Задачи, методы и средства разграничения доступа к информации в АС.

 

Задачи разграничения доступа к информации в АС вытекают из задач стратегии разграничения доступа. Однако применительно к АС в руководящих документах Гостехкомиссии выделяется отдельное направление защиты: защита информации от несанкционированного доступа через штатные средства АС или СВТ. В этом случае, задачи по разграничению доступа на физическом и синтаксическом уровнях не рассматриваются и считаются уже выполненными. Поэтому при реализации стратегии разграничения доступа в АС на СРД возлагаются следующие задачи:

идентификация и аутентификация пользователей, терминалов, программных модулей и других взаимодействующих информационных объектов;

регулирование доступа субъектов к объектам;

аудит событий в системе, имеющих отношение к безопасности.

 

Задачами подсистемы идентификации и аутентификации являются:

присвоение идентификационных меток (имен) объектам, включаемым в систему и аннулирование меток при исключении объектов из системы;

надежное опознавание пользователей при регистрации в системе;

реализация механизма ассоциации с субъектом порождаемых им процессов.

Задачами подсистемы регулирования доступа субъектов к объектам являются:

определение полномочий субъектов по отношению к объектам доступа;

перехват всех обращений субъектов к объектам доступа;

разрешение или отказ субъекту в доступе к объекту в соответствии с полномочиями.

 

Задачами подсистемы аудита событий являются:

регистрация событий в системе, имеющих отношение к безопасности информации;

сигнализация о попытках несанкционированного доступа.

 

Для реализации задач используются различные методы и средства в зависимости от характеристик субъектов и объектов доступа. Все методы идентификации и аутентификации основаны на использовании уникальной информации, которая отличает субъект или объект от других субъектов или объектов. В простейшем случае этой уникальной информацией является метка или имя, которое присваивается субъекту или объекту при его идентификации в системе. Однако метку или имя можно подделать. Поэтому в защищенных системах необходимо проводить аутентификацию, т.е. проверку соответствия метки (имени) субъекту, который ее предъявил.

 

Различают три группы методов аутентификации, основанных на на­личии у каждого субъекта:

индивидуального объекта заданного типа;

· знаний некоторой известной только ему и проверяющей стороне информации;

· индивидуальных биометрических характеристик.

К первой группе относятся методы аутентификации, использующие удостоверения, пропуска, магнитные карты и другие носимые устройства, которые широко применяются для контроля доступа в помещения, а также входят в состав программно-аппаратных комплексов защиты от НСД к средствам вычислительной техники.

Во вторую группу входят методы аутентификации, использующие пароли. По экономическим причинам они включаются в качестве базовых средств защиты во многие программно-аппаратные комплексы защиты информации. Все современные операционные системы и многие прило­жения имеют встроенные механизмы парольной защиты.

Последнюю группу составляют методы аутентификации, основанные на применении оборудования для измерения и сравнения с эталоном за­данных индивидуальных характеристик пользователя: тембра голоса, от­печатков пальцев, структуры радужной оболочки глаза и др. Такие сред­ства позволяют с высокой точностью аутентифицировать обладателя кон­кретного биометрического признака, причем "подделать" биометрические параметры практически невозможно. Однако широкое распространение подобных технологий сдерживается высокой стоимостью необходимого оборудования.

Если в процедуре аутентификации участвуют только две стороны, устанавливающие подлинность друг друга, такая процедура называется непосредственной аутентификацией (direct password authentication). Если же в процессе аутентификации участвуют не только эти стороны, но и дру­гие, вспомогательные, говорят об аутентификации с участием доверен­ной стороны (trusted third party authentication). При этом третью сторону называют сервером аутентификации (authentication server) или арбит­ром (arbitrator).

Наиболее распространенные методы аутентификации основаны на применении многоразовых или одноразовых паролей. Из-за своего широ­кого распространения и простоты реализации парольные схемы в первую очередь становятся мишенью для атак злоумышленников.

Парольные методы включают следующие разновидности способов аутентификации:

• по хранимой копии пароля или его свёртке (plaintext-equivalent);

• по некоторому проверочному значению (verifier-based);

• без непосредственной передачи информации о пароле проверяющей стороне (zero-knowledge);

• с использованием пароля для получения криптографического ключа (cryptographic).

В первую разновидность способов входят системы аутентификации, предполагающие наличие у обеих сторон копии пароля или его свертки. Для организации таких систем требуется создать и поддерживать базу данных, содержащую пароли или свертки паролей всех пользователей. Их слабой стороной является то, что получение злоумышленником этой базы данных позволяет ему проходить аутентификацию от имени любого пользователя.

Способы, составляющие вторую разновидность, обеспечивают более высокую степень безопасности парольной системы, так как проверочные значения, хотя они и зависят от паролей, не могут быть непосредственно использованы злоумышленником для аутентификации.

Наконец, аутентификация без предоставления проверяющей стороне какой бы то ни было информации о пароле обеспечивает наибольшую степень защиты. Этот способ гарантирует безопасность даже в том слу­чае, если нарушена работа проверяющей стороны (например, в програм­му регистрации в системе внедрен "троянский конь"). Пример системы парольной защиты ("доказательство с нулевым разглашением"), постро­енной по данному принципу, будет рассмотрен ниже.

Особым подходом в технологии проверки подлинности являются криптографические протоколы аутентификации. Такие протоколы описы­вают последовательность действий, которую должны совершить стороны для взаимной аутентификации, кроме того, эти действия, как правило, сочетаются с генерацией и распределением криптографических ключей для шифрования последующего информационного обмена. Корректность протоколов аутентификации вытекает из свойств задействованных в них математических и криптографических преобразований и может быть стро­го доказана.

Обычные парольные системы проще и дешевле для реализации, но менее безопасны, чем системы с криптографическими протоколами. Последние обеспечивают более надежную защиту и дополнительно решают задачу распределения ключей. Для более детального рассмотрения принципов построения пароль­ных систем сформулируем несколько основных определений.

Идентификатор пользователя - некоторое уникальное количество информации, позволяющее различать индивидуальных пользователей парольной системы (проводить их идентификацию). Часто идентификатор также называют именем пользователя или именем учетной записи пользователя.

Пароль пользователя - некоторое секретное количество информа­ции, известное только пользователю и парольной системе, которое может быть запомнено пользователем и предъявлено для прохождения проце­дуры аутентификации. Одноразовый пароль дает возможность пользова­телю однократно пройти аутентификацию. Многоразовый пароль может быть использован для проверки подлинности повторно.

Учетная запись пользователя - совокупность его идентификатора и его пароля.

База данных пользователей парольной системы содержит учетные записи всех пользователей данной парольной системы.

Под парольной системой будем понимать программно-аппаратный комплекс, реализующий системы идентификации и аутентификации пользователей АС на основе одноразовых или многоразовых паролей.

Основными компонентами парольной системы являются:

• интерфейс пользователя;

• интерфейс администратора;

• модуль сопряжения с другими подсистемами безопасности;

• база данных учетных записей.

Парольная система представляет собой "передний край обороны" всей системы безопасности. Некоторые ее элементы (в частности, реали­зующие интерфейс пользователя) могут быть расположены в местах, от­крытых для доступа потенциальному злоумышленнику. Поэтому пароль­ная система становится одним из первых объектов атаки при вторжении злоумышленника в защищенную систему.

Возможны следующие типы угроз безопасности парольных систем:

1. Разглашение параметров учетной записи через:

• подбор в интерактивном режиме;

• подсматривание;

• преднамеренную передачу пароля его владельцем другому лицу;

• захват базы данных парольной системы (если пароли не хранятся в базе в открытом виде, для их восстановления может потребоваться подбор или дешифрование);

• перехват переданной по сети информации о пароле;

• хранение пароля в доступном месте.

2. Вмешательство в функционирование компонентов парольной сис­темы через:

• внедрение программных закладок;

• обнаружение и использование ошибок, допущенных на стадии разра­ботки;

• выведение из строя парольной системы.

Некоторые из перечисленных типов угроз связаны с наличием так называемого человеческого фактора, проявляющегося в том, что пользователь может:

• выбрать пароль, который легко запомнить и также легко подобрать;

• записать пароль, который сложно запомнить, и положить запись в дос­тупном месте;

• ввести пароль так, что его смогут увидеть посторонние;

• передать пароль другому лицу намеренно или под влиянием заблуждения.

 

В большинстве систем пользователи имеют возможность самостоятельно выбирать пароли или получают их от системных администраторов. При этом для уменьшения деструктивного влияния описанного выше че­ловеческого фактора необходимо реализовать ряд требований к выбору и использованию паролей (см. таблицу 2.3.1).

Таблица 2.3.1

Требование к выбору пароля	Получаемый эффект
Установление мини­мальной длины пароля	Усложняет задачу злоумышленника при попытке подсмотреть пароль или подобрать пароль методом "тотального опробования"
Использование в па­роле различных групп символов	Усложняет задачу злоумышленника при попытке подобрать пароль методом "тотального опробования"
Проверка и отбраковка пароля по словарю	Усложняет задачу злоумышленника при попытке подобрать пароль по словарю
Установление макси­мального срока дейст­вия пароля	Усложняет задачу злоумышленника по подбору паро­лей методом тотального опробования, в том числе без непосредственного обращения к системе защиты (режим off-line)
Установление мини­мального срока дейст­вия пароля	Препятствует попыткам пользователя заменить па­роль на старый после его смены по предыдущему требованию
Ведение журнала ис­тории паролей	Обеспечивает дополнительную степень защиты по предыдущему требованию
Применение эвристи­ческого алгоритма, бра­кующего пароли на ос­новании данных жур­нала истории	Усложняет задачу злоумышленника при попытке подобрать пароль по словарю или с использованием эвристического алгоритма
Ограничение числа по­пыток ввода пароля	Препятствует интерактивному подбору паролей злоумышленником
Поддержка режима принудительной смены пароля пользователя	Обеспечивает эффективность требования, ограничи­вающего максимальный срок действия пароля
Использование заде­ржки при вводе неправильного пароля	Препятствует интерактивному подбору паролей зло­умышленником
Запрет на выбор паро­ля самим пользовате­лем и автоматическая генерация паролей	Исключает возможность подобрать пароль по слова­рю. Если алгоритм генерации паролей не известен злоумышленнику, последний может подбирать пароли только методом "тотального опробования"
Принудительная смена пароля при первой ре­гистрации пользовате­ля в системе	Защищает от неправомерных действий системного администратора, имеющего доступ к паролю в момент создания учетной записи

 

Параметры для количественной оценки стойкости парольных систем приведены в таблице 2.3.2.

 

Таблица 2.3.2

Параметр	Способ определения
Мощность алфавита паролей А	Могут варьироваться для обеспечения задан­ного значения S (S = AL)
Длина пароля L
Мощность пространства паро­лей S	Вычисляется на основе заданных значений Р, Т или V
Скорость подбора паролей V: • Для интерактивного режи­ма определяется как ско­рость обработки одной по­пытки регистрации прове­ряющей стороной. • Для режима off-line (на основе свертки пароля) определяется как скорость вычисления значения све­ртки для одного пробного пароля	• Может быть искусственно увеличена для защиты от данной угрозы.   • Задается используемым алгоритмом вы­числения свертки. Алгоритм, имеющий медленные реализации, повышает стой­кость по отношению к данной угрозе
Срок действия пароля (задает промежуток времени, по истечении которого пароль должен быть обязательно сменен) Т	Определяется исходя из заданной вероятно­сти Р, или полагается заданным для дальней­шего определения S
Вероятность подбора пароля в течение его срока действия (подбор продолжается непре­рывно в течение всего срока действия пароля) Р	Выбирается заранее для дальнейшего опре­деления S или Т

 

В качестве иллюстрации рассмотрим задачу определения минимальной мощ­ности пространства паролей (зависящей от параметров А и Z) в соответствии с заданной вероятностью подбора пароля в течение его срока действия.

Задано Р=10^-6. Необходимо найти минимальную длину пароля, которая обеспечит его стойкость в течение одной недели непрерывных попыток подобрать пароль.

Пусть скорость интерактивного подбора паролей V = 10 паролей/мин. Тогда в течение недели можно перебрать 10´60´24´7 = 100800 паролей.

Далее, учитывая, что параметры S, V, Т и Р связаны соотношением P = V ´ T/S, получаем

S = 100´800/10^-6 = 1,008´10¹¹ 10¹¹

Полученному значению S соответствуют пары: А=26, L=8 и А=3б, L=6.

 

Важным аспектом стойкости парольной системы, является способ хранения паролей в базе данных учетных записей. Возможны сле­дующие варианты хранения паролей:

• в открытом виде;

• в виде свёрток (хеширование);

• зашифрованными на некотором ключе.

Наибольший интерес представляют второй и третий способы, кото­рые имеют ряд особенностей. Хеширование не обеспечивает защиту от подбора паролей по словарю в случае получения базы данных злоумышленником. При выборе алгоритма хеширования, который будет использован для вычисления сверток паролей, необходимо гарантировать несовпадение значений сверток, полученных на основе различных паролей пользователей. Кроме того, следует предусмотреть механизм, обеспечивающий уникальность сверток в том случае, если два пользователя выбирают одинаковые па­роли. Для этого при вычислении каждой свертки обычно используют неко­торое количество «случайной» информации, например, выдаваемой гене­ратором псевдослучайных чисел.

При шифровании паролей особое значение имеет способ генерации и хранения ключа шифрования базы данных учетных записей. Возможные варианты:

• ключ генерируется программно и хранится в системе, обеспечивая возможность ее автоматической перезагрузки;

• ключ генерируется программно и хранится на внешнем носителе, с которого считывается при каждом запуске;

• ключ генерируется на основе выбранного администратором пароля, который вводится в систему при каждом запуске.

Во втором случае необходимо обеспечить невозможность автомати­ческого перезапуска системы, даже если она обнаруживает носитель с ключом. Для этого можно потребовать от администратора подтверждать продолжение процедуры загрузки, например, нажатием клавиши на кла­виатуре.

Наиболее безопасное хранение паролей обеспечивается при их хе­шировании и последующем шифровании полученных сверток, т.е. при комбинации второго и третьего способов.

Введение перечисленных выше количественных характеристик па­рольной системы (см. табл. 2.3.2) позволяет рассмотреть вопрос о связи стойкости парольной системы с криптографической стойкостью шифров в двух аспектах: при хранении паролей в базе данных и при их передаче по сети. В первом случае стойкость парольной системы определяется ее способностью противостоять атаке злоумышленника, завладевшего базой данных учетных записей и пытающегося восстановить пароли, и зависит от скорости «максимально быстрой» реализации используемого алгоритма хеширования. Во втором случае стойкость парольной системы зависит от криптографических свойств алгоритма шифрования или хеширования паролей. Если потенциальный злоумышленник имеет возможность пере­хватывать передаваемые по сети преобразованные значения паролей, при выборе алгоритма необходимо обеспечить невозможность (с задан­ной вероятностью) восстановить пароль при наличии достаточного коли­чества перехваченной информации.

Проиллюстрируем приведенные рассуждения на конкретном приме­ре. Для шифрования паролей в системах UNIX до середины 1970-х годов использовался алгоритм, эмулирующий шифратор М-209 американской армии времён второй мировой войны. Это был надёжный алгоритм, но он имел очень быструю для тех лет реализацию. На компьютере PDP-11/70 можно было зашифровать 800 паролей в секунду, и словарь из 250000 слов мог быть проверен менее чем за 5 минут.

