Шрифт:
Интервал:
Закладка:
Именно поэтому контролировать неизменность среды программными средствами нельзя, так как программа может быть изменена. Для того чтобы убедиться, что она не была изменена, ее нужно сначала проверить. Если мы ее проверяем другой программой, то сначала нужно проверить ту программу, которой мы проверяем первую, и т. д. Мы попадаем в зону действия известного парадокса «Кто будет сторожить сторожей?». В защите информации попытки контролировать целостность среды программными средствами носят название «синдром Мюнхгаузена» (рис. 70), поскольку они аналогичны попыткам вытащить себя самого из болота за волосы [83, 84, 87].
Рис. 70. Проверка целостности программы средствами программы
Продолжая эту аналогию, легко прийти к правильным выводам: вытащить себя из болота за волосы нельзя, потому что нет точки опоры, а вот если тянуть за ветку дерева, растущего на кочке, – то можно, потому что у дерева есть точка опоры.
Что может означать «точка опоры» применительно к компьютерной системе фоннеймановского типа (а у абсолютного большинства современных настольных компьютеров именно такая архитектура), не различающей команды и данные, системе, в которой одним из основных действий является «запись», то есть системе принципиально модифицируемой?
«Точка опоры» может означать только одно: контролирующие процедуры должны быть вынесены из этой модифицируемой среды в среду немодифицируемую и легко проверяемую, то есть простую, небольшую по объему (тогда легко обеспечить ее верифицируемость). Это означает аппаратное устройство, независимое от компьютера, который оно проверяет.
Независимость контролирующего устройства – обязательное требование: если часть процедур или решений об обработке их результатов вынесены в основной (контролируемый) компьютер, то модифицированной системой могут быть навязаны любые результаты контроля. Эффект от применения аппаратуры сведется к нулю.
И, наконец, главное: независимое аппаратное контролирующее устройство должно стартовать первым, до старта операционной системы, иначе у модифицированной системы будет возможность отключить своего контролера. «Кто первый встал, того и тапки». Стартовать первым должно то, чему мы доверяем.
Такое аппаратное, простое, независимое от компьютера контролирующее устройство, стартующее первым, до загрузки ОС компьютера, называется резидентным компонентом безопасности (РКБ) [83, 84, 87].
Резидентный компонент безопасности – это встроенный в вычислительную систему объект, способный контролировать целостность среды путем сравнения ее параметров с эталонными.
Задача РКБ – сделать так, чтобы на этапе прохождения контрольных процедур защищаемый компьютер не был универсальным, или «машиной Тьюринга», а потом, после их успешного завершения, пользователю снова становились доступны все плюсы универсальности.
Перечислим ключевые характеристики РКБ. Это устройство памяти:
– с очень высоким уровнем защищенности (его внутреннее ПО должно быть немодифицируемым);
– примитивное (иначе обеспечение его собственной защищенности эквивалентно задаче защиты компьютера, который оно защищает);
– встроенное в контролируемую систему и стартующее до старта основной ОС (иначе его функционирование будет необязательным);
– независимое от контролируемой системы (функционирующее автономно);
– перестраиваемое (т. е. предполагающее функционирование в режиме управления, когда возможно изменение политик (только специальным привилегированным пользователем), и в пользовательском режиме, когда изменение политик невозможно и осуществляется только контроль их выполнения).
Концепция РКБ реализована во всех решениях, которые описаны в этом разделе. Каждое из них включает в себя аппаратный компонент (базис) и может включать в себя программную надстройку, неразрывно связанную с этим базисом.
10.1.2.1. Средства доверенной загрузки
Первым решением, с которого началась практическая реализация парадигмы аппаратной защиты в нашей стране и в мире, стало СЗИ НСД «Аккорд-АМДЗ», положившее начало линейке «Аккорд» [83].
