Существующие средства аппаратной поддержки
Общепринятый подход состоит в том, что аппаратная поддержка осуществляется с помощью специальной платы, обеспечивающей чтение аппаратурой компьютера информации из микросхемы расширения BIOS. Плата содержит разъем для системной шины PCI, панель для установки микросхемы с расширением BIOS и разъем для подключения считывателя персональных идентификаторов.
Изделия такого класса (Secret Net Touch Memory Card (Рис. 3.20.1) и Электронный замок «Соболь» (Рис. 3.20.2) входят в состав разработок Компании «ИНФОРМЗАЩИТА» и поставляется в качестве одного из вариантов аппаратной поддержки для СЗИ НСД Secret Net.
Secret Net Touch Memory Card полностью обеспечивает защиту от загрузки с отчуждаемых носителей и усиленную аутентификацию пользователей. Считыватель Proximity-карт обеспечивает чтение персональных идентификаторов, а в дальнейшем - и запись информации в идентификатор.
Рис. 3.20.1. Плата Secret Net Touch Memory Card PCI 2
Следует иметь в виду, что платы Secret Net Touch Memory Card поставляются и функционируют только совместно с СЗИ НСД Secret Net, более того: они прошли сертификацию ФСТЭК России только как составная часть программно-аппаратного комплекса Secret Net.
Также следует иметь в виду, что Secret Net Touch Memory Card в различных версия СЗИ НСД Secret Net (в зависимости от того для какой ОС это средство используется) функционирует по-разному, реализуя определенный набор функциональных возможностей.
При использовании совместно с Secret Net для Windows 9x это:
|
|
|
· идентификация и аутентификация пользователей по аппаратному идентификатору до загрузки ОС (используется служебная информация Secret Net, находящаяся на жестком диске компьютера);
· запись в журнал регистрации Secret Net событий, связанных с аутентификацией пользователей;
· запрет загрузки ОС с внешних носителей для пользователей, которым этот запрет установлен;
· реализация возможности устанавливать для пользователей индивидуальные файлы Config.sys;
При использовании совместно с Secret Net для Windows NT/2000/XP/2003 это:
· запрет загрузки ОС с внешних носителей;
· предоставление порта считывателя для подсистемы аутентификации Windows, расширенной Secret Net.
Режим работы платы (Secret Net для Windows 9x или Secret Net для Windows NT/2000/XP/2003) выбирается перемычками на плате.
Электронный замок (ЭЗ) «Соболь» может работать как автономно, так и в составе системы Secret Net (режим 14нтеграции). ЭЗ решает те же задачи защиты от загрузки и усиленной аутентификации, что и Secret Net Touch Memory Card. Следует отметить, что ЭЗ «Соболь» обеспечивает хранение необходимых данных для реализации механизма контроля целостности размещенной на жестких дисках компьютера информации до загрузки операционной системы. При автономном режиме работы ЭЗ обеспечивает хранение списков зарегистрированных пользователей и информации для аутентификации при помощи персональных идентификаторов.
|
|
|
Рис. 3.20.2. Электронный замок «Соболь 2.0/2.1
Кроме защиты от несанкционированной загрузки, хранения списков зарегистрированных пользователей для аутентификации, хранение программы и данных для контроля целостности ресурсов компьютера до загрузки операционной системы, как при автономной работе, так и при работе в составе системы Secret Net, ЭЗ «Соболь» также обеспечивает хранение системного журнала для регистрации событий, имеющих отношение к безопасности защищаемого компьютера.
Кроме того, ЭЗ «Соболь» имеет 3 реле для физического отключения устройств до завершения процессов идентификации, аутентификации и контроля целостности ресурсов компьютера и качественный датчик случайных чисел, с помощью которого могут генерироваться криптографические ключи.
Основная функциональность, реализованная в ЭЗ «Соболь», работающем в автономном режиме (идентификация и аутентификация пользователей по iButton до загрузки ОС, ведение списка пользователей и журнала регистрации в перезаписываемой памяти замка, защита от загрузки ОС с внешних носителей, контроль целостности данных на жестком диске компьютера до загрузки ОС), входит в состав требований, выдвигаемых ФСБ России для сертификации средств зашиты информации по классу изделий «Электронньш замок» класса КЭЗ 1.99. Эта функциональность реализована и в других продуктах, имеющихся на рынке. Среди них следует отметить:
|
|
|
· Программно-аппаратные комплексы семейства «Аккорд» (разработчик -«ОКБ САПР», Москва, http://www.okbsapr.ru);
· Программно-аппаратные комплексы семейства «Dallas Lock» (разработчик -компания «Конфидент», Санкт-Петербург, www.confident.ru);
· Аппаратно-программные модули доверенной загрузки «КРИПТОН-ЗАМОК» (разработчик - 000 Фирма «АНКАД», Зеленоград, www.ancud.ru);
· Аппаратно-программные средства криптографической защиты информации М-502 и «Щит» (разработчик - ФГУП «Концерн «Системпром»», своего сайта не имеет, контактную информацию см., например, на http://www.fstec.ru/doc/perech/perech_cfo.htin).
Дата добавления: 2018-02-28; просмотров: 1274; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!