Апаратно-програмні засоби контролю доступу

Класифікація і принципи роботи пристроїв введення ідентифікаційних ознак та електронних замків

На світовому ринку інформаційної безпеки стабільно розвиваються так звані засоби AAA (від англ. Authentication, authorization, administration - аутентифікація, авторизація, адміністрування), призначені для захисту від несанкціонованого доступу (НСД) до інформаційних ресурсів автономних і мережевих комп'ютерів. Згідно з прогнозами Infonetics Research (www.infonetics.com), ринок засобів AAA до 2005 р складе приблизно 9,5 млрд. Дол., Або 67% від всього ринку інформаційної безпеки. Цей прогноз не викликає подиву, адже відомо, що основний збиток підприємствам внаслідок порушень політики безпеки наносять зловживання з боку власних недобросовісних співробітників. Як показують дослідження компанії Ernst & Young (www.ey.com), 80% випадків втрат конфіденційної інформації припадає саме на внутрішньокорпоративні загрози і тільки 20% - на зовнішні.

Серед засобів ААА важливе місце займають апаратно-програмні інструменти контролю доступу до комп'ютерів - електронні замки, пристрої введення ідентифікаційних ознак (УВІП) і відповідне ПО. Спільне застосування УВІП і електронного замка дає можливість спорудити перед зловмисником дві лінії оборони, подолати які не так-то просто (рис. 1). Зрозуміло, мова тут не йде про фізичне зломі комп'ютера.

Зрозуміло, мова тут не йде про фізичне зломі комп'ютера

Рис. 1. Дві лінії оборони - УВІП і електронний замок

Доступ до інформаційних ресурсів комп'ютера користувач отримує після успішного виконання процедур ідентифікації і аутентифікації. Ідентифікація полягає в розпізнаванні користувача по властивому або наданим йому ідентифікаційним ознакою. Перевірка приналежності пред'явленого їм ідентифікатора (підтвердження автентичності) проводиться в процесі аутентифікації.

У апаратно-програмних засобах контролю доступу до комп'ютерів ідентифікація і аутентифікація, а також ряд інших важливих захисних функцій, які описуються нижче, здійснюються за допомогою електронного замка і УВІП до завантаження ОС.

Пристрої введення ідентифікаційних ознак

До складу апаратних засобів УВІП входять ідентифікатори і зчитувальні пристрої (іноді зчитувачі можуть бути відсутніми). Сучасні УВІП прийнято класифікувати по виду ідентифікаційних ознак і за способом їх зчитування (рис. 2).

2)

Рис. 2. Класифікація УВІП

За способом зчитування вони поділяються на контактні, дистанційні (безконтактні) і комбіновані.

Контактна зчитування ідентифікаційних ознак передбачає безпосередню взаємодію ідентифікатора і зчитувача - проведення ідентифікатора через зчитувач або їх просте зіткнення.

Безконтактний (дистанційний) спосіб зчитування не вимагає чіткого позиціонування ідентифікатора і зчитувача. Для читання даних потрібно або на певну відстань піднести ідентифікатор до зчитувача (радіочастотний метод), або опинитися з ним в поле сканування зчитує (інфрачервоний метод).

Комбінований спосіб має на увазі поєднання обох методів зчитування.

По виду використовуваних ідентифікаційних ознак УВІП можуть бути електронними, біометричними та комбінованими.

В електронних УВІП ідентифікаційні ознаки представляються у вигляді коду, записаного в електронну мікросхему пам'яті ідентифікатора.

В біометричних пристроях ідентифікаційними ознаками є індивідуальні фізичні ознаки людини (відбитки пальців, геометрія долоні, малюнок сітківки ока, голос, динаміка підпису і т. Д.).

У комбінованих УВІП для ідентифікації використовується кілька ідентифікаційних ознак одночасно.

На російському ринку комп'ютерної безпеки пропонуються різноманітні УВІП. На жаль, вироби вітчизняної розробки займають на ньому незначну частину. Розглянемо основні, самі розповсюджені типи пристроїв.

iButton

Розроблене компанією Dallas Semiconductor пристрій введення ідентифікаційних ознак на базі ідентифікатора iButton (www.ibutton.com) відноситься до класу електронних контактних УВІП.

