|
|
|
Средства защиты информации от НСД : Теория |
|
Аппаратные средства — основа построения систем защиты от несанкционированного доступа к информации
Разработке и производству современных средств защиты от несанкционированного доступа (НСД) к информации в ОКБ САПР предшествовало выполнение научно-исследовательских и опытно-конструкторских работ в этой области. Большинство разработчиков на первоначальном этапе были сосредоточены на создании только программного обеспечения, реализующего функции защиты в автоматизированных системах, что не может гарантировать надежной защищённости автоматизированных систем от НСД к информации. К примеру, проверка целостности программной среды, осуществляемая какой-либо другой программой, находящейся на одном носителе с проверяемыми объектами, не может гарантировать правильности проводимых процедур. Необходимо обеспечить достоверность самой программы проверки целостности, а только затем выполнение ее контрольных процедур. Таким образом, это привело к осознанию необходимости использования в системах защиты информации от НСД аппаратных средств со встроенными процедурами контроля целостности программ и данных, идентификации и аутентификации, регистрации и учета. В 90-е годы сотрудниками ОКБ САПР была разработана методология применения аппаратной защиты, признанная необходимой основой построения систем защиты от НСД к информации. Основные идеи этого подхода состоят в следующем:
Вышеперечисленные принципы аппаратной защиты были реализованы в программно-аппаратном комплексе средств защиты информации от несанкционированного доступа аппаратном модуле доверенной загрузки 2 «Аккорд-АМДЗ». Этот комплекс обеспечивает режим доверенной загрузки в различных операционных средах: MS DOS, Windows 3.x, Windows 9.x, Windows NT/2000/XP, OS/2, Unix, Linux 3. Основным принципом работы «Аккорд-АМДЗ» является выполнение процедур, реализующих основные функции системы защиты информации до загрузки операционной системы. Процедуры идентификации / аутентификации пользователя, контроля целостности аппаратных и программных средств, администрирование, блокировка загрузки операционной системы с внешних носителей информации размещены во внутренней памяти микроконтроллера платы «Аккорд». Таким образом, пользователь не имеет возможности изменения процедур, которые влияют на функциональность системы защиты информации. В энергонезависимой памяти контроллера «Аккорд» хранится информация о персональных данных пользователей, данные для контроля целостности программных и аппаратных средств, журнал регистрации и учета системных событий и действий пользователя. Эти данные могут быть изменены только авторизованным администратором безопасности информации, так как доступ к энергонезависимой памяти полностью определяется логикой работы программного обеспечения, размещенного в микроконтроллере платы.
Используя библиотеку программирования (SDK) контроллера сопроцессора безопасности «Аккорд-СБ/2», разработчик может применять данный комплекс как многофункциональное устройство. В частности, кроме задач по защите информации от несанкционированного доступа, он может быть использован для передачи конфиденциальной информации по открытым каналам связи в зашифрованном виде с высокой скоростью обработки и передачи данных, шифрования дисков, формирования и проверки ЭЦП, защиты электронных документов с использованием защитных кодов аутентификации (ЗКА), а также в качестве межсетевого экрана. Требования к аппаратным СЗИ и принципы аппаратной защиты, реализованные в СЗИ НСД семейства «Аккорд», уже стали фактическим стандартом и применяются всеми крупными разработчиками средств защиты, действующими на российском рынке СЗИ. Применение сильной аппаратной поддержки в комплексах СЗИ НСД семейства «Аккорд»
позволило выйти на новый уровень в развитии средств защиты информации. Как известно,
для построения автоматизированных систем по классам защищённости
Особенностью комплексов Следующим этапом стала разработка основ защиты локальных вычислительных сетей с применением программно-аппаратных средств защиты от НСД к информации. Для полноценной защиты локальной вычислительной сети ОКБ САПР предлагает комплексную технологию:
