Программно-аппаратные методы защиты информационных процессов

Программно-аппаратные методы защиты информации основаны на основе использовании средств, содержащих в своем составе элементы, реализующие функции защиты информации, в которых программные (микропрограммные) и аппаратные части полностью взаимозависимы и неразделимы.

На первоначальном этапе развития методов и средств защиты информации защита осуществлялась на программном уровне, например проверка целостности программной среды другой, специально разработанной программой. Однако специальная программа находилась на одном носителе с проверяемыми объектами, то такие методы не могут дать гарантии правильности проведения процедур. При этом необходимо проводить проверку самой проверяющей программы. Таким образом, необходимо использование аппаратным средств со встроенными процедурами контроля целостности программ и данных, идентификации и аутентификации, регистрации и учета.

Объектом программно-аппаратной защиты являются:

§ персональный компьютер;

§ информационные ресурсы;

§ сетевые (телекоммуникационные) средства:

§ информационные технологии.

Для обеспечения заданного уровня защиты информационных процессов и информации необходимо использовать такие методы программно-аппаратной защиты как [7, 8]:

§ аутентификации участников информационного взаимодействия;

§ защиты технических средств от несанкционированного доступа;

§ разграничения доступа к документам, ресурсам персонального компьютера и сети;

§ защиты электронных документов;

§ защиты данных в каналах связи;

§ защиты информационных технологий;

§ разграничения доступа к потокам данных.

Участниками информационными взаимодействия являются операторы и удаленные пользователи. Аутентификация/ идентификация операторов выполняется аппаратно до этапа загрузки операционной системы. Базы данных идентификации/ аутентификации должны хранится в энергонезависимой памяти системы защиты информации, организованной так, чтобы доступ к ней средствами персонального компьютера был невозможен, т.е. энергонезависимая память должна быть размещена вне адресного пространства компьютера. Программное обеспечение контроллера должно хранится в памяти специального контроллера, защищенной от несанкционированных модификаций. Целостность программного обеспечения обеспечивается технологией изготовления контроллера системы защиты. Идентификация осуществляется с применением отчуждаемого носителя информации.

Аутентификация/идентификация удаленных пользователей выполняется с использованием аппаратной реализации. Процедура аутентификации может быть выполнена различными способами, включая электронную цифровую подпись. Обязательным является требование «усиленной аутентификации», т.е. периодического повторения процедуры в процессе работы через интервалы времени, достаточно малые для того, чтобы при преодолении защиты нарушитель не мог нанести ощутимого ущерба.

Защита технических средств от несанкционированного доступа обеспечиваются электронными замками и аппаратными модулями доверенной загрузки. Различие способов защиты заключается в реализации контроля целостности. Электронные замки аппаратно выполняют процедуры идентификации/ аутентификации с использованием внешнего программного обеспечения для выполнения процедура проверки контроля целостности. Аппаратные модули доверенной загрузки реализуют как функции электронных замков, так и функции контроля целостности и функции администрирования. В результате обеспечивается не только идентификации/аутентификации пользователя, но и осуществляется доверенная загрузка операционной системы - важнейшая функция для построения изолированной программной среды. Функционально аппаратные модули доверенной загрузки значительно полнее, чем электронными замками. Модули требуют аппаратной (без использования ресурсов операционной системы) реализации сложных функций, таких, как разбор файловых систем (ФС), обеспечение чтения реальных данных и др. При этом, за счет интеграции контрольных функций в аппаратуре, модули доверенной загрузки обеспечивает также более высокую надежность и доверенность результатов.

Контроль целостности технического состава ПЭВМ должен выполняться контроллером СЗИ до загрузки ОС. При этом должны контролироваться все ресурсы, которые (потенциально) могут использоваться совместно, в том числе:

- центральный процессор;

- системный BIOS;

- дополнительный BIOS;

- вектора прерываний;

- CMOS, в том числе гибких дисков, жестких дисков и CD-ROM.

Целостность технического состава ЛВС обеспечивается процедурой усиленной аутентификации сети. Процедура должна выполняться на этапе подключения проверенной ПЭВМ к сети и далее через заранее определенные администратором безопасности интервалы времени.

Усиленная аутентификация должна выполняться с применением рекомендованного варианта аппаратного датчика случайных чисел. Качество работы датчика должно контролироваться системой рекомендованных тестов.

