Емельянова Н.З., Партыка Т.Л., Попов И.И. - Защита информации в персональном компьютере (Профессиональное образование) - 2009
.pdfлинии кэш-памяти, типа встроенного сопроцессора и т. д. Суще ствует семь возможных вариантов настройки, из которых укажем следующие:
• Standard CMOS Setup (основные установки CMOS) — от вечает за установку стандартных встроенных аппаратных компонентов, определение оперативной памяти, а также за установку времени и даты;
• Advanced CMOS Setup (дополнительные установки CMOS) — обеспечивает конфигурацию различных устано вок при старте ПК и, кроме того, позволяет расположить в верхней части стандартной памяти системную область ROM BIOS;
• Advanced Chipset Setup (дополнительные установки системной платы) — служит для установки опций Chipset.
В процедуре Standard-CMOS-Setup в системе AMI BIOS ус танавливаются — дата и текущее время, параметры жесткого диска или дисковода, изменения используемой видеокарты и ха рактеристики клавиатуры.
Обычно для начала настройки необходимо после включения ПК внимательно следить за экраном и, как появится предложе ние о переходе к BIOS, нажать клавишу <Del>. Вызывается программа настройки BIOS и появляется основное меню. Далее выбирается пункт Standard-CMOS-Setup, нажимается <Enter>,
в результате появляется диалоговое окно программы
Standard-CMOS-Setup. Если нажать <Esc>, то можно вернуть ся в главное меню BIOS. Если же нужно перейти к настройке, то достаточно нажать на любую клавишу (кроме <Esc>) и пе рейти в диалоговое окно программы настройки. Далее с исполь зованием клавишей перемещения курсора выбирается поле вво да, в котором нужно произвести изменения. После завершения работы нажатием клавиши <Esc> происходит выход в главное меню AMI BIOS. Для заполнений новых значений необходимо выбрать пункт меню W R I T E т о C M O S A N D E X I T . После нажатия клавиши <Y> данные записываются в CMOS-RAM. Далее систе ма автоматически перезагружается с измененными или допол ненными данными.
Для того чтобы повторно вызвать диалоговое окно програм мы настройки Standard CMOS, можно выполнить следующие действия:
1)<Ctrl> + <Alt> + <Del>;
2) <Del>, вход в BIOS-Setup;
3)выбор Standard-CMOS-Setup, <Enter>;
4)<Esc> — переход в диалоговое окно.
Мы здесь не рассматриваем тонкости конфигурирования сис темы и не затрагиваем вопросы, связанные с конфигурированием программных средств (оптимальное согласование ОС с техниче скими средствами, правильное использование различных сервис ных программ), ограничиваясь указанием возможностей защиты ПК средствами BIOS. Здесь предусмотрены следующие возмож ности.
Антивирусная защита
Boot Virus Detection. Определение вируса в загрузочном секторе. Смысл этого параметра отличается от virus Warning и заключается он в следующем. Если этот параметр отключен (Disabled), то до загрузки операционной системы BIOS пере писывает загрузочный сектор во флэш-память и сохраняет его там. Но при этом никаких последствий для системы и пользова теля не возникает. При установке параметра в Enabled BIOS не будет загружать систему с жесткого диска, если содержимое boot-сектора будет отличаться от сохраненного в памяти. При этом система выводит сообщение, и пользователю далее предос тавляется возможность либо загрузить систему с жесткого диска, либо с дискеты.
virus warning. Предупреждение о вирусе. Разрешение это го параметра (Enabled) запрещает любую запись в загрузочный сектор жесткого диска или таблицу разделов (partition table). При попытке изменения этих областей BIOS останавливает систему с выводом на экран монитора соответствующего сообщения, а также звукового сигнала. При этом пользователь может либо разрешить запись, либо запретить ее.
Опция введена для защиты от так называемых boot-вирусов, поражающих загрузочный сектор. Стандартные действия при этом — запуск антивирусных программ, прежде всего с защи щенных дискет.
Эта опция должна быть обязательно отключена при форма тировании жесткого диска, при вводе команды fdisk /mbr, при инсталляции операционных систем. Кроме того, некоторые ди агностические программы при обращении к boot-сектору могут вызвать появление сообщения о «вирусной атаке», что не отра жает реальную ситуацию. Применение этой функции не имеет смысла в случае использования SCSI- и ESDI-дисков, поскольку они используют собственный BIOS на контроллере.
