Электронные замки

На электронные замки возлагается выполнение следующих защитных функций:

  • — идентификация и аутентификация пользователей с помощью УВИП;
  • — блокировка загрузки операционной системы с внешних съемных носителей;
  • — контроль целостности программной среды компьютера;
  • — регистрация действий пользователей и программ.

Конструктивно электронные замки выполняются в виде плат

расширения, устанавливаемых в разъемы системных шин РС1 или 1SA. Свои основные функции электронные замки реализуют до загрузки операционной системы компьютера. Для этого в составе каждого изделия имеется собственная память EEPROM, дополняющая базовую систему ввода-вывода BIOS компьютера. При включении компьютера выполняется копирование содержимого EEPROM замка в так называемую теневую область (Shadow Memory) оперативной памяти компьютера, с которой и ведется дальнейшая работа.

На российском рынке разработкой электронных замков занимается ограниченное число фирм. Ниже рассматриваются наиболее известные сертифицированные изделия отечественных компаний.

Научно-инженерное предприятие «Информзащита» выпускает электронные замки «Соболь-PCI» и «Соболь 1.0». В базовый комплект поставки каждого изделия входят плата электронного замка, контактное считывающее устройство и два идентификатора iBut- ton, интерфейсные кабели, блокирующие загрузку ОС с внешних носителей, и программное обеспечение. Плата электронного замка «Соболь-PCI» устанавливается в разъем системной шины PCI, а плата «Соболя 1.0» — в разъем ISA. Контактное устройство может подключаться как к внешнему, так и к внутреннему разъемам платы.

На платах электронных замков размещаются микросхемы энергонезависимой памяти, перепрограммируемая логическая матрица, встроенный датчик случайных чисел, реле аппаратной блокировки устройств. При каждом включении компьютера автоматически проверяется работоспособность датчика случайных чисел.

Идентификация пользователя осуществляется с помощью УВИП на базе iButton. Скорость обмена данными между персональным идентификатором и платой замка составляет 16 кбит/с. Для авторизации применяется пароль и персональный идентификатор. В электронном замке поддерживается работа с паролями длиной до 16 символов.

Запрет загрузки ОС с внешних носителей (магнитных, оптических и магнитно-оптических дисков) возможен программным и аппаратным способами путем блокировки доступа к устройствам чтения при запуске компьютера. После успешной загрузки ОС доступ восстанавливается с помощью специальной программы, входящей в состав электронного замка.

Контроль целостности программной среды компьютера заключается в проверке изменения файлов и секторов жесткого диска. Для этого вычисляются некоторые текущие контрольные значения проверяемых объектов и сравниваются с заранее рассчитанными эталонными.

Электронные замки устанавливаются в компьютеры, функционирующие под управлением операционных систем MS-DOS, Windows, UNIX FreeBSD.

Особое конструкторское бюро систем автоматизированного проектирования и фирма «ИнфоКрипт» совместно разработали программно-аппаратный комплекс средств защиты информации от НСД «Аккорд-АМДЗ», который реализуется на базе аппаратных модулей доверенной загрузки — контроллеров «Аккорд-5» (рис. 2.12) для компьютеров с системной шиной стандарта PCI и «Аккорд-4.5» для стандарта ISA. Контроллеры «Аккорд-5» и «Аккорд 4.5» обеспечивают режим доверенной загрузки для операционных систем MS-DOS, Windows, OS/2, UNIX FreeBSD.

Контроллер «Аккорд-5»

Рис. 2.12. Контроллер «Аккорд-5»

Резидентное ПО замков (средства администрирования, идентификации и аутентификации, поддержки контроля целостности, журнал регистрации) размещается в энергонезависимой памяти контроллеров. Электронные замки комплектуются неконтролируемыми аппаратными датчиками случайных чисел.

Для идентификации пользователя применяется УВИП на базе iButton. Аутентификация осуществляется по паролю, вводимому пользователем с клавиатуры. В электронном замке поддерживается работа с паролями длиной до 12 символов.

Помимо традиционного контроля целостности программной среды электронные замки «Аккорд-АМДЗ» обеспечивают проверку целостности технических средств защищаемого компьютера, что немаловажно при отсутствии контроля над физической целостностью

Аппаратно-программный модуль доверенной загрузки с функциями формирования и проверки электронной цифровой подписи «Щит—ЭЦП»

Рис. 2.13. Аппаратно-программный модуль доверенной загрузки с функциями формирования и проверки электронной цифровой подписи «Щит—ЭЦП»

корпуса компьютера.

Концерн «Системпром» выпускает аппаратно-программные средства криптографической защиты информации М-502 и «Щит» (рис. 2.13), относящиеся к электронным замкам класса КЭЗ-1.99 в соответствии с требованиями ФАПСИ. Различаются они тем, что М-502 можно использовать при обработке данных, составляющих государственную тайну, а «Щит» — при обработке данных, не составляющих государственной тайны.

Оба изделия обладают стандартным набором функций электронных замков (идентификация и аутентификация, запрет загрузки операционной системы с внешних устройств, контроль целостности файлов и загрузочных секторов жесткого диска, регистрация событий, связанных с безопасностью). Платы замков устанавливаются в разъем системной шины ISA.

Идентификация осуществляется с помощью электронной карты М64 с открытой памятью на 64 кбит, аутентификация — посредством ввода пароля с клавиатуры компьютера.

Фирма «Анкад» выпускает аппаратные шифраторы серии «Криптон» в виде плат расширения системных шин PCI или ISA, так называемые устройства криптографической защиты данных и ограничения доступа к компьютеру. Эти устройства позволяют дополнительно реализовать часть функций электронных замков: идентификацию и аутентификацию пользователей, контроль целостности программной среды компьютера.

Идентификация пользователей осуществляется с помощью электронных карт с открытой либо защищенной памятью, смарт-карт, идентификаторов iButton DS1993 и DS1994. Для чтения содержимого карт используются считыватель SR-210 или адаптер SA-101i, которые устанавливаются в свободный 3,5”-слот.

Контроль целостности ОС и системных областей памяти, а также другого программного обеспечения, размещенного на жестком диске, производится согласно списку, хранящемуся в памяти замка. Список контролируемых файлов хранится вместе с контрольными суммами или хэш-значениями, рассчитанными для каждого файла по алгоритму ГОСТ Р 34.11-94. Если хэш-значение хотя бы одного из файлов списка не совпадает с эталонным, это расценивается как нарушение целостности операционной системы, и загрузка компьютера блокируется.

Устройства фирмы «Анкад» работают под управлением операционных систем MS-DOS, Windows 9х NT 4.0. Все события, связанные с их эксплуатацией, фиксируются в журнале регистрации.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >