7 страница. Win32-nporpaммыi могут обращаться к функциям драйвера-эмулятора с помощью программного интерфейса Crypton API

Win32-nporpaммыi могут обращаться к функциям драйвера-эмулятора с помощью программного интерфейса Crypton API. Драйвер-эмулятор

обеспечивает также возможность использования прерывания Ох4С в DOS- сессии Windows 95/98 или Windows NT 4.0. Драйвер-эмулятор находится на уровне ядра операционной системы, и все запросы на шифрование или расшифрование проходят через него при отсутствии в компьютере платы шифрования.

Входными данными для драйвера-эмулятора являются главный ключ (мастер-ключ) и узел замены (секретный элемент, определяющий заполнение блока подстановки в алгоритме ГОСТ 28147-89). Для инициализации драйвера- эмулятора необходимо загрузить базовые ключи ГК и УЗ с защищенной ключевой дискеты. Эта загрузка выполняется с помощью специальной утилиты, поставляемой вместе с драйвером-эмулятором. В зависимости от применяемой операционной системы обмен данными между приложением Win32 или DOS и драйвером-эмулятором ведется двумя разными способами.

Рассмотрим, в частности, особенности обмена данными в Windows NT. При обращении приложения Win32 к драйверу-эмулятору запрос от приложения Win32 проходит три уровня:

1) уровень приложений;

2) уровень, обеспечивающий интерфейс приложений с драйвером;

3) уровень ядра ОС.

Драйвер эмулирует работу платы шифрования, т.е. каждое Win32- приложение имеет собственную виртуальную плату шифрования со своими ключами К1 и К2, однако ГК и УЗ являются общими для всех приложений.

Программные продукты фирмы АНКАД, совместимые с Crypton Emulator, позволяют эффективно решать разнообразные задачи защиты информации в компьютерных системах и сетях.

4.3. Системы защиты информации от несанкционированного доступа

Система криптографической защиты информации от НСД КРИПТОН-ВЕТО

Система предназначена для защиты ПК с процессором не ниже 386, работающего под управлением MS DOS 5.0 и выше, Windows 3.1. Персональный компьютер при этом может использоваться в качестве:

• абонентского пункта;

• центра коммутации пакетов;

• центра выработки ключей.

Система ограничивает круг лиц и их права доступа к информации на персональном компьютере. Ее реализация основана на технологиях "прозрачного" шифрования логических дисков по алгоритму ГОСТ 28147-89 и электронной цифровой подписи по ГОСТ 34.10/11-94. Согласно требованиям

ГТК России ее можно отнести к СЗ НСД класса 1В-1Б. (Сертификат №178 от 29 апреля 1998 г. на соответствие классу 1В, выдан ГТК при президенте Российской Федерации. Система также передана на сертификацию в ФАПСИ.)

В состав основных функций системы КРИПТОН-ВЕТО включены следующие (рис. 4.2):

• обеспечение секретности информации в случае кражи "винчестера" или ПК;

• обеспечение защиты от несанкционированного включения компьютера;

• разграничение полномочий пользователей по доступу к ресурсам компьютера;

• проверка целостности используемых программных средств системы в момент включения системы;

• проверка целостности программы в момент ее запуска на выполнение;

• запрещение запуска на выполнение посторонних программ;

• ведение системного журнала, регистрирующего события, возникающие в системе;

• обеспечение "прозрачного" шифрования информации при обращении к защищенному диску;

• обнаружение искажений, вызванных вирусами, ошибками пользователей, техническими сбоями или действиями злоумышленника.

Основным аппаратным элементом системы являются серийно выпускаемые аттестованные ФАПСИ платы серии КРИПТОН, с помощью которых проверяется целостность системы и выполняется шифрование по ГОСТ 28147-89. Система предполагает наличие администратора безопасности, который определяет взаимодействие между управляемыми ресурсами:

• пользователями;

• программами;

• логическими дисками;

• файлами (дискреционный и мандатный доступ);

• принтером;

• дисководами.

