ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2019
Просмотров: 12410
Скачиваний: 24
406
Запрет загрузки ОС с внешних носителей (магнитных, оптических и
магнитно
-
оптических дисков) возможен программным и аппаратным
способами путем блокировки доступа к устройствам чтения при запуске
компьютера. После успешной загрузки ОС доступ восстанавливается с
помощью специальной программы, входящей в состав электронного замка.
Контроль целостности программной среды компьютера заключается в
проверке изменения файлов и секторов жесткого диска. Для этого
вычисляются некоторые текущие контрольные значения проверяемых
объектов и сравниваются с заранее рассчитанными эталонными.
Электронные
замки
устанавливаются
в
компьютеры,
функционирующие под управлением операционных систем MS
-DOS,
Windows, UNIX FreeBSD.
Электронный замок “Соболь
-
PCI” сертифицирован ФАПСИ и
Гостехкомиссией при Президенте РФ, изделие “Соболь 1.0”
-
ФАПСИ России.
Замки “Соболь
-
PCI” и “Соболь 1.0” в комплекте с двумя
идентификаторами iButton DS1992, внешним считывателем Touch Probe,
двумя интерфейсными кабелями для аппаратной блокировки внешних
носителей стоят соответственно 230 и 190 долл.
Особое
конструкторское
бюро
систем
автоматизированного
проектирования (www.okbsapr.ru) и фирма “ИнфоКрипт” совместно
разработали
программно
-
аппаратный
комплекс
средств
защиты
информации от НСД “Аккорд
-
АМДЗ”, который реализуется на базе
аппаратных модулей доверенной загрузки
-
контроллеров “Аккорд
-
5” (для
компьютеров с системной шиной стандарта PCI), “Аккорд
-
4.5” (для стандарта
ISA) и их модификаций.
Термином “доверенная загрузка” разработчики замка определяют
случай,
когда
операционная
система
загружается
только
после
идентификации и аутентификации пользователя, а также проверки
целостности технических и программных средств компьютера. Контроллеры
“Аккорд
-
5” (рис. 10) и “Аккорд 4.5” обеспечивают режим доверенной
загрузки для операционных систем MS
-DOS, Windows, OS/2, UNIX FreeBSD.
Рис. 10. Контроллер "Аккорд 5"
407
Резидентное
ПО
замков
(средства
администрирования,
идентификации и аутентификации, поддержки контроля целостности,
журнал
регистрации)
размещается
в
энергонезависимой
памяти
контроллеров. Электронные замки комплектуются неконтролируемыми
аппаратными датчиками случайных чисел.
Для идентификации пользователя применяется УВИП на базе iButton.
Аутентификация осуществляется по паролю, вводимому пользователем с
клавиатуры. В электронном замке поддерживается работа с паролями
длиной до 12 символов.
Помимо традиционного контроля целостности программной среды
электронные замки “Аккорд
-
АМДЗ” обеспечивают проверку целостности
технических средств защищаемого компьютера, что немаловажно при
отсутствии контроля над физической целостностью корпуса компьютера.
Контроллеры могут функционировать вместе со специальным
программным обеспечением, реализующим алгоритмы разграничения
доступа пользователей и размещаемым на жестком диске.
Электронные замки “Аккорд
-
АМДЗ” на базе контроллеров “Аккорд
-
5”
и “Аккорд
-
4.5” сертифицированы ФАПСИ России и Гостехкомиссией при
Президенте РФ.
Цена этих контроллеров в комплекте с двумя идентификаторами
iButton DS1992, внешним считывателем с фиксатором DS
-
13, двумя
устройствами блокировки физических каналов составляет 309 и 247 долл.
соответственно.
Концерн
“Системпром”
(www.vivos.ru)
выпускает
аппаратно
-
программные средства криптографической защиты информации М
-
502 и
“Щит” (рис. 11), относящиеся к электронным замкам класса КЭЗ
-
1.99 в
соответствии с требованиями ФАПСИ. Различаются они тем, что М
-502
можно использовать при обработке данных, составляющих государственную
тайну, а “Щит”
-
при обработке данных, не составляющих государственной
тайны.
Рис. 11. Электронный замок "Щит"
408
Оба изделия обладают стандартным набором функций электронных
замков (идентификация и аутентификация, запрет загрузки операционной
системы с внешних устройств, контроль целостности файлов и загрузочных
секторов жесткого диска, регистрация событий, связанных с безопасностью).
Платы замков устанавливаются в разъем
системной шины ISA.
Идентификация осуществляется с помощью электронной карты М64 с
открытой памятью на 64 кбит, аутентификация
-
посредством ввода пароля с
клавиатуры компьютера.
Электронные замки М
-
502 и “Щит” сертифицированы ФАПСИ. Их цена
составляет $2
50.
Фирма “Анкад” (www.ancud.ru) известна своими аппаратными
шифраторами серии “Криптон”, выпускаемыми в виде плат расширения
системных шин PCI или ISA. Желая защитить компьютеры от НСД,
разработчики
создали
устройства,
позволяющие
дополнительно
реализовать часть функций электронных замков: идентификацию и
аутентификацию пользователей, контроль целостности программной среды
компьютера. Эти изделия (“Криптон
-
замок”, “Криптон
-
4К/16 замок”
-
для
разъема ISA; “Криптон
-
4/PCI”, “Криптон
-
8/PCI”
-
для разъема PCI) получили
общее название
-
устройства криптографической защиты данных и
ограничения доступа к компьютеру.
