Аппаратура разграничения и контроля доступа к информации

© Панасенко Сергей, 2004 .

В предыдущей статье («Комплексная защита информации на базе аппаратных шифраторов») были рассмотрены структура и основные функции аппаратных шифрторов на примере семейства шифраторов КРИПТОН фирмы АНКАД. Продолжим тему рассмотрением одной из дополнительных функций аппаратных шифраторов – возможности разграничения и контроля доступа пользователей к информации.

Контроль доступа к компьютеру с помощью специального аппаратного модуля

Разграничение доступа к компьютеру и хранящейся в нем информации реализовано в большинстве современных операционных систем, однако большей части встроенных систем контроля доступа присущи, как минимум, два следующих недостатка:

  1. Специализированные издания и новостные сайты, посвященные информационной безопасности, регулярно оповещают о появлении или обнаружении новых уязвимостей и ошибок в стандартных системах контроля доступа.
  2. Теоретически, программное средство контроля доступа может подвергнуться воздействию злоумышленника с целью искажения алгоритма работы такого средства и последующего получения доступа к системе.

Кроме того, отечественное законодательство запрещает использование государственными организациями средств защиты, не имеющих сертификатов, выданных соответствующими сертификационными органами РФ; подавляющее большинство встроенных средств контроля доступа не имеет таких сертификатов.
Для компенсации второго из приведенных недостатков необходимо, чтобы контроль доступа пользователей производился в доверенной программной среде, которую наилучшим образом может обеспечить только аппаратный модуль (назовем его ЗАМОК), выполняющий следующие действия:

  1. После включении компьютера ЗАМОК перехватывает управление и предлагает пользователю, загружающему компьютер, ввести аутентифицирующую его информацию, например, некие ключевые файлы. Затем ЗАМОК выполняет проверку наличия данного пользователя в списке тех, кому разрешено загружать данный компьютер; если пользователь присутствует в списке, проверяется соответствие предъявленных им ключей ожидаемым. При отсутствии пользователя в списке или неверных ключах, ЗАМОК отказывает пользователю в загрузке.
  2. При успешном прохождении пользователем аутентификации ЗАМОК загружает доверенную операционную систему, хранящуюся непосредственно в его энергонезависимой памяти (например, DOS). В данной операционной системе выполняется проверка целостности важных файлов операционной системы: для каждого из файлов, находящихся в списке контролируемых файлов (о списке – ниже), рассчитывается контрольная сумма (наилучший вариант – хэш-значение по отечественному алгоритму ГОСТ Р 34.11-94, поскольку данный алгоритм является обязательным для применения в качестве алгоритма хэширования в государственных организациях РФ), которая сравнивается с эталонных значением для данного файла, хранящимся также в энергонезависимой памяти ЗАМКА. При несовпадении текущего (рассчитанного) и эталонного значений ЗАМОК отказывает пользователю в достпе на компьютер, поскольку такое несовпадение (т.е. нарушение целостности контролируемого файла) может быть следствием внедрения в данный файл неким злоумышленником программной закладки, способной выполнять различные несанкционированные действия, которые могут, например, каким-либо образом отсылать злоумышленнику обрабатываемую на данном компьютере конфиденциальную информацию или модифицировать сообщения пользователя и т. д.
  3. При успешном прохождении всех проверок пользователь допускается к компьютеру, для чего ЗАМОК возвращает управление компьютеру, что позволяет последнему начать загрузку своей штатной операционной системы.

Результаты выполняемых проверок (как положительные, так и отрицательные) ЗАМОК сохраняет в своем журнале (еще одно применение энергонезависимой памяти данного усройства). Журнал позволяет впоследствии Администратору ЗАМКА выявить причины запрета доступа к компьютеру для какого-либо пользователя, выявить несанкционированные действия легальных пользователей и т. д. Пример журнала приведен на рис. 1.

Администратор ЗАМКА аутентифицируется устройством по предъявляемым им ключам – аналогично обычному пользователю. В списке пользователей ЗАМКА для Администратора указано, что данный пользователь обладает расширенными правами, которые позволяют Администратору запустить программу администрирования ЗАМКА, позволяющую выполнить настройку ЗАМКА, а именно:

  1. Создать и редактировать список пользователей каждого конкретного ЗАМКА, т. е. список лиц, которым разрешен вход на конкретный компьютер. При создании пользователя Администратор создает для него ключевой носитель, который данный пользователь должен предъявлять ЗАМКУ для входа. Ключи пользователя обычно закрываются паролем, причем, пользователь может самостоятельно сменить пароль своих ключей, например, для обеспечения невозможности несанкционированного использования его ключей Администратором. При необходимости, Администратор может создать еще одного или нескольких администраторов ЗАМКА. Пример простейшего списка пользователей приведен на рис. 2.
  2. Создать и редактировать список контролируемых файлов. При добавлении любого файла в данный список выполняется расчет эталонного хэш-значения для данного файла, которое впоследствии используется для контроля его целостности. Фрагмент списка контролируемых файлов приведен на рис. 3.