«Аккорд-АМДЗ» – это аппаратный модуль доверенной загрузки (РКБ), обеспечивающий тот самый «правильный старт» компьютерной системы, доверенную загрузку операционной системы.
Доверенная загрузка – это загрузка заранее определенной операционной системы с заранее определенных постоянных носителей после успешного завершения специальных процедур проверки заранее определенных условий (проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя).
Понятие доверенной загрузки операционной системы было введено в научный оборот еще в 1999 г. – в рамках парадигмы РКБ и ДВС. А теперь этот термин вошел в понятийный ряд ФСТЭК России как обозначение целевой функции отдельного типа средств защиты информации – средств доверенной загрузки (СДЗ). «Аккорд-АМДЗ» (рис. 71) во всех его вариантах исполнения, согласно терминологии ФСТЭК России, является СДЗ уровня платы расширения.
«Аккорд-АМДЗ» может быть реализован на различных контроллерах, принципиально различающихся только шинными интерфейсами: PCI или PCI–X; PCI-express; Mini PCI-express; Mini PCI-express half card; m.2.
Рис. 71. СЗИ НСД «Аккорд»
Существует также вариант исполнения «Аккорд-АМДЗ» на базе USB-устройства, которое называется «Инаф» (от англ. enough — достаточно). Этот вариант имеет определенные ограничения, которые должны восполняться оргмерами или применением дополнительных механизмов, однако в ряде случаев его вполне достаточно – отсюда и название.
Отдельного упоминания в связи с СДЗ требует вопрос применения криптографии. Эта область защиты информации регулируется ФСБ России, а не ФСТЭК России, из-за чего возникает определенный терминологический разрыв, который, впрочем, устранить довольно несложно, так как анализ даже исключительно открытых нормативных методических документов этих регуляторов [29, 37] позволяет установить однозначные соответствия.
Ключевым понятием, «перекидывающим мостик» от криптографии к защите информации от несанкционированного доступа, является понятие «среда функционирования криптографии» (СФК).
Среда функционирования СКЗИ, СФК – это совокупность одного или нескольких аппаратных средств (АС СФ) и программного обеспечения, совместно с которыми штатно функционирует СКЗИ и которые способны повлиять на выполнение предъявляемых к СКЗИ требований [37].
Все физические лица, имеющие доступ к техническим и программным средствам, совместно с которыми используются криптосредства, могут быть отнесены к следующим категориям:
– категория I – лица, не имеющие права доступа в контролируемую зону;
– категория II – лица, имеющие право постоянного или разового доступа в контролируемую зону.
Все потенциальные нарушители подразделяются:
– на внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны;
– внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны.
Различают шесть основных типов нарушителей: Н1, Н2…, Н6, которые отличаются друг от друга возможностями и квалификацией.
Различают также шесть уровней (КС1, КС2, КСЗ, КВ1, КВ2, КА1) криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, определенных в порядке возрастания количества и жесткости предъявляемых к криптосредствам требований, и соответственно шесть классов криптосредств, обозначаемых аналогично: КС1, КС2, КСЗ, КВ1, КВ2, КА1.
Уровень криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, обеспечиваемой криптосредством, определяется заказчиком этого криптосредства в ТЗ путем отнесения нарушителя, действиям которого должно противостоять криптосредство, к конкретному типу.
При отнесении заказчиком нарушителя к типу H1 криптосредство должно обеспечить криптографическую защиту по уровню КС1, к типу H2 – КС2, к типу H3 – КСЗ, к типу H4 – КВ1, к типу Н5 – КВ2, к типу H6 – КА1[217].
Классы СДЗ для СКЗИПри аргументации путем отсылок к нормативной методической базе очень сложно избежать утраты читателем нити рассуждения, что приводит к ощущению необоснованности вывода. Попробуем избежать этого эффекта, прорисовывая нить следствий из приводимых положений.
1. Для ИС организаций банковской системы Российской Федерации актуальны угрозы, связанные с действиями нарушителя в