Модельний ряд ідентифікаторів iButton досить широкий і різноманітний (більше 20 моделей). У загальному вигляді iButton є мікросхемою, вмонтовану в герметичний сталевий корпус (рис. 3). Корпус віддалено нагадує батарейку для наручних годинників і має діаметр 17,35 мм при висоті 5,89 мм (корпус F5) або 3,1 мм (корпус F3). Він захищає і забезпечує високу ступінь захищеності ідентифікатора від впливу агресивних середовищ, пилу, вологи, зовнішніх електромагнітних полів, механічних ударів і т. П. Ідентифікатор легко кріпиться на носії (картці, брелоку).

Ідентифікатор легко кріпиться на носії (картці, брелоку)

Рис. 3. Ідентифікатор iButton

Обмін інформацією ідентифікатором і комп'ютером відбувається відповідно до протоколу 1-Wire за допомогою різноманітних пристроїв, що зчитують (адаптерів послідовного, паралельного і USB-портів, контактних пристроїв Touch Probe). Для запису і зчитування даних з ідентифікатора потрібно, щоб корпус iButton стикнувся зі зчитувальних пристроїв. Час контакту - не більше 5 мс, гарантовану кількість контактів становить кілька мільйонів. Інтерфейс 1-Wire забезпечує обмін інформацією на швидкостях 16 кбіт / с або 142 кбіт / с (прискорений режим).

Для захисту від несанкціонованого доступу існує кілька модифікацій ідентифікаторів сімейства DS199X (див. Табл. 1), які розрізняються ємністю пам'яті, функціональними можливостями і відповідно ціною. Орієнтовна ціна ідентифікаторів iButton на російському ринку в залежності від типу становить від 2 до 12, контактних пристроїв - від 5 до 12 дол.

Орієнтовна ціна ідентифікаторів iButton на російському ринку в залежності від типу становить від 2 до 12, контактних пристроїв - від 5 до 12 дол

Таблиця 1. Ідентифікатори iButton

У структурі iButton можна виділити наступні основні частини: постійний запам'ятовуючий пристрій (ПЗУ), незалежне (nonvolatile - NV) ОЗУ, сверхоператівное пристрій (scratchpad memory - SM), годинник реального часу (для DS1994), а також елемент живлення - вбудовану мініатюрну літієвий батарейку. Виріб DS1990 містить тільки ROM.

У ПЗУ ідентифікаторів зберігається 64-розрядний код - він складається з 8-розрядного коду типу ідентифікатора, 48-розрядної унікального серійного номера і 8-розрядної контрольної суми.

До переваг УВІП на базі електронних ключів iButton відносяться:

- надійність, довговічність (час зберігання інформації в пам'яті ідентифікатора становить не менше 10 років);

- високий ступінь механічної та електромагнітної захищеності;

- малі розміри;

- відносно невисока вартість.

Недоліком цього пристрою є залежність його спрацьовування від точності ручного зіткнення ідентифікатора і зчитувача, здійснюваного вручну.

Пристрої введення на базі смарт-карт

Пристрої введення ідентифікаційних ознак на базі смарт-карт відносяться до класу електронних пристроїв. Вони можуть бути контактними і безконтактними (дистанційними).

Основою внутрішньої організації смарт-карти є так звана SPOM-архітектура (Self Programming One-chip Memory), що передбачає наявність центрального процесора (CPU), ОЗУ, ПЗУ і електрично перепрограммируемой постійної пам'яті EEPROM (рис. 4). Як правило, в карті також присутній спеціалізований співпроцесор.

Рис. 4. Структура контактної смарт-карти

Процесор забезпечує розмежування доступу до що зберігається в пам'яті інформації, обробку даних і реалізацію криптографічних алгоритмів (спільно з співпроцесором). У ПЗП зберігається виконуваний код процесора, оперативна пам'ять використовується в якості робочої, EEPROM необхідна для зберігання змінюваних даних власника карти.

