Вы находитесь в разделе Типовых решений систем безопасности

Часть 10. дополнительная защита информационных ресурсов методами криптографической защиты и гарантированного удаления остаточной информации

В предыдущих частях работы мы рассматривали вопросы защиты информации от несанкционированного доступа (НСД). Однако в теории защиты информации существует два подхода (иногда рассматриваемые, как альтернативные) – защита информации от НСД, реализуемая с целью предотвращение самой возможности хищения, а также модификации хранящейся на компьютере информации, и защита информации от раскрытия, в предположении возможности осуществления к ней НСД злоумышленником, что реализуется методами криптографической защиты и гарантированного удаления остаточной информации. В данной работе попытаемся определить место средств защиты информации от раскрытия, применительно к решению задачи обеспечения компьютерной безопасности, определим задачи, решение которых должно возлагаться на данные средства, и принципы их построения. Предлагаемые подходы будем иллюстрировать на примере нашей разработки – система защиты данных (СЗД) Панцирь для ОС Windows 2000/XP/2003, которая может использоваться и как самостоятельное средство защиты, и в составе комплексной системы защиты информации (КСЗИ) ОС Windows 2000/XP/2003, возможности которой мы рассматривали в предыдущих частях работы.

Для обсуждения вопросов дополнительной защиты информационных ресурсов, прежде всего, приведем краткое описание возможностей системы защиты данных (их полноту и подходы к реализации далее и будем обсуждать). Данное описание соответствует нашей разработке СЗД Панцирь для ОС Windows 2000/XP/2003, при этом отметим, что набор возможностей (заметим, не подходов к реализации), в той или иной мере, присущ большинству СЗД данного класса (т.е. предполагаем некую общность наборов механизмов, которые будем рассматривать). Однако, сразу оговоримся, большинство систем защиты, решающих рассматриваемые задачи, позволяют работать с логическими дисками, что, во-первых, наверное, трудно признать оптимальным решением, во-вторых, это решение, на наш взгляд, мало пригодно для комплексирования с другими механизмами защиты, в частности с механизмами контроля доступа к ресурсам. Но, как покажем далее, именно в комплексе с развитыми механизмами защиты от НСД, в первую очередь, мы и видим возможность эффективного применения методов криптографической защиты информации (т.е. лишь в качестве очень важного дополнения к механизмам защиты от НСД) в решении задач обеспечения компьютерной безопасности.

Краткое описание назначения, состава и возможностей (СЗД) Панцирь для ОС Windows 2000/XP/2003