Контроль целостности системных областей и файлов ОС должен выполняться контроллером до загрузки ОС, чем обеспечивается механизм чтения реальных данных. Так как в электронном документообороте могут использоваться различные операционные системы, то встроенное в контроллер программное обеспечение должно обеспечивать разбор наиболее популярных файловых систем.

Целостность данного программного обеспечения должно гарантироваться технологией изготовления контроллеров системой защиты информации.

Защита программного обеспечения от несанкционированных модификаций должна обеспечиваться аппаратными средствами контроллера.

Для контроля целостности должна применяться известная (опубликованная) хэш-функция, эталонное значение которой должно храниться в энергонезависимой памяти контроллера, защищенной аппаратно от доступа из ПЭВМ.

Контроль целостности программного обеспечения и данных может выполняться как аппаратной компонентой, так и программной компонентой системой защиты в том случае, если ее целостность была зафиксирована аппаратно на предыдущем этапе. Для контроля целостности должна применяться известная (опубликованная) хэш-функция, эталонное значение которой должно аутентифицироваться с помощью отчуждаемого технического носителя информации (идентификатора).

Разграничение доступа к документам, ресурсам ПЭВМ и сети. Современные операционные системы (ОС) содержат встроенные средства разграничения доступа. Эти средства используют особенности конкретной файловой системы и основаны на атрибутах, связанных с одним из уровней интерфейса API операционной системы.

Привязка к особенностям файловой системы. В современных операционных системах, как правило, используются не одна, а несколько ФС - как новые, так и устаревшие. При этом обычно на новой ФС встроенное в ОС разграничение доступа работает, а на старой - может и не работать, так как использует существенные отличия новой ФС. Это обстоятельство обычно прямо не оговаривается в сертификате, что может ввести пользователя в заблуждение. Представим, что на компьютере с новой ОС эксплуатируется программное обеспечение, разработанное для предыдущей версии, ориентированное на особенности прежней ФС. Пользователь вправе полагать, что установленные защитные механизмы, сертифицированные и предназначенные именно для используемой ОС, будут выполнять свои функции, тогда как в действительности они будут отключены. В реальной жизни с целью обеспечения совместимости старые ФС и включаются в состав новых ОС.

Привязка к API операционной системы. Как правило, операционные системы меняются сейчас очень быстро - раз в год - полтора. Не исключено, что будут меняться еще чаще. Некоторые такие смены связаны с изменениями, в том числе и API - например, смена Win9x на WinNT. Если при этом атрибуты разграничения доступа отражают состав API - с переходом на современную версию ОС будет необходимо переделывать настройки системы безопасности, проводить переобучение персонала и т.д.

Таким образом, можно сформулировать общее требование - подсистема разграничения доступа должна быть наложенной на операционную систему, и тем самым, быть независимой от файловой системы. Разумеется, состав атрибутов должен быть достаточен для целей описания политики безопасности, причем описание должно осуществляться не в терминах API ОС, а в терминах, в которых привычно работать администраторам безопасности.

Защита электронных документов. Жизненный цикл электронного документа протекает в трех средах существования, вложенных одна в другую:

§ электронная - среда цифровых процессов;

§ аналоговая - среда объектов, предметов;

§ социальная - среда мыслящих субъектов.

Внешняя оболочка - подмножество мыслящих субъектов социальной среды, образует сектор действенности документа, диктующий правила обмена информацией свои членам-субъектам, в том числе, требования к технологии взаимодействия. Если эти правила и требования выполнены, то сообщение признается документом, а содержащаяся в нем информация признается сектором как (юридический) факт - формальным основанием для возникновения, изменения, прекращения конкретных отношений между субъектами общества.

Требования сектора действенности можно разделить на семантические, предъявляемые к отображению смысла информации, и технологические, диктующие оформление документа. Семантические аспекты являются прерогативой социальной среды, и потому здесь не рассматриваются, полагаются выполненными. При таком условии для признания сообщения документом необходимо, чтобы параметры технологий, использованных при его формировании, преобразовании, передаче и хранении, лежали бы в рамках допустимых отклонений от некоторого эталона, предписываемого сектором для документального электронного взаимодействия. Только в этом случае возникают юридические основания считать, что выполняются требования, например, по обеспечению целостности, конфиденциальности, аутентичности документа.

