Изучение программно-аппаратного комплекса аккорд АМДЗ

Размещено на http://www.allbest.ru/

Оглавление

Введение

1. Общая часть

1.1 Назначение СЗИ НСД «Аккорд-АМДЗ»

1.1.1 Защитные функции комплекса

1.1.2 Идентификация и аутентификация пользователей в системах защиты информации

1.2 Комплектность поставки

1.3 Организационные меры, необходимые для применения комплекса

1.4 Идентификаторы

1.4.1 Съемники информации

2. Установка комплекса «АККОРД-АМДЗ»

2.1 Порядок установки и настройки

2.2 Установка платы контроллера

2.3 Подсоединение контактного устройства

2.4 Регистрация администратора безопасности информации

2.5 Трудности при установке комплекса и методы их преодоления

Заключение

Список используемых источников

Введение

С конца 80-ых начала 90-ых годов проблемы связанные с защитой информации беспокоят как специалистов в области компьютерной безопасности, так и многочисленных рядовых пользователей персональных компьютеров. Это связано с глубокими изменениями, вносимыми компьютерной технологией в нашу жизнь. Изменился сам подход к понятию “информация”. Этот термин сейчас больше используется для обозначения специального товара, который можно купить, продать, обменять на что-то другое и т.д. При этом стоимость подобного товара зачастую превосходит в десятки, а то и в сотни раз стоимость самой вычислительной техники, в рамках которой он функционирует. Естественно, возникает потребность защитить информацию от несанкционированного доступа, кражи, уничтожения и других преступных действий. Однако, большая часть пользователей не осознает, что постоянно рискует своей безопасностью и личными тайнами. И лишь немногие хоть, каким либо образом защищают свои данные. Пользователи компьютеров регулярно оставляют полностью незащищенными даже такие данные как налоговая и банковская информация, деловая переписка и электронные таблицы. Проблемы значительно усложняются, когда вы начинаете работать или играть в сети так как хакеру намного легче в это время заполучить или уничтожить информацию, находящуюся на вашем компьютере.

Одним из многих способов защиты информации является ее защита по средствам разграничения доступа к ней. Этот способ мы и рассмотрим на примере ПАК “Аккорд АМДЗ”. Таким образом, целью данной курсовой работы будет являться изучение программно-аппаратного комплекса аккорд АМДЗ.

В соответствии с этим важнейшими задачами, стоящими перед нами в процессе выполнения работы, следующие:

1. Ознакомится с характеристиками данного ПАК.

2. Провести его установку и настройку на ПК.

3. Смоделировать ситуацию работы ПАК “Аккорд АМДЗ”.

1. Общая часть

1.1 Назначение СЗИ НСД «Аккорд-АМДЗ»

Комплекс СЗИ НСД «Аккорд-АМДЗ» представляет собой аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК - серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа. Комплекс начинает работу сразу после выполнения кода системного BIOS компьютера - до загрузки операционной системы, и обеспечивает доверенную загрузку ОС, использующих одну из поддерживаемых файловых систем. Это, в частности, ОС типа MS-DOS, ОС семейства Windows, QNX, OS/2, UNIX, LINUX, BSD и др. Все модификации комплекса поддерживают файловые системы FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, FreeBSD UFS/UFS2, Solaris UFS, QNX4, MINIX. Комплекс на базе контроллеров семейства «Аккорд-LE/GX» дополнительно поддерживает файловые системы Ext4, ReiserFS.

Все модификации комплекса «Аккорд-АМДЗ»:

- могут использоваться в составе ПЭВМ с центральным процессором архитектуры x86 (IA-32) или x86-64 (AMD64), с объемом динамической оперативной памяти (RAM) не менее 128 Мб;

- требуют для установки соответствующий свободный разъем на материнской плате СВТ, соответствующий типу специализированного контроллера АМДЗ (подробнее см. таблицу 1);

- предполагают наличие на ПЭВМ любой из ОС, использующей поддерживаемую комплексом файловую систему;

