Петров А.А. Комп без-ть
.pdfЗащита локальной рабочей станции |
211 |
Кроме того, у П А К есть интерфейс к коннектору ЪоисЬ щешогу, что по зволяет хранить ключи шифрования на таблетках ЪоисЬ. тетогу .
В стандартный комплект поставки П А К «Криптон-4К/16» входят:
•устройство криптографической защиты данных «Криптон-4К/1б»;
•базовое ПО шифрования для М 3 БОЗ;
•ПО шифрования для \Ут32 с;
• программа электронной подписи СгурФпЗц^п для М 3 БОЗ;
• драйверы для работы в О С \УтсЬ\У5 95/КТ 4.0.
Базовое П О функционирует под М 3 Б О З 3.1 и выше, \Ушс1о\у5 3.1 - \\йпсЬ\У5 КТ. Чтобы работать под АУтс1о\У5 95/КТ, необходимо предвари тельно установить драйверы для "\Ут32 и библиотеку Сгур1;опАР1 (входит в комплект поставки драйверов). В ^ ^ 3 2 базовое ПО функционирует как ПОЗ-задача.
На основе П А К «Криптон» в дальнейшем была построена система за щиты информации «Криптон-Вето», функционирующая в среде М 3 БОЗ.
Программно-аппаратная система зашиты информации (С З И ) от НСД «Криптон-Вето» предназначена для:
•ограничения доступа к персональному компьютеру;
•разграничения доступа пользователей к данным, расположенным на жестком диске компьютера;
•проверки целостности программ, разрешенных к использованию;
•предотвращения запуска неразрешенных программ;
•прозрачного шифрования логических дисков;
•создания и обслуживания ключевых систем шифрования, электронной подписи, СЗИ от НСД;
•шифрования файлов, групп файлов;
•электронной цифровой подписи файлов, групп файлов.
Криптографическое ядро системы составляет П А К «Криптон-4» (4К/8, 4К/16). Использование П А К «Криптон» позволяет при включении пита ния Л Р С и до загрузки ОС передать управление программным средствам ПАК, размещенным в ПЗУ. Они проверяют целостность ПО Л Р С и только при ее соблюдении передают управление ОС. Такой метод запуска обеспе чивает защиту П О Л Р С от любого искажения (несанкционированной мо дификации, воздействия вирусов, внесения программных закладок и т.д.).
Функциональным ядром системы являются:
•программа СгурФпАссезз в части оболочки защиты от Н С Д и прозрач ного шифрования;
•базовое ПО С К З Д в части создания и обслуживания ключевой систе мы, шифрования и ЭЦП.
212 Компьютерная безопасность и практическое применение криптографии
СЗИ основана на технологиях «прозрачного» шифрования логических дисков, на которые разбивается жесткий диск (последний из логических дисков не шифруется и отводится под СЗИ ). Прозрачное шифрование зак лючается в том, что хранящиеся на диске данные автоматически расшиф ровываются при обращении к ним пользователя, а при записи иа диск за шифровываются. Также предусмотрена мандатная организация доступа к дискам по уровням конфиденциальности. Каждому логическому диску присваивается уровень конфиденциальности, а каждому пользователю - уровень доступа - от 0 до 7. Пользователю доступ к диску разрешается, если уровень конфиденциальности не превышает уровня доступа.
СЗИ предполагает наличие администратора безопасности, который оп ределяет взаимодействие между управляемыми ресурсами: пользователя ми, программами, логическими дисками, дисководами и последовательны ми портами.
Для каждого пользователя администратор определяет идентификатор и пароль, которые необходимо ввести при запуске компьютера, а также право доступа к открытым и шифруемым логическим дискам: а) недосту пен (недоступный диск не виден из М3 ЭОЗ, поэтому системный диск не должен быть заблокирован); б) доступен только для чтения (используется в целях обеспечения целостности и достоверности хранящейся информа ции) и в) доступен для чтения и записи (не отличается от обычного логи ческого диска.
Администратор определяет перечень разрешенных к запуску иа компь ютере программ. Они подписываются электронной цифровой подписью администратора и проверяются на целостность при запуске.
СЗИ ведет журнал работы (доступный только администратору), в кото ром регистрируются следующие события:
•установка системы на компьютере;
•вход пользователя в систему;
•попытка доступа к запрещенному логическому диску;
•зашифрование/расшифрование/перешифровывание диска;
•добавление нового пользователя;
•смена полномочий пользователя;
•удаление пользователя;
•причины останова системы;
•попытка запуска неразрешенной программы;
•нарушение целостности разрешенной программы.
При установке системы на компьютере и при каждом его последующем
включении проверяется целостность следующих элементов:
Защита локальной рабочей станции |
213 |
•идентификатора СЗИ;
•ядра комплекса программ СгурЪопАссезз;
•системных областей системного диска;
•таблицы полномочий пользователей.
Система не препятствует шифрованию файлов пользователями, что по
зволяет защитить их от администратора.
Подобный подход к организации защиты имеет много положительных сторон, однако при использовании СЗИ «Криптон-Вето» под управлением ОС ^тбо\У5 3.1 или 3.11 возникают некоторые трудности. Например, по пытка записи утилиты ЗтагМ гу (для кэширования по записи и чтению) на логический и шифруемый диск, доступный только для чтения, вызовет «за висание» системы. Также невозможно использовать 32-разрядиый режим доступа к логическому диску. Во время работы О С АУтбодуз использует файл подкачки. Если разместить его на нешифруемом диске, складывается ситуация, когда секретные данные в этом конкретном файле записываются в открытом виде, что может привести к несанкциоиируемому доступу к за щищаемой информации. Расположение же файла подкачки на шифруемом
диске вызовет замедление работы системы примерно в 10-15 раз.
Сгур1юп Ейе - это пакет программ шифрования и электронной цифро вой подписи, совместимый с устройствами серии «Криптон», обеспечива
ющий гарантированную защиту файлов электронных документов.
Сгур1юп Ьйе реализует отечественные стандарты:
• ГО С Т 28147-89 - в части шифрования;
• ГО С Т |
Р 34.10-94 - |
в части функции хэширования; |
• ГО С Т |
Р 34.11.-94 - |
в части цифровой подписи. |
Ключевая система шифрования - симметричная. Ключи шифрования (256 бит) и электронной подписи (512 бит - открытый и 256 бит - секрет ный) создаются пользователем с помощью встроенного датчика случайных чисел.
Пакет предполагает и операторскую работу из оболочки (интерфейс Мпбодуз-программы наиболее удобен для пользователя, так как встро ен в \Утбодуз Е хрЬгег), и шифрование/подпись вызывается при нажа тии правой клавиши мыши. Аналогичный интерфейс имеет широко рас пространенная в 1п1:егпе1: программа РСР. Д ля автоматической обработки файлов она вызывает командную строку. В случае, когда необходимо встроить функции шифрования/подписи непосредственно в клиентс кую программу, рекомендуем использовать библиотеки соответствую щих функций.
214 Компьютерная безопасность и практическое применение криптографии
Программное обеспечение позволяет осуществлять:
•шифрование файлов, групп файлов и разделов дисков;
•электронную подпись файлов юридических и финансовых документов
иее проверку.
Пакет обрабатывает электронные документы со скоростью более 1,5 Мб/с
взависимости от производительности компьютера.
Впакет заложена концепция расширения системы без ограничения на число ключей, подписей, пользователей. Он используется в системе элект ронного документооборота ЦБ РФ , а также для защиты информации, цир кулирующей между ЦБ и коммерческими банками. Целесообразно исполь зовать пакет в системах электронного документооборота и в системах клиент-банк.
Создание замкнутой программной среды
Большая часть угроз, связанных с безопасностью потоков информации, исходит от программной среды, в которой средству защиты или крипто графическому приложению приходится работать. При этом обеспечение безопасной окружающей среды разбивается иа две области:
•создание замкнутой программной среды. Она обеспечивает защиту от негативного влияния прикладного и системного ПО, возникающего
всвязи с потенциальной опасностью внедрения в программную сре ду программ-закладок, вирусов, программ-шпионов и т.д;
•создание доверенной программной среды. В рамках данного пункта обеспечивается анализ программной среды на наличие недокументи рованных возможностей и ошибок, способных оказать негативное вли яние на безопасность функционирования средств защиты.