Как было сказано выше, при нарушении целостности хотя бы одного из контролируемых файлов, ЗАМОК запрещает пользователю доступ к компьютеру. При этом дальнейший доступ на данный компьютер разрешается только Администратору, который обязан разобраться в причинах нарушения целостности и исправить ситуацию: заменить нарушенный файл корректным или, если нарушение целостности конкретного файла было санкционировано, но не зафиксировано пересчетом его эталонного значения, - пересчитать хэш-значение измененного файла и переписать в ЗАМОК в качестве нового эталона.
Описанная методика контроля доступа пользователей на компьютер реализована, например, в семействе аппаратных шифраторов КРИПТОН.

Прозрачное шифрование информации

Как видно, ЗАМОК контролирует только доступ пользователей к компьютеру и целостность критичных файлов согласно файл-списку. ЗАМОК обычно представляет собой плату расширения, подключаемую к PCI- или ISA-разъему материнской платы компьютера. Поэтому, теоретически, злоумышленник может просто вынуть ЗАМОК из компьютера, после чего последний становится беззащитным. Есть два пути решения данной проблемы:

  1. Использовать административные меры, пресекающие возможность вынимания ЗАМКА из компьютера, например, пломбирование (опечатывание) или запирание корпуса компьютера. А описанное ниже устройство КРИПТОН-ЗАМОК позволяет блокировать крышку корпуса компьютера изнутри, после чего его невозможно вынуть без повреждения компьютера (разблокировать можно программно после предъявления ключей Администратора).
  2. Использовать прозрачное (автоматическое) шифрование информации на компьютере с помощью аппаратного шифратора, выполняющего функции ЗАМКА (например, КРИПТОН-4/PCI).

Поскольку административные меры лежат за рамками данной статьи, рассмотрим второй из перечисленных способов.
Средства прозрачного шифрования информации позволяют автоматически зашифровывать файлы, записываемые на жесткий диск компьютера, и расшифровывать считываемую с диска информацию. Основное преимущество прозрачного шифрования по сравнению с шифрованием, выполняемым по команде пользователя, состоит в том, что средство прозрачного шифрования достаточно однократно настроить, после чего вся записываемая на диск информация будет зашифровываться автоматически. Пользователь может и не знать о присутствии на его компьютере подобной системы защиты: единственное, что от него требуется – это предъявлять средству прозрачного шифрования ключи, на которых шифруется информация. Данное свойство ценно для пользователей, не обладающих высокой квалификацией работы на компьютере, поскольку прозрачное шифрование существенно снижает риск нарушения конфиденциальности данных из-за ошибки пользователя или его забывчивости.
При использовании прозрачного шифрования, защищенность информации на компьютере не понижается при вынимании ЗАМКА злоумышленником, поскольку данные на компьютере остаются в зашифрованном виде (а для расшифрования требуются ключи легального пользователя и вынутый из компьютера ЗАМОК, т. е. аппаратный шифратор с функциями контроля доступа). Попытки же злоумышленника модифицировать файлы операционной системы компьютера с целью внедрения программной закладки (после чего вставить ЗАМОК на место) пресекаются ЗАМКОМ при следующей загрузке компьютера.

Центр обеспечения безопасности

ЗАМОК может не только контролировать доступ пользователей на компьютер и целостность файлов операционной системы. В принципе, вокруг такого доверенного аппаратного модуля может строиться безопасность всего компьютера. Рассмотрим аппаратно-программный модуль доверенной загрузки (АПМДЗ) КРИПТОН-ЗАМОК (см. рис. 4), который, выполняя описанные выше функции ЗАМКА, обладает дополнительными функциями, позволяющими использовать его в качестве центрального модуля построения комплексной защиты компьютера, в частности:

Заключение

Стоит сказать о том, что любое средство защиты требует определенного уровня квалификации пользователей, а также понимания пользователями необходимости защиты информации и выполнения определенных организационных мер, призванных вкупе со средствами защиты обеспечить определенный уровень безопасности конфиденциальной информации. Как минимум, необходим грамотный подход к хранению и использованию носителей ключей, который не позволит злоумышленнику завладеть ключами легального пользователя.
При грамотном использовании, аппаратый шифратор с функциями ЗАМКА является одним из наиболее надежных средств защиты компьютерной информации.

 

Рисунки:

  1. Пример журнала операций.
  2. Список пользователей.
  3. Редактирование списка контролируемых файлов.
  4. АПМДЗ КРИПТОН-ЗАМОК.
Алгоритмы шифрования...

Rambler's Top100 OZON.ru

Перейти на главную страницу

Карта сайта

Список статей