Петров А.А. Комп без-ть

Кроме того, у П А К есть интерфейс к коннектору ЪоисЬ щешогу, что по­ зволяет хранить ключи шифрования на таблетках ЪоисЬ. тетогу .

В стандартный комплект поставки П А К «Криптон-4К/16» входят:

•устройство криптографической защиты данных «Криптон-4К/1б»;

•базовое ПО шифрования для М 3 БОЗ;

•ПО шифрования для \Ут32 с;

• программа электронной подписи СгурФпЗц^п для М 3 БОЗ;

• драйверы для работы в О С \УтсЬ\У5 95/КТ 4.0.

Базовое П О функционирует под М 3 Б О З 3.1 и выше, \Ушс1о\у5 3.1 - \\йпсЬ\У5 КТ. Чтобы работать под АУтс1о\У5 95/КТ, необходимо предвари­ тельно установить драйверы для "\Ут32 и библиотеку Сгур1;опАР1 (входит в комплект поставки драйверов). В ^ ^ 3 2 базовое ПО функционирует как ПОЗ-задача.

На основе П А К «Криптон» в дальнейшем была построена система за­ щиты информации «Криптон-Вето», функционирующая в среде М 3 БОЗ.

Программно-аппаратная система зашиты информации (С З И ) от НСД «Криптон-Вето» предназначена для:

•ограничения доступа к персональному компьютеру;

•разграничения доступа пользователей к данным, расположенным на жестком диске компьютера;

•проверки целостности программ, разрешенных к использованию;

•предотвращения запуска неразрешенных программ;

•прозрачного шифрования логических дисков;

•создания и обслуживания ключевых систем шифрования, электронной подписи, СЗИ от НСД;

•шифрования файлов, групп файлов;

•электронной цифровой подписи файлов, групп файлов.

Криптографическое ядро системы составляет П А К «Криптон-4» (4К/8, 4К/16). Использование П А К «Криптон» позволяет при включении пита­ ния Л Р С и до загрузки ОС передать управление программным средствам ПАК, размещенным в ПЗУ. Они проверяют целостность ПО Л Р С и только при ее соблюдении передают управление ОС. Такой метод запуска обеспе­ чивает защиту П О Л Р С от любого искажения (несанкционированной мо­ дификации, воздействия вирусов, внесения программных закладок и т.д.).

Функциональным ядром системы являются:

•программа СгурФпАссезз в части оболочки защиты от Н С Д и прозрач­ ного шифрования;

•базовое ПО С К З Д в части создания и обслуживания ключевой систе­ мы, шифрования и ЭЦП.

212 Компьютерная безопасность и практическое применение криптографии

СЗИ основана на технологиях «прозрачного» шифрования логических дисков, на которые разбивается жесткий диск (последний из логических дисков не шифруется и отводится под СЗИ ). Прозрачное шифрование зак­ лючается в том, что хранящиеся на диске данные автоматически расшиф­ ровываются при обращении к ним пользователя, а при записи иа диск за­ шифровываются. Также предусмотрена мандатная организация доступа к дискам по уровням конфиденциальности. Каждому логическому диску присваивается уровень конфиденциальности, а каждому пользователю - уровень доступа - от 0 до 7. Пользователю доступ к диску разрешается, если уровень конфиденциальности не превышает уровня доступа.

СЗИ предполагает наличие администратора безопасности, который оп­ ределяет взаимодействие между управляемыми ресурсами: пользователя­ ми, программами, логическими дисками, дисководами и последовательны­ ми портами.

Для каждого пользователя администратор определяет идентификатор и пароль, которые необходимо ввести при запуске компьютера, а также право доступа к открытым и шифруемым логическим дискам: а) недосту­ пен (недоступный диск не виден из М3 ЭОЗ, поэтому системный диск не должен быть заблокирован); б) доступен только для чтения (используется в целях обеспечения целостности и достоверности хранящейся информа­ ции) и в) доступен для чтения и записи (не отличается от обычного логи­ ческого диска.

Администратор определяет перечень разрешенных к запуску иа компь­ ютере программ. Они подписываются электронной цифровой подписью администратора и проверяются на целостность при запуске.