Традиционный, аналоговый документ (АнД) формируется однократно в виде предмета - лист бумаги с поверхностью, раскрашенной узорами-буквами. Физические параметры предмета устойчивы к внешнему воздействию, их изменение сравнительно просто индицируется, в течение всего жизненного цикла предмет-документ не преобразуется в другой предмет, в любой момент времени АнД сосредоточен в единственной точке пространства, так что возможности несанкционированного доступа ограничены. Выбор возможных традиционных информационных технологий узок, так что требования эталонной технологии очевидны по умолчанию. Иное дело - электронный документ (ЭлД). Легкость и простота модификации ЭлД заложена самой средой его существования: операции копирования и замены являются фундаментальными в машине Тьюринга. ЭлД многократно преобразуется в течение жизненного цикла, физическая индикация искажения ЭлД трудна. Требования соответствия применяемых информационных технологий эталонным технологиям крайне значимы. Поэтому защита электронного обмена информацией включает два класса задач: обеспечение эквивалентности документа в течение его жизненного цикла исходному ЭлД - эталону; обеспечение эквивалентности примененных электронных технологий эталонным, предписываемым сектором действенности.

В электронной среде не имеет смысла интерпретация информации как сведения, смысла, знания, факта. Для компьютера стихи и случайное число - это множество двоичных бит, на котором задан порядок - последовательность нулевых и единичных бит. Любые два множества отображают одну и ту же информацию, если сохраняется заданное отношение упорядоченности - если множества изоморфны [9]. Так как двоичную ограниченную последовательность всегда можно преобразовать в число, то в электронной среде информация есть число. Число не меняется во времени и пространстве, оно всегда фиксировано, статично. При хранении на диске памяти число отображается "раскраской" поверхности диска магнитными доменами с разной ориентацией. Говорят, что в памяти ЭВМ хранятся данные, которые понимаются как фиксированная форма существования электронной информации: данные - это число.

Назначение любой защиты - обеспечение стабильности (фиксированности!) заданных свойств защищаемого объекта во всех точках жизненного цикла. Защищенность объекта индицируется сопоставлением эталона (объекта в исходной точке пространства и времени) и результата (объекта в момент наблюдения). В нашем случае в точке наблюдения (получения ЭлД) имеется только весьма ограниченная контекстная информация об эталоне (содержании исходного ЭлД), но зато имеется полная информация о результате (наблюдаемом документе). Это означает, что ЭлД должен включать в свой состав атрибуты, удостоверяющие соблюдение технических и технологических требований, а именно - неизменность сообщения на всех этапах изготовления и транспортировки документа. Одним из вариантов атрибутов могут быть защитные коды аутентификации (ЗКА) [8].

Защита документа при его создании. При создании документа должен аппаратно вырабатываться защитный код аутентификации (ЗКА). При этом до начала выработки ЗКА должна быть обеспечена изолированность программной среды (ИПС). Запись копии электронного документа на внешние носители до выработки ЗКА должна быть исключена. Если ЭлД порождается оператором, то ЗКА должен вырабатываться с привязкой к оператору. Если ЭлД порождается программной компонентой АС, то ЗКА должен вырабатываться с привязкой к данной программной компоненте.

Защита документа при его передаче по внешним (открытым) каналам связи должна выполняться на основе применения сертифицированных криптографических средств, в том числе с использованием электронно-цифровой подписи (ЭЦП) для каждого передаваемого документа. Возможен и другой вариант - с помощью ЭЦП подписывается пачка документов, а каждый отдельный документ заверяется другим аналогом собственноручной подписи (АСП) - например, ЗКА.

Защита документа при его обработке, хранении и исполнении. На этих этапах защита документа осуществляется применением двух ЗКА - входного и выходного для каждого этапа. При этом ЗКА должны вырабатываться аппаратно с привязкой ЗКА к процедуре обработки (этапу информационной технологии). Для поступившего документа (с ЗКА и ЭЦП) вырабатывается ЗКА₂ и только затем снимается ЭЦП. Затем на следующем этапе (n) вырабатывается ЗКА_n+1 и снимается ЗКА_n-1. Таким образом, в любой момент времени документ защищен двумя ЗКА - ЗКА_n и ЗКА_n+1. ЗКА должны вырабатываться и проверяться для документа, размещенного в оперативной памяти ЭВМ, в которой создана и поддерживается ИПС. Снятие ЗКА_n-1 выполняется после установки ЗКА_n+1.

Защита документа при доступе к нему из внешней среды включает два уже описанных механизма - идентификация/аутентификация удаленных пользователей и разграничение доступа к документам, ресурсам ПЭВМ и сети.

Защита данных в каналах связи. Традиционно для защиты данных в канале связи применяют канальные шифраторы, и альтернативы этому нет. Нужно помнить о двух вещах - о сертификации и о том, что по каналам передаются не только данные, но и управляющие сигналы.

