Метод объединения программной и аппаратной защиты устройств ВС
А. В. Хуотаринен
Санкт-Петербургский
государственный институт
точной механики и оптики
(Технический университет)
В данной статье рассматривается метод построения такой централизованной системы безопасности, в которой сетевые потери на обеспечение защиты минимальны и приводятся результаты исследований потери производительности.
Масштабы и сферы применения вычислительной техники стали таковы, что наряду с проблемами надежности и устойчивости ее функционирования возникает проблема обеспечения безопасности циркулирующей в ней информации. В статье будет рассмотрена техническая сторона системы защиты информации, но не следует забывать, что без организационных мер, наличия четкой организационно-распорядительной системы на защищаемом объекте эффективность любых технических средств защиты информации снижается.
Подсистемы защиты информации
Зачастую проектирование вычислительной сети ведется параллельно с проектированием системы безопасности. Как быть, если на этапе проектирования уже необходимо знать параметры функционирования системы безопасности? Как быть, если особенности выполнения задач в вычислительной сети накладывают жесткие ограничения на систему безопасности?
С учетом возможных каналов несанкционированного доступа систему безопасности можно разделить на следующие подсистемы:
- подсистема управления доступом;
- подсистема регистрации и учета;
- криптографическая подсистема;
- подсистема обеспечения целостности;
- подсистема контроля вскрытия аппаратуры.
Подсистема управления доступом осуществляет идентификацию и проверку подлинности пользователей при входе в систему по идентификатору и паролю. Контроль доступа пользователей к защищаемым ресурсам должен осуществляться в соответствии с матрицей доступа. Матрица доступа составляется достаточно просто: в названии столбцов ставится имя пользователя, а в названии строк – имя ресурса. На пересечении имени пользователя и соответствующего ресурса ставится «1», если доступ разрешен, и «0», если нет.
При построении распределенной вычислительной системы, когда защищаемые данные могут находиться на сервере, подсистема управления доступом должна осуществлять идентификацию терминалов пользователей, с которых производится запрос на соответствующую информацию. То есть в безопасной вычислительной системе должна быть реализована возможность разрешения доступа к критической информации только с определенных терминалов (рабочих станций). При возникновении попытки доступа с других терминалов система должна запрещать доступ и регистрировать попытку несанкционированного доступа.
Во время работы системы может возникнуть ситуация, при которой программа, а не пользователь пытается получить доступ к определенным защищаемым данным. Для предотвращения несанкционированного доступа со стороны программы подсистема разграничения доступа должна производить идентификацию программ, каталогов и файлов.
В распределенной вычислительной системе обычно обрабатываются как конфиденциальные, так и обычные данные. В связи с этим возникает необходимость физического разграничения жестких дисков, на которые записывается информация. Каждому жесткому диску присваивается метка конфиденциальности, например, от «0» до «10» («ноль» присваивается тому диску, на котором нет конфиденциальной информации, а «десять» соответствует максимальной секретности). Обрабатываемой информации также присваивают соответствующие метки конфиденциальности. При записи критической информации метки конфиденциальности жесткого диска и записываемых данных сравниваются. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации.
Подсистема регистрации и учета предназначена для ведения файлжурналов со списком как санкционированных, так и несанкционированных событий, возникающих при обработке защищаемой информации. Данная подсистема должна осуществлять регистрацию входа (выхода) пользователя в систему (из системы), а также регистрацию загрузки операционной системы и ее выключения. В параметрах регистрации указываются: дата и время входа (выхода) пользователя в систему (из системы) и загрузки (выключения) системы. Также регистрируется результат попытки входа: успешный или неуспешный – несанкционированный и идентификатор (код, фамилия) пользователя, предъявленный при попытке доступа. Эти данные необходимы администратору безопасности для анализа функционирования системы безопасности, а также для выявления возможных путей несанкционированного доступа. При возникновении попытки несанкционированного доступа подсистема регистрации и учета может информировать администратора безопасности о такой попытке, например, отправив письмо, сообщение на пейджер или SMS на мобильный телефон, с указанием времени и места, откуда производилась попытка несанкционированного доступа.
Еще одна важная функция подсистемы регистрации и учета – регистрация выдачи печатных документов. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами с указанием даты выдачи документа, фамилии лица, выдавшего документ, и уровня конфиденциальности документа. Таким образом, исключается возможность несанкционированного использования конфиденциальной информации после вывода ее на печать.