Защита от НСД
Change password — смена пароля (с помощью пароля мож но защитить Setup от несанкционированного доступа);
Security Option/Password Checking Option (условия проверки пароля) — с помощью этой функции можно включать запрос пароля. При этом имеются различные степени защиты. Выбор System блокирует загрузку компьютера и доступ к BIOS Setup. Вход в систему тогда возможен только при вводе пра вильного пароля. Выбор Setup (по умолчанию) не ведет к бло кировке загрузки ПК, но блокирует вход в BIOS Setup. Оба ука занных значения рассматриваемой опции могут активизировать ся лишь в том случае, если в главном меню системной BIOS одновременно задан пароль для администратора и пользователя.
Функция Password не имеет в BIOS надежной защиты. Ее можно аннулировать путем отключения батареи или изменить с помощью различных программ.
Средства криптографического закрытия
Шифраторы жестких дисков серии Криптон. Аппаратно-про граммные комплексы криптографической защиты данных (уст ройства криптографической защиты данных — УКЗД — М-544 («Криптон-IDE»), М-591 («Криптон-USB») и М-575 («Крип- тон-SATA») (табл. 4.8) — предназначены для защиты информа ции (в том числе и с высокими грифами секретности) на дисках компьютера и защиты от несанкционированного доступа (НСД) к ресурсам компьютера. В состав комплексов входит модуль проходного аппаратного шифратора серии «Криптон» и подсис тема защиты от НСД на базе аппаратно-программного модуля доверенной загрузки «Криптон-Замок».
В состав аппаратно-программных комплексов входят модуль шифратора жесткого диска и подсистема защиты от НСД на базе аппаратно-программного модуля доверенной загрузки.
Защиту информации в комплексах осуществляет модуль про ходного аппаратного шифратора (в соответствии с алгоритмом ГОСТ 28147—89) методом «прозрачного» шифрования данных, передаваемых между хост-контроллером на системной плате компьютера и НЖМД или флэшь-накопителем.
Устройства «Криптон» гарантируют защиту информации, об рабатываемой на персональном компьютере и/или передаваемой
Таблица 4.8. Аппаратно-программные комплексы криптографической защиты
Программно-тех
Функции/общий вид изделия
ническое изделие
Криптон-IDE
Подсистема защиты данных при работе с жестким диском
Криптон 8 (PCI)
Криптон-USB
Криптон-4/PCI
Принципы функционирования и характеристики
Разграничение доступа пользователей к аппаратным ресурсам рабочего места на страивается администратором на основе настройки индивидуальных прав (полно мочий) каждого пользователя. Интерфейс Ж М Д: АТА/АТАРІ-6 для IDE устройств и ANSI хЗ.298— 1997
Алгоритм шифрования: ГОСТ 28147— 89. Скорость шифрования: 70 Мбит/с
Шифрование реализуется аппаратно. Система защиты от НСД устанавливается на компьютер и обеспечивает контроль доступа пользователя к компьютеру и кон троль загружаемой операционной системы (ОС)
Изделие М-591 (Комплекс «Крип
тон-USB») предназначено для защиты ин формации, хранящейся на устройствах FLASH DISK, путем ее аппаратного шифро вания при передаче информации между хост-контроллером USB и FLASH DISK,
а также для защиты компьютера от НСД. Интерфейс: USB 2.0.
