Назначение и характер аппаратных средств защиты информации
лексе средств защиты информации
от несанкционированного доступа — аппаратном модуле доверенной загрузки —
«Аккорд-АМДЗ». Этот комплекс обеспечивает режим доверенной загрузки
в различных операционных средах: MS DOS, Windows 3.x, Windows 9.x,
Windows NT/2000/XP, OS/2, Unix, Linux .
Основным принципом работы «Аккорд-АМДЗ» является выполнение процедур,
реализующих основные функции системы защиты информации до загрузки
операционной системы. Процедуры идентификации / аутентификации
пользователя, контроля целостности аппаратных и программных средств,
администрирование, блокировка загрузки операционной системы с внешних
носителей информации размещены во внутренней памяти микроконтроллера платы
«Аккорд». Таким образом, пользователь не имеет возможности изменения
процедур, которые влияют на функциональность системы защиты информации.
В энергонезависимой памяти контроллера «Аккорд» хранится информация
о персональных данных пользователей, данные для контроля целостности
программных и аппаратных средств, журнал регистрации и учета системных
событий и действий пользователя. Эти данные могут быть изменены только
авторизованным администратором безопасности информации, так как доступ
к энергонезависимой памяти полностью определяется логикой работы
программного обеспечения, размещенного в микроконтроллере платы.
СЗИ НСД семейства «Аккорд» реализованы на базе контроллера «Аккорд-
4.5» (для ПЭВМ с шинным интерфейсом ISA) и его функционального аналога
для шинного интерфейса РСI — «Аккорд-5».
PCI-устройства ОКБ САПР являются легальными и имеют свой
идентификатор, предоставленный ассоциацией разработчиков данных устройств:
Vendor ID 1795.
Для организаций, использующих промышленные компьютеры с шинным
интерфейсом РС/104, может представлять интерес программно-аппаратный
комплекс СЗИ НСД «Аккорд-РС104». Данный комплекс прошел испытания в жестких
условиях эксплуатации (повышенная вибрация, широкий диапазон температур,
высокая влажность и т. д.). Он может применяться в специализированных
компьютерах, используемых в бортовой аппаратуре (наземные, воздушные,
морские и промышленные системы), в измерительной аппаратуре, в устройствах
связи, в мобильных системах, в том числе и военного назначения.
Наиболее наукоёмкой разработкой ОКБ САПР является сопроцессор
безопасности «Аккорд-СБ», в котором интегрированы все необходимые средства
для реализации комплексной защиты информации от НСД. Контроллер
сопроцессора безопасности «Аккорд-СБ/2» имеет высокопроизводительный
микропроцессор и аппаратный ускоритель математических функций. Доступ
к функциям этого процессора определяется встроенным программным
обеспечением контроллера.
Используя библиотеку программирования (SDK) контроллера сопроцессора
безопасности «Аккорд-СБ/2», разработчик может применять данный комплекс
как многофункциональное устройство. В частности, кроме задач по защите
информации от несанкционированного доступа, он может быть использован
для передачи конфиденциальной информации по открытым каналам связи
в зашифрованном виде с высокой скоростью обработки и передачи данных,
шифрования дисков, формирования и проверки ЭЦП, защиты электронных
документов с использованием защитных кодов аутентификации (ЗКА), а также
в качестве межсетевого экрана.
Требования к аппаратным СЗИ и принципы аппаратной защиты,
реализованные в СЗИ НСД семейства «Аккорд», уже стали фактическим
стандартом и применяются всеми крупными разработчиками средств защиты,
действующими на российском рынке СЗИ.
Применение сильной аппаратной поддержки в комплексах СЗИ НСД семейства
«Аккорд» позволило выйти на новый уровень в развитии средств защиты
информации. Как известно, для построения автоматизированных систем
по классам защищённости 1Д–1А требуется установка правил разграничения
доступа к ее информационным ресурсам. Для реализации функций разграничения
доступа пользователей к информационным ресурсам и создания изолированной
программной среды (ИПС) программистами ОКБ САПР разработано специальное
программное обеспечение, поддерживающее все типы контроллеров «Аккорд»,
включая работу с датчиком случайных чисел. Это такие комплексы СЗИ НСД, как
«Аккорд-1.95» (MS DOS, Windows 9x), «Аккорд-1.95-00» (Windows 9x), «Аккорд-
NT/2000» (Windows NT/2000/ХР).