У структуру безконтактних смарт-карт на базі стандарту MIFARE 1 S50 IC (або MIFARE Standard) додатково входить радіочастотний модуль з вбудованою антеною, необхідної для зв'язку зі зчитувачем і харчування мікросхеми. Смарт-карта є пасивною, відстань зчитування складає не більше 10 см. Обмін інформацією здійснюється на частоті 13,56 МГц з максимальною швидкістю 106 кбіт / с.

Кожна смарт-карта має власний унікальним серійним номером. Він задається на заводі-виробнику, його не можна змінити протягом усього терміну експлуатації карти. Ідентифікація за серійним номером, шифрування даних і аутентифікація областей пам'яті за допомогою секретних ключів забезпечують надійний захист смарт-карт від злому.

По відношенню до комп'ютера пристрою читання смарт-карт можуть бути зовнішніми і внутрішніми (наприклад, вбудованими в клавіатуру, гніздо 3,5 "дисковода, корпус комп'ютера). Зчитувач працює під управлінням спеціальної програми - драйвера пристрою читання.

На базі ISO 7816 розроблений єдиний стандартний інтерфейс для роботи зі смарт-картами. Включені в нього специфікації PC / SC полегшують інтеграцію смарт-карт-технологій в програмно-апаратні комплекси на базі платформи персонального комп'ютера і створення засобів розробки додатків для смарт-карт.

На світовому ринку комп'ютерної безпеки розробкою смарт-карт-технологій займаються багато фірм, серед яких виділяються Bull (www.bull.com), GemPlus (www.gemplus.com), HID (www.hidcorp.com), Schlumberger (www.slb .com), а також альянс Fujitsu Siemens Computers (www.fujitsu-siemens.com). На вітчизняному ринку провідне місце займає ВАТ "Ангстрем" (www.angstrem.ru), яке розробило першу російську смарт-карту в 1996 р

Безперечними перевагами УВІП на базі смарт-карт вважаються зручність зберігання ідентифікатора (наприклад, його можна тримати в гаманці разом з іншими картками) і зчитування ідентифікаційних ознак. До недоліків можна віднести обмежений термін експлуатації через нестійкість смарт-карти до механічних пошкоджень і високу вартість зчитувачів смарт-карт (на російському ринку орієнтовна ціна смарт-карт в залежності від типу становить 2-12 дол., А зчитувачів - більше $ 100) .

Proximity

Пристрої введення ідентифікаційних ознак на базі ідентифікаторів Proximity (від англ. Proximity - близькість, сусідство) або RFID-системи (radio-frequency identification - радіочастотна ідентифікація) відносяться до класу електронних безконтактних мобільних пристроїв.

Радіочастотні ідентифікатори випускаються у вигляді карток, брелоків, браслетів, ключів і т. П. Кожен з них має власний унікальний серійний номер. Основними їх компонентами є інтегральна мікросхема, що здійснює зв'язок зі зчитувачем, і вбудована антена. До складу мікросхеми входять приймально-передавач і пристрій, що зберігає ідентифікаційний код та інші дані. Усередині Proximity може перебувати джерело живлення - літієва батарея. Такі ідентифікатори називаються активними. Вони забезпечують взаємодію зі зчитувачем на значній відстані (в кілька метрів). Дистанція зчитування для пасивних ідентифікаторів (які не мають батареї) вимірюється десятками сантиметрів.

Пристрій, що зчитує постійно випромінює радіосигнал. Коли ідентифікатор виявляється на певній відстані від зчитувача, антена поглинає сигнал і передає його на мікросхему. Отримавши енергію, ідентифікатор випромінює ідентифікаційні дані, що приймаються зчитувачем. Дистанція зчитування в значній мірі залежить від характеристик антенного і приймально-передавального трактів зчитувача. Весь процес займає кілька десятків мікросекунд.

Пристрій читання може розміщуватися всередині корпусу комп'ютера. Взаємна орієнтація ідентифікатора і зчитувача не має значення, а ключі та інші предмети, що знаходяться в контакті з картою, не заважають передачі інформації.