Скорость шифрования: 48 Мбит/с
Сертификаты ФСБ: № С Ф /527-0719 от 01.08.2004, № С Ф /120 -0733 от 02.08.2004 (в составе СКЗИ «КриптонШифрование»), № СФ /121 -0768
от 14.03.2005 (в составе СКЗИ «КриптонПодпись»), № С Ф /124-0744 от 01.11.2004 (в составе СКЗИ Crypton ArcMail)
Crypton Emulator Пакет программ Crypton |
Эмулятор обеспечивает шифрование по |
Emulator обеспечивает про |
алгоритму ГОСТ 28147 — 89, по функциям |
граммную эмуляцию функций |
шифрования эмулятор полностью совмес |
шифрования УКЗД серии |
тим с УКЗД серии «Криптон». Таким обра |
«Криптон» в следующих опера |
зом, возможна замена аппаратного УКЗД |
ционных системах: |
«Криптон» его программным эмулятором |
ОС W indow s-95/98/M e/l\IT 4 .0/ |
без какого-либо изменения программного |
2000/Х Р/2003; |
обеспечения, использующего УКЗД «Крип |
Solaris 2.x, 7, 8 (для архитектур |
тон» или Crypton Emulator |
х86, Sparc); |
|
Linux 2.2, 2.4, 2.6 |
|
Продолжение табл. 4.8
Программно-тех ническое изделие
Криптон-SATA
Криптон IP
Функции/общий вид изделия
Криптографический маршрути затор Криптон-IP предназна чен для построения защищен ных виртуальных частных се тей (VPN), позволяющих объединять локальные компь ютерные сети путем передачи данных через глобальные сети открытого доступа (например, Internet). Криптон-IP обеспечи вает маршрутизацию IP-паке тов в глобальных сетях и их конфиденциальность, а также защищает локальные сети
Принципы функционирования и характеристики
Интерфейс Ж М Д: Serial АТА 1/0. Алгоритм шифрования: ГОСТ 28147— 89. Скорость шифрования: 240 Мбит/с
Криптографическая защита данных реали зована методом прозрачного шифрования IP-пакетов при обмене ими по открытым каналам связи. Для защиты от НСД локаль ных компьютерных сетей используются методы фильтрации IP-пакетов по опреде ленным правилам с аутентификацией их источников и получателей, а также методы сокрытия ІР-адресов. Криптон-IP позволя ет также осуществлять криптографическую защиту файлов данных. Для контроля це лостности и авторства файлов формирует ся их электронная цифровая подпись (ЭЦП). Криптографическим ядром Крип тон-IP является аппаратный шифратор Криптон-4К/16 (в программно-аппаратной конфигурации) или программный шифра тор Crypton LITE (в программной конф игу рации)
Криптопровай |
Предназначен для использова |
Используется в ОС Windows 2003/Х Р /2000, |
дер КриптоПро |
ния в специальных приложени |
Solaris 9 Update 7, FreeBSD 5, Red Hat |
C S P 3 .0 |
ях (шифраторы ІР-протокола, |
Linux 7/9; микроархитектуры процессо |
|
файловой системы и т. д.). М о |
ров — IA64, X86, Sparc. |
|
ж ет использоваться для фор |
Для всех перечисленных платформ в со |
|
мирования ключей шифрова |
став КриптоПро CSP 3.0 входит модуль |
|
ния и ключей электронной |
уровня ядра операционной системы (крип |
|
цифровой подписи, шифрова |
тодрайвер), что позволяет использовать |
|
ния и имитозащиты данных, |
основные криптографические функции |
|
обеспечения целостности и |
(шифрование/расшифрование, проверка |
|
подлинности информации |
подписи, хэширование) на уровне ядра |
|
|
операционной системы |
Верба W, |
Динамические библиотеки |
СКЗИ «Верба-W » использует симметрич |
Верба 0W |
СКЗИ «Верба-W» («Вер- |
ные ключи шифрования и асимметричные |
|
ба-O W ») предназначены для |
ключи для подписи. СКЗИ «Верба-OW » ис |
|
встраивания в прикладное про |
пользует принцип открытого распределе |
|
граммное обеспечение, в ре |
ния ключей шифрования и электрон- |
|
зультате чего к функциям |
но-цифровой подписи |
|
|
|
Окончание табл. 4.8 |
Программно-тех- |
ф |
/общий м д изделия |
Принципы функционирования |
ническое изделие |
|
3 |
и характеристики |
Верба W, |
ПО добавляются возможности |
|
|
Верба 0W |
шифрования файлов и облас |
|
|
|
тей оперативной памяти, фор |
|
|
мирования и проверки элек тронной цифровой подписи в соответствии с российскими стандартами ГОСТ Р 34.10— 94, ГОСТ Р 34.11— 94, ГОСТ 28147— 89
по открытым каналам связи и выполнены в виде плат расшире ния ISA и PCI персонального компьютера. Особенности уст ройств серии «Криптон»:
•аппаратная реализация алгоритма криптографического преобразования гарантирует целостность алгоритма;
•шифрование производится и ключи шифрования хранятся
в самой плате, а не в оперативной памяти компьютера;
•используется аппаратный датчик случайных чисел;
•загрузка ключей шифрования в устройство «Криптон» со смарт-карт и идентификаторов Touch Memory (i-Button) производится напрямую, минуя ОЗУ и системную шину компьютера, что исключает возможность перехвата ключей;
•на базе устройств Криптон можно создавать системы защи ты информации от несанкционированного доступа и раз граничения доступа к компьютеру;
•применение специализированного шифропроцессора для выполнения криптографических преобразований разгружа ет центральный процессор компьютера; возможна также установка на одном компьютере нескольких устройств «Криптон», что еще более повысит скорость шифрования (для устройств с шиной PCI);
•использование парафазных шин в архитектуре шифропро цессора исключает угрозу снятия ключевой информации по возникающим в ходе криптографических преобразова ний колебаниям электромагнитного излучения в цепях
«земля—питание» микросхемы.