Защита информационных технологий.. Электронные документы в АС не только хранятся, но и обрабатываются. Компьютер - это не только память, но и вычисления. При обработке документа одни данные исчезают, другие возникают, хотя информация остается той же самой. Числа меняются, а информация - нет, так как сохраняется изоморфизм между множествами двоичных сигналов при "старом" и "новом" форматах. В электронной среде принципиально должна существовать некая новая форма существования информации, соответствующая процессу преобразования данных - информация не может исчезнуть между "входом" и "выходом" процесса. Но процесс динамичен, являющейся изменением чего-либо во времени, тогда как информация должна быть постоянной. Чтобы избежать противоречия, необходимо, чтобы динамичный процесс имел бы некую фиксированную во времени, статичную, характеристику - фиксированность описания процесса во времени, в какой бы точке пространства (компьютере) и момент времени этот процесс ни наблюдался. Действительно, конкретный процесс обработки информации в ЭВМ определяется фиксированным алгоритмом, процедурой, протоколом. Допустив, что в электронной среде существуют две формы отображения информации: статическая - в форме объекта, динамическая - в форме процесса, мы тем самым допустили два кардинально отличных класса элементов электронной среды. Коль скоро первый класс определен как числа, то второй класс логично назвать функциями (преобразованиями, отображениями). На "вход" функции поступают числа-данные, на "выходе" появляются новые числа-данные. В любой момент времени и в любой точке пространства функция остается функцией. Функция (или родственные понятия - отображение, алгоритм, преобразование), - неизменны.

В пассивной форме (хранение) ЭлД есть фиксированный объект в аналоговой среде (устройство памяти), в активизированной форме ЭлД существует как фиксированный процесс в электронной среде. Соответственно, выделим две составляющих защиты: защита данных (чисел) - собственно ЭлД как физического объекта; защита процессов (функций), реализующих активизированную форму существования ЭлД. Информация-данные определяется как множество с заданным на нем отношением порядка. Защита функций, т.е. алгоритмов, означает защиту вычислительной среды, инвариантной к той информации, тем данным, которые в ней обрабатываются. Электронная технология также есть упорядоченное множество (операций, процессов), и потому формально может быть признана как информация - технология. Выявляется внутреннее единство составляющих защиты - это защита информации - данных и защита информации - технологии.

Таким образом, статус документа предполагает не только идентичность (соответствие эталону) собственно документа, но и соответствие эталонным требованиям примененных информационных технологий.

Несмотря на известное сходство, механизмы защиты собственно ЭлД как объекта (число, данные) и защита ЭлД как процесса (функция, вычислительная среда) радикально отличаются. При защите информации - технологии, в отличие от защиты ЭлД, достоверно известны характеристики требуемой технологии - эталона, но имеются ограниченные сведения о выполнении этих требований фактически использованной технологией - о результате. Единственным объектом, который может нести информацию о фактической технологии (как последовательности операций), является собственно ЭлД, а точнее - входящие в него атрибуты. Как и ранее, одним из видов этих атрибутов могут быть ЗКА. Эквивалентность технологий может быть установлена тем точнее, чем большее количество функциональных операций привязывается к сообщению через ЗКА. Механизмы при этом не отличаются от применяемых при защите ЭлД. Более того - можно считать, что наличие конкретного ЗКА характеризует наличие в технологическом процессе соответствующей операции, а значение ЗКА - характеризует целостность сообщения на данном этапе технологического процесса.

Разграничение доступа к потокам данных. Для целей разграничения доступа к потокам данных используются, как правило, маршрутизаторы с функцией " VPN - построителя". Надежно эта функция может быть реализована только с помощью криптографических средств. Как всегда в таких случаях - особое внимание должно уделяться ключевой системе и надежности хранения ключей. Естественно, что требования к политике доступа при разграничении потоков совершенно отличаются от таковых при разграничении доступа к файлам и каталогам. Здесь возможен только простейший механизм - доступ разрешен или запрещен.

Выполнение перечисленных требований обеспечивает достаточный уровень защищенности электронных документов как важнейшего вида сообщений, обрабатываемых в информационных системах.

АНАЛИЗ И ОЦЕНКА ПРОЧНОСТИ ЗАЩИТЫ ИНФОРМАЦИОННЫХ ПРОЦЕССОВ В КОМПЬЮТЕРНЫХ СИСТЕМАХ