Очевидно, что для различных операционных систем (О С ) создание замкнутой программной среды будет заключаться в различных подходах и применении различных средств.
Операционная система М3 003
В этой однозадачной системе любая программа располагает всей свободной памятью и всеми ресурсами. Опасность для криптографического приложе ния может исходить со стороны несанкционированных драйверов и ре зидентных программ, перехватывающих прерывания. В связи с этим для МБ БОБ необходимо выполнение следующих требований к окружающей среде:
Защита локальной рабочей станции |
215 |
•доверенная загрузка ОС, означающая гарантированную загрузку с ле гального носителя с идентификацией пользователя и контролем его прав на доступ к ресурсам;
• контроль целостности О С и библиотек на этапе доверенной загрузки;
•контроль запуска задач - запуск задач только из фиксированного списка.
При формулировке дальнейших требований к окружающей среде бу дем исходить из того, что средства защиты не оставляют за собой «опас ных следов» в памяти и дисках. В связи с этим единственной ситуаци ей, при которой «опасные следы » могут сохраниться на диске, является аварийная ситуация, связанная с обесточиванием. Именно при отсут ствии питания на диске в потерянных кластерах может остаться откры тая информация из временных файлов. Отсюда вытекают следующие требования: а) при восстановлении питания сборка потерянных клас теров после запуска системы на правах санкционированного доступа может осущ ествляться только с применением санкционированных про граммных средств; б ) последующее шифрование (если информация в по терянных кластерах представляет ценность) или физическое затира ние потерянных кластеров; в) удаление затертого файла с потерянными кластерами.
Заметим, что затирание может быть сведено к шифрованию на случай ном ключе с последующим его обнулением.
Операционные системы \ЛГшс1ожз 3.x и Мшйожз 95
Поскольку прикладные задачи в \Ушс1оау$ 3 .x и \\5шс1о\у 5 9 5 запускаются в едином адресном пространстве, то при использовании этих О С должны выполняться все перечисленные выше требования к окружающей среде. Вместе с тем многозадачность данных систем накладывает следующие до полнительные требования:
•исключение возможности запуска программ с внешнего носителя, а так же программ, переписанных с внешнего носителя на внутренний. Вне шние носители могут содержать только данные, необходимые для ра боты криптографического приложения, и не могут содержать никаких исполняемых модулей;
•исключение возможности запуска программ из сети;
•анализ программ, запускаемых одновременно с приложением, с целыо исключения средств разработки (например, компиляторы), средств просмотра и редактирования памяти (различные отладчики).
216 Компьютерная безопасность и практическое применение криптографии
Операционная система УУшйожз МТ
Вданной ОС, по сравнению с ААйпбо^з 95, каждая задача выполняется
всобственном адресном пространстве, и к тому же область памяти, отве денная под ядро ОС, недоступна пользовательским приложениям, то есть находится в монопольном владении этой операционной системы. Однако при этом не исключается возможность вторжения посторонней програм мы в криптографический процесс (раздел 3.4.2, пункт 4). Отсюда следует, что для ААйпбо^з ЫТ должны выполняться все требования к изолирован ной среде, перечисленные для М 5 Б 0 5 и \\4пс1о\У5 95.
Выполнение всех приведенных выше требований для соответствующих ОС позволяет создать замкнутую в полном объеме программную среду. Другими словами, подобный комплекс мер защиты обладает достаточной полнотой в том отношении, что его выполнение блокирует возможные стратегии потенциального нарушителя при нападении на СКЗИ .
3.2.3.Организационно-технические меры защиты локальной рабочей станции
Как уже говорилось, надежность и эффективность применения крипто графических и других средств защиты информации может быть достигну та только при неукоснительном выполнении определенных организацион но-технических требований. При этом следует помнить, что в некоторых случаях меры организационно-технического характера способны высту пать надежной заменой любых других средств защиты информации. Они являются дополнительным уровнем обеспечения выбранной политики безопасности, и конкретный набор подобных мер всегда зависит от ситуа ции. Тем не менее существует типовой перечень подобных мероприятий, который применим в любых условиях и составляет как бы основание для выстраивания всей политики, направленной на сохранение в неприкосно венности потоков информации. Этот перечень основан на выполнении специальных требований, которые в зависимости от их функционального назначения молено разбить на следующие группы:
•требования по размещению технических средств;
•рекомендации по установке СЗИ;
•меры по обеспечению надежности функционирования СЗИ, установ ленных на ЛРС .