СЗИ ведет журнал работы (доступный только администратору), в кото­ ром регистрируются следующие события:

•установка системы на компьютере;

•вход пользователя в систему;

•попытка доступа к запрещенному логическому диску;

•зашифрование/расшифрование/перешифровывание диска;

•добавление нового пользователя;

•смена полномочий пользователя;

•удаление пользователя;

•причины останова системы;

•попытка запуска неразрешенной программы;

•нарушение целостности разрешенной программы.

При установке системы на компьютере и при каждом его последующем

включении проверяется целостность следующих элементов:

•идентификатора СЗИ;

•ядра комплекса программ СгурЪопАссезз;

•системных областей системного диска;

•таблицы полномочий пользователей.

Система не препятствует шифрованию файлов пользователями, что по­

зволяет защитить их от администратора.

Подобный подход к организации защиты имеет много положительных сторон, однако при использовании СЗИ «Криптон-Вето» под управлением ОС ^тбо\У5 3.1 или 3.11 возникают некоторые трудности. Например, по­ пытка записи утилиты ЗтагМ гу (для кэширования по записи и чтению) на логический и шифруемый диск, доступный только для чтения, вызовет «за­ висание» системы. Также невозможно использовать 32-разрядиый режим доступа к логическому диску. Во время работы О С АУтбодуз использует файл подкачки. Если разместить его на нешифруемом диске, складывается ситуация, когда секретные данные в этом конкретном файле записываются в открытом виде, что может привести к несанкциоиируемому доступу к за­ щищаемой информации. Расположение же файла подкачки на шифруемом

диске вызовет замедление работы системы примерно в 10-15 раз.

Сгур1юп Ейе - это пакет программ шифрования и электронной цифро­ вой подписи, совместимый с устройствами серии «Криптон», обеспечива­

ющий гарантированную защиту файлов электронных документов.

Сгур1юп Ьйе реализует отечественные стандарты:

• ГО С Т 28147-89 - в части шифрования;

Ключевая система шифрования - симметричная. Ключи шифрования (256 бит) и электронной подписи (512 бит - открытый и 256 бит - секрет­ ный) создаются пользователем с помощью встроенного датчика случайных чисел.

Пакет предполагает и операторскую работу из оболочки (интерфейс Мпбодуз-программы наиболее удобен для пользователя, так как встро­ ен в \Утбодуз Е хрЬгег), и шифрование/подпись вызывается при нажа­ тии правой клавиши мыши. Аналогичный интерфейс имеет широко рас­ пространенная в 1п1:егпе1: программа РСР. Д ля автоматической обработки файлов она вызывает командную строку. В случае, когда необходимо встроить функции шифрования/подписи непосредственно в клиентс­ кую программу, рекомендуем использовать библиотеки соответствую­ щих функций.

214 Компьютерная безопасность и практическое применение криптографии

Программное обеспечение позволяет осуществлять:

•шифрование файлов, групп файлов и разделов дисков;

•электронную подпись файлов юридических и финансовых документов

иее проверку.

Пакет обрабатывает электронные документы со скоростью более 1,5 Мб/с

взависимости от производительности компьютера.

Впакет заложена концепция расширения системы без ограничения на число ключей, подписей, пользователей. Он используется в системе элект­ ронного документооборота ЦБ РФ , а также для защиты информации, цир­ кулирующей между ЦБ и коммерческими банками. Целесообразно исполь­ зовать пакет в системах электронного документооборота и в системах клиент-банк.

Создание замкнутой программной среды

Большая часть угроз, связанных с безопасностью потоков информации, исходит от программной среды, в которой средству защиты или крипто­ графическому приложению приходится работать. При этом обеспечение безопасной окружающей среды разбивается иа две области:

•создание замкнутой программной среды. Она обеспечивает защиту от негативного влияния прикладного и системного ПО, возникающего

всвязи с потенциальной опасностью внедрения в программную сре­ ду программ-закладок, вирусов, программ-шпионов и т.д;

•создание доверенной программной среды. В рамках данного пункта обеспечивается анализ программной среды на наличие недокументи­ рованных возможностей и ошибок, способных оказать негативное вли­ яние на безопасность функционирования средств защиты.

Очевидно, что для различных операционных систем (О С ) создание замкнутой программной среды будет заключаться в различных подходах и применении различных средств.