Рисунок 4.2 - Структура системы КРИПТОН-ВЕТО

Система обеспечивает защиту следующим образом. Жесткий диск разбивается на логические диски. Первый логический диск (С:) отводится для размещения системных программ и данных; последний логический диск-для размещения СЗИ НСД и доступен только администратору. Остальные логические диски предназначены для хранения информации и программ пользователей. Эти диски можно разделить по пользователям и/или по уровню секретности размещаемой на них информации. Можно выделить отдельные диски с информацией различного уровня секретности (доступ к таким дискам осуществляется с помощью специальной программы, проверяющей допуск пользователя к документам-файлам). Сначала администратор устанавливает уровень секретности диска, а затем определяет круг лиц, имеющих доступ к этому диску. По форме хранения информации диски подразделяются на открытые и шифруемые; по уровню доступа - на доступные для чтения и записи, доступные только для чтения, недоступные (заблокированные).

Недоступный диск делается невидимым в DOS и, следовательно, не провоцирует пользователя на несанкционированный доступ к нему. Доступный только для чтения диск можно использовать для защиты не только от целенаправленного, но также от непреднамеренного (случайного) искажения (удаления) информации. Открытый диск ничем не отличается от обычного логического диска DOS. Очевидно, что системный диск должен быть открыт. Для шифруемых дисков используется шифрование информации в прозрачном режиме. При записи информации на диск она автоматически шифруется, при чтении с диска автоматически расшифровывается. Каждый шифруемый диск имеет для этого соответствующий ключ. Последнее делает бесполезными попытки улучшения своих полномочий пользователями, допущенными на ПК, поскольку они не имеют ключей доступа к закрытым для них дискам. Наличие шифрования обеспечивает секретность информации даже в случае кражи жесткого диска.

Для допуска к работе на ПК администратором формируется список пользователей, в котором:

• указывается идентификатор и пароль пользователя;

• определяется уровень допуска к секретной информации;

• определяются права доступа к логическим дискам.

В дальнейшем только администратор может изменить список пользователей и их полномочия.

Для исключения возможности установки на ПК посторонних программ с целью взлома защиты администратор определяет перечень программ, разрешенных к запуску на данном компьютере. Разрешенные программы подписываются администратором электронно-цифровой подписью (ЭЦП). Только эти программы могут быть запущены в системе. Использование ЭЦП одновременно с наличием разрешения позволяет отслеживать целостность запускаемых программ. Последнее исключает возможность запуска измененной программы, в том числе и произошедшего в результате непредвиденного воздействия "вируса".

Для входа в компьютер используются ключи, записанные на ключевой дискете, смарт-карте или на устройстве Touch-Memory. Ключи изготавливаются администратором системы и раздаются пользователям под расписку.

Для исключения загрузки компьютера в обход СЗ НСД загрузка осуществляется только с жесткого диска. При включении ПК (до загрузки операционной системы) с "винчестера" аппаратно проверяется целостность ядра системы безопасности КРИПТОН-ВЕТО, системных областей

"винчестера", таблицы полномочий пользователей. Затем управление передается проверенному ядру системы безопасности, которая проверяет целостность операционной системы. Расшифрование полномочий пользователя, ключей зашифрованных дисков и дальнейшая загрузка операционной системы производятся лишь после заключения о ее целостности. В процессе работы в ПК загружены ключи только тех дисков, к которым пользователю разрешен доступ.

Для протоколирования процесса работы ведется журнал. В нем регистрируются следующие события:

• установка системы КРИПТОН-ВЕТО;

• вход пользователя в систему (имя, дата, время);

• попытка доступа к запрещенному диску (дата, время, диск);

• зашифрование диска;

• расшифрование диска;

• перешифрование диска;

• добавление нового пользователя;

• смена полномочий пользователя;

• удаление пользователя из списка;

• сброс причины останова системы;

• попытка запуска запрещенной задачи;

• нарушение целостности разрешенной задачи и т.д.

Журнал может просматриваться только администратором. Для проверки работоспособности системы используются программы тестирования. При необходимости пользователь может закрыть информацию на своем диске и от администратора, зашифровав последнюю средствами абонентского

шифрования.

4.4. Комплекс КРИПТОН-ЗАМОК для ограничения доступа к компьютеру

Комплекс КРИПТОН-ЗАМОК предназначен для построения аппаратнопрограммных средств ограничения доступа к компьютеру с использованием УКЗД серии КРИПТОН. Комплекс позволяет организовать на базе персонального компьютера рабочее место с ограничением круга лиц, имеющих доступ к содержащейся в нем информации.

Для работы комплекса КРИПТОН-ЗАМОК необходим персональный компьютер IBM PC с процессором не ниже i386 и операционной системой-MS DOS, Windows 95/98/NT, UNIX и другими, для которых имеется соответствующий драйвер, позволяющий под управлением MS DOS понимать формат установленной на компьютере файловой системы.

Комплекс служит для защиты компьютеров с жесткими дисками, с файловыми системами в форматах FAT 12, FAT 16, FAT 32, NTFS, UNIX и т.д.

Работа с дисками с файловыми системами FAT 12, FAT 16 и FAT 32 обеспечивается средствами комплекса без дополнительных драйверов. Работа с дисками с нестандартными файловыми системами NTFS, HTFS, UNIX и т.д., не поддерживаемыми операционной системой MS-DOS, может производиться только при наличии на компьютере соответствующих DOS-драйверов. Комплекс КРИПТОН-ЗАМОК выпускается в двух исполнениях:

• для жестких дисков объемом менее 8 Гбайт,

• для жестких дисков объемом более 8 Гбайт.

В базовый состав аппаратно-программных средств ограничения доступа к компьютеру входят:

• УКЗД серии КРИПТОН, поддерживающие режим работы комплекса ЗАМОК;

• комплект драйверов и библиотек УКЗД;

• комплекс ЗАМОК, включающий:

микросхему с программным обеспечением комплекса, устанавливаемую в УКЗД серии КРИПТОН;

инсталляционный дистрибутивный носитель с программным обеспечением, комплекса.

Установленный в персональный компьютер комплекс ограничения доступа КРИПТОН-ЗАМОК выполняет следующие функции:

• ограничивает доступ пользователей к компьютеру путем их идентификации и аутентификации;

• разделяет доступ пользователей к ресурсам компьютера в соответствии с их полномочиями;

• контролирует целостность ядра комплекса, программ операционной среды, прикладных программ и областей памяти в момент включения компьютера до загрузки его операционной системы;

• регистрирует события в защищенном электронном журнале;

• передает управление и параметры пользователя программному обеспечению (RUN-файлам), указанному администратором (например, ПО защиты от несанкционированного доступа).

В соответствии с выполняемыми функциями комплекс КРИПТОНЗАМОК содержит следующие основные подсистемы:

• подсистему управления доступом, состоящую из устройства КРИПТОН и программы обслуживания CRLOCK.EXE;

• подсистему регистрации и учета, включающую два журнала (ап- паратный-на устройстве КРИПТОН, фиксирующий попытки входа в компьютер до запуска его операционной системы, и полный-на жестком диске, в котором после удачного входа в комплекс отображаются все события, в том числе и содержимое аппаратного журнала), управление которыми осуществляется программой обслуживания комплекса CRLOCK.EXE;

• подсистему обеспечения целостности, состоящую из устройства КРИПТОН и программы CHECKOS.EXE, проверяющей целостность главной ОС при работе комплекса.

При этом комплекс КРИПТОН-ЗАМОК обеспечивает выполнение следующих задач:

• в компьютер может войти только санкционированный пользователь;

• загружается достоверное ядро комплекса;

• загружается достоверная операционная система;

• проверяется целостность прикладного ПО, указанного

администратором;

• • производится запуск программ, указанных администратором.