- обеспечивают многопользовательский режим эксплуатации ПЭВМ с возможностью регистрации (в энергонезависимой памяти) до 126 пользователей на одной ПЭВМ (для моделей на базе специализированных контроллеров семейства «Аккорд-5MX/5.5») и до 1022 пользователей на одной ПЭВМ (для моделей на базе специализированных контроллеров семейства «Аккорд-LE/GX»);

- используют для идентификации персональные идентификаторы DS 1992 - DS 1996 с объемом памяти до 64 Кбит. Возможно также использование в качестве идентификаторов ПСКЗИ ШИПКА. Контроллеры семейства «Аккорд-LE/GX» в качестве персональных идентификаторов поддерживают также смарт-карты (подробнее о поддерживаемых типах смарт-карт см. Конфигуратор К 11443195.4012-038 2011);

- используют для аутентификации пароль до 12 символов;

- блокируют загрузку с отчуждаемых носителей (FDD, CD ROM, ZIP и др.);

- имеют аппаратный датчик случайных чисел (ДСЧ);

- обеспечивают контроль целостности программ и данных.

Комплекс «Аккорд-АМДЗ» может использоваться как в качестве самостоятельного продукта, так и в качестве составного компонента различных программно-аппаратных комплексов средств защиты от НСД, разработанных ОКБ САПР.

1.1.1 Защитные функции комплекса

Данный комплекс обладает следующими защитными функциями:

1. Защита от НСД к ПЭВМ, включая идентификацию пользователей по уникальному ТМ-идентификатору и их аутентификацию (подтверждение подлинности) с учетом необходимой длины пароля, времени его жизни, ограничением времени доступа субъекта к ПЭВМ (РС).

2. Контроль целостности критичных с точки зрения информационной безопасности системных областей и файлов, программ и данных до загрузки ОС, защита от несанкционированных модификаций и доверенной загрузки.

3. Разграничение доступа к ресурсам ПЭВМ (АС) - реализуемой атрибутами доступа, которые устанавливаются администратором БИ каждой паре "Субъект доступа - объект доступа" при регистрации пользователей. Данная функция реализуется при установке специального ПО разграничения доступа на диск ПЭВМ.

Надежность функционирования системы защиты ПЭВМ (PC) от НСД обеспечивается выполнением средствами СЗИ НСД «Аккорд-АМДЗ» следующих условий:

1. На ПЭВМ с проверенным BIOS установлена проверенная (сертифицированная) операционная система.

2. Достоверно установлена неизменность аппаратной части ПЭВМ, системного BIOS, критичных файлов ОС и прикладных программ для данного сеанса работы.

3. Кроме проверенных программ в данной программно-аппаратной среде ПЭВМ не запускалось и не запускается никаких иных программ.

4. Исключен запуск проверенных программ в какой-либо иной ситуации, т.е. вне проверенной среды - при установленном специальном ПО СЗИ НСД.

5. Условия 1-4 выполняются в любой момент времени для всех пользователей, аутентифицированных защитным механизмом комплекса.

1.1.2 Идентификация и аутентификация пользователей в системах защиты информации

Идентификация и аутентификации пользователя - важнейший процесс в системе обеспечения информационной безопасности. Ошибки при проведении аутентификации сказываются критическим образом на работоспособности всей ЭВМ в целом и её подсистемы разграничения доступа в частности. идентификация и аутентификация пользователей в системах защиты информации должны быть отделены от идентификации пользователя механизмами операционной системы. Это обеспечивает дополнительный барьер на пути проникновения злоумышленника в систему, а так же делает безопасным сам процесс, ограждая его возможных уязвимостей в самой ОС. Аппаратная идентификация является наиболее надёжным механизмом опознавания пользователя. Она предполагает наличие у пользователя специального устройства ввода идентификационных признаков, на котором записан его персональный идентификатор. При начальной загрузке ЭВМ данной УВИП предъявляется (подносится к считывателю, вставляется в интерфейсный разъём), и персональный идентификатор считывается СЗИ.

