Методы, средства и процедуры обеспечения доверенного процесса начальной загрузки ЭВМ | Статья в журнале «Молодой ученый»

Автор:

Рубрика: Информатика

Опубликовано в Молодой учёный №9 (32) сентябрь 2011 г.

Статья просмотрена: 285 раз

Библиографическое описание:

Таныгин М. О. Методы, средства и процедуры обеспечения доверенного процесса начальной загрузки ЭВМ // Молодой ученый. — 2011. — №9. — С. 77-79. — URL https://moluch.ru/archive/32/3638/ (дата обращения: 20.09.2018).

Идентификация и аутентификации пользователя – важнейший процесс в системе обеспечения информационной безопасности. Ошибки при проведении аутентификации сказываются критическим образом на работоспособности всей ЭВМ в целом и её подсистемы разграничения доступа в частности. Как указывалось в [], идентификация и аутентификация пользователей в системах защиты информации (СЗИ) должны быть отделены от идентификации пользователя механизмами операционной системы (ОС). Это обеспечивает дополнительный барьер на пути проникновения злоумышленника в систему, а так же делает безопасным сам процесс, ограждая его возможных уязвимостей в самой ОС.

Аппаратная идентификация является наиболее надёжным механизмом опознавания пользователя. Она предполагает наличие у пользователя специального устройства ввода идентификационных признаков (УВИП), на котором записан его персональный идентификатор. При начальной загрузке ЭВМ данной УВИП предъявляется (подносится к считывателю, вставляется в интерфейсный разъём), и персональный идентификатор считывается СЗИ.

В настоящей статье мы рассматриваем особенности идентификации и аутентификации в программно–аппаратных СЗИ, в которых функции проверки правомочности доступа, идентификации пользователя и хранения атрибутов безопасности ложатся на аппаратную часть – устройство защиты информации (УЗИ), а программные модули лишь обеспечивают взаимодействие системы с ОС и поддерживают пользовательский интерфейс. В подобных системах возможны два способа проведения аппаратной идентификации: с использованием изолированных от ЭВМ интерфейсов для обмена данными между УЗИ и УВИП и с использованием стандартных интерфейсов ЭВМ.

Первый из данных способов подразумевает обмен данным между УВИП и компьютером через какую-либо физическую среду и специализированное устройство сопряжение, обеспечивающее преобразование сигналов от УВИП в форму, обрабатываемую программным обеспечением компьютера. Преимущества такого подхода очевидны: данные от УВИП (идентификаторы пользователя, ключи шифрования, контрольные суммы данных, коды синхронизации) могут быть переданы без угрозы их компрометации возможными деструктивными программами, работающими в системе. С дрогой стороны, подобные данные могут быть перехвачены с использованием технических средств, воспринимающих побочные электромагнитные излучения и наводки [].

Второй же подход более уязвим для угроз, связанных с деструктивными программами и программными закладками, но устойчив к возможным утечкам по техническим каналам, так как обнаружить передачу каких-то конкретных данных в электромагнитном шуме от компьютера очень сложно.

В рамках настоящей статьи мы рассмотрим методы и средства обеспечения доверенной загрузки в системах, использующих идентификаторы, подключаемые к стандартным интерфейсам ЭВМ, то есть так, как показано на рисунке 1.

Рис. 1 – Идентификация с помощью устройства ввода идентификационных признаков, подключаемого к стандартным интерфейсам компьютера

Любая доверенная загрузка должна происходит путём выполнения основных процедур безопасности и настройки СЗИ до загрузки операционной системы. Реализуется это путём расширения BIOS (ПО BIOS) во время процедуры POST []. Обычно, для устройств расширения этот код записан в ПЗУ, отображаемом на часть верхней памяти ЭВМ. То есть, вместо исполнения кода ПО BIOS происходит переадресация на код ПО, записанный в энергонезависимой памяти устройства расширения При этом устройством расширения может быть как УЗИ, так и УВИП. Исполняя загрузочный код СЗИ, ЭВМ, и, пожалуй, наиболее важное – передачу идентификатора пользователя из УВИП в УЗИ и, при необходимости, ввод пользователем пароля. После этого (при условии успешности идентификации, управление передаётся стандартному загрузчику ЭВМ)

Остановимся подробнее на тех операциях, которые необходимо выполнять загрузочному коду СЗИ.

Первое – это контроль неизменности аппаратной конфигурации, целостность отдельных областей жёсткого диска (например, областей с программным кодом программных компонентов СЗИ), целостность BIOS.