Рассмотрим штатную работу комплекса КРИПТОН-ЗАМОК. В начале

работы с комплексом устройство КРИПТОН при инициализации его ключами с ключевого носителя (дискеты, смарт-карты или Touch Memory) загружает три файла: UZ.DB3 (УЗ, он один для всех пользователей данного компьютера); GK.DB3 (ГК, он уникален для каждого и может быть зашифрован на пароле пользователя) и файл-паспорт пользователя INIT.NSD.

Первые два файла обеспечивают выполнение устройством КРИПТОН криптографических процедур в соответствии с ГОСТ 28147-89 и формируются при помощи любой из программ генерации криптографических ключей, выпускаемых фирмой АНКАД для средств серии КРИПТОН (например, Crypton Soft, Crypton Tools или Сг М^). Файл INIT.NSD уникален для каждого пользователя и используется при входе в комплекс для загрузки и проверки его ядра, поиска пользователя в файле полномочий, его аутентификации и расшифровки его записи. Файл INIT.NSD формируется на ключевом носителе пользователя: для администратора - автоматически программой INSTAL.EXE при установке комплекса на компьютер, а для всех остальных пользователей- администратором при помощи программ CRLOCK.EXE.

Алгоритм работы комплекса КРИПТОН-ЗАМОК включает следующие

шаги:

• УКЗД КРИПТОН инициализируется файлами UZ.DB3 и GK.DB3.

• КРИПТОН загружает файл INIT.NSD и проверяет его целост-, ность по имитовставке. В случае нарушения целостности этого файла или при его отсутствии дальнейшая загрузка компьютера не производится.

• КРИПТОН производит поиск имени вошедшего пользователя в списке пользователей. В случае отсутствия пользователя в списке дальнейшая загрузка компьютера не производится.

• КРИПТОН производит аутентификацию пользователя-проверяет имитовставку его ключа. В случае несовпадения имитовставки пользователь считается несанкционированным и дальнейшая загрузка компьютера не производится.

• КРИПТОН производит загрузку ОС комплекса ЗАМОК с Flash-диска. При загрузке автоматически стартует программа проверки целостности защищаемой ОС компьютера (далее "главной ОС")-CHECKOS.EXE.

• CHECKOS.EXE получает параметры вошедшего пользователя от устройства КРИПТОН и:

- разблокирует клавиатуру;

- проверяет целостность файл-списка;

- проверяет целостность системных областей и файлов главной ОС;

- при наличии RUN-файлов проверяет их целостность и запускает на выполнение;

- по запросу пользователя меняет пароль ключей на его носителе; по запросу администратора запускает программу обслуживания комплекса CRLOCK.EXE;

- при успешном завершении всех проверок CHECKOS.EXE запускает главную ОС.

После загрузки главной ОС компьютера комплекс ограничения доступа к компьютеру прекращает свою деятельность и не вмешивается в дальнейшую работу компьютера (до следующей загрузки).

Далее устройство КРИПТОН может использоваться как обычный шифратор.

Механизм RUN-файлов позволяет в процессе работы комплекса КРИПТОН-ЗАМОК запускать любые программы с предварительной проверкой их целостности. В частности, механизм RUN-файлов может быть использован при проверке файлов, находящихся на логических дисках с нестандартными файловыми системами (NTFS, HPFS, UNIX и т.д.). Другой вариант использования -запуск из под комплекса КРИПТОН-ЗАМОК любого другого программного обеспечения: системы ЗНСД, криптомаршрутизатора,

операционной системы и т.д. На этой основе может быть построена система защиты персонального компьютера с требуемыми свойствами.

Система защиты конфиденциальной информации Secret Disk

Система защиты конфиденциальной информации Secret Disk разработана компанией Aladdin при участии фирмы АНКАД и предназначена для широкого круга пользователей компьютеров: руководителей, менеджеров, бухгалтеров, аудиторов, адвокатов, т. е. всех тех, кто должен заботиться о защите личной или профессиональной информации.