Любая доверенная загрузка должна происходит путём выполнения основных процедур безопасности и настройки СЗИ до загрузки операционной системы. Реализуется это путём расширения BIOS (ПО BIOS) во время процедуры POST. Обычно, для устройств расширения этот код записан в ПЗУ, отображаемом на часть верхней памяти ЭВМ. Передача идентификатора происходит, когда в ЭВМ не загружена ни одна программа. Тем самым обеспечивается изолированность канала передачи идентификатора от остальных программ. Возможны исключения, когда в системе присутствуют загрузочные вирусы или вирусы, искажающие BIOS, но для этого предусмотрен контроль целостности компонентов ЭВМ.

Под настройкой параметров безопасности может пониматься широкий круг процедур. Это и передача в УЗИ атрибутов доступа аутентифицированного пользователя, и передача отдельных участков кода программного обеспечения и особо секретных данных с УВИП на жёсткий магнитный диск, и определение режимов работы пользователя (администратор, пользователь, гость) и.т. д.

1.2 Комплектность поставки

Комплекс СЗИ НСД для ПЭВМ (PC) “Аккорд - АМДЗ” версии 3.2 (ТУ 4012-006-11443195-2005) поставляется в составе:

Таблица 1

Обозначение	Наименование составных частей	Кол-во	Примечание
11443195.4024-018	Специализированный контроллер “Аккорд -5.5”(PCI, PCI-X) в сборе	1*
11443195-4042-003(002)	Съемник информации в сборе внешний с разъемом RJ-11 (внутренний с штыревым разъемом)	1*
11443195.4084-002(003, 004)	Персональный идентификатор пользователя iButton DS-1992(DS-1993. DS-1996)	2*
11443195-4042-009(008)	Устройство отключение питания EATX(ATX)	1*
Согласно ведомости ЭД 11443195.4012-0062001	Эксплуатационные документы	К-т	На отдельном носителе
11443195.4012-0063005 ФО	Формуляр	1 бр.

Контроллер Аккорд-5.5 имеет двух контактный разъем, через который можно вывести провода на внешнее контактное устройство. Возможен вариант, когда эти провода коммутируются на разъем RJ11, например, разъем подключения модема. В этом случае к разъему RJ11 подключается штатный внешний съёмник из состава комплекса. Варианты подключения определяются конструктивными особенностями конкретного компьютера.

1.3 Организационные меры, необходимые для применения комплекса

Для эффективного применения комплекса и поддержания необходимого уровня защищенности СВТ (РС) и информационных ресурсов АС необходимо:

- наличие администратора безопасности информации (супервизора; далее по тексту - администратор БИ) - привилегированного пользователя, имеющего особый статус и абсолютные полномочия. Администратор БИ планирует защиту информации на предприятии (учреждении, фирме и т.д.), определяет права доступа пользователям в соответствии с утвержденным Планом защиты, организует установку комплекса в СВТ (РС), эксплуатацию и контроль правильности использования СВТ(РС) с внедренным комплексом «Аккорд», в том числе, учет выданных идентификаторов, осуществляет периодическое тестирование средств защиты комплекса;

- разработка и ведение учетной и объектовой документации (инструкция администратора, инструкций пользователей, журнал учета идентификаторов и отчуждаемых носителей пользователей и др.). Все разработанные учетные и объектовые документы должны быть согласованы, утверждены у руководства и доведены до сотрудников (пользователей). Это необходимо для того, чтобы План защиты организации (предприятия, фирмы и т.д.) и действия СБИ (администратора БИ) получили юридическую основу;

- физическая охрана СВТ (АС) и ее средств, в том числе проведение мероприятий по недопущению изъятия контроллера Комплекса;

- использование в СВТ (АС) технических и программных средств, сертифицированных как в Системе ГОСТ Р, так и в Государственной системе защиты информации (ГСЗИ);

- периодическое тестирование средств защиты комплекса. Прием в эксплуатацию комплекса «Аккорд» оформляется актом в установленном порядке, в формуляре на комплекс администратором БИ делается соответствующая отметка.

1.4 Идентификаторы

По умолчанию идентификаторами пользователя для Аккорд-АМДЗ на базе любого из контроллеров предлагается ТМ-идентификатор, однако, в качестве идентификатора может также использоваться ПСКЗИ ШИПКА (на базе ШИПКА - лайт или других моделей).