Второе – передача считанного с УВИП идентификационного признака (последовательности чисел, характеризующей каждого пользователя) в УЗИ. Передача идентификатора происходит, когда в ЭВМ не загружена ни одна программа. Тем самым обеспечивается изолированность канала передачи идентификатора от остальных программ. Возможны исключения, когда в системе присутствуют загрузочные вирусы или вирусы, искажающие BIOS [], но для этого предусмотрен контроль целостности компонентов ЭВМ

Третье – обеспечение процедур настройки параметров безопасности. Под настройкой параметров безопасности может пониматься широкий круг процедур. Это и передача в УЗИ атрибутов доступа аутентифицированного пользователя, и передача отдельных участков кода программного обеспечения и особо секретных данных с УВИП на жёсткий магнитный диск, и определение режимов работы пользователя (администратор, пользователь, гость) и .т.д.

Четвёртое – обмен сеансовыми секретными параметрами между всем компонентами СЗИ: УВИП, УЗИ, программным обеспечением. Иными словами, устанавливается доверительный канал обмена данными между программными компонентами СЗИ и её аппаратной частью для исключения возможности несанкционированного вмешательства в работу системы защиты. С помощью этих секретных параметров, неизвестных посторонним программным средствам источник командных слов осуществляет преобразования над пакетами передаваемых данных, а приёмник по этому пакету опознаёт их как выданные именно этим легальным источником, а никакими другими. Так же с их помощью можно осуществляться шифрование пакетов, что обеспечит невозможность контекстного анализа данных, передаваемых между компонентами СЗИ В системах, где подобный параметр является сеансовым, то есть действует некоторое время, а затем генерируется вновь, встаёт проблема, как из аппаратной части передать в программное обеспечение (или наоборот) этот ключевой параметр, чтобы он не был перехвачен действующими в системе программными закладками. Варианты решения данной проблемы в различных программно–аппаратных системах могут быть разнообразны. Нас же интересуют системы защиты данных на постоянных носителях, исполненные в виде интерфейсных экранов [, ], фильтрующих команды на доступ к данным в соответствии с атрибутами доступа и правилами политики безопасности, хранящимися в их памяти. Для таких систем наиболее удачным представляется решение, связанное с непосредственной записью сгенерированного УЗИ ключевого параметра на жёсткий диск компьютера, в области, где записан код программного обеспечения. При перезагрузке ПО эти новые параметр окажутся в памяти программы уже как константы и будут использованы им для обеспечения безопасной передачи данных. Конечно, они могут быть выявлены путём анализа содержимого исполняемого кода с помощью дизассемблеров и отладчиков или выявлены с помощью контроля изменений вносимых в файлы. Однако, с помощью элементарных методов защиты от отладки, эти уязвимости можно если не устранить полностью, то существенно снизить вероятность их использования злоумышленником.

Таким образом, в настоящей работе рассмотрены основные проблемы, возникающие при проведении аппаратной идентификации пользователя специализированными системами защита информации обозначены те необходимые процедуры безопасности, выполнение которых обеспечивало бы снижение вероятности нарушения работы систем защиты информации и получения несанкционированного доступа к данным ЭВМ.

Работа выполнена при поддержке гранта Президента РФ для государственной поддержки молодых российских ученых - кандидатов наук (Конкурс - МК-2010). Шифр МК-3642.2010


Литература:

  1. Таныгин, М.О. Анализ угроз и выработка практических рекомендаций по построению программно–аппаратных средств защиты информации на постоянных носителях [Текст] // Молодой ученый. – 2010 – №8 – С. 179 – 181.

  2. Таныгин, М.О., Типикин А.П. Архитектура системы аппаратного ограничения доступа к информации на жестком диске ЭВМ [Текст] // Телекоммуникации. – 2006. – №3. – С.44 – 46.

  3. Торокин, А.А. Основы инженерно-технической защиты информации [Текст] – М.: "Ось-89", 1998. – 336 с.

  4. Конявский, В.А. Управление защитой информации на базе СЗИ НСД «АККОРД» [Текст] / В.А.Конявский– М.: Радио и связь, 1999 – 325 с.: ил.

  5. Фейнштайн, К. Защита ПК от спама, вирусов, всплывающих окон и шпионских программ [Текст] / Кен Фейнштайн – М.: НТ Пресс, 2005. – 240 с. : ил.

  6. Таныгин, М.О Методы аутентификации устройств защиты информации и управляющих программных средств [Текст] / М.О Таныгин, Типикин А.П. // Телекоммуникации. – 2005. – №9. – С.37 – 42.

Основные термины (генерируются автоматически): BIOS, программное обеспечение, данные, система, аппаратная часть, загрузочный код, аппаратная идентификация, ключевой параметр, операционная система, персональный идентификатор.


Похожие статьи

Программно-аппаратные средства защиты автоматизированных...