Динамические библиотеки СКЗИ (система криптографической защиты информации) «Верба». Криптографические библиотеки в первую очередь предназначены для встраивания в прикладное
программное обеспечение заказчика. Для этих целей в комплект поставки включается подробное описание функций и рекомен даций по построению защищенных систем (см. табл. 4.8).
В частности, известны следующие приложения, в состав которых встроены СКЗИ «Верба-W» и «Верба-OW»: АРМ шифрования и ЭЦП (Файловый Криптоменеджер), защищен ная электронная Internet-почта «Курьер», система защиты HTTP-протокола «Корвет», Криптографический Сервер с сис темой управления ключами, защищенная электронная почта Х.400, текстовый процессор Лексикон, система документообо рота БОСС-Референт.
Основные функции библиотек:
•формирование электронной цифровой подписи файла/бло ка памяти;
•проверка ЭЦП файла/блока памяти;
•удаление подписи;
•формирование до 255 ЭЦП для одних исходных данных;
•выработка значения хэш-функции файла/блока памяти;
•зашифрование/расшифрование файлов/блоков памяти;
•одновременное зашифрование файлов/блоков памяти в ад рес множества абонентов;
•получение имитовставки для файла/блока памяти;
•формирование случайного числа заданной длины. Библиотеки предоставляют возможность формирования и
администрирования справочников открытых ключей шифрова ния и ЭЦП соответственно и обеспечивают выполнение следую щих функций при работе со справочниками:
•добавление и удаление открытого ключа;
•получение атрибутов открытого ключа по идентификатору и наоборот;
•контроль целостности справочника открытых ключей;
•контроль целостности открытого ключа.
Средства защиты от утечки информации по каналам ПЭМИН
Данный тип средств защиты ориентирован на изоляцию или подавление каналов несанкционированного съема информации, образующихся за счет побочных электромагнитных излучений и наводок (табл. 4.9).
Таблица 4.9. Устройства подавления и изоляции каналов ПЭМИН
Программно-техниче ское изделие
«Соната-РК1» — устройство комби нированной защиты объектов информа тизации от утечки информации
Пелена-6У — по становщик радиопомех
Функции/общий вид изделия
J
Защита информации, обрабатывае мой основными техническими средст вами и системами до 1 категории включительно, от утечки по ПЭМИН путем постановки маскирующих помех
Предотвращение несанкционирован ного получения информации с ис пользованием малогабаритных радио передатчиков, а также для защиты от радиоуправляемых взрывных уст ройств. М ожет использоваться для подавления устройств сотовой, транкинговой, пэйджинговой связи
Принципы функционирования и характеристики
Эффективное и недорогое ре шение задачи комплексной за щиты («ЭМ И + наводки + утечка по сети электропитания») оди ночного технического средства в ситуациях, когда остро стоит проблема помех, создаваемых генераторами маскирующего шума. Является комбинацией фильтра поглощающего типа, ге нераторов шумового тока с кор ректировкой спектра и регули ровкой интегрального уровня и элементов антенной системы
Принцип работы основан на по становке шумовой помехи в ши роком диапазоне частот
Генератор радиошу |
Является техническим средст |
ма переносной SEL |
вом активной защиты информа |
S P -21В2 «Спектр» |
ции от утечки по радиоканалу и |
|
обеспечивает маскировку ин |
|
формативных побочных элек |
|
тромагнитных излучений ПЭВМ |
|
и периферийного оборудования, |
|
а также подавление приемников |
Предназначен для формирования |
дистанционного управления по |
радиоканалу в радиусе не менее |
|
маскирующего широкополосного ра |
30 м. Генератор может быть ис |
диоизлучения |
пользован как в помещениях, |
|
так и в полевых условиях |
Программно-техниче-
Функции/общий вид изделия
ское изделие
ГНОМ-3, ЗМ
Шумогенераторы маскировки ПЭМИН
ГШ-К-ЮООМ
Генератор шума для подавления ПЭМИН