Порядок использования идентификаторов:

1) если в качестве персонального идентификатора пользователя используется TM-идентификатор:

- приложить TM-идентификатор пользователя к контактному устройству съемника информации.

2) если в качестве персонального идентификатора пользователя используется ПСКЗИ ШИПКА:

- подключить ПСКЗИ ШИПКА пользователя к USB-порту на плате контроллера (для контроллеров серии 5.5, ТУ 4012-006-11443195-97 03, имеющих установленный по заказу процессор c USB-хостом и разъем mini USB) или подключить ПСКЗИ ШИПКА пользователя в соответствующий порт СВТ.

1.4.1 Съемники информации

Съемники информации для ТМ-идентификаторов могут различаться и быть:

- внешними - соединительный провод находится вне корпуса СВТ (РС) и подключение осуществляется к задней планке контроллера (или к соответствующим портам СВТ);

- внутренними - соединительный провод находится внутри корпуса СВТ (РС), подключение осуществляется с помощью разъема, находящегося на плате контроллера. Контактное устройство внешних съемников крепится в удобном для пользователя месте (на корпусе СВТ (РС), мониторе, рабочем столе и т.д.) при помощи клейкой основы. Крепление контактного устройства внутреннего съемника осуществляется обычно в отверстии, высверливаемом на резервной заглушке дисковода передней панели СВТ (РС), с помощью гайки, либо пружинной или резиновой шайбы.

2. Установка комплекса «АККОРД-АМДЗ»

2.1 Порядок установки и настройки

Перед началом установки комплекса «Аккорд-АМДЗ» рекомендуется подробно ознакомиться с эксплуатационной документацией, прежде всего с «Описанием применения», в зависимости от типа контроллера и настоящим руководством.

Установка и настройка комплекса СЗИ НСД «Аккорд-АМДЗ» производится в следующей последовательности:

1) установка платы контроллера в свободный слот ПЭВМ;

2) подсоединение контактного устройства;

3) регистрация администратора БИ (супервизора), в том числе, настройка комплекса в соответствии с конфигурацией технических средств ПЭВМ;

4) регистрация пользователей, назначение пользователям персональных идентификаторов, паролей и времени доступа;

5) назначение списка дисков, файлов, разделов реестра, контролируемых на целостность;

2.2 Установка платы контроллера

Установка контроллера должна производиться только при выключенном питании СВТ!

Для установки контроллера комплекса необходимо:

1) отключить питание СВТ;

2) вскрыть корпус системного блока СВТ, удалить заглушку на задней панели блока и выбрать свободный слот на материнской плате для установки контроллера комплекса;

3) установить контроллер в соответствующий слот на материнской плате СВТ и зафиксировать его стопорным винтом к задней панели корпуса.

2.3 Подсоединение контактного устройства

Контактное устройство (съемник информации) предназначено для обеспечения взаимодействия контроллера комплекса СЗИ НСД с персональным идентификатором пользователя (TM идентификатор), и может выпускаться с внутренним и внешним исполнением.

Подсоединение внешнего контактного устройства осуществляется со стороны задней планки контроллера или к соответствующему порту СВТ с помощью, в зависимости от типа съемника; подробнее о типах съемников.

- разъема RJ-11 (подобного телефонному разъему);

- USB-разъема.

Внутренний съемник подсоединяется к плате контроллера внутри корпуса системного блока ПЭВМ. Расположение разъемов для съемников информации на различных платах контроллеров «Аккорд».

При использовании внутреннего контактного устройства (съемника информации) его установка производится, как правило, на заглушке зарезервированного места для дисководов.

Порядок подсоединения внутреннего съемника информации:

1) Отключить питание ПЭВМ;

2) Вскрыть корпус системного блока ПЭВМ;

3) Вынуть резервную заглушку (для FDD,CD,ZIP) на передней панели

4) Системного блока;

5) В резервной заглушке просверлить отверстие ? 12,2 мм для крепления контактного устройства;

6) Вставить контактное устройство в отверстие и закрепить его с помощью гайки на резервной заглушке.

7) Ввести провод контактного устройства внутрь ПЭВМ и произвести подключение съемника информации к плате контроллера.