Відповідно до використовуваної частотою RFID-системи класифікуються за частотою:

- низькочастотні (100-500 кГц) характеризуються незначною відстанню зчитування (десятки сантиметрів). Ідентифікаційний код зчитується через одяг, сумки, портмоне і т. П .;

- пристрої проміжної частоти (10-15 МГц) здатні передавати значні обсяги даних;

- високочастотні (850-950 МГц або 2,4-5 ГГц) характеризуються великою дистанцією зчитування (в кілька метрів).

На світовому ринку інформаційної безпеки існує чимало фірм, що займаються розробкою RFID-технологій. Лідерами є EM-Marin (www.emmarin.com), HID (www.hidcorp.com) і Motorola Indala (www.indala.com). Серед вітчизняних виробників можна відзначити ВАТ "Ангстрем" (www.angstrem.ru), компанії Parsec (www.parsec-tm.ru) і PERCo (www.perco.ru).

Основними достоїнствами УВІП на базі ідентифікаторів Proximity є:

- безконтактна технологія зчитування;

- довговічність пасивних ідентифікаторів (деякі фірми-виробники дають на карти довічну гарантію);

- точність, надійність і зручність зчитування ідентифікаційних ознак.

До недоліків RFID-систем відносять слабку електромагнітну захищеність і високу вартість (на вітчизняному ринку ідентифікатори в залежності від типу коштують від 1,3 до 5 дол., Ціна зчитувачів може перевищувати $ 150).

Пристрої введення на базі USB-ключів

Пристрої введення ідентифікаційних ознак на базі USB-ключів відносяться до класу електронних контактних пристроїв. У складі УВІП даного типу відсутні дорогі апаратні зчитувачі. Ідентифікатор, званий USB-ключем, підключається до USB-порту безпосередньо або за допомогою з'єднувального кабелю.

Конструктивно USB-ключі випускаються у вигляді брелоків (див. Рис. 5), які легко розміщуються на зв'язці зі звичайними ключами. Брелоки випускаються в кольорових корпусах і забезпечуються світловими індикаторами роботи. Кожен ідентифікатор має власний унікальний серійний номер. Основними компонентами USB-ключів є вбудовані процесор і пам'ять. Процесор виконує функції криптографічного перетворення інформації і USB-контролера. Пам'ять призначається для безпечного зберігання ключів шифрування, цифрових сертифікатів і будь-який іншої важливої ​​інформації. Підтримка специфікацій PC / SC дозволяє без праці переходити від смарт-карт до USB-ключів і вбудовувати їх як в існуючі програми, так і в нові.

Підтримка специфікацій PC / SC дозволяє без праці переходити від смарт-карт до USB-ключів і вбудовувати їх як в існуючі програми, так і в нові

Рис. 5. Ідентифікатор eToken R2

На російському ринку безпеки пропонуються наступні USB-ключі:

- серії iKey 10xx і iKey 20xx (розробка компанії Rainbow Technologies, www.rainbow.com);

- eToken R2, eToken Pro (Aladdin Knowledge Systems, www.aks.com);

- ePass1000 і ePass2000 (Feitian Technologies, www.FTsafe.com);

- WebIdentity, CryptoIdentity (Eutron, www.eutron.com).

У табл. 2 представлені деякі характеристики USB-ключів.

2 представлені деякі характеристики USB-ключів

Таблиця 2. Характеристики USB-ключів

Переваги УВІП на базі USB-ключів полягають у відсутності апаратного зчитувача, малих розмірах і зручність зберігання ідентифікаторів, а також в простоті підключення ідентифікатора до USB-порту.

До недоліків можна віднести порівняно високу вартість (на російському ринку ціна USB-ключів в залежності від типу перевищує $ 20) і слабку механічну захищеність брелока.

Біометричні пристрої введення

Біометричні УВІП відносяться до класу електронних пристроїв (див. PC Week / RE, № 7/2003, с. 24). Вони можуть бути контактними і безконтактними (дистанційними).