1. Назначение и состав системы
   Система предназначена для защиты конфиденциальных данных, обрабатываемых на автономных компьютерах и на компьютерах в составе корпоративной сети; сохраняемых на локальных и удаленных (разделенных в сети) жестких дисках и внешних устройствах, передаваемых по сети при доступе к удаленным (разделенным) ресурсам. Система реализована программно, содержит в своем составе системный драйвер и интерфейсный модуль. Все возможности защиты, предоставляемые СЗД, реализованы собственными средствами СЗД (не использованы встроенные механизмы ОС).
2. Основные механизмы защиты данных
   СЗД реализует кодирование (шифрование) данных на лету, автоматическое гарантированное удаление остаточной информации, разграничение прав доступа к защищаемым объектам, скрытие защищаемых объектов файловой системы.
3. Основное отличительное свойство системы
   Защищаемыми объектами являются любые файловые объекты – логические диски, каталоги, подкаталоги, файлы (для задания объектов может использоваться механизм масок), как на жестком диске, так и на внешних носителях, как локальные, так и удаленные (разделенные в сети).
4. Возможности основных механизмов защиты:
   • Кодирование (шифрование) данных на лету. В СЗД реализовано автоматическое на лету (прозрачное для пользователя) кодирование (декодирование) данных при их сохранении в локальный или удаленный файловый объект на жестком диске или на внешнем носителе. При сохранении в удаленный файловый объект, данные по каналу передаются в закодированном (зашифрованном виде) виде. Поддерживаются файловые системы NTFS, FAT32 или FAT16, алгоритмы кодирования: XOR, GOST, DES, AES. Кроме того посредством подключения криптопровайдера Signal-COM (сертифицирован ФАПСИ) возможно шифрование и расшифрование на лету данных в соответствии с сертифицированным российским криптографическим алгоритмом ГОСТ 28147-8 Поддерживаются различные политики генерации, ввода и хранения ключевой информации. Ключ присваивается объекту группа, в который включаются защищаемые файловые объекты. Число создаваемых групп и файловых объектов в группе на одном компьютере не ограничено. Ключ может задаваться парольной фразой (не менее 6 символов), из которой затем генерируется автоматически (для идентификации группы парольная фраза вводится с консоли). Также ключ может задаваться полностью: вручную (из файла), системой автоматически, генерироваться посредством движений мыши. Для хранения ключевой информации используется файловый объект (локальный, либо удаленный – в сети может быть реализован ключевой сервер, причем вся ключевая информация передается по каналу в закодированном виде), задаваемый его полнопутевым именем, что позволяет хранить ключевую информацию на внешних носителях. Внешним носителем может быть электронный ключ, устройство Flash-памяти, причем на одном устройстве может храниться необходимое количество ключей, устройство при этом может использоваться по своему прямому назначению. Для идентификации группы (для получения доступа к файловому объекту в группе), системе необходимо единожды считать значение ключа в оперативную память, после чего, ключ может быть удален из системы.
   • Гарантированное удаление остаточной информации. В СЗД реализовано автоматическое (прозрачное для пользователя) гарантированное удаление данных в файловом объекте (локальном или удаленном, на жестком диске или на внешнем носителе), при его удалении или модификации штатными средствами ОС. Для защищаемых файловых объектов система позволяет задавать число проходов очистки и вид маскирующей информации, записываемой в файловый объект, перед удалением в нем данных штатными средствами ОС.
   • Разграничение прав доступа к защищаемым объектам. В СЗД реализовано разграничение прав доступа к защищаемым файловым объектам на основе идентификации групп объектов по ключам (посредством парольного слова, либо ключевой информации на внешнем носителе). Ключ присваивается объекту группа, в который включаются защищаемые файловые объекты (локальные или удаленные, на жестком диске или на внешнем носителе), права доступа к которым разграничиваются. Какой-либо доступ к защищаемому файловому объекту разрешается только после идентификации группы, в которую включен объект. Разграничивать права доступа можно к файловым объектам, в которых данные сохраняются, как в кодированном, так и в обычном виде.
   • Скрытие защищаемых объектов файловой системы. В дополнение к разграничению прав доступа к файловым объектам в СЗД реализованы следующие возможности:
     • скрытие защищаемого файлового объекта (объект остается “не видимым” для пользователей);
     • скремблирование имени файлового объекта при его предоставлении по запросу доступа;
     • кодирование имени файлового объекта на диске.
   • Отображение имени (или реального имени) файлового объекта возможно только после идентификации группы, в которую включен объект.
5. Обмен зашифрованными данными в сети с использованием открытых ключей. Интерфейс СЗД Панцирь представлен на рис.10.1.

Задача гарантированного удаления остаточной информации

На наш взгляд, решение данной дополнительной задачи в СЗИ крайне важно. Рассмотрим проблему. При удалении файлового объекта (либо при записи в объект информации меньшего объема, чем объем располагаемой в нем информации – при модификации файлового объекта) штатными средствами ОС (в том числи и ОС семейства Windows) собственно информация на диске остается (не удаляется) – осуществляется лишь переразметка файловых объектов. Данная информация называется остаточной. Поэтому имеет место угроза получения прямого доступа к диску (заметим, не к файловому объекту, которого уже на диске не существует) - к остаточной информации на диске, что является функцией некоторых утилит. Почему мы говорим, что это дополнительная задача СЗИ? Дело в том, что любая СЗИ – это комплекс механизмов защиты, поэтому частично задача защиты здесь может осуществляться иными механизмами. В частности, если в СЗИ НСД присутствует механизм обеспечения замкнутости программной среды (о котором мы подробно рассказывали в одной из предыдущих частей работы), то можно настроить систему защиты таким образом, чтобы запустить утилиту, функцией которой является реализация прямого доступа к диску, стало бы невозможным. Причем это является задачей, которая должна решаться в любом случае, не только с целью противодействия доступу к остаточной информации, т.к. средствами прямого доступа к диску можно обратиться и к актуальной информации, расположенной на диске в обход механизмов контроля доступа к файловым объектам (к файловом объекту при этом обращения нет). Однако остается проблема внешних носителей (например, дискета, Flash-устройство и т.д). Задумайтесь, какая информация остается на внешнем носителе, используемом на вашем предприятии, после удаления на нем файлового объекта штатными средствами ОС?

Заметим, что требование к гарантированной очистке остаточной информации, ввиду чрезвычайной важности данного механизма защиты, устанавливается и соответствующим нормативным документом , которое, в частности, для СВТ 5 класса защищенности сформулировано следующим образом: при первоначальном назначении или при перераспределении внешней памяти КСЗ должен предотвращать доступ субъекту к остаточной информации.

Заметим, что ОС семейства Windows (естественно технологии NT) обеспечивают лишь очистку (запись в выделяемую системой область памяти на диске, при создании файла, с последующим размещением файла в этой области, т.е. ни о какой гарантированной очистке остаточной информации (при удалении, либо при модификации файла) здесь говорить не приходится.

В СЗД Панцирь реализовано автоматическое (прозрачное для пользователя – от него не требуется выполнения каких-либо дополнительный действий) гарантированное удаление данных в файловом объекте (локальном или удаленном – разделенном в сети, на жестком диске или на внешнем носителе), при его удалении или модификации штатными средствами ОС. Для защищаемых файловых объектов система позволяет задавать число проходов очистки и вид маскирующей информации, записываемой в файловый объект, перед удалением файла штатными средствами ОС.

Рассмотрим, как работает данный механизм. При обращении к файловому объекту (перераспределение внешней памяти) на удаление, либо модификацию, данный запрос перехватывается СЗД. Перехватив соответствующий запрос, СЗД осуществляет запись в файловый объект маскирующей информации, после чего передает управление ОС. Таким образом, в любой момент времени в качестве остаточной информации на диске, либо на внешнем носителе, присутствует только маскирующая информация.

Теперь рассмотрим требования к реализации данного механизма. Необходимо учитывать, что данный механизм достаточно ресурсоемок, т.к. осуществляет дополнительную запись (в общем случае неоднократную) при любом обращении на запись (модификацию) файлового объекта. Как следствие, гарантированное удаление следует рассматривать как дополнительный атрибут доступа, который выборочно должен устанавливаться для файловых объектов, предназначенных для хранения конфиденциальной информации (естественно, установка подобной возможности одновременно для всех файловых объектов системы, что реализуется некоторыми СЗИ НСД, является, мягко говоря, недопустимым с точки зрения оказываемого СЗИ НСД влияния на загрузку вычислительного ресурса). С точки же зрения требований к полноте реализации механизма гарантированной очистки следует отметить, что данная возможность должна предоставляться для работы с локальными и разделенными в сети файловыми объектами на жестком диске и на отчуждаемых носителях, при этом должна предусматриваться возможность установки соответствующего атрибута для объекта любой иерархии (диск, каталог, подкаталог, файл), также здесь целесообразно предусмотреть возможность задания объектов масками.

Ввиду того, что механизм гарантированного удаления ресурсоемок, а на одном компьютере может храниться информация различного уровня конфиденциальности, в СЗД целесообразно предусмотреть возможность задания различных способов очистки (маскирующая информация и число проходов очистки – перезаписей маскирующей информации) для различных файловых объектов. Реализация данных возможностей для СЗД Панцирь состоит в следующем. В интерфейсе можно задать шаблон записываемой при гарантированном удалении информации - выбрать один из вариантов:

• Случайный (шаблон будет создан случайным сочетанием бит);
• Все нули (шаблон будет состоять только из нулей);
• Все единицы (шаблон будет состоять только из единиц);
• Список (задается вид шаблонов и количество проходов – количеством шаблонов в списке).

При выборе вариантов: Случайный, Все нули, Все единицы требуется задать количество проходов очистки – определяющее сколько раз будет перезаписана выбранная маскирующая информация при удалении или модификации файлового объекта.

При выборе варианта Список станет активным окно Список шаблонов, в котором можно вручную задать шаблоны маскирующей информации в символьном виде, либо в шестнадцатеричном представлении.

Отдельно следует рассмотреть вопросы корректности реализации механизма гарантированной очистки остаточной информации. Проблема здесь состоит в следующем. В NTFS все данные, хранящиеся на томе, содержатся в файлах. Главная таблица файлов (MFT) занимает центральное место в структуре NTFS-тома. MFT реализована, как массив записей о файлах, где каждая запись представляет собой совокупность пар атрибутов и их значений. Размер каждой записи фиксирован и равен 1 Кб. Если размер файла достаточно мал, чтобы поместиться в теле записи, то данные такого файла хранятся непосредственно в MFT.

В процессе работы системы, NTFS ведет запись в файл метаданных – файл журнала с именем $LogFile. NTFS использует его для регистрации всех операций, влияющих на структуру тома NTFS, как то: создание файла, удаление файла, расширение файла, урезание файла, установка файловой информации, переименование файла и изменение прав доступа к файлу. Информация, описывающая подобные транзакции, включает в себя копии записей из MFT и в дальнейшем используется для повтора или отмены изменений. Соответственно, если данные файла содержатся в записи MFT, то при каждом изменении, данные файла будут (в числе прочего) скопированы в файл журнала.