Реализация организационно-технических мероприятий по защите ин
формации долхена начинаться с разработки соответствующих инструкций
Защита локальной рабочей станции |
217 |
и рекомендаций, а также создания структурных подразделений, ответ ственных за реализацию политики безопасности и контроль над их неукос нительным соблюдением.
Требования по размещению технических средств
При размещении технических средств, поддерживающих системы крип тографической защиты информации (С К З И ), следует руководствоваться следующими рекомендациями:
•расположение режимных помещений и размещенного в них оборудо вания должно исключать возможность бесконтрольного проникнове ния в эти зоны посторонних лиц и гарантировать сохранность находя щихся в них конфиденциальных документов;
•входные двери должны быть оборудованы замками, гарантирующими санкционированный доступ в режимные помещения в нерабочее вре мя. Для контроля над входом должны устанавливаться шифрзамки;
•окна и двери необходимо оборудовать охранной сигнализацией, свя занной с пультом централизованного наблюдения за всеми сигнальны ми устройствами;
•размещение оборудования и технических средств, предназначенных для обработки конфиденциальной информации, должно соответство вать требованиям техники безопасности, санитарным нормам, а также требованиям пожарной безопасности;
•в режимные помещения по утвержденному списку допускаются руко водство учреждения, сотрудники отдела безопасности и исполнители, имеющие прямое отношение к обработке, передаче и приему конфи денциальной информации;
•допуск в помещения вспомогательного и обслуживающего персонала (уборщицы, электромонтеры, сантехники и т.д.) производится только при служебной необходимости в сопровождении ответственного за ре жим, причем нужно позаботиться о мерах, исключающих визуальный просмотр конфиденциальных документов;
•каждый исполнитель работ в качестве пользователя сети конфиденци альной связи обязан зарегистрироваться у администратора службы безопасности;
•внутренняя планировка и расположение рабочих мест в режимных помещениях должны обеспечивать исполнителям сохранность дове ренных им конфиденциальных документов и сведений;
•по окончании рабочего дня режимные помещения необходимо закры вать и опечатывать. Затем их (с опечатанными входными дверями)
218 Компьютерная безопасность и практическое применение криптографии
сдают под охрану отделу безопасности или дежурному по предприятию (по установленному порядку) с указанием времени приема-сдачи и от меткой о включении и выключении охранной сигнализации в журна ле учета;
•сдачу ключей и режимных помещений под охрану, а также получение ключей и вскрытие режимных помещений производят сотрудники, ра ботающие в этих помещениях и входящие в утвержденный руковод ством учреждения список с образцами подписей этих сотрудников. Список хранится у начальника охраны или у дежурного по учреж дению;
•перед вскрытием режимных помещений должна быть проверена целост ность оттисков печатей и исправность замков. При обнаружении на рушения целостности оттисков печатей, повреждения замков или других признаков, указывающих на возможное проникновение в эти помещения посторонних лиц, помещение не вскрывается, а о случив шемся немедленно информируется руководство и отдел безопасности;
•в случае утраты ключа от входной двери режимного помещения немед ленно ставится в известность отдел безопасности учреждения;
•на случай пожара, аварии или стихийного бедствия должны быть разработаны специальные инструкции, утвержденные руководством учреждения, в которых предусматривается вызов администрации, должностных лиц, вскрытие режимных помещений, очередность
ипорядок спасения конфиденциальных документов и дальнейшего их хранения;
•в помещениях, где находятся СЗИ, запрещается приносить и исполь зовать радиотелефоны и другую радиоаппаратуру.
