовании   других   СЗИ НСД   в ОКБ САПР   разработаны
эффективные устройства: блок установки кодов аутентификации (БУКА),  изделие
«ШИПКА» (Шифрование, Аутентификация, Подпись, Коды Аутентификации).
      “ШИПКА” содержит микропроцессор с встроенным программным обеспечением,
аппаратный датчик случайных чисел, подключается через имеющийся  интерфейс —
шину USB — и может выполнять операции:
      -шифрование по ГОСТ 28147-89;
      -хеширование по ГОСТ Р 34.11-94;
      -формирование и проверка электронной цифровой подписи по ГОСТ Р 34.10-
94;
      -выработка и проверка защитных кодов аутентификации.
      В последней модификации изделия имеется  защищенный  электронный  диск
объемом  16 Мбайт,  32,  64  или  128  Мбайт   для записи   пользовательской
информации.
      Любая  система  защиты   информации —   это комплекс   организационно-
технических  мероприятий,  который  включает  в себя  совокупность  правовых
норм,   организационных   мер   и программно-технических   средств   з

1 2 3 4 5

скачать работу

Отправка СМС бесплатно