При установке системы Secret Disk на компьютере создаются новые логические диски, при записи на которые информация автоматически шифруется, а при чтении-расшифровывается. Работа с секретными дисками совершенно незаметна и равносильна встраиванию шифрования во все запускаемые приложения (например, бухгалтерскую программу, Word, Excel и т.п.).

В системе Secret Disk используется смешанная программно-аппаратная схема защиты с возможностью выбора, соответствующего российским нормативным требованиям криптографического алгоритма ГОСТ 28147-89 с длиной ключа 256 бит (программный эмулятор платы КРИПТОН или криптоплата КРИПТОН фирмы АНКАД).

Следует отметить, что применяемая в этой версии системы Secret Disk плата КРИПТОН сертифицирована ФАПСИ для защиты государственной тайны и поставляется по отдельному запросу фирмой АНКАД.

Система Secret Disk допускает также подключение внешнего криптомодуля того стандарта и с той длиной ключа, которую пользователь считает возможной для своих приложений.

Важная особенность системы Secret Disk заключается в том, что для доступа к защищенной информации необходим не только вводимый пользователем пароль, но и электронный идентификатор. В качестве такого идентификатора может использоваться обычный электронный ключ для параллельного порта, карточка PCMCIA для ноутбуков или смарт-карта (в этом случае необходимо установить в компьютер специальный считыватель смарт- карт).

Система Secret Disk подключается только после того, как пользователь введет пароль и система обнаружит соответствующий идентификатор. Поэтому, если пользователь вытащит из компьютера электронный ключ, злоумышленникам не поможет даже знание пароля.

При работе в критических ситуациях (например, под принуждением) система предоставляет пользователю специальный режим входа с помощью отдельного пароля и ряд блокировок, позволяющих не раскрывать информацию (т.е. доступ к диску будет открыт, но при попытке считать с него данные или переписать их на другой диск будут генерироваться системные ошибки Windows и будет разрушено содержимое памяти электронного идентификатора, без чего невозможно расшифровать содержимое секретного диска).

4.5 Система защиты данных Crypton Sigma

Система Crypton Sigma-это программный комплекс, предназначенный для защиты данных на персональном компьютере. По своим возможностям он во многом аналогичен системе Secret Disk. Будучи установленной на компьютере, система Crypton Sigma хранит конфиденциальные данные в зашифрованном виде, не допуская несанкционированный доступ и утечку данных. Для шифрования данных в системе Crypton Sigma используется алгоритм шифрования ГОСТ 28147-89.

Система защиты конфиденциальных данных Crypton Sigma ориентирована на широкий круг пользователей компьютеров-бизнесменов, менеджеров, бухгалтеров, адвокатов и др., т.е. всех тех, кто нуждается в защите профессиональной и личной информации.

Система Crypton Sigma легко устанавливается, проста и надежна в использовании, а также полностью "прозрачна" для всех программ и системных утилит операционной системы. При установке системы Crypton Sigma на компьютере создаются новые логические диски. При записи на эти диски информация автоматически шифруется, а при считывании-расшифровывается. Этот метод прозрачного шифрования позволяет полностью снять с пользователя заботу о защите данных. Работа с защищенными дисками незаметна для пользователя и равносильна встраиванию процедур шифрования/расшифрования в запускаемые приложения. Защищенные системой диски на вид ничем не отличаются от обычных и могут использоваться в локальной или глобальной сети.

Поддерживаемые файловые системы-FAT 16, FAT 32 и NTFS. Система Crypton Sigma может работать как с УКЗД КРИПТОН, так и с его программным эмулятором. Криптографические ключи для защиты диска хранятся на съемном носителе (дискете), а при использовании УКЗД КРИПТОН возможно хранение ключевой информации на устройстве Touch Memory или смарт-карте. Кроме того, можно использовать устройство еТокеп (ключевой носитель для USB- порта). Применение УКЗД КРИПТОН не позволит злоумышленнику перехватить ключи пользователя с помощью внедренных программ.

Для работы системы Crypton Sigma требуется следующая минимальная конфигурация.