С конца 70-х годов для этих целей стал применяться алгоритм шифрова­ния DES. Пароль использовался для генерации ключа, на котором шиф­ровалась некоторая постоянная для всех паролей величина (как правило, строка, состоящая из одних нулей). Для предотвращения одинаковых свёрток от одинаковых паролей в качестве дополнительного параметра на вход алгоритма вычисления свертки подавалось значение, вырабатываемое генератором псевдослучайных чисел. Реализации алгоритма DES работали значительно медленнее. На компьютере VAX-II (более быстром, чем PDP-11/70) можно было сделать в среднем 3,6 операций шифрования в секунду. Проверка словаря из 250000 слов длилась бы 19 часов, а проверка паролей для 50 пользователей - 40 дней. В последнее время в некоторых UNIX-системах используется алгоритм MD5, ещё более медленный по сравнению с DES.

Однако современные реализации криптографических алгоритмов позволяют производить сотни тысяч итераций алгоритма в секунду. Учиты­вая, что пользователи нередко выбирают недостаточно стойкие пароли, можно сделать вывод, что получение базы данных учетных записей или перехват переданного по сети значения свертки пароля представляют серьёзную угрозу безопасности парольной системы.

Наиболее надежная схема распределения парольной информации заключается в выработке паролей специальными генераторами и выдача их лично пользователям. Однако для больших распределенных систем такая схема является не эффективной, а иногда и невозможной для реализации. В большинстве случаев аутентификация в распределён­ных системах связана с передачей по сети информации о параметрах учетных записей пользователей, которая требует защиты.

Распространены следующие способы передачи по сети паролей:

• в открытом виде;

• зашифрованными;

• в виде свёрток;

• без непосредственной передачи информации о пароле ("доказательство с нулевым разглашением").

Первый способ применяется во многих популярных прило­жениях (например, в сервисах TELNET, FTP и других). В защищенной системе его можно применять только в сочетании со средствами защиты сетевого трафика.

При передаче паролей в зашифрованном виде или в виде сверток по сети с открытым физическим доступом возможна реализация следующих угроз безопасности парольной системы:

• перехват и повторное использование информации;

• перехват и восстановление паролей;

• модификация передаваемой информации с целью введения в заблуждение проверяющей стороны;

• имитация злоумышленником действий проверяющей стороны для вве­дения в заблуждение пользователя.

Схемы аутентификации «с нулевым знанием» или «с нулевым разглашением» заключаются в том, чтобы обеспечить возможность одному из пары субъектов доказать истинность некоторого утверждения второму, при этом не сообщая ему никакой информации о содержании самого утверждения. Например, первый субъект ("доказывающий") может убедить второго ("проверяющего"), что знает определенный пароль, в действительности не передавая тому никакой информации о самом пароле. Эта идея и отражена в термине «доказательство с нулевым разглашением». Применительно к парольной защите это означает, что если на месте проверяющего субъекта оказывается злоумышленник, он не получает никакой информации о доказываемом утверждении и, в частности, о пароле.

Общая схема процедуры аутентификации с нулевым разглашением состоит из последовательности информационных обменов (итераций) между двумя участниками процедуры, по завершению которой проверяю­щий с заданной вероятностью делает правильный вывод об истинности проверяемого утверждения. С увеличением числа итераций возрастает вероятность правильного распознавания истинности (или ложности) ут­верждения.

 

Классическим примером неформального описания системы аутентификации с нулевым разглашением служит так называемая «пещера Али-Бабы» (см. рис. 2.3.1).

 

 

 

	Рис 2.3.1 «Пещера Али-бабы»

 

Пещера имеет один вход, путь от которого разветвляется в глубине пещеры на два коридора, сходящихся затем в одной точке, где установлена дверь с замком. Каждый, кто имеет ключ от замка, может переходить из одного коридора в другой в любом направлении.