Рассмотрим, как данная проблема решается СЗД Панцирь. Для избежания возможности рассмотренного многократного дублирования данных при сохранении небольших файлов (это приводит к необходимости удаления информации из всех возможных мест ее хранения), СЗД при создании файлов принудительно выделяет пространство на томе вне таблицы MFT размером 1 Кб, что обеспечивает средствами СЗД гарантированную очистку информации любого объема при ее удалении и модификации штатными средствами ОС.

Задача кодирования (шифрования) данных на лету Для проведения дальнейших исследований рассмотрим, как решается эта задача СЗД Панцирь.

Интерфейс настройки механизмов группы Защита данных представлен на рис. 1.10.

Для работы с объектами (объекты могут задаваться как полнопутевыми именами, так и масками, при этом под маску может подпадать как диск целиком, так и любые съёмные носители) необходимо создать группы, в которые включаются объекты. Для каждой группы объектов задается свой ключ кодирования (все объекты в группе будут кодироваться одним ключом), определяется владелец группы.

В части администрирования механизмов Защита данных в СЗД выделяются три типа пользователей:

• Пользователь Администратор;
• Пользователь Владелец группы;
• Непривилегированный пользователь.

Пользователь Администратор обладает всеми правами по установке и настройке СЗД: обладает привилегиями по созданию, удалению группы файловых объектов и по заданию ключа кодирования (идентификатора) группы объектов, по заданию и изменению пользователя Владелец группы, возможностью экспорт ключа - создание резервной копии ключа; обладает всеми правами Владельца группы.

Пользователь Владелец группы назначается Администратором при создании группы. Привилегиями Владельца группы является добавление объектов в группу (удаление объектов из группы), изменение режимов защиты (в частности, режим только разграничение доступа, режим – кодирование и разграничение доступа и др.); кодирование, декодирование объектов. Владелец группы не имеет полномочий на создание новой группы и на задание ключа кодирования для создаваемой группы; обладает всеми правами Непривилегированного пользователя

Непривилегированный пользователь (или пользователь) в части администрирования СЗД обладает возможностью (после идентификации) задания для защищаемого объекта режима чтения без декодирования (в этом режиме запись данных в объект СЗД запрещается). Данный режим необходим для работы с внешними устройствами (например, для ввода с дискеты незакодированных данных) и для реализации обмена файлами в кодированном (зашифрованном виде) по сети. Пользователь обладает возможностями прохождения идентификации и завершение сеанса в группе, просмотра данных о путях и алгоритмах кодирования, см. рис.10.1.

Таким образом, кодирование (шифрование) представляет собою в СЗД Панцирь дополнительный атрибут доступа, который может устанавливаться для группы файловых объектов (профиль), в частном случае, для отдельного файлового объекта (файла, каталога, диска), причем, файловые объекты (в том числе устройства) при этом могут быть как локальными, так и разделенными в сети. При обращении к разделенному в сети устройству, данные по сети передаются в закодированном (зашифрованном) виде, т.е. защищается полностью виртуальный канал файлового взаимодействия. Для получения же доступа - возможность чтения в декодированном (расшифрованном) виде пользователям предоставляются ключи кодирования (шифрования). Т.е. идентифицирующим признаком пользователя для доступа к данным группы будет ключ, который выдается администратором пользователю. Соответственно один пользователь может одновременно иметь доступ к данным различных групп.

Однако реализация подобного подхода (на наш взгляд, максимально адаптированного к использованию СЗД в качестве подсистемы комплексной СЗИ НСД, об этом поговорим далее) связана с некоторыми противоречиями. Дело в том, что один и тот же объект одновременно не может попасть в различные группы, т.к. мы не анализируем, какой именно пользователь обращается к ресурсу (а это существенно усложнит систему защиты). Получается, что если существует общий для всех пользователей ресурс, то он может быть размещен только в одной группе, т.е. при его кодировании всеми пользователями будет использоваться один ключ. Это относится к устройствам ввода – если дисковод у нас, например, имеет имя A:, то для него должна быть создана собственная группа, и при сохранении на дискете данные всех пользователей кодируются одним ключом, заданным для группы. Но не все так страшно. Здесь нам на помощь приходит возможность ОС монтирования устройства к файловой системе (NTFS). При этом воспользуемся механизмом символьных ссылок. Заведем в файловой системе объекты (по числу пользователей) каждый из которых будет содержать символьную ссылку на диск A:. Эти объекты затем внесем в различные группы файловых объектов, каждой из которых присвоен свой ключ кодирования. При этом, получим, что каждый пользователь может работать с устройством с собственным ключом кодирования.