Компьютер:

• IBM PC/AT, PS/2 (с процессором Х486 или выше) или полностью совместимый;

• минимум 8 Мбайт оперативной памяти;

• минимум 3 Мбайт свободного дискового пространства для установки и запуска системы Crypton Sigma.

Программно-аппаратное обеспечение:

• операционная система Windows 95/98 или Windows NT 4.0;

• интерфейс Crypton API v.2.2 или выше;

• УКЗД КРИПТОН с соответствующим драйвером или его программный эмулятор.

Система Crypton Sigma специально разрабатывалась так, чтобы сделать все процедуры управления максимально простыми и ясными. Все, что должен уметь пользователь,-это создать специальный файл (контейнер) для хранения зашифрованных данных и открыть его для доступа через логический диск системы Crypton Sigma.

Контейнер-это специальный файл, создаваемый при помощи Панели Управления системы Crypton Sigma. Контейнер можно открыть для доступа

через логический диск, обслуживаемый драйвером системы Crypton Sigma. Все файлы, находящиеся на этом логическом диске, хранятся в зашифрованном виде. Пользователь может создать любое количество контейнеров. Каждый контейнер имеет собственный пароль. Пользователь должен ввести этот пароль при создании контейнера и использовать его для получения доступа к тем данным, которые будут храниться в данном контейнере. Используя Панель Управления Crypton Sigma, пользователь может сменить пароль для выбранного контейнера при условии, что ему известен прежний пароль.

Схема работы системы Crypton Sigma показана на рис. 10.3. Логический диск системы Crypton Sigma создается и управляется драйвером этой системы. Этот логический диск используется для записи (чтения) данных в контейнер. Работа пользователя с таким логическим диском не отличается от работы с любыми другими дисками компьютера.

Рисунок 4.3 - Схема выполнения операций чтения (записи) с логических дисков системой Crypton Sigma

Драйвер системы Crypton Sigma обрабатывает запросы операционной системы на чтение (запись) с логических дисков, при этом драйвер автоматически производит шифрование/расшифрование данных. Следует отметить, что драйвер системы Crypton Sigma обрабатывает не все запросы на чтение/запись. Как уже упоминалось, система Crypton Sigma создает и обслуживает собственные логические диски. Драйвер системы обслуживает операции чтения (записи) только с этих логических дисков.

Эти диски доступны точно так же, как и остальные диски на компьютере, и могут обозначаться любыми незанятыми на данный момент буквами, например D:, Е:, К:, Z:.

Данные, записываемые на логический диск, фактически записываются драйвером системы в контейнер системы. Естественно, размер доступной памяти логического диска равен размеру соответствующего контейнера. Максимальный размер контейнера, создаваемого

• на жестком диске с файловой системой FAT 16, равен 2 Гбайта;

• на жестком диске с файловой системой FAT 32. равен 4 Гбайта;

• на жестком диске с файловой системой NTFS, равен 512 Гбайт;

• на сетевом диске, равен 2 Гбайта.

Минимальный размер контейнера системы равен 5 Кбайт.

Для доступа к зашифрованным данным, хранящимся в контейнере, следует присоединить этот контейнер к выбранному логическому диску, например Е:, и открыть его для доступа, введя соответствующий пароль. После завершения работы с данными следует закрыть этот логический диск для доступа. При этом данные, сохраненные в контейнере, станут недоступными.

Следует заметить, что если пользователь забудет пароль для доступа к данным, хранящимся в контейнере системы Crypton Sigma, то он полностью теряет возможность доступа к этим данным. Высокостойкие алгоритмы шифрования, используемые в системе Crypton Sigma, не позволяют восстановить информацию без знания пароля. Если существует опасность того, что пароль может быть забыт или утрачен, пользователь должен записать его и спрятать в надежном месте.

Отметим основные преимущества системы Crypton Sigma.