Операционная система М3 003

В этой однозадачной системе любая программа располагает всей свободной памятью и всеми ресурсами. Опасность для криптографического приложе­ ния может исходить со стороны несанкционированных драйверов и ре­ зидентных программ, перехватывающих прерывания. В связи с этим для МБ БОБ необходимо выполнение следующих требований к окружающей среде:

•доверенная загрузка ОС, означающая гарантированную загрузку с ле­ гального носителя с идентификацией пользователя и контролем его прав на доступ к ресурсам;

• контроль целостности О С и библиотек на этапе доверенной загрузки;

•контроль запуска задач - запуск задач только из фиксированного списка.

При формулировке дальнейших требований к окружающей среде бу­ дем исходить из того, что средства защиты не оставляют за собой «опас­ ных следов» в памяти и дисках. В связи с этим единственной ситуаци­ ей, при которой «опасные следы » могут сохраниться на диске, является аварийная ситуация, связанная с обесточиванием. Именно при отсут­ ствии питания на диске в потерянных кластерах может остаться откры­ тая информация из временных файлов. Отсюда вытекают следующие требования: а) при восстановлении питания сборка потерянных клас­ теров после запуска системы на правах санкционированного доступа может осущ ествляться только с применением санкционированных про­ граммных средств; б ) последующее шифрование (если информация в по­ терянных кластерах представляет ценность) или физическое затира­ ние потерянных кластеров; в) удаление затертого файла с потерянными кластерами.

Заметим, что затирание может быть сведено к шифрованию на случай­ ном ключе с последующим его обнулением.

Операционные системы \ЛГшс1ожз 3.x и Мшйожз 95

Поскольку прикладные задачи в \Ушс1оау$ 3 .x и \\5шс1о\у 5 9 5 запускаются в едином адресном пространстве, то при использовании этих О С должны выполняться все перечисленные выше требования к окружающей среде. Вместе с тем многозадачность данных систем накладывает следующие до­ полнительные требования:

•исключение возможности запуска программ с внешнего носителя, а так­ же программ, переписанных с внешнего носителя на внутренний. Вне­ шние носители могут содержать только данные, необходимые для ра­ боты криптографического приложения, и не могут содержать никаких исполняемых модулей;

•исключение возможности запуска программ из сети;

•анализ программ, запускаемых одновременно с приложением, с целыо исключения средств разработки (например, компиляторы), средств просмотра и редактирования памяти (различные отладчики).

216 Компьютерная безопасность и практическое применение криптографии

Операционная система УУшйожз МТ

Вданной ОС, по сравнению с ААйпбо^з 95, каждая задача выполняется

всобственном адресном пространстве, и к тому же область памяти, отве­ денная под ядро ОС, недоступна пользовательским приложениям, то есть находится в монопольном владении этой операционной системы. Однако при этом не исключается возможность вторжения посторонней програм­ мы в криптографический процесс (раздел 3.4.2, пункт 4). Отсюда следует, что для ААйпбо^з ЫТ должны выполняться все требования к изолирован­ ной среде, перечисленные для М 5 Б 0 5 и \\4пс1о\У5 95.

Выполнение всех приведенных выше требований для соответствующих ОС позволяет создать замкнутую в полном объеме программную среду. Другими словами, подобный комплекс мер защиты обладает достаточной полнотой в том отношении, что его выполнение блокирует возможные стратегии потенциального нарушителя при нападении на СКЗИ .

3.2.3.Организационно-технические меры защиты локальной рабочей станции

Как уже говорилось, надежность и эффективность применения крипто­ графических и других средств защиты информации может быть достигну­ та только при неукоснительном выполнении определенных организацион­ но-технических требований. При этом следует помнить, что в некоторых случаях меры организационно-технического характера способны высту­ пать надежной заменой любых других средств защиты информации. Они являются дополнительным уровнем обеспечения выбранной политики безопасности, и конкретный набор подобных мер всегда зависит от ситуа­ ции. Тем не менее существует типовой перечень подобных мероприятий, который применим в любых условиях и составляет как бы основание для выстраивания всей политики, направленной на сохранение в неприкосно­ венности потоков информации. Этот перечень основан на выполнении специальных требований, которые в зависимости от их функционального назначения молено разбить на следующие группы:

•требования по размещению технических средств;

•рекомендации по установке СЗИ;

•меры по обеспечению надежности функционирования СЗИ, установ­ ленных на ЛРС .