В основі біометричної ідентифікації і аутентифікації лежить зчитування і порівняння висунутого біометричного ознаки користувача з наявним еталоном. Такого роду ознаки включають в себе відбитки пальців, форму і термограмму особи, малюнок сітківки і райдужної оболонки ока, геометрію руки, візерунок, утворений кровоносними судинами долоні людини, мова і т. Д. Високий рівень захисту визначається тим, що біометрія дозволяє ідентифікувати людину, а не пристрій.

До недавнього часу широке використання біометричних УВІП в засобах контролю доступу до комп'ютерів гальмувалося їх високою ціною. Успіхи в технологіях, теорії розпізнавання і мікроелектроніці дозволили розробникам знизити вартість пристроїв і тим самим активізувати ринок.

Особливо ця тенденція характерна для пристроїв дактилоскопічного доступу. Відбиток пальця вважається одним з найбільш стійких ідентифікаційних ознак (не змінюється з часом, при пошкодженні шкірного покриву ідентичний папілярний візерунок повністю відновлюється, при скануванні не викликає дискомфорту у користувача). Згідно зі звітом International Biometric Group (www.ibgweb.com), частка пристроїв дактилоскопічного доступу в 2002 р склала 52,1% світового біометричного ринку.

Зчитувачі (або сканери) відбитків пальців є підключаються до одного з портів комп'ютера окремі пристрої або вони вбудовуються в комп'ютерні миші (рис. 6), клавіатури, корпуса моніторів. Найбільшого поширення набули дактилоскопічні миші, орієнтовна ціна яких на російському ринку складає від 75 дол.

Найбільшого поширення набули дактилоскопічні миші, орієнтовна ціна яких на російському ринку складає від 75 дол

Рис. 6. Скануючий пристрій і миша компанії SecuGen

Серед пристроїв дактилоскопічного доступу в Росії найбільш широко представлені миші Eyed Mouse і Optical Eyed Mouse компанії SecuGen (www.secugen.com), U-Match Mouse фірми Biolink Technologies International (www.biolinkusa.com), ID Mouse коппораціі Siemens AG (www. siemensidmouse) і деякі інші.

Незважаючи на тенденцію зниження ціни і заявляються розробниками відмінні характеристики пристроїв (для Biolink U-Match Mouse ймовірність помилкового відмови в доступі становить 10-2, а ймовірність помилкового доступу - 10-9), ряд експертів ставлять під сумнів високу ефективність споживчих біометричних УВІП.

Так, в листопаді 2002 року в німецькому комп'ютерному журналі c't (www.heise.de/ct) була опублікована стаття, авторам якої за допомогою тривіальних способів вдалося обдурити 11 біометричних систем відомих компаній, що використовують в якості ідентифікаційних ознак відбитки пальців, особа і райдужну оболонку ока.

Як наголошується в публікації, для обману УВІП на основі ємнісних сенсорів, що володіють ефектом "післядії", досить подихати на сенсор або прикласти до нього наповнений водою поліетиленовий пакет. У цьому випадку відновлюється відбиток пальця, залишений зареєстрованим користувачем. Є і більш ефективний спосіб, який можна застосовувати не тільки до ємнісним сенсорам, - взяти відбиток пальця, залишеного користувачем на якій-небудь поверхні, і скопіювати його за допомогою графітової пудри і липкої стрічки. Крім того, штучний силіконовий палець дозволив обдурити шість дактилоскопічних сканерів, система розпізнавання за рисами обличчя була обманута шляхом демонстрації на моніторі ноутбука відеопортрет раніше зареєстрованого користувача і т. Д.

Комбіновані пристрої введення

Ефективність захисту комп'ютерів від несанкціонованого доступу може бути підвищена за рахунок комбінування різних УВІП. Ця тенденція наочно проглядається у виробах провідних світових компаній.

Корпорація HID (www.hidcorp.com) розробила карти-ідентифікатори, які об'єднують в собі різні технології зчитування ідентифікаційних ознак. Наприклад, в пристрої Smart ISOProx II поєднуються Proximity 125 кГц і контактна смарт-карт-технологія MIFARE 13,56 МГц, в HID MIFARE Card - контактні і безконтактні смарт-карт-технології. В ідентифікатор HID Proximity and MIFARE Card зібраний букет з трьох технологій: Proximity 125 кГц, MIFARE 13,56 МГц і контактна смарт-карта.