Криптографическая подсистема осуществляет шифрование всей конфиденциальной информации, записываемой на совместно используемые носители данных (дискеты, мини-диски и т. п.). При передаче информации через внешние незащищенные каналы связи шифрование критической информации также необходимо.
В криптографической подсистеме появляется еще одна информация, которая требует тщательного контроля при использовании: криптографические ключи. Доступ к ним должен быть соответствующим образом защищен – это еще одна прерогатива подсистемы управления доступом.
После завершения процедуры шифрования данных часть оперативной памяти, где производилось шифрование, может по-прежнему содержать незашифрованную информацию. Принудительная очистка областей памяти, где производилось шифрование, должна быть осуществлена криптографической подсистемой.
Подсистема обеспечения целостности обеспечивает целостность компонентов, входящих в состав системы безопасности, проверяет контрольные суммы всех модулей системы как в процессе загрузки, так и динамически в процессе работы. Контрольные суммы подсчитываются с помощью специальных алгоритмов, например MD5. Такие алгоритмы позволяют выявить даже незначительное изменение в проверяемой информации.
Хочется отметить, что подсчет контрольных сумм требует значительных вычислительных затрат, поэтому такую проверку рекомендуется производить, если имели место попытки несанкционированного доступа.
Подсистема контроля вскрытия аппаратуры предназначена для физической охраны терминалов пользователей (рабочих станций) от возможного проникновения несанкционированного пользователя к внутреннему монтажу аппаратуры, технологическим пультам управления, то есть к таким элементам вычислительной системы, которые в процессе эксплуатации при нормальном функционировании должны находиться в неизменном состоянии. Это состояние называется механической целостностью системы.
Анализ материалов зарубежных и отечественных источников информации показывает, что решению проблемы контроля вскрытия аппаратуры уделяется недостаточно внимания. В них в основном рассматриваются устройства охранной и пожарной сигнализации, в которых применяются датчики обнаружения человека или пожара. В системе контроля вскрытия аппаратуры вместо дорогостоящих датчиков, применяемых в системах охранной и пожарной сигнализации, целесообразно применение однотипных контактных. Это также упрощает задачу построения централизованного устройства контроля.
Системы контроля вскрытия аппаратуры состоит из датчиков вскрытия аппаратуры, цепи сбора сигналов и специализированного рабочего места центрального контроля (администратора безопасности). В качестве датчиков могут использоваться контактные датчики, фиксирующие открытие и закрытие дверей, панелей соединительных кабелей и корпусов системных блоков.
Как уже говорилось, проблеме контроля вскрытия аппаратуры уделяется недостаточно внимания, но в той литературе, где эта проблема рассматривается, предлагают строить систему контроля вскрытия аппаратуры путем прокладки дополнительных кабелей сбора сигналов с датчиков. Между тем, стоимость таких работ соизмерима со стоимостью прокладки самой вычислительной сети, что экономически нецелесообразно.
Известно, что при использовании витой пары для прокладки вычислительной сети для обмена информацией используются только четыре провода из восьми, остальные же четыре – остаются свободными и могут быть использованы для построения системы контроля вскрытия аппаратуры. Применение незадействованных в передаче данных проводов не создает помех для передачи данных, не уменьшая, таким образом, производительности сети в целом.
Построение централизованной системы защиты
После того как определены возможные каналы несанкционированного доступа и подсистемы защиты информации, давайте проанализируем полученные результаты. На рис. 2 представлены возможные каналы несанкционированного доступа и подсистемы безопасности, которые их перекрывают.
Несанкционированный доступ со стороны терминалов пользователей можно закрыть с помощью подсистемы управления доступом. Большинство современных операционных систем имеют встроенные системы обеспечения разграничения доступа, но не все из них соответствуют требованиям, описанным выше. При реализации подсистемы управлением доступа используют так называемую добавочную программную компоненту, которая, вместе со встроенной в операционную систему компонентой разграничения доступа обеспечивает надлежащий уровень защиты.
