2014-02-13
409
Проверку целостности и аутентичности образов можно осуществлять двумя способами:
¾ вычисление контрольной суммы;
¾ вычисление электронной цифровой подписи, используя асимметричные алгоритмы шифрования.
У первого способа, в отличие от второго, есть существенный недостаток связанный с администрированием всей терминальной системы: при каком-либо изменении загрузочного образа, меняется значение контрольной суммы, которое нужно донести до терминальных клиентов, чтобы СЗИ могли распознать измененный образ. В связи с этим, предпочитают использовать ЭЦП для проверки целостности и аутентичности полученного образа.
В свою очередь, системы защиты информации делятся на программно-аппаратные и чисто программные. Чисто программные СЗИ могут быть подвержены модификации извне, что является серьёзной уязвимостью. Из-за данной уязвимости чисто программные средства не способны конкурировать с программно-аппаратными средствами защиты информации, которые имеют встроенную криптографическую подсистему и надежно защищённую память как для хранения ключей необходимых при проверке ЭЦП, так и для хранения информации о контролируемом оборудовании.
В отличие от СЗИ терминального сервера и сервера, с которого происходит загрузка образов операционных систем, СЗИ терминальных клиентов желательно должны быть мобильными и независимыми от оборудования, на котором происходит защищенная загрузка. Эти свойства делают администрирование систем защиты удобнее, так как в данном случае нет привязки СЗИ к конкретным терминалам, поэтому оборудование терминальных клиентов может быть санкционировано изменено или заменено.
Таким образом, мобильные программно-аппаратные СЗИ, использующие ЭЦП для проверки загружаемых по сети образов, являются рациональным решением для защиты загрузки терминальных клиентов.
Защита от РПВ путем создания изолированной программной среды
Заметим, что при пустом множестве активизирующих событий для закладки потенциальные деструктивные действия с ее стороны невозможны.
Предположим, что в ПЗУ и ОС отсутствуют закладки – проверка этого проведена по некоторой методике. Пусть также пользователь работает только с программами, процесс написания и отладки которых полностью контролируется, т.е. в них также исключено наличие закладок. Такие программы называются проверенными. Потенциально злоумышленными действиями в этом случае могут быть следующие:
¾ проверенные программы будут использованы на другой ПЭВМ с другим BIOS и в этих условиях могут использоваться некорректно;
¾ проверенные программы будут использованы в аналогичной, но не проверенной операционной среде, в которой они также могут использоваться некорректно;
¾ проверенные программы используются на проверенной ПЭВМ и в проверенной операционной среде, но запускаются еще и непроверенные программы, потенциально несущие в себе возможности НСД.
Следовательно, в этих условиях деструктивные действия закладок гарантированно невозможны, если выполняются следующие условия:
1. На ПЭВМ c проверенным BIOS установлена проверенная операционная среда.
2. Достоверно установлена неизменность ОС и BIOS для данного сеанса работы.
3. Кроме проверенных программ в данной программно-аппаратной среде не запускалось и не запускается никаких иных программ, проверенные программы перед запуском контролируются на целостность.
4. Исключен запуск проверенных программ в какой-либо иной ситуации, т.е. вне проверенной среды.
Условия 1 - 4 выполняются в любой момент времени для всех пользователей, аутентифицированных защитным механизмом.
При выполнении перечисленных выше условий программная среда называется изолированной (ИПС – изолированная программная среда).
Основными элементами поддержания ИПС являются контроль целостности и активности процессов.
Функционирование программ в рамках ИПС существенно ослабляет требования к базовому ПО операционной среды. ИПС контролирует активизацию процессов через операционную среду, контролирует целостность исполняемых модулей перед их запуском и разрешает инициирование процесса только при одновременном выполнении двух условий - принадлежности к разрешенным программам и неизменности программ. В таком случае, для предотвращения угроз, связанных с внедрением в операционную среду скрытых недекларированных возможностей, от базового ПО требуется только:
1. невозможность запуска программ помимо контролируемых ИПС событий;
2. отсутствие в базовом ПО возможностей влиять на среду функционирования уже запущенных программ (фактически это требование невозможности редактирования и использования оперативной памяти другого процесса).
Создание и поддержка ИПС возможна только с помощью специализированных аппаратных средств, целостность которых обеспечивается технологией производства и периодическими проверками. Одним из программно-аппаратных устройств поддержки изолированной программной среды является программно-аппаратный комплекс «АККОРД» производства ОКБ «САПР».
