В настоящее время вопросы обеспечения безопасности при обработке данных становятся не менее актуальными, чем, скажем, десять – двадцать лет назад вопросы производительности средств вычислительной техники или рационального использования ресурсов в вычислительных процессах. Причём если совсем недавно под безопасностью понимали в основном отсутствие ошибок в данных вследствие сбоев в работе или помех, то сейчас безопасность – это, прежде всего, невозможность осуществить несанкционированный доступ (НСД) к информации.
Одновременно изменился и характер угроз: раньше основной целью злоумышленников являлась информация, обрабатываемая в крупных вычислительных центрах. Сейчас же объектами атак становятся в основном персональные данные пользователей: пароли, коды доступа к платежным системам, ресурсы их персональных ЭВМ. То есть угрозы стали более универсальными, ориентированными сразу на миллионы потенциальных жертв. В то же время современные ЭВМ сохранили основные архитектурные особенности первых компьютеров, которые не предназначались для защиты от НСД хранящейся в них информации.
Недостатки унаследованной от ЭВМ прошлого архитектуры, основным из которых является невозможность контролировать исполняемый код, пытаются нивелировать не путём кардинального пересмотра функциональности всех компонентов ЭВМ, а введением в её состав дополнительных систем, которые бы брали на себя функции обеспечения безопасности при обработке данных. Разработка подобных систем, интеграция их в существующие ЭВМ, обеспечение их согласованной работы с другими компонентами компьютеров является актуальной задачей, решение которой способствует повышению безопасности обработки данных средствами ЭВМ
Целью настоящей работы является выработка на основе накопленного опыта использования ЭВМ, программно–аппаратных систем защиты информации (СЗИ), на основе анализа существующих механизмов осуществления НСД, выработать общие подходы и принципы, на которых должна базироваться разработка новых систем защиты персональных компьютеров, обеспечивающих должный уровень защищённости, но при этом создающие минимальные неудобства в работе.
Прежде чем приступить в выработке мер по противодействию несанкционированному доступу к данным в ЭВМ, следует обозначить круг объектов и процессов (то есть распределённого во времени взаимодействия субъектов и объектов), безопасность которых необходимо обеспечить.
Из объектов защиты можно выделить следующие: файловая система, системный диск, каталог с установленными программами, реестр операционной системы, файл подкачки и база данных системы защиты информации [1]. Без обеспечения безопасности вышеперечисленных объектов вопрос о разграничении доступа к файлам пользователя становится неактуальным.
Файловая таблица с главной загрузочной записью (Master Boot Record - MBR) является наиболее критичным объектом как с точки зрения защиты файлов от несанкционированной записи, так и защиты данных от прочтения с похищенного носителя. Искажённая MBR превратит логически организованные данные на диске в набор секторов со случайной информацией. Восстановить данные после этого путём восстановления логических связей между элементами MFT (Master File Table - эталонная файловая таблица) возможно, но любой метод восстановления не гарантирует стопроцентного восстановления всех потерянных данных [2]. К тому же MBR является первым читаемым блоком данных и в нём записывается исполнимый код, обеспечивающий загрузку операционной системы. Поэтому именно он становится потенциальной мишенью для одной из наиболее опасных категорий компьютерных вирусов – загрузочных вирусов [3]. Невозможность же несанкционированного прочтения MBR существенно затрудняет несанкционированное прочтение данных злоумышленником. Одним из наиболее эффективных методов предотвращения несанкционированного прочтения или изменения MBR является её удаление с жёсткого диска и размещение на съёмном носителе. Естественно, подобная операция требует работы специализированного программного обеспечения, на которое ложатся функции загрузки со съёмного носителя, размещение на диске в нулевом секторе и секторах с копией MBR содержимого главной загрузочной записи, предварительно сохранённого на внешнем носителе, и продолжение загрузки в штатном режиме. После завершения работы это программное обеспечение должно (опять же без участия операционной системы) скопировать содержимое MBR на носитель, записав на её место случайные последовательности.
Возможен альтернативный способ реализации защиты главной загрузочной записи. Если СЗИ сконфигурирована так, что её аппаратная компонента является фильтром данных, передаваемых по интерфейсному кабелю в контроллер жёсткого диска [4], то существует возможность хранить содержимое MBR непосредственно в адресном пространстве внутренней памяти такого аппаратного средства. Все запросы на обращение к MBR будут переадресовываться устройством в свою память и удовлетворяться в том случае, если у пользователя СЗИ будет соответствующие полномочия. В результате MBR вообще не будет храниться на диске, даже во время работы. Данный способ защиты по сравнению с первым выглядит более предпочтительным с точки зрения надёжности и стойкости защиты, однако более сложен в реализации и способен вызывать аппаратные конфликты и ошибки в работе ЭВМ.
