Операционная система MS DOS

МОДЕЛИ БЕЗОПАСНОСТИ ОС

Создание замкнутой программной среды

Большая часть угроз, связанных с безопасностью потоков информации, исходит от программной среды, в которой средству защиты или крипто­графическому приложению приходится работать. При этом обеспечение безопасной окружающей среды разбивается на две области:

• создание замкнутой программной среды. Она обеспечивает защиту от негативного влияния прикладного и системного ПО, возникающего в связи с потенциальной опасностью внедрения в программную сре­ду программ-закладок, вирусов, программ-шпионов и т.д;

• создание доверенной программной среды. В рамках данного пункта обеспечивается анализ программной среды на наличие недокументи­рованных возможностей и ошибок, способных оказать негативное вли­яние на безопасность функционирования средств защиты.

Очевидно, что для различных операционных систем (ОС) создание замкнутой программной среды будет заключаться в различных подходах и применении различных средств.

Операционная система MS DOS

В этой однозадачной системе любая программа располагает всей свободной памятью и всеми ресурсами. Опасность для криптографического приложе­ния может исходить со стороны несанкционированных драйверов и ре­зидентных программ, перехватывающих прерывания. В связи с этим для MS DOS необходимо выполнение следующих требований к окружающей среде:

• доверенная загрузка ОС, означающая гарантированную загрузку с ле­гального носителя с идентификацией пользователя и контролем его прав на доступ к ресурсам;

• контроль целостности ОС и библиотек на этапе доверенной загрузки;

• контроль запуска задач - запуск задач только из фиксированного списка.

При формулировке дальнейших требований к окружающей среде бу­дем исходить из того, что средства защиты не оставляют за собой «опас­ных следов» в памяти и дисках. В связи с этим единственной ситуаци­ей, при которой «опасные следы» могут сохраниться на диске, является аварийная ситуация, связанная с обесточиванием. Именно при отсут­ствии питания на диске в потерянных кластерах может остаться откры­тая информация из временных файлов. Отсюда вытекают следующие требования: а) при восстановлении питания сборка потерянных клас­теров после запуска системы на правах санкционированного доступа может осуществляться только с применением санкционированных про­граммных средств; б) последующее шифрование (если информация в по­терянных кластерах представляет ценность) или физическое затира­ние потерянных кластеров; в) удаление затертого файла с потерянными кластерами.

Заметим, что затирание может быть сведено к шифрованию на случай­ном ключе с последующим его обнулением.