Реализация организационно-технических мероприятий по защите ин­

формации долхена начинаться с разработки соответствующих инструкций

и рекомендаций, а также создания структурных подразделений, ответ­ ственных за реализацию политики безопасности и контроль над их неукос­ нительным соблюдением.

Требования по размещению технических средств

При размещении технических средств, поддерживающих системы крип­ тографической защиты информации (С К З И ), следует руководствоваться следующими рекомендациями:

•расположение режимных помещений и размещенного в них оборудо­ вания должно исключать возможность бесконтрольного проникнове­ ния в эти зоны посторонних лиц и гарантировать сохранность находя­ щихся в них конфиденциальных документов;

•входные двери должны быть оборудованы замками, гарантирующими санкционированный доступ в режимные помещения в нерабочее вре­ мя. Для контроля над входом должны устанавливаться шифрзамки;

•окна и двери необходимо оборудовать охранной сигнализацией, свя­ занной с пультом централизованного наблюдения за всеми сигнальны­ ми устройствами;

•размещение оборудования и технических средств, предназначенных для обработки конфиденциальной информации, должно соответство­ вать требованиям техники безопасности, санитарным нормам, а также требованиям пожарной безопасности;

•в режимные помещения по утвержденному списку допускаются руко­ водство учреждения, сотрудники отдела безопасности и исполнители, имеющие прямое отношение к обработке, передаче и приему конфи­ денциальной информации;

•допуск в помещения вспомогательного и обслуживающего персонала (уборщицы, электромонтеры, сантехники и т.д.) производится только при служебной необходимости в сопровождении ответственного за ре­ жим, причем нужно позаботиться о мерах, исключающих визуальный просмотр конфиденциальных документов;

•каждый исполнитель работ в качестве пользователя сети конфиденци­ альной связи обязан зарегистрироваться у администратора службы безопасности;

•внутренняя планировка и расположение рабочих мест в режимных помещениях должны обеспечивать исполнителям сохранность дове­ ренных им конфиденциальных документов и сведений;

•по окончании рабочего дня режимные помещения необходимо закры­ вать и опечатывать. Затем их (с опечатанными входными дверями)

218 Компьютерная безопасность и практическое применение криптографии

сдают под охрану отделу безопасности или дежурному по предприятию (по установленному порядку) с указанием времени приема-сдачи и от­ меткой о включении и выключении охранной сигнализации в журна­ ле учета;

•сдачу ключей и режимных помещений под охрану, а также получение ключей и вскрытие режимных помещений производят сотрудники, ра­ ботающие в этих помещениях и входящие в утвержденный руковод­ ством учреждения список с образцами подписей этих сотрудников. Список хранится у начальника охраны или у дежурного по учреж­ дению;

•перед вскрытием режимных помещений должна быть проверена целост­ ность оттисков печатей и исправность замков. При обнаружении на­ рушения целостности оттисков печатей, повреждения замков или других признаков, указывающих на возможное проникновение в эти помещения посторонних лиц, помещение не вскрывается, а о случив­ шемся немедленно информируется руководство и отдел безопасности;

•в случае утраты ключа от входной двери режимного помещения немед­ ленно ставится в известность отдел безопасности учреждения;

•на случай пожара, аварии или стихийного бедствия должны быть разработаны специальные инструкции, утвержденные руководством учреждения, в которых предусматривается вызов администрации, должностных лиц, вскрытие режимных помещений, очередность

ипорядок спасения конфиденциальных документов и дальнейшего их хранения;

•в помещениях, где находятся СЗИ, запрещается приносить и исполь­ зовать радиотелефоны и другую радиоаппаратуру.