Управление вышеперечисленными подсистемами в локальных вычислительных сетях обеспечивается с помощью автоматизированного рабочего места администратора безопасности (АРМ АБИ). Данная технология позволяет администратору безопасности информации однозначно опознавать авторизованных пользователей и зарегистрированные рабочие станции в сети; в режиме реального времени контролировать задачи, выполняемые пользователями; в случае несанкционированных действий блокировать рабочие станции, с которых такие действия осуществлялись; удаленно вести администрирование. Особый интерес представляет подсистема усиленной аутентификации, суть которой заключается в дополнительном механизме проверки подлинности рабочих станций. Процедура проверки подлинности выполняется не только в момент подключения станции, но и с установленной администратором периодичностью. Подсистема предотвращает как подмену локальной станции или сервера, так и подключение в ЛВС нелегальных станций / серверов. Усиленная аутентификация в ЛВС основана на применении математических методов, позволяющих однозначно опознать участников диалога. Как известно, невозможно решить все вопросы обработки информации в АС
только средствами защиты от НСД к защищаемой информации. Поэтому необходимо также обеспечить
юридическую доказательность подлинности электронных документов. Специалистами ОКБ САПР предложен
и реализован новый путь — разработка контролируемой технологии обработки электронных
документов в вычислительных системах — технология защиты электронных документов
с использованием защитных кодов Технологическая защита электронного документооборота реализуется всеми типами контроллеров семейства «Аккорд». Кроме того, для реализации данной технологии при использовании других СЗИ НСД в ОКБ САПР разработаны эффективные устройства: блок установки кодов аутентификации (БУКА), изделие «ШИПКА» (Шифрование, Аутентификация, Подпись, Коды Аутентификации).
Любая система защиты информации — это комплекс организационно-технических мероприятий, который включает в себя совокупность правовых норм, организационных мер и программно-технических средств защиты, направленных на противодействие угрозам объекту информатизации с целью сведения до минимума возможного ущерба пользователям и владельцам системы. Без организационных мер, наличия четкой организационно-распорядительной системы на объекте информатизации эффективность любых технических СЗИ снижается. Поэтому ОКБ САПР большое внимание уделяет вопросам разработки нормативно-технической и методической документации, комплектов организационно-распорядительных документов по политике защиты объектов информатизации в соответствии с действующим законодательством РФ. Совместно с Федеральным государственным унитарным предприятием «Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации» (ВНИИПВТИ) активно участвует в научных работах в области защиты информации, прежде всего в разработке:
В настоящее время ОКБ САПР является признанным разработчиком и производителем программно-аппаратных средств защиты информации от несанкционированного доступа, передовых методов управления защитой информации и технологий защищенного электронного документооборота на их основе. ОКБ САПР является лицензиатом ФСБ, Гостехкомиссии России и ФАПСИ, имеет аттестованное Гостехкомиссией России производство средств защиты информации от несанкционированного доступа и широкую дилерскую сеть в большинстве субъектов Российской Федерации, ведет активную работу по подготовке специалистов в области защиты информации. 1 Уровень защищенности АС не выше уровня самого слабого звена. 2 Под термином «доверенная загрузка» понимается загрузка операционной системы только после проведения контрольных процедур идентификации / аутентификации пользователей, проверки целостности технических и программных средств с использованием алгоритма пошагового контроля целостности. 3 Комплекс работает с файловыми системами FAT 12, FAT 16, FAT 32, NTFS, HPFS, FreeBSD, Linux EXT2FS. 4 Требования к автоматизированным системам соответствующих классов защищённости определен в Руководящем документе Государственной технической комиссии Российской Федерации «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». 5 Изолированная программная среда — такая программная среда, в которой установлена проверенная операционная среда с проверенным BIOS ПЭВМ, установлена неизменность DOS и BIOS для данного сеанса работы, не запускается никаких иных программ, кроме проверенных на целостность, исключен запуск проверенных программ вне проверенной среды; вышеперечисленные условия выполняются для всех пользователей, аутентифицированных защитным механизмом. 6 Дискреционный принцип доступа. 7 Мандатный принцип доступа. 8 Средства защитных кодов аутентификации (ЗКА) обеспечивают контроль целостности электронного документа на всех этапах его существования при создании, передаче, хранении и обработке. Это обеспечивается установкой на документ на каждом шаге его обработки кодов аутентификации. 9 Определяется требованиями заказчика. Статью "Аппаратные средства — основа построения систем защиты от несанкционированного доступа к информации" |
||||||||||||||
|
Copyright by MorePC - обзоры, характеристики, рейтинги мониторов, принтеров, ноутбуков, сканеров и др. | info@morepc.ru |
|