Реализация безопасности в MS-DOS

Проблема защиты отечественных компьютерных систем заключается в том, что их программное и аппаратное обеспечение в значительной степени является заимствованным и производится за рубежом. Проведение сертификации и аттестации компонентов этих систем — очень трудоемкий процесс. За время аттестации каждой системы в продажу поступает, как правило, не одна, а несколько новых версий системы или отдельных ее элементов. Поэтому в настоящий момент актуальной является задача обеспечения безопасности систем, все возможности которых пользователю не известны. Однако безопасность таких систем не может быть обеспечена без компонентов, функции которых полностью определены.

Полностью контролируемые компьютерные системы

Любая компьютерная система (КС) использует стандартное и специализированное оборудование и программное обеспечение, выполняющее определенный набор функций по обработке информации. В их состав, как правило, включают функции:

· аутентификации пользователя,

· ограничения и разграничения доступа к информации,

· обработки информации,

· обеспечения целостности информации,

· защиты информации от уничтожения,

· шифрования и электронной цифровой подписи,

· операционной системы, BIOS и другие.

Целостность информации и ограничение доступа к ней обеспечивается специализированными компонентами системы, использующими криптографические методы защиты. Для того, чтобы компьютерной системе можно было полностью доверять, ее необходимо аттестовать:

· определить множество выполняемых функций,

· доказать конечность этого множества,

· определить свойства всех функций.

Отметим, что в процессе функционирования системы невозможно появление в ней новой функции, в том числе и в результате выполнения любой комбинации заданных при разработке функций. В данной статье не будем останавливаться на конкретном составе функций, поскольку они перечислены в соответствующих руководящих документах ФАПСИ и Гостехкомиссии России.

При использовании системы ее функциональность не должна нарушаться, иными словами, необходимо обеспечить:

· целостность системы в момент ее запуска;

· целостность системы в процессе функционирования.

Особое внимание следует обратить на аутентификацию пользователя. Компьютерная система при обращении к ней определяет пользователя, проверяет его полномочия и выполняет запрос или задачу по обработке информации.

Надежность защиты информации в такой компьютерной системе определяется:

· конкретным перечнем и свойствами функций КС,

· используемыми в функциях методами,

· способом реализации функций.

Перечень используемых функций соответствует классу защищенности, присвоенному КС в процессе сертификации, и в принципе один и тот же для систем с одинаковым классом. Поэтому при рассмотрении конкретной КС следует обратить внимание на используемые методы и способ реализации наиболее важных функций: аутентификации и проверки целостности системы. Следует отдать предпочтение криптографическим методам: шифрования (ГОСТ 28147-89), электронной цифровой подписи (ГОСТ Р 34.10-94) и функции хеширования (ГОСТ Р 34.11-94), проверенным временем, за надежность которых отвечают соответствующие государственные организации, по сравнению с “доморощенными” методами, проверенными лишь организацией разработчиком и сертифицирующей организацией.

Программная реализация функций КС

Большинство функций современных компьютерных систем реализованы в виде программ, поддержание целостности которых в процессе запуска системы и особенно в процессе функционирования является трудной задачей. Для нарушения целостности программы нет необходимости в дополнительном оборудовании. Большое количество пользователей в той или иной степени умеют программировать и разбираются в операционных системах, знают их ошибки. Поэтому вероятность атаки на программное обеспечение достаточно высока.

Проверка целостности программ программным образом (с помощью других программ) не является надежной. Необходимо четко представлять, как обеспечивается целостность самой программы проверки целостности. Если она находится на тех же носителях, что и проверяемые программы, то доверять результатам проверки работы такой программы нельзя. Таким образом, чисто программным способом не может быть надежно обеспечена целостность системы, Поэтому к программным системам защиты от несанкционированного доступа (НСД) следует относится с особой осторожностью.

Аппаратная реализация функций КС

Использование аппаратных средств снимает проблему обеспечения целостности системы. В большинстве современных систем защиты от НСД применяется зашивка программного обеспечения в ПЗУ или в аналогичную микросхему. Таким образом, чтобы изменить ПО, необходимо получить доступ к соответствующей плате и заменить микросхему. Если используется универсальный процессор, то для замены или изменения ПО необходимо специальное оборудование, что еще более затрудняет атаку на загруженное в процессор ПО. Использование специализированного процессора с реализацией алгоритма работы в виде интегральной микросхемы полностью снимает проблему нарушение целостности алгоритма работы.