Рекомендации по установке СЗИ

При установке ПО, входящего в состав СЗИ, нужно руководствоваться

следующими рекомендациями:

•установка СЗИ производится только лицами, имеющими соответству­ ющую лицензию;

•аппаратную часть ЛРС , на которую устанавливается СЗИ, необходи­ мо проверить на отсутствие аппаратных закладок;

•все программное обеспечение Л РС , на которой будет устанавливаться СЗИ, должно быть лицензионио чистым, при этом не допускается на­ личия средств разработки и отладки программ;

•перед установкой СЗИ необходимо проверить ПО Л Р С на отсутствие вирусов и программных закладок;

•должны быть предприняты меры, препятствующие извлечению аппа­ ратной части СЗИ из Л Р С ; системные блоки Л Р С должны быть опеча­ таны специально выделенной для этих целей печатью. Наряду с этим допускается применение других средств контроля за доступом к ЛРС;

•к эксплуатации С З И допускаются лица, прошедшие соответствующую подготовку и изучившие эксплуатационную документацию данного СЗИ;

•перед установкой ПО С ЗИ необходимо осуществить контроль целост­ ности дистрибутива;

•после завершения установки должны быть приняты меры, необходи­ мые для осуществления ежедневного контроля за установленным СЗИ, а также его программным и аппаратным окружением.

Меры по обеспечению надежности функционирования СЗИ, установленных на ЛРС

В этом разделе представлены основные рекомендации по организационно­

техническим мерам защиты, обеспечивающим безопасность функциониро­

вания рабочих мест со встроенными СЗИ:

•правом доступа к рабочим местам с установленными СЗИ могут обла­ дать только лица, прошедшие соответствующую подготовку. Админи­ стратор безопасности должен ознакомить каждого абонента автомати­ зированной системы, использующего СЗИ, с правилами пользования или с другими нормативными документами, созданными на их основе;

•должностные инструкции администратора безопасности (его замести­ теля) и ответственного исполнителя не должны противоречить прави­ лам пользования спецаппаратурой и другим нормативным докумен­ там, созданным иа их основе;

•администратор безопасности обязан периодически проводить контроль целостности и легальности установленных копий ПО на всех Л Р С со встроенной С ЗИ с помощью программ контроля целостности;

•при обнаружении «посторонних» (незарегистрированных) программ, нарушенной целостности программного обеспечения или выявлении факта повреждения печатей на системных блоках работа на Л Р С прекращается. П о данному факту должно быть проведено служеб­ ное расследование комиссией в составе представителей служб ин­ формационной безопасности предприятия-владельца сети и предпри­ ятия-абонента сети, где произошло нарушение, а также организованы работы по анализу и ликвидации негативных последствий данного на­ рушения;

220Компьютерная безопасность и практическое применение криптографии

•пользователь должен запускать только те приложения, которые разре­ шены администратором безопасности;

•установленное программное обеспечение не должно содержать средств разработки и отладки приложений, а также средств, позволяющих осу­ ществлять несанкционированный доступ к системным ресурсам;

•в инструкцию по использованию рабочей станции должен быть вклю­ чен пункт, запрещающий оставлять без контроля вычислительные сред­ ства, входящие в состав СЗИ, при включенном питании и загруженном специальном программном обеспечении СЗИ;

•запретить допуск пользователей в режим конфигурирования ВЮ 5 (например, с использованием парольной защиты);

•исключить возможность работы на Л РС , если встроенные тесты выда­ ют отрицательный результат во время ее начальной загрузки;

•пароли, назначаемые пользователям, должны отвечать требованиям соответствующих инструкций и нормативных документов;

• в случае использования Л Р С несколькими операторами с различны­ ми ключами нельзя производить выгрузку ключевой информации (пе­ резагрузку Л Р С ).

При этом запрещается:

•осуществлять несанкционированное копирование ключевых носителей;

•разглашать содержимое носителей ключевой информации или переда­ вать сами носители лицам, не имеющим к ним допуска; выводить клю ­ чевую информацию на дисплей и принтер (за исключением случаев, предусмотренных данными правилами);

•вставлять ключевой гибкий диск (или другой ключевой носитель) в дис­ ковод Л Р С (или в другое устройство считывания) в режимах, не пре­ дусмотренных штатным расписанием, а также в дисководы других ЛРС;

•записывать на ключевые носители постороннюю информацию;

•подключать к Л Р С дополнительные устройства и соединители, не пре­ дусмотренные в комплектации;

•работать на компьютере, если во время его начальной загрузки не про­

ходит встроенный тест ОЗУ, предусмотренный в Л РС ;

•вносить какие-либо изменения в программное обеспечение СЗИ;

•несанкционированно устанавливать, создавать и выполнять иа Л Р С посторонние программы;

•использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой ин­ формации;

•осуществлять несанкционированное вскрытие системных блоков ЛРС .