Альянс Fujitsu Siemens Computers (www.fujitsu-siemens.com) пропонує комбіноване УВІП під назвою KBPC-CID. Цей виріб являє собою об'єднані вбудовані в клавіатуру комп'ютера зчитувач для смарт-карт і дактилоскопічний сканер (рис. 7). Клавіатура підключається до USB-порту, що захищається комп'ютера.

Клавіатура підключається до USB-порту, що захищається комп'ютера

Рис. 7. Виріб KBPC-CID

У компанії Siemens (www.siemens.com) знайдено рішення, що дозволяє зберігати в смарт-карті три біометричних ідентифікаційних ознаки користувача: відбиток пальця, риси обличчя і голос.

Цікавою є бажання об'єднати USB-ключ з біометричної системою ідентифікації. Подібна пропозиція надійшла від компанії Trekstor, яка випустила виріб ThumbDrive Touch (www.thumbdrive.com). Основними компонентами пристрою, виконаного у вигляді USB-брелока (рис. 8), є дактилоскопічний сканер і незалежна флеш-пам'ять ємністю від 32 до 512 Мб. У пам'яті виділяються відкрита і захищена області. Користувач отримує доступ до захищеної області пам'яті після перевірки відбитків пальців. Швидкість читання і запису даних складає 500 і 250 Кб / с відповідно.

Швидкість читання і запису даних складає 500 і 250 Кб / с відповідно

Рис. 8. Виріб ThumbDrive Touch

При виборі того чи іншого комбінованого УВІП слід не забувати відоме прислів'я: "Де тонко, там і рветься", - що в перекладі на мову теорії систем означає: ефективність системи визначається ефективністю найслабшої ланки.

електронні замки

На електронні замки покладається виконання наступних захисних функцій:

- ідентифікація і аутентифікація користувачів за допомогою УВІП;

- блокування завантаження операційної системи з зовнішніх знімних носіїв;

- контроль цілісності програмної середовища комп'ютера;

- реєстрація дій користувачів і програм.

Конструктивно електронні замки виконуються у вигляді плат розширення, що встановлюються в роз'єми системних шин PCI або ISA. Свої основні функції електронні замки реалізують до завантаження операційної системи комп'ютера. Для цього в складі кожного виробу є власна пам'ять EEPROM, яка доповнює базову систему введення-виведення BIOS комп'ютера. При включенні комп'ютера виконується копіювання вмісту EEPROM замку в так звану тіньову область (Shadow Memory) оперативної пам'яті комп'ютера, з якою і ведеться подальша робота.

На російському ринку розробкою електронних замків займається обмежена кількість фірм. Нижче розглядаються найбільш відомі сертифіковані вироби вітчизняних компаній.

російські розробки

Науково-інженерне підприємство "Інформзахист" (www.infosec.ru) випускає електронні замки "Соболь-PCI" і "Соболь 1.0". У базовий комплект поставки кожного виробу (рис. 9) входять плата електронного замка, контактна пристрій, що зчитує і два ідентифікатора iButton, кабелі інтерфейсу, що блокують завантаження ОС з зовнішніх носіїв, і програмне забезпечення. Плата електронного замка "Соболь-PCI" встановлюється в роз'єм системної шини PCI, а плата "Соболя 1.0" - в роз'єм ISA. Контактний пристрій може підключатися як до зовнішнього, так і до внутрішнього роз'ємів плати.

Рис. 9. Електронний замок «Соболь-PCI"

На платах електронних замків розміщуються мікросхеми енергонезалежної пам'яті, перепрограмувальна логічна матриця, вбудований датчик випадкових чисел, реле апаратної блокування пристроїв. При кожному включенні комп'ютера автоматично перевіряється працездатність датчика випадкових чисел.