Особенностью комплексов «Аккорд-1.95-00» и «Аккорд-NT/2000»
является то, что в данных версиях, кроме дискреционного, реализован
мандатный принцип доступа субъектов к информационным ресурсам. Специальное
программное обеспечение, реализующее функции разграничения доступа,
позволяет администратору безопасности информации описать любую
не противоречивую политику безопасности на основе наиболее полного набора
атрибутов (более 15 атрибутов по доступу к файлам и каталогам) и меток
конфиденциальности объектов (файлов) и процессов (программ), с помощью
которых осуществляется их обработка.
Следующим этапом стала разработка основ защиты локальных
вычислительных сетей с применением программно-аппаратных средств защиты
от НСД к информации. Для полноценной защиты локальной вычислительной сети
ОКБ САПР предлагает комплексную технологию:
-установку на рабочих станциях СЗИ «Аккорд АМДЗ» с ПО «Аккорд-1.95»,
«Аккорд-1.95-00», «Аккорд-NT/2000»;
-установку подсистемы контроля целостности на каждом файл-сервере;
-установку подсистемы распределенного аудита и управления;
-установку подсистемы усиленной аутентификации.
Управление вышеперечисленными подсистемами в локальных вычислительных
сетях обеспечивается с помощью автоматизированного рабочего места
администратора безопасности (АРМ АБИ). Данная технология позволяет
администратору безопасности информации однозначно опознавать авторизованных
пользователей и зарегистрированные рабочие станции в сети; в режиме
реального времени контролировать задачи, выполняемые пользователями;
в случае несанкционированных действий блокировать рабочие станции,
с которых такие действия осуществлялись; удаленно вести администрирование.
Особый интерес представляет подсистема усиленной аутентификации, суть
которой заключается в дополнительном механизме проверки подлинности рабочих
станций. Процедура проверки подлинности выполняется не только в момент
подключения станции, но и с установленной администратором периодичностью.
Подсистема предотвращает как подмену локальной станции или сервера, так
и подключение в ЛВС нелегальных станций / серверов. Усиленная
аутентификация в ЛВС основана на применении математических методов,
позволяющих однозначно опознать участников диалога.
Как известно, невозможно решить все вопросы обработки информации в АС
только средствами защиты от НСД к защищаемой информации. Поэтому необходимо
также обеспечить юридическую доказательность подлинности электронных
документов. Специалистами ОКБ САПР предложен и реализован новый путь —
разработка контролируемой технологии обработки электронных документов
в вычислительных системах — технология защиты электронных документов
с использованием защитных кодов аутентификации (ЗКА). Данная технология
уже используется в банковских платежных системах с целью предотвращения
попыток злоумышленников ввести фиктивные или модифицировать обрабатываемые
электронные банковские документы, а также с целью организации сквозного
контроля при прохождении электронных документов всех предписанных этапов
их существования (создание, обработка, передача, хранение, окончательный
зачет). Это обеспечивается установкой на документ ЗКА. В результате
электронный документ на каждом этапе обработки имеет два ЗКА, первый
из которых позволяет авторизовать и проконтролировать его целостность
на предыдущем этапе обработки, а второй является его индивидуальным
признаком на текущем.
Технологическая защита электронного документооборота реализуется всеми
типами контроллеров семейства «Аккорд». Кроме того, для реализации данной
технологии при использовании других СЗИ НСД в ОКБ САПР разработаны
эффективные устройства: блок установки кодов аутентификации (БУКА), изделие
«ШИПКА» (Шифрование, Аутентификация, Подпись, Коды Аутентификации).
“ШИПКА” содержит микропроцессор с встроенным программным обеспечением,
аппаратный датчик случайных чисел, подключается через имеющийся интерфейс —
шину USB — и может выполнять операции:
-шифрование по ГОСТ 28147-89;
-хеширование по ГОСТ Р 34.11-94;
-формирование и проверка электронной цифровой подписи по ГОСТ Р 34.10-
94;
-выработка и проверка защитных кодов аутентификации.
В последней модификации изделия имеется защищенный электронный диск
объемом 16 Мбайт, 32, 64 или 128 Мбайт для записи пользовательской
информации.
Любая система защиты информации — это комплекс организационно-
технических мероприятий, который включает в себя совокупность правовых
норм, организационных мер и программно-технических средств з
| | скачать работу |
Назначение и характер аппаратных средств защиты информации |