поиск по сайту
Многофункциональные специализированные носители информации

Презентация: смотреть, скачать

Многофункциональные специализированные носители информации

М.М. Грунтович

Закрытое акционерное общество «ОКБ САПР», Москва, Россия

В статье описывается модификация программно-аппаратной платформы специализированных защищенных носителей информации серии «Секрет». Предлагается толковать доступ к содержимому носителя информации и его сервисам, как доступ к серверу данных и серверу приложений. В связи с этим упрощенная ролевая модель, состоящая из администратора и пользователя, может быть заменена на матрицу доступа с произвольным числом пользователей. Функционал целевых систем при этом может быть встроен в безопасную среду таких устройств и стать объектом доступа. Имеется ряд реализаций описанной концепции.

Ключевые слова: защищенный служебный носитель информации, управление доступом к данным.

Одна из проблем компьютерной безопасности – съемные носители информации. С одной стороны, они удобны, пользователи от них никак не могут отказаться, с другой стороны, их использование порождает бреши в системах безопасности. В основном, это нарушение конфиденциальности и целостности информации на таких носителях, угрозы распространения вирусов.

Дабы минимизировать риски можно использовать не обычные USB-«флешки», а служебные носители информации, например, носители семейства «Секрет» ([1], [2], [3]) выпускаемые ЗАО «ОКБ САПР». Особенность этих USB-носителей в том, что в них встроены функции безопасности, в частности, прежде чем предоставить доступ к внутренней памяти устройства они требуют авторизации пользователя и аутентификации программно-аппаратной платформы компьютера. Аутентификация пользователей выполняется по паролю, установленному при регистрации. Для аутентификации компьютера используются различные признаки:

  • по ключам аутентификации, которыми обмениваются компьютеры и носитель при регистрации (ПАК «Личный Секрет»),
  • по ключам аутентификации, которыми обмениваются сервер аутентификации и носитель при регистрации (ПАК «Секрет Фирмы»),
  • по описанию атрибутов компьютера: имя домена, имя в домене, идентификаторы материнской платы, экземпляра ОС, АМДЗ (ПАК «Секрет Особого Назначения»).

Если взглянуть на носитель «Секрет», как на сервер (его аппаратная платформа содержит процессор, долговременную NAND-память), можно предложить встроить во внутреннее программное обеспечение поддержку произвольного количества пользователей и системы разграничения прав доступа к ресурсам изделия. Такими ресурсами в настоящее время являются разделы внутренней памяти, и мы получаем матрицу доступа к дискам в памяти «Секрета».

Доверие к изделию основано, в том числе, на том, что его программно-аппаратный модуль выполняет свои функции в безопасной среде. Но процессор аппаратного модуля мог бы также выполнять приложения, реализующие часть функциональности использующей информационной системы. Таким образом, на изделие можно взглянуть также и как на сервер приложений. И встроенная система разграничения доступа к «приложениям» такого «сервера» позволит задавать правила, определяющие, кто из пользователей может воспользоваться сервисами его приложений.

В настоящее время нами завершается разработка одного из изделий, построенного подобным образом. Это программно-аппаратный журнал «ПАЖ» [4], который построен на основе программной и аппаратной платформы «Секрета». ПАЖ предлагает аппаратную поддержку ведения журналов: это есть аппаратного журнала событий, защищенный от стирания ранее сделанных записей. В этом смысле он похож на магнитную ленту, которая может быть записана только вперед, без возможности отмотать назад и перезаписать.

В изделии фиксированы четыре роли пользователей: администратор, администратор ИБ, аудитор и оператор. Каждый пользователь имеет доступ к функциям изделия (администрирование ПАЖ, контроль использования, запись внешних пользовательских журналов в ПАЖ и чтение этих журналов) и ресурсам (открытый диск, внутренний журнал ПАЖ, диск с внешними пользовательскими журналами). Есть запрос на добавление в функционал этого изделия функции автоматического вычисления электронной подписи записываемых в ПАЖ журналов.

В дальнейших планах еще пара изделий: средство обеспечения безопасного управления ключами и однонаправленный шлюз.

Первое из них обеспечивает автоматизацию безопасной рассылки ключевой информации с функциями записи/чтения ключевой информации в ЦУК и чтение/запись защищенных ключевых контейнеров на транспортной машине в передачей их клиентам по Сети [5].

Изделие «однонаправленный шлюз» реализует идею однонаправленной передачи информации, защищенной от наличия скрытых каналов связи в запрещенном направлении [6].

Таким образом, используя наработки, апробированные в серийных изделиях, мы готовы по желанию заказчиков создавать новые устройства, с внедренным функционалом целевых систем и повышенным уровнем безопасности, который достигается за счет разграничения доступа к ресурсам и сервисам, а также за счет исполнения кода в доверенной среде программно-аппаратной платформы СЗИ

Список литературы

  1. Специальный съемный носитель информации. Патент на полезную модель №94751. 27.05.2010, бюл. №15.
  2. Грунтович М.М. Защищенные служебные USB-носители «Секрет» // Связь в Вооруженных Силах Российской Федерации– 2010. М., 2010. С. 158.
  3. Грунтович М.М. Концепция безопасного изготовления и применения специальных носителей «Секрет» // Комплексная защита информации. Материалы XV международной научно-практической конференции (Иркутск (Россия), 1-4 июня 2010 г.). М., 2010. С. 63.
  4. Андреев В.М., Давыдов А.Н. Безопасное хранение журналов работы СЗИ // Доклад на данной конференции
  5. Грунтович М.М. Аппаратное СЗИ как доверенная среда для безопасных целевых приложений // Комплексная защита информации. Материалы XIV международной конференции (19-22 мая 2009года). Мн., 2009. С. 85-87.
  6. 6. Лыдин С.С. Организация однонаправленного канала передачи данных на базе защищенного служебного носителя информации // Информационная безопасность. Материалы XIII Международной конференции. Таганрог, 2013. Часть 1. С. 134-149.

ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них