Рекомендации по установке СЗИ
При установке ПО, входящего в состав СЗИ, нужно руководствоваться
следующими рекомендациями:
•установка СЗИ производится только лицами, имеющими соответству ющую лицензию;
•аппаратную часть ЛРС , на которую устанавливается СЗИ, необходи мо проверить на отсутствие аппаратных закладок;
•все программное обеспечение Л РС , на которой будет устанавливаться СЗИ, должно быть лицензионио чистым, при этом не допускается на личия средств разработки и отладки программ;
•перед установкой СЗИ необходимо проверить ПО Л Р С на отсутствие вирусов и программных закладок;
Защита локальной рабочей станции |
219 |
•должны быть предприняты меры, препятствующие извлечению аппа ратной части СЗИ из Л Р С ; системные блоки Л Р С должны быть опеча таны специально выделенной для этих целей печатью. Наряду с этим допускается применение других средств контроля за доступом к ЛРС;
•к эксплуатации С З И допускаются лица, прошедшие соответствующую подготовку и изучившие эксплуатационную документацию данного СЗИ;
•перед установкой ПО С ЗИ необходимо осуществить контроль целост ности дистрибутива;
•после завершения установки должны быть приняты меры, необходи мые для осуществления ежедневного контроля за установленным СЗИ, а также его программным и аппаратным окружением.
Меры по обеспечению надежности функционирования СЗИ, установленных на ЛРС
В этом разделе представлены основные рекомендации по организационно
техническим мерам защиты, обеспечивающим безопасность функциониро
вания рабочих мест со встроенными СЗИ:
•правом доступа к рабочим местам с установленными СЗИ могут обла дать только лица, прошедшие соответствующую подготовку. Админи стратор безопасности должен ознакомить каждого абонента автомати зированной системы, использующего СЗИ, с правилами пользования или с другими нормативными документами, созданными на их основе;
•должностные инструкции администратора безопасности (его замести теля) и ответственного исполнителя не должны противоречить прави лам пользования спецаппаратурой и другим нормативным докумен там, созданным иа их основе;
•администратор безопасности обязан периодически проводить контроль целостности и легальности установленных копий ПО на всех Л Р С со встроенной С ЗИ с помощью программ контроля целостности;
•при обнаружении «посторонних» (незарегистрированных) программ, нарушенной целостности программного обеспечения или выявлении факта повреждения печатей на системных блоках работа на Л Р С прекращается. П о данному факту должно быть проведено служеб ное расследование комиссией в составе представителей служб ин формационной безопасности предприятия-владельца сети и предпри ятия-абонента сети, где произошло нарушение, а также организованы работы по анализу и ликвидации негативных последствий данного на рушения;
220Компьютерная безопасность и практическое применение криптографии
•пользователь должен запускать только те приложения, которые разре шены администратором безопасности;
•установленное программное обеспечение не должно содержать средств разработки и отладки приложений, а также средств, позволяющих осу ществлять несанкционированный доступ к системным ресурсам;
•в инструкцию по использованию рабочей станции должен быть вклю чен пункт, запрещающий оставлять без контроля вычислительные сред ства, входящие в состав СЗИ, при включенном питании и загруженном специальном программном обеспечении СЗИ;
•запретить допуск пользователей в режим конфигурирования ВЮ 5 (например, с использованием парольной защиты);
•исключить возможность работы на Л РС , если встроенные тесты выда ют отрицательный результат во время ее начальной загрузки;
•пароли, назначаемые пользователям, должны отвечать требованиям соответствующих инструкций и нормативных документов;
• в случае использования Л Р С несколькими операторами с различны ми ключами нельзя производить выгрузку ключевой информации (пе резагрузку Л Р С ).
При этом запрещается:
•осуществлять несанкционированное копирование ключевых носителей;
•разглашать содержимое носителей ключевой информации или переда вать сами носители лицам, не имеющим к ним допуска; выводить клю чевую информацию на дисплей и принтер (за исключением случаев, предусмотренных данными правилами);
•вставлять ключевой гибкий диск (или другой ключевой носитель) в дис ковод Л Р С (или в другое устройство считывания) в режимах, не пре дусмотренных штатным расписанием, а также в дисководы других ЛРС;
•записывать на ключевые носители постороннюю информацию;
•подключать к Л Р С дополнительные устройства и соединители, не пре дусмотренные в комплектации;
•работать на компьютере, если во время его начальной загрузки не про
ходит встроенный тест ОЗУ, предусмотренный в Л РС ;
•вносить какие-либо изменения в программное обеспечение СЗИ;
•несанкционированно устанавливать, создавать и выполнять иа Л Р С посторонние программы;
•использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой ин формации;
•осуществлять несанкционированное вскрытие системных блоков ЛРС .