Ідентифікація користувача здійснюється за допомогою УВІП на базі iButton. Швидкість обміну даними між персональним ідентифікатором і платою замку становить 16 кбіт / с. Для авторизації застосовується пароль і персональний ідентифікатор. В електронному замку підтримується робота з паролями довжиною до 16 символів.

Заборона завантаження ОС з зовнішніх носіїв (магнітних, оптичних та магнітно-оптичних дисків) можливий програмних і апаратних способами шляхом блокування доступу до пристроїв читання під час завантаження комп'ютера. Після успішного завантаження ОС доступ відновлюється за допомогою спеціальної програми, що входить до складу електронного замка.

Контроль цілісності програмного середовища комп'ютера полягає в перевірці зміни файлів і секторів жорсткого диска. Для цього обчислюються деякі поточні контрольні значення, що перевіряються і порівнюються із заздалегідь розрахованими еталонними.

Електронні замки встановлюються в комп'ютери, що функціонують під управлінням операційних систем MS-DOS, Windows, UNIX FreeBSD.

Електронний замок «Соболь-PCI" сертифікований ФАПСИ і Держтехкомісії при Президентові РФ, виріб "Соболь 1.0" - ФАПСИ Росії.

Замки "Соболь-PCI" і "Соболь 1.0" в комплекті з двома ідентифікаторами iButton DS1992, зовнішнім зчитувачем Touch Probe, двома інтерфейсними кабелями для апаратної блокування зовнішніх носіїв коштують відповідно 230 і 190 дол.

Особливе конструкторське бюро систем автоматизованого проектування (www.okbsapr.ru) і фірма "ІнфоКріпт" спільно розробили програмно-апаратний комплекс засобів захисту інформації від несанкціонованого доступу "Аккорд-АМДЗ", який реалізується на базі апаратних модулів довіреної завантаження - контролерів "Аккорд-5" (для комп'ютерів з системної шиною стандарту PCI), "Акорд-4.5" (для стандарту ISA) і їх модифікацій.

Терміном "довірена завантаження" розробники замку визначають випадок, коли операційна система завантажується тільки після ідентифікації і аутентифікації користувача, а також перевірки цілісності технічних і програмних засобів комп'ютера. Контролери "Аккорд-5" (рис. 10) і "Акорд 4.5" забезпечують режим довіреної завантаження для операційних систем MS-DOS, Windows, OS / 2, UNIX FreeBSD.

5 забезпечують режим довіреної завантаження для операційних систем MS-DOS, Windows, OS / 2, UNIX FreeBSD

Рис. 10. Контролер "Акорд 5"

Резидентне ПО замків (кошти адміністрування, ідентифікації і аутентифікації, підтримки контролю цілісності, журнал реєстрації) розміщується в незалежній пам'яті контролерів. Електронні замки комплектуються неконтрольованими апаратними датчиками випадкових чисел.

Для ідентифікації користувача застосовується УВІП на базі iButton. Аутентифікація здійснюється за паролем, що вводиться користувачем з клавіатури. В електронному замку підтримується робота з паролями довжиною до 12 символів.

Крім традиційного контролю цілісності програмного середовища електронні замки "Аккорд-АМДЗ" забезпечують перевірку цілісності технічних засобів, що захищається комп'ютера, що важливо при відсутності контролю над фізичної цілісністю корпусу комп'ютера.

Контролери можуть функціонувати разом зі спеціальним програмним забезпеченням, що реалізує алгоритми розмежування доступу користувачів і розміщених на жорсткому диску.

Електронні замки "Аккорд-АМДЗ" на базі контролерів "Аккорд-5" і "Акорд-4.5" сертифіковані ФАПСИ Росії і Гостехкомиссией при Президентові РФ.

Ціна цих контролерів в комплекті з двома ідентифікаторами iButton DS1992, зовнішнім зчитувачем з фіксатором DS-13, двома пристроями блокування фізичних каналів становить 309 і 247 дол. Відповідно.