8) Установить заглушку на место и закрыть корпус ПЭВМ.

2.4 Регистрация администратора безопасности информации

После установки контроллера и подсоединения съемника информации следует включить питание компьютера. В процессе загрузки управление передается контроллеру «Аккорд» и выполняется начальная инициализация.

Определяется состав аппаратных средств ПЭВМ и данные заносятся в энергонезависимую память контроллера. Далее производится форматирование базы данных пользователей и внутреннего журнала. После завершения инициализации на экран выводится стартовое меню, в котором доступен для выбора только пункт «Администрирование». В процессе регистрации АБИ следует особо обратить внимание на процесс генерации секретного ключа пользователя - если идентификатор регистрируется впервые, то следует сгенерировать новый секретный ключ, если идентификатор уже зарегистрирован на другом комплексе «Аккорд», то следует выбрать опцию «Использовать существующий». Если все действия

произведены правильно, то после выхода из программы администрирования по клавише <Esc> выполняется процедура идентификации/аутентификации и становятся доступными для выбора остальные пункты стартового меню администратора. Если этого не происходит, необходимо вернуться в режим администрирования и провести регистрацию администратора (супервизора).

После успешного выполнения процедуры регистрации супервизора следует перезагрузить компьютер и убедиться в том, что в процессе загрузки появляется сообщение «Предъявите идентификатор» и после успешного прохождения процедур идентификации и аутентификации выводится стартовое меню администратора и происходит загрузка ОС. Далее следует зарегистрировать пользователей и выполнить настройку параметров их учетных записей.

2.5 Трудности при установке комплекса и методы их преодоления

Проблема: Нет реакции на прикосновение ТМ-идентификатором к контактному устройству (съемнику).

Возможная причина: Кабель внутреннего контактного устройства подключен к плате контроллера неверно.

Решение:

1) выключить компьютер;

2) подключить разъем кабеля контактного устройства к разъему X3 контроллера, повернув его на 180 градусов. Если опять нет реакции на прикосновение ТМ-идентификатором к контактному устройству (съемнику) - обратитесь к поставщику комплекса.

Проблема: Контроллер работает нормально, но при установке подсистемы разграничения доступа драйвер не обнаруживает контроллер (Сообщение: «ТМ-контроллер не установлен или неисправен.»).

Возможная причина: драйвер не соответствует версии контроллера.

Решение: Повторить процедуру установки драйвера контроллера «Аккорд».

Проблема: При попытке стереть в контроллере «Аккорд» базу данных пользователей (контроллер в технологическом режиме) выдается сообщение: «Контроллер неисправен либо не установлен.»

Возможная причина: программа очистки базы данных пользователей запускается из многозадачной ОС. В многозадачной ОС каждой программе или процессу выделяется виртуальная память, а программа очистки БД пользователей работает с платой контроллера по физическому адресу.

Решение:

1. Выключить компьютер и вынуть плату контроллера из разъема

2. системной шины.

3. Перевести контроллер в технологический режим.

4. Вставить плату в компьютер.

5. Загрузить компьютер в OC MS-DOS (никаких менеджеров памяти (QEMM, EMM386 и т.п.) быть не должно).

2.6 Моделируемая ситуация работы ПАК “АККОРД АМДЗ”

Моделируемая ситуация:допустим, что вкомпьютере финансового директора обрабатывается очень важная информация, интерес ккоторой условно имеет недовольный зарплатой сотрудник. Допустим, что вобеденный перерыв директор заблокировал свой компьютер иушел. Узлоумышленника есть только час нато, что бы незаметно похитить нужную ему информацию.

Имеющиеся средства:

Таблица 2

Наименование СЗИ	Производитель
Аккорд-АМДЗ	ОКБ САПР

Действия злоумышленника: Предположим, что на компьютере установлен Аккорд-АМДЗ и шестизначный пароль, содержащий буквы разного регистра и спецсимволы. На подбор такого пароля потребуется много времени, поэтому злоумышленник, скорее всего, попробует обойти систему следующим образом:

1. установит в BIOS загрузку с внешнего накопителя;

2. загрузится с Live USB и скопирует всю нужную ему информацию;

3. перезагрузит компьютер и покинет место преступления.