На практике функции аутентификации пользователя, проверки целостности (платы типа Криптон-НСД, Аккорд, и др.), криптографические функции (платы Криптон-4,4к/8,4k/16, Криптон-5), образующие ядро системы безопасности, реализуются аппаратно, все остальные функции – программно.

Любая система защиты строится на известных разработчику возможностях операционных систем (ОС), причем для построения надежной компьютерной системы требуются полные знания всех возможностей ОС. В настоящее время отечественные разработчики располагают полными знаниями только об одной операционной системе — DOS. Таким образом, к полностью контролируемым системам можно отнести КС, работающие под операционной системой DOS, или КС собственной разработки.

Частично контролируемые компьютерные системы

Именно к таким системам можно отнести современные КС, поскольку аттестовать их программное обеспечение не представляется возможным. В наличии же в нем неописанных возможностей таких как:

· ошибки,

· “программные закладки” недобросовестных разработчиков,

· “программные закладки” соответствующих служб,

не приходится сомневаться.

Безопасность в таких компьютерных системах может быть обеспечена:

· за счет использования специальных аттестованных (полностью контролируемых) аппаратно-программных средств, выполняющих ряд защищенных операций и играющих роль специализированных модулей безопасности,

· путем изоляции от злоумышленника ненадежной компьютерной среды, отдельного ее компонента или отдельного выполняемого процесса опять же с помощью полностью контролируемых средств.

В частично контролируемых КС использование каких-либо ответственных программно реализованных функций (отвечающих за шифрование, электронную цифровую подпись, доступ к информации, доступ к сети и т.д.) становится показателем наивности администратора безопасности. Основную опасность представляет при этом возможность перехвата ключей пользователя, используемых при шифровании и предоставлении полномочий доступа к информации.

В качестве одного из аппаратных (а он не может быть программным) модулей безопасности могут использоваться платы серии Криптон, обеспечивающие:

· защиту ключей шифрования и электронной цифровой подписи (ЭЦП),

· неизменность алгоритма шифрования и ЭЦП.

Все ключи, используемые в системе, могут шифроваться на мастер-ключе и храниться на внешнем носителе в зашифрованном виде. Они расшифровываются только внутри платы. В качестве ключевы х носителей используются дискеты, микропроцессорные электронные карточки (смарт-карты) и "таблетки" Touch Memory.

В используемых в настоящее время аппаратно-программных системах защиты от НСД для частично контролируемых систем серьезно рассматривать можно только функции доступа на персональный компьютер, выполняемые до загрузки операционной системы, и аппаратные функции блокировки портов ПК. Таким образом, остается большое поле деятельности по разработке модулей безопасности для защиты выбранных процессов в частично контролируемых системах.

Рассмотрим в качестве примера систему защиты от НСД “Криптон-Вето”, схема которой изображена на рисунке.

Программно-аппаратная система защиты от НСД “Криптон-Вето”

Система предназначена для защиты ПК с процессором не ниже 386, работающего под управлением MS DOS 5.0 и выше, Windows 3.1 (для полностью контролируемых систем). Для Windows 95 и др. система выполняет описанные выше функции модуля безопасности и функции “замка” (контроль доступа и проверка целостности, и т.д.). Кратко рассмотрим основные ее функции.

Система ограничивает круг лиц и их права по доступу к информации на персональном компьютере. Ее реализация основана на технологиях “прозрачного” шифрования логических дисков по алгоритму ГОСТ 28147-89 и электронной цифровой подписи по ГОСТ 34.10/11-94. Согласно требованиям Государственной технической комиссии России (ГТК) ее можно отнести к системам ЗНСД класса 1В.

В состав основных функций системы “Криптон-Вето” включены следующие:

· обеспечение секретности информации в случае кражи “винчестера” или ПК;

· обеспечение защиты от несанкционированного включения компьютера;

· разграничение полномочий пользователей по доступу к ресурсам компьютера;

· проверка целостности используемых программных средств системы в момент включения системы;

· проверка целостности программы в момент ее запуска на выполнение;

· запрещение запуска на выполнение посторонних программ;

· ведение системного журнала, регистрирующего события, возникающие в системе;

· обеспечение “прозрачного” шифрования информации при обращении к защищенному диску;

· обнаружение искажений, вызванных вирусами, ошибками пользователей, техническими сбоями или действиями злоумышленника.

Основным аппаратным элементом системы является серийно выпускаемая аттестованная ФАПСИ плата КРИПТОН-4 (Криптон-4К/8,4К/16,НСД) с помощью которой проверяется целостность системы и выполняется шифрование по ГОСТ 28147-89. Система предполагает наличие Администратора безопасности, который определяет взаимодействие между управляемыми ресурсами: пользователями, программами, логическими дисками, файлами (дискреционный и мандатный доступ), принтером, дисководами.