Для создания новой группы администратору нужно воспользоваться вкладкой Новая группа на панели управления, либо в меню Группа выбрать подменю Новая группа.

В появившемся окне, в закладке Общие, нужно задать:

• Имя группы (название новой группы);
• Владельца группы (владельцем группы всегда является пользователь Администратор, который имеет полномочия администрировать СЗД).

Если в качестве владельца группы указать другого пользователя (не Администратора), тогда данный пользователь, как владелец группы, наделяется полномочиями изменения свойств группы (однако он не может удалить группу, создать новую группу, соответственно задать ключ кодирования для создаваемой группы – это является прерогативой пользователя Администратор).

В этой закладке отображаются все зарегистрированные в системе пользователи, следует выбрать того из них, который будет назначен в качестве Владельца группы;

• Алгоритм кодирования. В этой закладке отображаются все алгоритмы кодирования, поддерживаемые данной версией СЗД: XOR, GOST, DES, AES, Signal-COM следует выбрать тот из них, который будет использован для кодирования объектов группы.
• Замечание. Для различных групп могут использоваться различные алгоритмы кодирования. Это обусловлено тем, что различные алгоритмы оказывают различное влияние на загрузку вычислительного ресурса, поэтому выбирать алгоритм кодирования для группы, с учетом ресурсоемкости его реализации, следует с учетом уровня конфиденциальности информации, хранящейся в объектах данной группы;
• Режим идентификации - режим ввода ключа. В этой закладке отображаются все режимы идентификации (режимы ввода ключа), поддерживаемые данной версией СЗД. Из файла (в том числе, с устройств ввода, таких как дискета, CD-ROM диск, устройство Flash-памяти), парольной фразой, с электронного ключа Aladdin eToken R2 (в режиме простой идентификации и в режиме с дополнительной идентификацией - Aladdin eToken R2(pass). В режиме Aladdin eToken R2(pass) доступ к ключевой информации, хранящейся на электронном ключе, дополнительно защищен паролем.

Замечание. Для различных групп могут использоваться различные режимы идентификации;

При выборе функции Гарантированное удаление, данные файловых объектов, относящихся к группе, при их удалении или модификации будут подвергаться гарантированному удалению СЗД перед их удалением или модификацией штатными средствами системы. Это обеспечивает затирание средствами СЗД остаточной информации при удалении или модификации файлового объекта средствами ОС.

Задав параметры группы, нужно перейти на вкладку “Создание ключа. СЗД поддерживает различные политики задания ключевой информации, с этой целью (а не только из соображений удобства пользователя) в СЗД реализованы различные способы ввода и хранения ключа.

Ключ, в зависимости от заданного режима защиты, служит как непосредственно ключом кодирования, так и идентифицирующим признаком группы объектов (разграничение прав доступа реализуется на основе идентификации групп объектов – чтобы получить доступ к файлам, относящихся к группе, необходимо осуществить идентификацию по ключевой информации).

СЗД реализует следующие возможности хранения и ввода ключевой информации:

• Из файла. Ключ хранится в файле, задаваемом его полнопутевым адресом, и из файла же вводится при идентификации группы объектов. В качестве файлового объекта для хранения ключа могут выступать, как локальные ресурсы, так и разделенные в сети - любой объект, который может быть представлен, в виде файлового объекта на жестком диске и на устройстве ввода, например, дискета, CD-ROM диск, устройство Flash-памяти, при этом на внешнем носителе может одновременно храниться несколько ключей, естественно, заданных различными полнопутевыми адресами на носителе, для идентификации различных групп объектов.
• По парольной фразе (парольная фраза 6 символов вводится с консоли, из этой фразы СЗД генерируется ключ);
• По электронному ключу eToken (здесь возможны два режима с аутентификацией при доступе к ключевой информации eToken и без аутентификации).
• СЗД поддерживает различные локальные и сетевую политики хранения и ввода ключевой информации.

Локальные политики хранения и ввода ключевой информации.