Переходя к защите файлов, каталогов и компонентов операционной системы, можно сказать, что с точки зрения администратора безопасности, чем меньше объектов защиты, тем проще реализовывать выбранную политику безопасности, тем меньше вероятность ошибки при администрировании. С этой точки зрения оптимальным было бы размещение объектов с одинаковыми правилами доступа на одном разделе и определение для каждого из полученных разделов своих правил доступа. Однако, если данные различных пользователей можно разместить на разных дисках (что позволяет существенно снизить риск НСД пользователей к данным друг друга – современные СЗИ позволяют даже сделать разделы «невидимыми» для пользователей), то в любой компьютерной системе присутствуют объекты общие для всех. Это файлы операционной системы, системные программы, файл подкачки, компоненты реестра. Опыт эксплуатации компьютеров с установленными на них дополнительными программно–аппаратными СЗИ, обеспечивающими независимые от операционной системы механизмы защиты, показывает, что при размещении подобных объектов на едином носителе, запрет записи на него приводит в многочисленным ошибками и полностью делает невозможной работу с ЭВМ [5]. Поэтому целесообразно вынести вышеозначенные объекты их на отдельный раздел с возможностью записи на него. Данные же и программы различных пользователей размещать на отдельных разделах, а права доступа к ним определять комбинацией масок прав доступа к томам и атрибутов доступа отдельных объектов.
Все вышеизложенные угрозы и меры для их предотвращения представлены в таблице 1
Таблица 1 – Основные объекты защиты в компьютерных системах
|
Объект защиты |
Последствия НСД |
Предлагаемы методы защиты |
|
Главная загрузочная запись |
Невозможность прочтения данных с жёсткого диска, повышение вероятности прочтения данных с украденного диска |
Хранение содержимого главной загрузочной записи на отдельном носителе или во внутренней памяти аппаратной компоненты СЗИ |
|
Компоненты операционной системы |
Утрата операционной системой работоспособности |
Размещение операционной системы на отдельном разделе с детальным разграничением доступа к отдельным её компонентам |
|
Файл подкачки |
Возможность прочтения содержимого оперативной памяти в случае аварийного завершения работы |
Размещение файла подкачки на отдельном разделе жёсткого диска, защита описателей данного раздела |
|
Программы пользователей |
Возможность неправомочного запуска программ |
Размещение программ разных пользователей на разных разделах, назначение унифицированных атрибутов безопасности в рамках раздела или каталога программ пользователя |
Если говорить о защите информационных процессов, протекающих в компьютерной системе, то критичными с точки зрения безопасности являются два из них: процесс идентификации пользователей и процесс настройки параметров безопасности СЗИ. В идеальном случае идентификация должна происходить до загрузки ОС и всех программ и выполняться независимо от идентификации пользователя механизмами ОС. Преимущественным является выполнение аппаратной идентификации пользователя и его аутентификация с помощью специализированных программных средств, целостность кода которых так же необходимо контролировать. Угроза процессу идентификации – аутентификации могут привести как к возможности неправомочного получения доступа как к данным и ЭВМ, так и к возможности несанкционированного изменения настроечных параметров СЗИ, влияющих на её работоспособность и функциональность [6]. Выполнение идентификации и аутентификации независимыми от ОС средствами создаёт дополнительный барьер на пути проникновения злоумышленника в систему, а так же делает эти процессы независимыми от возможных уязвимостей в самой ОС.
Настройка параметров безопасности является одним из самых критичных процессов, так как именно она сопровождается возможностью модификации атрибутов безопасности в базах данных СЗИ. В обычном же режиме базы данных могут быть защищены от редактирования за счёт структурных особенностей самой системы. Поэтому настройка должна выполняться по возможности в отсутствии посторонних программ. В случае рассматриваемой нами независимой программно–аппаратной СЗИ, настройку параметров безопасности, под которой в основном понимается модификация атрибутов, добавление или удаление пользователей, расчет эталонных контрольных сумм объектов, следует производить до загрузки операционной системы, по аналогии с тем, как это сделано в АМДЗ «Аккорд» [5].
Если же модификация производится в штатном режиме работы ЭВМ, при работающих системных и пользовательских программах, то необходимы методы и средства для обеспечения защищённой и верифицированной передачи данных между программным обеспечением, с помощью которого пользователем выдаются инструкции на модификацию атрибутов безопасности, и аппаратным средством, хранящим и обрабатывающим данные атрибуты. То есть, протокол обмена данными между программным обеспечением СЗИ и аппаратным средством должен исключать возможность исполнения последним команд, выданных не данным программным обеспечением, а посторонними программами. В свою очередь, все исполненные аппаратными компонентами СЗИ команды должны быть проверены программными модулями [7]. Кроме того, непременным условием внесения изменений в базы данных СЗИ является подтверждение независимой от операционной системы идентификацией пользователя.
По аналогии с объектами, сведём все сведения о защите процессов в таблицу 2
Таблица 2 – Критические информационные процессы в компьютерных системах
|
Процесс |
Последствия нарушений процесса |
Предлагаемы методы защиты |
|
Идентификация пользователя |
Возможность осуществления неправомочного обращения к данным от имени другого пользователя |
Независимая от программной части идентификация субъекта на этапе начальной загрузки системы |
|
Настройка параметров безопасности СЗИ |
Утрата СЗИ своей функциональности, неправильная реализация политики безопасности |
Выполнение настройки СЗИ до момента загрузки операционной системы, контроль данных, передаваемых между компонентами СЗИ, идентификация пользователя |
Литература:
1. Таненбаум, Э. Операционные системы: разработка и реализация [Текст] / Э. Таненбаум, А. Вудхал – СПб. : Издательский дом «Питер», 2006. – 576 с.: ил.
5. Конявский, В.А. Управление защитой информации на базе СЗИ НСД «Аккорд» / В.А. Конявский — М.: Радио и связь, 1999. — 325 c., ил.