Одна ите­рация алгоритма состоит из последовательности шагов:

1. Проверяющий становится в точку А.

2. Доказывающий проходит в пещеру и добирается до двери (оказы­вается в точке С или D). Проверяющий не видит, в какой из двух коридо­ров тот свернул.

3. Проверяющий приходит в точку В и в соответствии со своим выбо­ром просит доказывающего выйти из определенного коридора.

4. Доказывающий, если нужно, открывает дверь ключом и выходит из названного проверяющим коридора.

Итерация, повторяется столько раз, сколько требуется для распозна­вания истинности утверждения "доказывающий владеет ключом от двери" с заданной вероятностью. После i-и итерации вероятность того, что про­веряющий попросит доказывающего выйти из того же коридора, в кото­рый вошел доказывающий, равна (1/2)i.

Еще одним способом повышения стойкости парольных систем, свя­занной с передачей паролей по сети, является применение одноразовых (one-time) паролей. Общий подход к применению одноразовых паролей основан на последовательном использовании хеш-функции для вычисле­ния очередного одноразового пароля на основе предыдущего. В начале пользователь получает упорядоченный список одноразовых паролей, по­следний из которых также сохраняется в системе аутентификации. При каждой регистрации пользователь вводит очередной пароль, а система вычисляет его свертку и сравнивает с хранимым у себя эталоном. В слу­чае совпадения пользователь успешно проходит аутентификацию, а вве­денный им пароль сохраняется для использования в качестве эталона при следующей регистрации. Защита от сетевого перехвата в такой схеме основана на свойстве необратимости хеш-функции.

 

Построение систем разграничения доступа к информации в АС.

 

Проблема построения гарантированно защищенных автоматизированных систем заключается в том, что их программное и аппаратное обеспечение в значительной степени является заимствованным и производится за рубежом. Проведение сертификации компонентов этих систем, очень трудоемкий, а иногда и невозможный процесс из-за их функциональной сложности. Поэтому в настоящий момент актуальной является задача обеспечения безопасности систем, все возможности которых пользователю не известны. Однако безопасность таких систем не может быть обеспечена без компонентов, функции которых полностью определены.

Основу подсистемы разграничения доступа (СРД) в автоматизированной системе составляет модель разграничения доступа. Мы уже рассматривали две основные разновидности моделей разграничения доступа: дискреционную и мандатную. Задача разработчика СРД корректно реализовать в технической системе правила разграничения доступа (ПРД), определяемые выбранной моделью.

В автоматизированной системе подсистема разграничения доступа может быть реализована механизмами операционной системы, программными или аппаратно-программными средствами разграничения доступа на семантическом уровне взаимодействия. Выбор способа реализации зависит от архитектуры конкретной системы и требований по безопасности, которые необходимо выполнить для данного класса защищенности АС.

 

Любая компьютерная система использует стандартное и специализированное аппаратное и программное обеспечение, выполняющее определенный набор функций по обработке информации.

Они, как правило, выполняют следующие функции:

· аутентификации пользователя;

· ограничения и разграничения доступа к информации;

· обработки информации;

· обеспечения целостности информации;

· защиты информации от уничтожения;

· шифрования и электронной цифровой подписи и др.

Целостность информации и ограничение доступа к ней обеспечивается специализированными компонентами системы, использующими парольные, криптографические, биометрические и другие методы защиты.

Для того, чтобы компьютерной системе можно было полностью доверять, ее необходимо аттестовать:

· определить множество выполняемых функций;

· доказать конечность этого множества;

· определить свойства всех функций.

При использовании системы ее функциональность не должна нарушаться, иными словами, необходимо обеспечить:

· целостность системы в момент ее запуска;

· целостность системы в процессе функционирования.

 

Особое внимание следует обратить на аутентификацию пользователя. Компьютерная система при обращении к ней определяет пользователя, проверяет его полномочия и выполняет запрос или задачу по обработке информации.