Система обеспечивает защиту следующим образом. Жесткий диск разбивается на логические диски. Первый логический диск (С:) отводится для размещения системных программ и данных Последний логический диск отводится под систему ЗНСД и доступен только администратору. Остальные логические диски предназначены для хранения информации и программ пользователей. Эти диски можно разделить по пользователям и/или по уровню секретности размещаемой на них информации. Можно выделить отдельные диски с информацией различного уровня секретности (доступ к таким дискам осуществляется с помощью специальной программы, проверяющей допуск пользователя к документам-файлам). Сначала администратор устанавливает уровень секретности диска, а затем определяет круг лиц, имеющих доступ к этому диску. По форме хранения информации диски подразделяются на открытые и шифруемые; по уровню доступа:

· доступные для чтения и записи,

· доступные только для чтения,

· недоступные (заблокированные).

Недоступный диск делается невидимым в DOS и, следовательно, не провоцирует пользователя на несанкционированный доступ к нему. Доступный только для чтения диск можно использовать для защиты не только от целенаправленного, но также и от непреднамеренного (случайного) искажения (удаления) информации. Открытый диск ничем не отличается от обычного логического диска DOS. Очевидно, что системный диск должен быть открыт. Для шифруемых дисков используется шифрование информации в прозрачном режиме. При записи информации на диск она автоматически шифруется, при чтении с диска автоматически расшифровывается. Каждый шифруемый диск имеет для этого соответствующий ключ. Последнее делает бесполезными попытки улучшения своих полномочий пользователями, допущенными на ПК, поскольку они не имеют ключей доступа к закрытым для них дискам. Также наличие шифрования обеспечивает секретность информации даже в случае кражи жесткого диска.

Для допуска к работе на ПК администратором формируется список пользователей, в котором:

· указывается идентификатор и пароль пользователя,

· определяется уровень допуска к секретной информации;

· определяются права доступа к логическим дискам.

В дальнейшем только администратор может изменить список пользователей и их полномочия.

Для исключения возможности установки на ПК посторонних программ с целью взлома защиты администратор определяет перечень программ, разрешенных к запуску на данном компьютере. Разрешенные программы подписываются администратором электронно-цифровой подписью (ЭЦП). Только эти программы могут быть запущены в системе. Использование ЭЦП одновременно с наличием разрешения позволяет отслеживать целостность запускаемых программ. Последнее исключает возможность запуска измененной программы, в том числе и произошедшего в результате непредвиденного воздействия “вируса”.

Для входа в компьютер используются ключи, записанные на ключевой дискете, электронной карточке (smart card) или электронной таблетке (Touch memory). Ключи изготавливаются администратором системы и раздаются пользователям под роспись.

Для исключения загрузки компьютера в обход системы ЗНСД загрузка осуществляется только с жесткого диска. При включении ПК до загрузки операционной системы с “винчестера” аппаратно проверяется целостность ядра системы безопасности “Криптон-Вето”, системных областей “винчестера”, таблицы полномочий пользователей. Затем управление передается проверенному ядру системы безопасности, которая в свою очередь проверяет целостность операционной системы. Расшифрование полномочий пользователя, ключей зашифрованных дисков и дальнейшая загрузка операционной системы производится только после заключения о ее целостности. В процессе работы в ПК загружены ключи только тех дисков, к которым пользователю разрешен доступ.

Для протоколирования процесса работы ведется журнал. В нем регистрируются следующие события: установка системы “Криптон-Вето”, вход пользователя в систему (имя, дата, время), попытка доступа к запрещенному диску (дата, время, диск), зашифрование диска, расшифрование диска, перешифрование диска, добавление нового пользователя, смена полномочий пользователя, удаление пользователя из списка, сброс причины останова системы, попытка запуска запрещенной задачи, нарушение целостности разрешенной задачи и т.д.

Журнал может просматриваться только администратором. Для проверки работоспособности системы используются программы тестирования. При необходимости пользователь может закрыть информацию на своем диске и от администратора, зашифровав последнюю средствами абонентского шифрования.

В заключение хочется еще раз обратить внимание на то, что защитить компьютерные системы без аппаратных средств одними программными невозможно. Разработка же аппаратуры соответствующего уровня требует развития в России современных технологий, которое без дополнительных инвестиций обречено на неудачу.