Основные принципы функционирования программно-аппаратного комплекса «Соболь»

Программно-аппаратный комплекс (ПАК) «Соболь» – это аппаратно-программное средство защиты компьютера от несанкционированного доступа. Действия комплекса «Соболь» состоит в проверке полномочий пользователя на вход в систему. Если предъявлены необходимые атрибуты пользователь получает право на вход. При отсутствии вход в систему данного пользователя запрещается.

Регистрация администратора осуществляется при инициализации комплекса.
Комплекс включает в себя:

*механизм идентификации и аутентификации пользователей;

*подсистему контроля целостности;

*подсистему запрета загрузки ОС со съемных носителей;

*механизм сторожевого таймера;

*механизм регистрации событий, имеющих отношение к безопасности системы.

Механизм идентификации и аутентификации обеспечивает проверку полномочий пользователя на вход при попытке входа в систему. Идентификация (используются уникальные номера аппаратных устройств) и аутентификация(проверка правильности пароля с использованием аутентификатора пользователя) пользователей осуществляется при каждом входе пользователя в систему. После включения компьютера «Соболь» запрашивает у пользователя его персональный идентификатор и пароль. Осуществляется проверка наличия в списке пользователей в комплексе «Соболь» пользователя, которому принадлежит предъявленный персональный идентификатор.

Если предъявлен профессиональный идентификатор, не зарегистрированный в системе, то:

*вход пользователя в систему запрещается;

*в журнале регистраций событий фиксируется попытка несанкционированного доступа к компьютеру.

Если указан пароль, не соответствующий предъявленному идентификатору:

*вход пользователя в систему запрещается;

*счетчик неудачных попыток входа пользователя в систему увеличивается на единицу;

*в журнале регистраций событий фиксируется попытка несанкционированного доступа к компьютеру.

Служебная информация о регистрации пользователя хранится в энергонезависимой памяти комплекса «Соболь». Комплекс «Соболь» предоставляет администратору следующие дополнительных возможности по управлению процедурой идентификации и аутентификации и процедурами смены пароля и аутентификатора пользователя:*ограничение времени, отводящегося пользователя при входе в систему для предъявления персонального идентификатора и ввода пароля; *ограничения времени действия пароля и аутентификатора пользователя, при истечении которого пользователь будет вынужден сменить свой пароль и аутетификатор; *режим использования случайных паролей для процедур смены пароля пользователя и администратора и процедур регистрации нового пользователя; * ограничение минимальной допустимо длины пароля пользователя.

Защита от разрушающих программных воздействий (РПВ). Перечислите общие и специализированные методы борьбы с РПВ.

Защита от РПВ: -Межсетевое экранирование; -Анализ защищенности (сканирование уязвимостей); -Внесение неопределенности в работу объектов и средств защиты; -Создание ложных объектов атаки; -Стегоанализ; -Сигнатурный анализ; -Эвристический анализ; -Эмуляция процессора; -Мониторинг потенциально опасных действий; - Контроль хода выполнения программ; - Аудит; -Обнаружение несанкционированных изменений с использованием контрольных кодов целостности; -Обнаружение вторжений (IDS).

Общие методы защиты программного обеспечения от РПВ:

1. Контроль целостности системных областей, запускаемых прикладных программ и используемых данных. Контроль целостности информации может быть обойден злоумышленником путем:

• навязывания конечного результата проверок;
• влияния на процесс считывания информации;
• изменения хеш-значений, хранящихся в общедоступных файлах.

2. Контроль цепочек прерываний и фильтрация вызовов критических для безопасности системы прерываний.

Данные методы действенны лишь тогда, когда контрольные элементы не подвержены воздействию закладок и разрушающее воздействие входит в контролируемый класс.

3. Создание безопасной и изолированной операционной среды.

4. Предотвращение результирующего воздействия вируса или закладки.

Например, запись на диск должна вестись только в зашифрованном виде на уровне контроллера, либо должен быть реализован запрет записи на диск на аппаратном уровне.

Специализированные методы борьбы с РПВ:

• Поиск фрагментов кода по характерным последовательностям (сигнатурам), свойственным РПВ, либо наоборот, разрешение на выполнение или внедрение в цепочку прерываний только программ с известными сигнатурами.
• Поиск критических участков кода методом семантического анализа фрагментов кода на выполняемые ими функции, часто сопряженный с дизассемблированием или эмуляцией выполнения.

В качестве одной из возможных эвристических методик выявления РПВ в BIOS, ассоциированных с существенно важными прерываниями, следует рассмотреть эвристическую методику выявления РПВ в BIOS.