1. Политика использования одного ключа кодирования состоит в том, что реализуется одна из рассмотренных выше возможностей хранения и ввода ключевой информации.
2. Политики использования двух или более ключей кодирования.
   • Защита ключевой информации, хранящейся в файловом объекте. Данная политика реализуется следующим образом. Основной ключ кодирования хранится в файле и из файла же (например, из файла на Flash-устройстве) вводится. Для защиты ключевой информации, хранящейся в файле, данный ключ кодируется другим ключом, например, в режиме ввода ключа по парольной фразе (здесь может использоваться любой из предоставляемых СЗД способов хранения и ввода ключа). При этом файл с защищаемой ключевой информацией должен быть включен в группу объектов, кодируемых дополнительным ключом. Основной ключ при хранении будет закодирован дополнительным ключом. Для прочтения закодированных данных потребуется сначала с использованием дополнительного ключа декодировать основной ключ (осуществив идентификацию группы объектов, в которую включен основной ключ кодирования), затем идентифицировать из файла (при этом основной ключ уже будет считан в декодированном виде) группу объектов, где хранятся защищаемые данные.
   • Доступ к защищаемым данным по двум ключам. Суть реализации данной политики та же, что и предыдущей политики. Особенность состоит в том, что ключи (основной и дополнительный) должны быть у различных пользователей. При этом доступ к данным (соответственно, декодирование данных) возможно только в присутствии обоих пользователей (каждый должен осуществить идентификацию соответствующей группы по своему ключу). Любого одного из двух ключей для декодирования защищаемых данных будет недостаточно. Таким образом, может быть реализован доступ к защищаемым данным по любому числу ключей, при этом доступ к данным будет возможен лишь в присутствии всех пользователей, имеющих соответствующие ключи.

Сетевая политика хранения и ввода ключевой информации.

Данная политика по своей сути является политикой использования двух или более ключей кодирования и аналогичным образом реализуется. Отличительной особенностью политики является то, что основной ключ, вводимый из файла (соответственно, из файла на внешнем носителе, например, располагаемого на Flash-устройстве), располагается на удаленном компьютере, при этом соответствующий файл (где хранится основной ключ) на этом компьютере разделен в сети. На данном компьютере могут быть расположены в отдельных файлах (разделенных в сети) ключи кодирования для всех групп объектов всех компьютеров с сети. В этом случае в сети реализуется ключевой сервер, на котором располагаются (вводятся пользователем с внешнего носителя, например, администратором) все ключи кодирования для всех компьютеров в сети. Дополнительные ключи вводятся пользователями на своих компьютерах, где идентифицируются группы объектов, для чтения с сервера основных ключей кодирования. Так как основные ключи кодируются дополнительными ключами, то основные ключи хранятся на сервере (либо на внешнем носителе, с которого вводятся на сервере) в закодированном виде и в закодированном же виде передаются по сети.

В качестве замечания отметим, что СЗД Панцирь предоставляет возможность реализации политик ввода и хранения ключевой информации, не позволяющих несанкционированно раскрыть эту информацию даже пользователем, если именно он и является злоумышленником, похитившим данную информацию, что весьма важно в современных условиях (сегодня очень актуальна задача предотвращения хищений всевозможных баз данных).

Чтобы создать ключ кодирования, в поле Режим нужно выбрать один из предлагаемых СЗД режимов генерации ключа (соответственно, идентификации группы объектов):

• Автоматически (ключ будет сгенерирован на основе встроенного генератора случайных чисел);
• Из файла (ключ будет взят из заданного файла). При этом следует задать полнопутевой адрес файла, для чего может быть использована опция Обзор. Предварительно ключ кодирования следует поместить в данный файл;
• Парольная фраза (если выбран режим идентификации по парольной фразе (см. выше), то в данное поле необходимо ввести фразу, на основе которой СЗД будет сгенерирован ключ);
• Мышь (ключ будет сгенерирован посредством перемещения курсора мыши). Курсор следует перемещать в поле Инициализация генератора случайных чисел.

В соответствии с выбранным способом ввода ключа (режима идентификации), при нажатии на кнопку Сохранить будет предложено: либо задать полнопутевой адрес файла, куда следует сохранить сгенерированный ключ (в частности здесь можно воспользоваться предлагаемой опцией Обзор); либо будет выдано окно авторизации, в котором следует ввести установленный на ключе пароль для доступа к нему, если для хранения ключа кодирования используется электронный ключ. Соответственно при записи на электронный ключ будет предложено ввести пароль авторизации ключа.

Ключ также можно скопировать в буфер обмена (для последующего сохранения его копии), что может потребоваться при восстановлении данных при утере ключа.

В поле Защищаемые объекты группы (см. рис. отображаются адреса всех файловых объектов группы или маски. Объекты отображаются с соответствующего цвета ключиком, характеризующим установленные для объекта режимы защиты:

• зелёный ключик означает, что данный объект кодируется при записи и декодируется при чтении, и что на него распространяются разграничения, указанные при заведении группы (об этом будет сказано далее);
• жёлтый ключик означает, что на данный объект распространяются только разграничения, указанные при заведении группы (объект не кодируется);
• серый ключик означает, что данные не декодируются при чтении (запись в данный объект при этом невозможна) – этот режим защиты может быть полезен при работе с внешними устройствами и для передачи закодированных данных (файлов) по сети, например, по сети Internet .