Надежность защиты информации в такой компьютерной системе определяется:

· конкретным перечнем и свойствами функций КС;

· используемыми в функциях методами;

· способом реализации функций.

Перечень используемых функций соответствует классу защищенности, присвоенному АС в процессе сертификации. При рассмотрении конкретной АС следует обратить внимание на используемые методы и способ реализации наиболее важных функций: аутентификации и проверки целостности системы.

Большинство функций современных компьютерных систем реализованы в виде программ, поддержание целостности которых в процессе запуска системы и особенно в процессе функционирования является трудной задачей. Для нарушения целостности программы нет необходимости в дополнительном оборудовании. Большое количество пользователей в той или иной степени умеют программировать и разбираются в операционных системах, знают их ошибки. Поэтому вероятность атаки на программное обеспечение достаточно высока.

Проверка целостности программ программным образом (с помощью других программ) не является надежной. Необходимо четко представлять, как обеспечивается целостность самой программы проверки целостности. Если она находится на тех же носителях, что и проверяемые программы, то доверять результатам проверки работы такой программы нельзя. Таким образом, только программным способом не может быть надежно обеспечена целостность системы.

Использование аппаратных средств снимает проблему обеспечения целостности системы. В большинстве современных систем защиты от НСД применяется зашивка программного обеспечения в ПЗУ или в аналогичную микросхему. Таким образом, чтобы изменить ПО, необходимо получить доступ к соответствующей плате и заменить микросхему. Если используется универсальный процессор, то для замены или изменения ПО необходимо специальное оборудование, что еще более затрудняет атаку на загруженное в процессор ПО. Использование специализированного процессора с реализацией алгоритма работы в виде интегральной микросхемы полностью снимает проблему нарушение целостности алгоритма работы.

На практике функции аутентификации пользователя, проверки целостности (например, платы типа Криптон-НСД, Аккорд, и др.), криптографические функции (например, платы Криптон-4,4к/8,4k/16, Криптон-5), образующие ядро системы безопасности, реализуются аппаратно, все остальные функции – программно.

Любая система защиты строится на известных разработчику возможностях операционных систем (ОС), причем для построения надежной компьютерной системы требуются полные знания всех возможностей ОС. В настоящее время отечественные разработчики располагают полными знаниями только об одной операционной системе — Unix, Таким образом, к полностью контролируемым системам можно отнести АС, работающие под Unix-подобной операционной системой (например – МС ВС).

 

Современные АС принято относить к частично контролируемым компьютерным системам, поскольку аттестовать их программное обеспечение не представляется возможным из-за наличия в них неописанных возможностей таких как:

· ошибки;

· «программные закладки» недобросовестных разработчиков;

· «программные закладки» соответствующих служб.

 

Безопасность в таких компьютерных системах может быть обеспечена:

· за счет использования специальных аттестованных (полностью контролируемых) аппаратно-программных средств, выполняющих ряд защищенных операций и играющих роль специализированных модулей безопасности;

· путем изоляции от злоумышленника ненадежной компьютерной среды, отдельного ее компонента или отдельного выполняемого процесса опять же с помощью полностью контролируемых средств.

В частично контролируемых АС использование каких-либо ответственных программно реализованных функций (отвечающих за шифрование, электронную цифровую подпись, доступ к информации, доступ к сети и т.д.) является показателем наивности администратора безопасности. Основную опасность представляет при этом возможность перехвата ключей пользователя, используемых при шифровании и предоставлении полномочий доступа к информации.

В используемых в настоящее время аппаратно-программных системах защиты от НСД для частично контролируемых систем серьезно рассматривать можно только функции доступа на персональный компьютер, выполняемые до загрузки операционной системы, и аппаратные функции блокировки портов ПК. Таким образом, остается большое поле деятельности по разработке модулей безопасности для защиты выбранных процессов в частично контролируемых системах.