Способы решения данной проблемы:

1. Программные СЗИ, к сожалению, оставляют возможность загрузиться в обход операционной системы и похитить ценную информацию. Ивэтом заключается их главный недостаток. При использовании Аккорд-АМДЗ рекомендуем в настройках BIOS выставить единственное загрузочное устройство -- локальный жесткий диск. Необходимо установить пароль на BIOS.

2. При использовании СЗИ, опечатывайте или опломбируйте корпус системного блока. При настройке системы защиты в соответствии с требованиями законодательства, если системный блок не опломбировать или не закрыть на замок, злоумышленнику ничего не мешает на время своих злодеяний извлечь эту плату из системного блока. В этом состоит главный недостаток плат доверенной загрузки.

3. Используйте встроенные или дополнительные средства шифрования данных. Я рассмотрел ситуацию, когда злоумышленник пытается незаметно похитить информацию. Если это условие убрать, то и установка пароля на BIOS, и опечатывание системного блока не помешают информации «сделать ноги». Поэтому общая рекомендация, для средств защиты информации следующая -- использовать средства шифрования данных. При таких условиях узлоумышленника не будет возможности получить доступ к информации описанными нами или любыми иными способами.

Заключение

В современном обществе информация является своеобразной денежной единицей, которая зачастую оценивается баснословными цифрами на банковских счетах. Разумеется, за таким лакомым куском начали охотиться люди, которые сделали из чужой информации прибыльный бизнес. Таким образом, вопрос защиты информации в наше время стоит наиболее остро.

Одним из многих способов защиты информации является ее защита по средствам разграничения доступа к ней. В последние годы область применения разграничения доступа значительно расширилось. Его стали повседневно использовать многие организации, коммерческие фирмы, частные лица, в СМИ.

В данной работе автором был рассмотрен один из способов разграничения доступа и этот способ мы и рассмотрели на примере ПАК “Аккорд АМДЗ”. Мы провели установку и настройку этого комплекса на ПК.

Ознакомились с характеристиками данного ПАК и описали его свойства в данной работе, не забыв смоделировать ситуацию работы данного комплекса.

В данной курсовой работе были приведены данные, которые помогут пользователю разобраться в структуре данного комплекса, провести его установку и настройку, а так же получить расширенную информацию по защите данных путем разграничения доступа к ней.

аутентификация программный безопасность контроллер

Список используемых источников

1) Информационная безопасность открытых систем. В 2 томах. Том 1. Угрозы, уязвимости, атаки и подходы к защите / С.В. Запечников и др. - М.: Горячая линия - Телеком, 2006. - 536 c.

2) Информационная безопасность открытых систем. В 2 томах. Том 2. Средства защиты в сетях / С.В. Запечников и др. - М.: Горячая линия - Телеком, 2008. - 560 c.

3) Информационная безопасность систем организационного управления. Теоретические основы. В 2 томах. Том 1. - М.: Наука, 2006. - 496 c.

4) Партыка, Т.Л. Информационная безопасность / Т.Л. Партыка, И.И. Попов. - М.: Форум, Инфра-М, 2002. - 368 c.

5) Степанов, Е.А. Информационная безопасность и защита информации. Учебное пособие / Е.А. Степанов, И.К. Корнеев. - М.: ИНФРА-М, 2001-304 c.

6) Федоров, А.В. Информационная безопасность в мировом политическом процессе / А.В. Федоров. - М: МГИМО-Университет, 2006 - 220 c.

7) Чипига, А.Ф. Информационная безопасность автоматизированных систем / А.Ф. Чипига. - М.: Гелиос АРВ, 2010. - 336 c.

8) Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей / В.Ф. Шаньгин. - М.: Форум, Инфра-М, 2011. - 416 c.

9) Ярочкин, В.И. Информационная безопасность: моногр. / В.И. Ярочкин. - М.: Академический проект, 2008. - 544 c.

10) Комплекс средств защиты информации от НСД для ПЭВМ (PC)“Аккорд-АМДЗ” / Инструкция по установке / Москва 2013г.

Размещено на Allbest.ru