Подключение же к СЗД Панцирь криптопровайдера Signal-COM (в этой части СЗД реализует возможности криптопровайдера, обеспечивая соответствующие интерфейсы его настройки) позволяет не только использовать сертифицированные алгоритмы шифрования и генератор ключевой информации, но и обеспечить обмен зашифрованными файлами в сети с использованием ассиметричных ключей (это позволяет распределенно – без участия администратора, обмениваться пользователями ключевой информацией по открытой сети, в пределе, перед каждым сеансом обмена данными, без риска хищения калюча из канала в незашифрованном виде).

В качестве замечания отметим, что и в случае применения криптопровайдера Signal-COM собственно шифрование данных реализуется драйвером СЗД, криптопровайдер предоставляет реализацию алгоритма шифрования, что и используется драйвером СЗД.

Задачи разграничения прав доступа к защищаемым объектам и скрытия защищаемых файловых объектов

В задачи методов криптографической защиты не входит какое-либо разграничение прав доступа к защищаемым объектам, т.е. эти методы позволяют защищать информацию от несанкционированных попыток ее прочтения, но не осуществляют защиту от попыток несанкционированной модификации и удаления защищаемой информации.

С целью же предотвращения НСД к файловым объектам в СЗД дополнительно реализованы механизмы разграничения прав доступа к защищаемым объектам и скрытия защищаемых файловых объектов.

При создании группы могут быть установлены дополнительные возможности по разграничению прав доступа к объектам группы, что осуществляется настройками раздела Дополнительные параметры. К дополнительным параметрам защиты относятся:

• Запрет доступа – при установке данного режима, доступ к объектам группы становится возможен только после идентификации группы по ключу (после внесения пользователем ключа вручную, либо с соответствующего носителя);
• Режим Кодировать имена файлов на диске реализует кодирование имен файловых объектов, относящихся к группе - до проведения процедуры идентификации группы по ключу они будут храниться в кодированном виде;
• Скремблирование имен файлов - при установке данного режима, до тех пор, пока не осуществлена идентификация группы по ключу, вместо реального имени файла отображаются случайные комбинации символов;
• Скрытие имен файлов - при установке данного режима до тех пор, пока не осуществлена идентификация группы по ключу, имена защищаемых объектов (объектов группы) не отображаются – скрывается сам факт наличия подобных файловых объектов.

Заметим, что в СЗД разграничение прав доступа к защищаемым объектам и скрытие защищаемых файловых объектов может использоваться, как совместно с шифрованием объектов группы, так и самостоятельно.

Для идентификации в группе пользователю нужно запустить интерфейс из соответствующей иконки, выбрать группу в интерфейсе и нажать на вкладку Идентификация (см. рис. 10. в выбранной группе, предварительно разместив носитель с ключевой информацией в устройство ввода, либо соответственно подключив электронный ключ, если используются соответствующие режимы идентификации. Если используется режим идентификации По парольной фразе, то откроется окно с предложением ввести парольную фразу, если используется режим идентификации Из файла, то откроется интерфейс обзора файловой системы, где следует указать полнопутевой адрес файла. В интерфейсе находится ключ (соответственно полнопутевой адрес файла на внешнем носителе, если ключ вводится с внешнего носителя).

После успешного прохождения идентификации цвет выбранной группы (идентификация которой успешно пройдена) изменится с серого на синий (см. рис.10. . После этого электронный ключ, либо носитель с ключевой информацией (если используются соответствующие режимы идентификации) могут быть удалены из компьютера – устройства ввода могут использоваться по прямому назначению. После прохождения идентификации открывается доступ к файловым объектам группы, все данные, сохраняемые в файловых объектах группы, будут автоматически кодироваться/декодироваться.

Заметим, что при запуске интерфейса (см. рис.10. , СЗД анализируется имя пользователя, запустившего интерфейс, чем определяются привилегии пользователя (администратор, владелец группы, либо пользователь), как следствие, те возможности администрирования СЗД, которые предоставляются пользователю из данного интерфейса после его запуска.

Для завершения работы с группой нужно нажать на вкладку Завершение сеанса (см. рис. 10. , после чего цвет группы опять станет серым. Для доступа к объектам группы (соответственно, для их декодирования) потребуется проводить процедуру идентификации группы вновь.

Для экстренного завершения работы со всеми идентифицированными группами можно воспользоваться кнопкой Блокировка, при нажатии на эту кнопку либо при нажатии клавиш Ctrl+Alt+S, не зависимо от того, какое приложение на данный момент запущено, произойдёт завершение сеанса всех идентифицированных групп.