Концерн "Сістемпром" (www.vivos.ru) випускає апаратно-програмні засоби криптографічного захисту інформації М-502 і "Щит" (рис. 11), що відносяться до електронних замків класу КЕЗ-1.99 відповідно до вимог ФАПСИ. Розрізняються вони тим, що М-502 можна використовувати при обробці даних, що становлять державну таємницю, а "Щит" - при обробці даних, що не становлять державної таємниці.

Рис. 11. Електронний замок "Щит"

Обидва вироби мають стандартний набір функцій електронних замків (ідентифікація та аутентифікація, заборона завантаження операційної системи з зовнішніх пристроїв, контроль цілісності файлів і завантажувальних секторів жорсткого диска, реєстрація подій, пов'язаних з безпекою). Плати замків встановлюються в роз'єм системної шини ISA.

Ідентифікація здійснюється за допомогою електронної карти М64 з відкритою пам'яттю на 64 кбіт, аутентифікація - за допомогою введення пароля з клавіатури комп'ютера.

Електронні замки М-502 і "Щит" сертифіковані ФАПСИ. Їх ціна становить $ 250.

Фірма "Анкад" (www.ancud.ru) відома своїми апаратними Шифратори серії "Криптон", що випускаються у вигляді плат розширення системних шин PCI або ISA. Бажаючи захистити комп'ютери від несанкціонованого доступу, розробники створили пристрої, що дозволяють додатково реалізувати частину функцій електронних замків: ідентифікацію та аутентифікацію користувачів, контроль цілісності програмної середовища комп'ютера. Ці вироби ( "Криптон-замок", "Криптон-4К / 16 замок" - для роз'єму ISA; "Криптон-4 / PCI", "Криптон-8 / PCI" - для роз'єму PCI) отримали загальну назву - пристрої криптографічного захисту даних і обмеження доступу до комп'ютера.

Ідентифікація користувачів здійснюється за допомогою електронних карт з відкритою або захищеною пам'яттю, смарт-карт, ідентифікаторів iButton DS1993 і DS1994. Для читання вмісту карт використовуються зчитувач SR-210 або адаптер SA-101i, які встановлюються в вільний 3,5 "-слот.

Контроль цілісності ОС і системних областей пам'яті, а також іншого програмного забезпечення, розміщеного на жорсткому диску, проводиться згідно зі списком, що зберігається в пам'яті замка. Список контрольованих файлів зберігається разом з контрольними сумами або хеш-значеннями, розрахованими для кожного файлу за алгоритмом ГОСТ Р 34.11-94. Якщо хеш-значення хоча б одного з файлів списку не збігається з еталонним, це розцінюється як порушення цілісності операційної системи і завантаження комп'ютера блокується.

Пристрої фірми "Анкад" працюють під управлінням операційних систем MS-DOS, Windows 9x NT 4.0. Всі події, пов'язані з їх експлуатацією, фіксуються в журналі реєстрації.

Виріб "Криптон-замок" (і його модифікація "Криптон-4К / 16 замок") сертифіковане Гостехкомиссией при Президентові РФ.

У комплект поставки пристроїв криптографічного захисту даних і обмеження доступу до комп'ютера входять плата, установча дискета і дві дискети з драйверами і бібліотеками функцій для операційних систем Windows 9x / NT 4.0. Ціна комплекту "Криптон-замок" становить $ 149, "Криптон-4 / PCI" - $ 390, "Криптон-8 / PCI" - $ 799. Пристрої введення ідентифікаційних ознак та відповідне програмне забезпечення в комплект поставки не входять і купуються окремо.

Висновок

Будь-яка розсудлива господар намагається захистити своє житло від проникнення грабіжників. З цією метою, зокрема, на вхідні двері встановлюється комплект міцних замків. Так невже комп'ютери, що містять важливу і цінну інформацію, не потребують надійного захисту від можливих нападів недобросовісних співробітників? Відповідь очевидна: потребують. І тут непогану службу можуть послужити апаратно-програмні засоби контролю доступу до комп'ютерів.

З автором можна зв'язатися за адресою: [email protected].

Версія для друку

Так невже комп'ютери, що містять важливу і цінну інформацію, не потребують надійного захисту від можливих нападів недобросовісних співробітників?