- •Государственная система защиты информации
- •Нормативные требования по защите информации
- •Необходимость и цели защиты информации
- •Основные принципы организации защиты информации от нсд и обеспечения ее конфиденциальности
- •Общие сведения
- •Технические и организационные требования.
- •Особенности защитных функций комплекса.
- •Построение системы защиты информации на основе комплекса.
- •Подсистема управления доступом.
- •Подсистема регистрации и учета.
- •Подсистема обеспечения целостности.
- •Состав комплекса
- •Аппаратные средства
- •Программные средства
- •Принцип работы комплекса.
- •Поставка комплекса.
- •Установка и настройка комплекса.
- •Управление защитой информации.
- •Правовые аспекты применения комплекса.
- •Заключение
- •Приложения Приложение 1. Формирование и поддержка изолированной программной среды.
- •Приложение 2. Перечень нормативных документов, используемых при организации защиты информации с использованием комплекса "Аккорд".
- •Приложение 3. Методика определения требуемой (целесообразной) длины пароля, используемого в комплексе "Аккорд" при аутентификации.
- •Приложение 4. Алгоритм вычисления хэш-функции, применяемый в комплексе "Аккорд"
Подсистема обеспечения целостности.
Предназначена для исключения несанкционированных модификаций (как случайных, так и злоумышленных) программной среды, в том числе программных средств комплекса, обрабатываемой информации, обеспечивая при этом защиту ПЭВМ от внедрения программных закладок и вирусов. В комплексе "Аккорд" это реализуется:
- проверкой целостности назначенных для контроля системных файлов, в том числе КСЗИ НСД, пользовательских программ и данных;
- контролем обращения к операционной системе напрямую, в обход прерываний DOS;
- исключением возможности использования ПЭВМ без контроллера комплекса;
- механизмом создания замкнутой программной среды, запрещающей запуск
привнесенных программ, исключающей несанкционированный выход в ОС.
При проверке на целостность вычисляется контрольная сумма файлов и сравнивается с эталонным (контрольным) значением, хранящимся в ТМ-идентификаторе пользователя. Эти данные заносятся при регистрации пользователя и могут изменяться в процессе эксплуатации ПЭВМ. В комплексе "Аккорд" используется сложный алгоритм расчета контрольных сумм - вычисление значения их хэш-функций - исключающий факт необнаружения модификации файла (Приложение 4). Эталонное (контрольное) значение хэш-функции контрольной суммы хранится вне ПЭВМ, в ТМ-идентификаторе пользователя, и этим защищается от несанкционированной модификации. Защита от модификации программы расчета хэш-функций обеспечивается тем, что она хранится в микросхеме ПЗУ контроллера комплекса.
Состав комплекса
Комплекс "Аккорд" включает программные и аппаратные средства.
Аппаратные средства
- одноплатный контроллер(ТУ РБ 28591037.001-95), устанавливаемый в свободный слот материнской платы ПЭВМ;
- контактное устройство - съемник информации (4012-003-11443195-97 93). Устанавливается обычно на передней панели ПЭВМ в отверстие, высверливаемое в заглушке на зарезервированном месте для дисковода, либо в другом подходящем месте (в зависимости от модификации съемника). Предусматривается установка внешнего съемника. При этом подключение осуществляется к задней планке контроллера посредством разъема RJ-11;
- интеллектуальный персональный идентификатор DS 199X ("Touch memory" - "Память касания") - ТМ-идентификатор. Представляет собой полупассивное микропроцессорное устройство, снабженное элементом питания, в виде "таблетки" диаметром 16 мм и толщиной 3-5 мм в удобной пластмассовой (металлической) оправке. Каждый ТМ-идентификатор обладает уникальным номером (48 бит), который формируется технологически и подделать который практически невозможно. Объем памяти, доступной для записи и чтения составляет до 64 Кбит в зависимости от типа идентификатора. Срок хранения записанной информации, обеспечиваемый элементом питания, - не менее 10 лет.
Количество и тип ТМ-идентификаторов, модификации контроллера и контактного устройства оговаривается при поставке комплекса.
Программные средства
Состав программных средств СЗИ "Аккорд 1.95" приведен в Таблице 2.
|
№ пп |
Имя файла |
Назначение файла |
|
1 |
ACCORD.INI |
Файл настроек программной части |
|
2 |
ACCORD.AMZ |
База данных пользователей (создается после первого запуска программы ACED.EXE) |
|
3 |
ACED32.EXE |
Редактор прав доступа |
|
4 |
ACED32N.HLP |
Файл справки редактора прав доступа |
|
5 |
ACIA45.EXE |
Интерфейс с БД пользователей контроллера 4.5 |
|
6 |
ACIA4PP.EXE |
Интерфейс с БД пользователей контроллера 4++ |
|
7 |
ACIA5.EXE |
Интерфейс с БД пользователей контроллера 5 |
|
8 |
ACIADRV.VXD |
Интерфейс с БД пользователей (Windows модуль) |
|
9 |
ACRUN.386 |
Монитор безопасности (Windows модуль) |
|
10 |
ACRUN.EXE |
Монитор безопасности (DOS модуль) |
|
11 |
ACRUN.OVR |
Монитор безопасности (оверлейные модули) |
|
12 |
AMDZ45.SYS |
Драйвер блокировки клавиатуры и передачи результатов И/А от контроллера 4.5 монитору безопасности |
|
13 |
AMDZ4PP.SYS |
Драйвер блокировки клавиатуры и передачи результатов И/А от контроллера 4++ монитору безопасности |
|
14 |
AMDZ5.SYS |
Драйвер блокировки клавиатуры и передачи результатов И/А от контроллера 5 монитору безопасности |
|
15 |
EDS32.DLL |
Библиотека функций контроля целостности |
|
16 |
LOGBASE.EXE |
Программа сортировки журналов регистрации |
|
17 |
LOGTOPRD.EXE |
Программа формирования ПРД на основе журнала |
|
18 |
LOGVIEW.EXE |
Программа просмотра журналов регистрации |
|
19 |
MSS.SS |
Заставка-хранитель экрана для режима MS DOS |
|
20 |
SS1236.SS |
Заставка-хранитель экрана для режима MS DOS |
|
21 |
TMAC45.EXE |
Драйвер контроллера 4.5 |
|
22 |
TMAC4PP.EXE |
Драйвер контроллера 4++ |
|
23 |
TMAC5.EXE |
Драйвер контроллера 5 |
|
24 |
TMATTACH.DLL |
Библиотека для работы с ТМ-идентификаторами из Windows |
|
25 |
TMDRV32.DLL |
Библиотека для работы с контроллерами «Аккорд» из Windows |
|
26 |
TMTEST.EXE |
Диагностика ТМ-идентификаторов |
|
27 |
UNZDLL.DLL |
Библиотека для разархивирования журналов |
|
28 |
USRTOAZ.DLL |
Библиотека синхронизации БД пользователей в контроллере и программной части |
|
29 |
ZIPDLL.DLL |
Библиотека для архивирования журналов регистрации |
|
|
ВСЕГО: файлов –29 |
|
Программный интерфейс к контроллеру комплекса, включающий в себя объектные модули и модули заголовков для Borland Pascal v.7.0 и Borland C++, а также примеры использования интерфейса предоставляются бесплатно. При этом необходимо предоставить официальное письмо с запросом на имя директора ОКБ САПР.