Альтернативные подходы к использованию СЗД – место механизмов криптографической защиты в решении задачи обеспечения компьютерной безопасности.

Как говорили выше, СЗД может использоваться, как в качестве самостоятельной системы защиты, так и в качестве компоненты комплексной системы защиты от НСД (дополнение в части кодирования (шифрования) и гарантированного удаления файловых объектов).

Рассмотрим возможности использования СЗД в качестве самостоятельной системы защиты. Заметим, что обеспечение компьютерной безопасности и защита канала связи (где использование средств защиты от НСД, практически бессмысленно, и все базируется на криптографической защите) - это принципиально различные задачи, что обусловливается следующим. Во-первых, существуют способы съема информации на компьютере, кроме как с диска, либо с внешнего носителя – еще до стадии ее сохранения. Это, например, съем информации при вводе ее с клавиатуры (так называемые, сниферы клавиатуры), при выводе ее на монитор и т.д., потенциально возможно и отключение драйвера шифрования. Во-вторых, далеко не во всех приложениях компьютерной безопасности защиты требует именно информация, а не иные ресурсы вычислительного средства. Таким образом, можем сделать вывод, что рассматриваемые средства защиты сами по себе имеют достаточно узкую область приложений – это защита от угроз, связанных с хищением носителя информации (отчуждаемого носителя, жесткого диска, собственно компьютера). Противодействие другим каналам съема информации должны оказывать механизмы защиты от НСД, в частности, механизм обеспечения замкнутости программной среды (не позволяет запускать программы, реализующие перехват информации до стадии ее сохранения на носителе) и др. Поэтому можем заключить, что основное использование средств защиты данных (методов криптографической защиты), как самостоятельных средств обеспечения компьютерной безопасности – это персональные компьютеры, прежде всего, ноутбуки, обработка информации на которых осуществляется одним пользователем.

Другое дело, использование подобных средств в составе комплексной системы защиты от НСД. Здесь они могут существенно расширять возможности защиты, что в комплексе со средствами защиты от НСД позволяет обеспечить высокий уровень компьютерной безопасности. Рассмотрим возможности СЗД в данных приложениях.

Как в предыдущих частях работы отмечали, на практике всегда существуют пути обхода механизмов защиты. Даже при гипотетически идеальном их исполнении, в части продуманности архитектурных решений (что, к сожалению, далеко не так – на этих вопросах мы достаточно подробно останавливались ранее), остаются ошибки исполнения (программирования), использование которых может приводить к возникновению канала НСД к защищаемым ресурсам. В этих предположениях, использование средств криптографической защиты является далеко не избыточной возможностью СЗИ НСД, а, на наш взляд, необходимой. Кроме того, существуют и некоторые особенности конкретных приложений средств защиты, требующих, на наш взгляд, обязательного использования подобных средств, например, в случае, если защита от НСД осуществляется лишь встроенными в ОС механизмами (не используется развитая добавочная СЗИ НСД, т.е. защита ослаблена), если в качестве дополнительной защиты не используется аппаратная компонента (например, защита ноутбуков) – существует возможность загрузки системы без СЗИ НСД, либо перевод механизмов защиты в пассивное состояние в процессе функционирования системы (эти вопросы рассматривались в четвертой части нашей работы) и др. Естественно, что при невозможности гарантированно обеспечить защиту от НСД к информации, остается единственная возможность – предотвратить раскрытие похищенной информации (соответственно, конфиденциальная информация не должна присутствовать и в качестве остаточной).

В данных приложениях (совместное использование с механизмами защиты от НСД) ключевым моментами реализации СЗД (на наш взгляд – это является требованием к реализации механизмов криптографической защиты и гарантированного удаления остаточной информации для их применения совместно с механизмами защиты от НСД) является следующее: шифрование и гарантированное удаление должны рассматриваться как дополнительные атрибуты доступа к файловым объектам, которые могут быть установлены на любой локальный и разделенный в сети файловый объект (диск, каталог, подкаталог, файл), как на жестком диске, так и на устройстве ввода.

В заключение отметим, что следующую часть нашей работы мы посвятим рассмотрению вопросов авторизации пользователя, рассмотрим задачи и подходы к построению методов добавочной защиты.




Читайте далее:
10 - 16 июля 2006 года
1 - 6 августа 2006 года
21 - 31 августа 2006 года
25 - 30 сентября 2006 года
23 - 30 октября 2006 года
13 - 19 ноября 2006 года
Я помню, как все начиналось ,часть 8,
8 - 14 января 2007 года
1 - 4 февраля 2007 года
5 - 11 марта 2007 года