Надежная защита. Практически ни одна из существующих

универсальных программ со встроенной защитой документов не имеет такой надежной защиты как Crypton Sigma. Компания Access Data (США) продает программный пакет, который вскрывает защиту данных в WordPerfect, Lotus 12-3, MS Excel, Symphony, Quattro Pro, Paradox, MS Word. Эта программа не просто перебирает все возможные комбинации паролей она проводит математически обоснованный криптографический анализ и тратит на вскрытие защищенных данных всего лишь несколько секунд. Система Crypton Sigma выгодна отличается использованием стойких и надежных алгоритмов шифрования и не содержит встроенных программных блоков, позволяющих злоумышленнику совершить несанкционированный доступ к зашифрованным данным.

Высокая степень секретности. После того как данные записываются на логический диск системы Crypton Sigma, они уже никогда не хранятся на компьютере в открытом (расшифрованном) виде. Расшифрование данных происходит только в момент доступа к ним пользователей, знающих пароль. Система Sigma нигде не хранит паролей, необходимых для доступа к данным. Она лишь проверяет, подходит ли пароль для расшифрования данных, на которые претендует пользователь, точно так же, как замок нигде не хранит дубликат ключа, а только "проверяет", может ли данный ключ открыть его или нет.

Использование системы в локальных сетях. Программное обеспечение Crypton Sigma для Windows 95/98/NT позволяет использовать любой сетевой диск для создания на нем контейнеров и доступа к хранящимся на них данным. Эти сетевые диски могут быть выделены для доступа компьютерами с любой другой, отличной от Windows, операционной системой, например ОС семейства UNIX (OSF/1, LINUX, BSD, Sun OS, AIX и др.), а также Novell, Windows З.хх и др.

Логические диски Crypton Sigma с точки зрения операционной системы или любого другого программного обеспечения выглядят точно так же, как обыкновенные локальные диски компьютера. Поэтому логические диски Crypton Sigma могут быть открыты для доступа через локальную компьютерную сеть. Таким образом, зашифрованная информация при необходимости может быть доступна для коллективного использования.

Удобство в использовании. Система Crypton Sigma проста в использовании и, следовательно, практически не позволяет совершать случайных действий, приводящих к появлению секретной информации на компьютере в открытом виде. Пользователю необходимо только ввести правильный пароль - об остальном позаботится система. После верификации пароля доступ к зашифрованной информации становится прозрачным для всех запускаемых пользователем программ. Все зашифрованные данные автоматически расшифровываются перед тем, как появиться перед пользователем, и автоматически зашифровываются перед записью их на диски, обслуживаемые системой Crypton Sigma.

4.6 Контрольные вопросы

1. Какие операционные системы можно отнести к частично контролируемым компьютерным системам и почему?

2. Какие вы знаете устройства для работы со смарт-картами?

3. Выделите основные преимущества и недостатки системы Crypton Sigma.

5. МЕТОДЫ И СРЕДСТВА ОГРАНИЧЕНИЯ ДОСТУПА К

КОМПОНЕНТАМ ЭВМ

5.1 Защита информации в ПЭВМ

Усложнение методов и средств организации машинной обработки информации, а также широкое использование вычислительных сетей приводит к тому, что информация становится все более уязвимой.

В связи с этим защита информации в процессе ее сбора, хранения и обработки приобретает исключительно важное значение (особенно в коммерческих и военных областях).

Под защитой информации понимается совокупность мероприятий, методов и средств, обеспечивающих решение следующих основных задач:

- проверка целостности информации;

- исключение несанкционированного доступа к ресурсам ПЭВМ и хранящимся в ней программам и данным (с целью сохранения трех основных свойств защищаемой информации: целостности, конфиденциальности, готовности);

- исключение несанкционированного использования хранящихся в ПЭВМ программ (т. е. защита программ от копирования).

Возможные каналы утечки информации, позволяющие нарушителю получить доступ к обрабатываемой или хранящейся в ПЭВМ информации, принято классифицировать на три группы, в зависимости от типа средства, являющегося основным при получении информации. Различают 3 типа средств: человек, аппаратура, программа.

С первой группой, в которой основным средством является человек, связаны следующие основные возможные утечки:

- чтение информации с экрана посторонним лицом;