Программно-аппаратные средства защиты автоматизированных систем от несанкционированного доступа.

– Ненадежность средств идентификации и аутентификации. – Некачественное программное обеспечение.

Принципы организации программно-аппаратной защиты файлов...

В компьютерную систему вводится дополнительное аппаратное средство – устройство

В разъём идентификации вставляется персональный идентификатор легального

Если поступивший код соответствует команде на тот вид доступа, который разрешен атрибутами, то...

Анализ угроз и выработка практических рекомендаций по...

Основные термины (генерируются автоматически): MBR, операционная система, главная загрузочная запись, данные, программное обеспечение, идентификация пользователя, жесткий диск, аппаратное средство, настройка параметров безопасности, файл подкачки.

Исследование особенностей аутентификации пользователей...

Основой программно-технических средств безопасности информации является идентификация и аутентификации.

– обеспечить защиту персональных данных; – защитить электронную почту и взаимодействие с коллегами в системах электронного документооборота

Методы защиты доступа в ERP-системах: идентификация...

Ключевые слова:ERP-система, данные, идентификация, аутентификация, данные, злоумышленник.

3) То, что есть часть его самого: биометрические данные; Можно выделить следующие особенности средств идентификации и аутентификации.

Методика исследования вредоносных программ с использованием...

Ключевые слова: компьютерная безопасность, анализ вредоносных программ, утилита

Даная операционная система, несмотря на то, что уже не поддерживается, отлично подходит для задач динамического анализа вредоносного программного обеспечения.

Использование usb-flash накопителей в качестве электронного...

RohoslogonKey — программное обеспечение доступа к информационным ресурсам, с поддержкой различных аппаратных

Основные термины (генерируются автоматически): электронный ключ, компания, программа, операционная система, ключ, защита информации...

Сравнительный анализ программного обеспечения систем...

С учетом непрерывного развития компонентной базы кластерных вычислительных систем актуальной задачей является модификация программного обеспечения их систем мониторинга при модернизации аппаратного обеспечения кластерных вычислительных систем.

Разработка алгоритмического и программного обеспечения...

Ключевые слова: нейрокомпьютер, управление, распределенные системы, облачные системы, параллелизм.

4. Выбор используемого аппаратного обеспечения: модель нейропроцессора или модель эмулятора.

Обсуждение

Социальные комментарии Cackle

Похожие статьи

Программно-аппаратные средства защиты автоматизированных...

Программно-аппаратные средства защиты автоматизированных систем от несанкционированного доступа.

– Ненадежность средств идентификации и аутентификации. – Некачественное программное обеспечение.

Принципы организации программно-аппаратной защиты файлов...

В компьютерную систему вводится дополнительное аппаратное средство – устройство

В разъём идентификации вставляется персональный идентификатор легального

Если поступивший код соответствует команде на тот вид доступа, который разрешен атрибутами, то...

Анализ угроз и выработка практических рекомендаций по...

Основные термины (генерируются автоматически): MBR, операционная система, главная загрузочная запись, данные, программное обеспечение, идентификация пользователя, жесткий диск, аппаратное средство, настройка параметров безопасности, файл подкачки.

Исследование особенностей аутентификации пользователей...

Основой программно-технических средств безопасности информации является идентификация и аутентификации.

– обеспечить защиту персональных данных; – защитить электронную почту и взаимодействие с коллегами в системах электронного документооборота

Методы защиты доступа в ERP-системах: идентификация...

Ключевые слова:ERP-система, данные, идентификация, аутентификация, данные, злоумышленник.

3) То, что есть часть его самого: биометрические данные; Можно выделить следующие особенности средств идентификации и аутентификации.

Методика исследования вредоносных программ с использованием...

Ключевые слова: компьютерная безопасность, анализ вредоносных программ, утилита

Даная операционная система, несмотря на то, что уже не поддерживается, отлично подходит для задач динамического анализа вредоносного программного обеспечения.

Использование usb-flash накопителей в качестве электронного...

RohoslogonKey — программное обеспечение доступа к информационным ресурсам, с поддержкой различных аппаратных

Основные термины (генерируются автоматически): электронный ключ, компания, программа, операционная система, ключ, защита информации...

Сравнительный анализ программного обеспечения систем...

С учетом непрерывного развития компонентной базы кластерных вычислительных систем актуальной задачей является модификация программного обеспечения их систем мониторинга при модернизации аппаратного обеспечения кластерных вычислительных систем.

Разработка алгоритмического и программного обеспечения...

Ключевые слова: нейрокомпьютер, управление, распределенные системы, облачные системы, параллелизм.

4. Выбор используемого аппаратного обеспечения: модель нейропроцессора или модель эмулятора.

Задать вопрос