Как видно на рис. 2, осталась незакрытая угроза со стороны средств загрузки программного обеспечения. Надо заметить, что при построении безопасной вычислительной системы необходимо, чтобы все поле угроз было покрыто соответствующими компонентами системы защиты. В нашем случае непокрытым осталось одно поле угроз, исходящее от средств загрузки программного обеспечения. Таким образом, злоумышленник может загрузить операционную систему с магнитного диска или компакт-диска, обойдя как средства защиты операционной системы, так и дополнительно установленные. Для предотвращения этого на рабочую станцию устанавливают также аппаратную компоненту добавочной защиты.
Аппаратная компонента – это обычная плата, устанавливаемая в слот расширения PCI или ISA. На плате имеется счетчик времени и порт, через который она общается с программной компонентой. В счетчик, устанавливаемый специальными перемычками, заносится время, через которое компьютер автоматически отключает питание, если программная компонента не записала в порт подтверждение, что она не повреждена. Это время должно быть большим или равным времени, необходимым для загрузки операционной системы и запуска программной компоненты защиты. После включения питания компьютера значение, записанное в счетчик времени, начинает уменьшаться каждую секунду, и если оно станет равным нулю и программная компонента не записала подтверждающую информацию в порт, происходит выключение питания.
Программная компонента записывает определенный код в порт аппаратной части каждый заданный период времени, в течение которого злоумышленник определенно не сможет осуществить несанкционированный доступ к обрабатываемой информации.
На рис. 3 представлена система безопасности, покрывающая возможные каналы несанкционированного доступа, отмеченные выше. На рабочие станции, участвующие в обмене конфиденциальной информацией, устанавливаются программные компоненты защиты, реализующие механизм разграничения доступа, механизм регистрации и учета, механизм обеспечения целостности и имеющие в составе криптографическую подсистему. Для обеспечения защиты от несанкционированного доступа к средствам загрузки программного обеспечения и защиты от несанкционированного доступа к самой системе защиты на рабочие станции устанавливается аппаратная защита. Система контроля вскрытия аппаратуры устанавливается на сервере администратора безопасности.
Такая система безопасности будет обладать возможностями:
- централизованного автоматизированного контроля доступа;
- предупреждения несанкционированного доступа;
- пресечения попытки несанкционированного доступа;
- регистрации и учета места и времени доступа;
- ведения статистики и оповещения о фактах несанкционированного доступа.
Модель системы безопасности
Для конкретной вычислительной сети необходима своя система защиты, основанная на особенностях ее функционирования. Вычислительная сеть, рассчитанная на выполнение задач определенного класса, может иметь ограничения по производительности, времени ответа и т. д. при использовании системы защиты.
Для анализа потери производительности, задержек в узлах сети можно использовать имитационное моделирование. Это позволит еще на этапе проектирования произвести анализ функционирования и выявить узкие места в работе сети. Наиболее распространенной системой имитационного моделирования является GPSS (General Purpose Simulation System – общецелевая система моделирования). Поскольку GPSS – язык моделирования, в него входят специальные средства для описания динамического поведения системы, меняющейся во времени, причем изменения состояний происходят в дискретные моменты времени. Это делает GPSS наиболее пригодным средством для моделирования процессов, происходящих в вычислительной сети, среди прочих языков программирования.
Еще одним преимуществом GPSS является возможность моделирования работы сети на значительный период времени (день, месяц, год), при этом расчет работы такой модели на современном компьютере займет всего несколько минут. Это позволяет выявить проблемы, которые могут возникнуть после некоторого периода эксплуатации.
В рамках подготовки этой статьи было проведено исследование потери производительности при использовании описанной системы защиты. В результате проведенных исследований была построена имитационная модель функционирования добавочной аппаратной и программной компоненты. Имитационная модель была построена с использованием системы GPSS. Было исследовано падение производительности при использовании такой схемы функционирования добавочной системы защиты.
Как уже отмечалось, вычислительная сеть строится для решения определенного класса задач. Для данного исследования рассматривалась сеть, которая связана с работой таких приложений, как текстовый редактор (Word), электронные таблицы (Excel) и приложения, работающие с реляционными базами данных. Анализ модели показал, что падение производительности имеет экспоненциальный характер и при загрузке приближающийся к 100 % составляет около 3 %. Такое падение производительности можно считать несущественным, по сравнению с новым уровнем безопасности, который приобретает вычислительная сеть в результате использования предложенной системы защиты.
"Защита информации. Кофидент", №1, 2003