Окончание табл. 4.9
Принципы функционирования и характеристики
Предназначены для защиты ин формации от утечки, обуслов ленной побочными электромаг- ; нитными излучениями и навод- !• ками ПЭВМ и других средств обработки информации
Предназначен для защиты ПК от | утечки информации за счет ПЭМИН. Выполнен в виде слото-1! вой платы (0,1 ...1000 МГц). Сер тификат ФСТЭК РФ
SELSP-21 «Баррикада»
Система пространственного электро магнитного зашумления (система ак тивной защиты). Предназначена для предупреждения перехвата инф орма тивных побочных электромагнитных излучений и наводок при обработке информации ограниченного распро странения в средствах вычислитель ной техники
Генератор шума ЛГШ -501
Предназначен для работы в составе системы активной защиты информа ции (САЗ), обрабатываемой на объек тах ЭВТ второй и третьей категорий
Устройство генерирует широко полосный шумовой электромаг нитный сигнал и обеспечивает маскировку побочных электро магнитных излучений средств офисной техники, защиту от подслушивающих устройств, пе редающих информацию по ра диоканалу (некварцованных, мощностью до 5 мВт). Уровень шумового сигнала позволяет блокировать сотовую связь на расстоянии до 5 м
Генератор радиопомех ЛГШ-501 |
|
САЗ обеспечивает защиту ин |
|
формации от утечки по каналам |
|
ПЭМИН путем создания широко |
|
полосной шумовой электромаг |
|
нитной помехи в диапазоне час- |
! |
тот от 0,01 до 1800 МГц. |
|
Принцип работы САЗ на базе ге |
|
нератора Л ГШ -501: создание на |
|
границе контролируемой зоны |
j; |
шумовой помехи, которая за |
|
шумляет побочные излучения |
|і |
защищаемого объекта |
5 |
Некоторые другие программно-технические изделия
В заключение приведем характеристики выборочного списка (табл. 4.10) программно-технических изделий, ориентированных на обеспечение зашиты информации в ПК.
Таблица 4.10. Некоторые программно-технические изделия, предназначенные
для защиты информации в ПК
Программно-техническое изделие
zbackup — защита информации при ре зервном копировании
Функции/общий вид изделия
Зашифровка данных при запи си на ленту, CD или DVD и рас шифровка при чтении. Ключи шифрования хранятся на смарт-карте, защищенной
PIN-кодом. Три попытки непра вильного ввода PIN-кода бло кируют карту. Предоставляется возможность удаленного ввода ключей шифрования и админи стрирования системы с любой рабочей станции локальной сети или через Internet
Принципы функционирования и характеристики
Использование для шифрования данных криптостойких алгоритмов шифрования с длиной ключа от 128 бит. Возможность подключения сертифицированного ФАПСИ крип тографического модуля или платы «Криптон», реализующих алгоритм
шифрования ГОСТ 28147 — 89 с дли ной ключа 256 бит. Формирование уникальных ключей шифрования на основе последовательности случай ных чисел. Возможность подачи сиг нала «тревога»
z d i s к — защита дан ных в ноутбуках и на Н Ж М Д
Защита в ситуации похищения ноутбука или изъятия Н Ж М Д и подключения его к другому компьютеру
Создание на НЖ М Д защищенной об ласти — виртуального логического диска, где информация хранится в зашифрованном виде и доступна только по ключу шифрования. Для работы с защищенными данными следует воспользоваться электрон ным ключом и ввести пароль. После с виртуальным диском можно рабо тать так же, как с обычным НЖ М Д или съемным USB-диском. Пароль для «входа под принуждением» по зволяет в экстренной ситуации сы митировать системный сбой и поте рю защищенных данных
zserver — шифроЗащита в случае физического вание данных на диске доступа злоумышленника к но
сителю с конфиденциальной информацией в случаях: раз мещение серверов в стороннем центре данных;
Защита информации, размещенной на НЖ МД, на дисковых массивах (RAID-массивы любых конфигура ций) и в хранилищах SAN методом прозрачного шифрования