Идентификация
пользователей
осуществляется
с
помощью
электронных карт с открытой либо защищенной памятью, смарт
-
карт,
идентификаторов iButton DS1993 и DS1994. Для чтения содержимого карт
используются считыватель SR
-
210 или адаптер SA
-
101i, которые
устанавливаются в свободный 3,5”
-
слот.
Контроль целостности ОС и системных областей памяти, а также
другого программного обеспечения, размещенного на жестком диске,
производится согласно списку, хранящемуся в памяти замка. Список
контролируемых файлов хранится вместе с контрольными суммами или хэш
-
значениями, рассчитанными для каждого файла по алгоритму ГОСТ Р 34.11
-
94. Если хэш
-
значение хотя бы одного из файлов
списка не совпадает с
эталонным, это расценивается как нарушение целостности операционной
системы и загрузка компьютера блокируется.
Устройства фирмы “Анкад” работают под управлением операционных
систем MS
-
DOS, Windows 9x NT 4.0. Все события, связанные с их
эксплуатацией, фиксируются в журнале регистрации.
Изделие “Криптон
-
замок” (и его модификация “Криптон
-
4К/16 замок”)
сертифицировано Гостехкомиссией при Президенте РФ.
В комплект поставки устройств криптографической защиты данных и
ограничения доступа к компьютеру входят плата, установочная дискета и
409
две дискеты с драйверами и библиотеками функций для операционных
систем Windows 9x/NT 4.0. Цена комплекта “Криптон
-
замок” составляет
$149, “Криптон
-
4/ PCI”
-
$390, “Криптон
-
8/PCI”
-
$799. Устройства ввода
идентификационных
признаков
и
соответствующее
программное
обеспечение в комплект поставки не входят и приобретаются отдельно.
4. Биометрическая аутентификация. Строгая аутентификация.
4.1.
Биометрическая
идентификация
и
аутентификация
пользователей
Процедуры идентификации и аутентификации пользователя могут
базироваться не только на секретной информации, которой обладает
пользователь (пароль, секретный ключ, персональный идентификатор и т.п.).
В последнее время все большее распространение получает
биометрическая идентификация и аутентификация, позволяющая уверенно
идентифицировать
потенциального
пользователя
путем
измерения
физиологических параметров и характеристик человека, особенностей его
поведения.
Основные достоинства биометрических методов идентификации и
аутентификaции по сравнению с традиционными:
высокая степень достоверности идентификации по биометрическим
признакам из-за их уникальности;
неотделимость
биометрических
признаков
от
дееспособной
личности;
трудность фальсификации биометрических признаков.
В качестве биометрических признаков, которые могут быть
использованы при идентификации потенциального пользователя, можно
выделить следующие:
узор радужной оболочки и сетчатки глаз;
отпечатки пальцев;
геометрическая форма руки;
форма и размеры лица;
особенности голоса;
410
биомеханические характеристики рукописной подписи;
биомеханические характеристики «клавиатурного почерка».
При регистрации пользователь должен продемонстрировать один или
несколько раз свои характерные биометрические признаки. Эти признаки
(известные как подлинные) регистрируются системой в качестве
контрольного «образа» законного пользователя. Такой «образ» хранится в
электронной форме и используется для проверки идентичности каждого, кто
выдает себя за соответствующего законного пользователя. В зависимости от
совпадения или несовпадения совокупности предъявленных признаков с
зарегистрированными в контрольном «образе» их предъявивший признается
легальным пользователем (при совпадении) или нелегальным (при
несовпадении).
Системы идентификации по узору радужной оболочки и сетчатки глаз
могут быть разделены на два класса:
использующие рисунок радужной оболочки глаза;
использующие рисунок кровеносных сосудов сетчатки глаза.
Поскольку вероятность повторения данных параметров равна 10-78,
подобные
системы
являются
наиболее
надежными
среди
всех
биометрических систем. Такие средства идентификации применяются там,
где требуется высокий уровень безопасности.
Системы идентификации по отпечаткам пальцев - самые популярные.
Одной из основных причин их широкого распространения послужило
наличие больших банков данных по отпечаткам пальцев. Основными
пользователями подобных систем во всем мире являются полиция,
различные государственные и некоторые банковские организации. Системы
идентификации по геометрической форме руки используют сканеры формы
руки, обычно устанавливаемые на стенах.
Системы идентификации по лицу и голосу наиболее доступны из-за их
дешевизны, поскольку большая часть современных компьютеров оснащена
видео- и аудиосредствами. Системы данного класса широко применяются
при удаленной идентификации субъекта доступа в телекоммуникационных
сетях.
Системы идентификации личностей по динамике рукописной подписи
учитывают интенсивность каждого усилия подписывающего, частотные
характеристики написания каждого элемента подписи и ее начертание в
целом.
Cистемы идентификации по биомеханическим характеристикам
«клавиатурного почерка» основываются на том, что моменты нажатия и
отпускания клавиш при наборе текста на клавиатуре существенно
отличаются у разных пользователей. Динамический ритм набора