· доступа субъектов к системе (узлу сети);

· выдачи выведенных на печать выходных документов;

· запуска (завершения) программ, процессов и пакетных заданий;

· допуска программ субъектов к защищенным данным;

· изменения полномочий пользователей и степени защиты объектов;

· занесение, изменение и удаление пользователей из базы данных СУРД;

· даты и времени, перечисленных и других событий, связанных с защитой от НСД;

· учет носителей информации, в том числе и отчуждаемых.

· сигнализацию попыток нарушения защиты.

· обеспечение целостности вычислительной системы путем проверки неизменности:

· конфигурации технических средств;

· программных средств, включая отдельные реентерабельные модули, ядро управляющей программы;

· файла параметров функционирования операционной системы;

· области хранения оглавления виртуальных машин;

· минидисков, критичных с точки зрения функционирования ОС VM/ESA.

Обеспечение надежного восстановления свойств СУРД, предусматривающее ведение двух копий с программными средствами СУРД и оперативное восстановление информационной базы.

Периодическое тестирование СУРД с помощью тестовых программ, имитирующих попытки НСД, а также проверяющих очистку памяти и механизм надежного восстановления.

3.3.2 Программно-аппаратный комплекс «Аккорд»

Программно-аппаратный комплекс (ПАК) «Аккорд» реализован на базе одноимённого контроллера АМДЗ (аппаратный модуль доверенной загрузки) и дополнительного ПО, обеспечивающего разграничение доступа и централизованного управления. Ниже будет рассмотрена реализация защитных механизмов используемых в ПАК «Аккорд». При рассмотрении будем привязываться к пунктам РД. «АС. Защита от НСД к информации. Классификация АС и требования по защите информации.» и рассматриваемая АС принадлежит к классу 1В.

Требование идентификации и аутентификации (подсистема управления доступом).

Комплекс "Аккорд" осуществляет проведение процедур идентификации и аутентификации до загрузки операционной системы. Это обеспечивается при помощи программного обеспечения, записанного в энергонезависимой флэш-памяти, установленной на плате контроллера "Аккорд".

СЗИ «Аккорд» в этой процедуре проводит идентификация и аутентификация пользователя, контроль целостности аппаратной части ПЭВМ, программ и данных. При любой ошибке возврат из процедуры не происходит, т.е. загрузка выполняться не будет.

Стойкость процедур идентификации и аутентификации определяется длиной пароля. В СЗИ "Аккорд" так же используются и некоторые дополнительные механизмы защиты от НСД к компьютеру. Так, в частности, для пользователя администратор может установить:

- время жизни пароля и его минимальную длину - например, исходя из расчетов, приведенных выше;

- временные ограничения - интервал времени по дням недели (с дискретностью 30 мин), в который разрешена загрузка ПЭВМ данным субъектом;

- параметры управления экраном - гашение экрана через заранее определенный интервал времени (в случае, если в течение указанного интервала действия оператором не выполнялись);

- подача соответствующих звуковых и визуальных сигналов.

Требование реализации дискреционного и мандатного механизмов разграничения доступа (подсистема управления доступом).

Разграничение доступа в СЗИ "Аккорд" (разграничение ресурсов) реализовано при помощи резидентной программы, которая перехватывает на себя обработку функций дискового ввода/вывода и обращения к реестру. Смысл работы данного резидентного модуля в том, что при получении от пользовательской программы запроса, например, на удаление файла - вначале производится проверка наличия таких полномочий у пользователя. Если такие полномочия есть - управление передается обычному обработчику ОС для исполнения операции. Если таких полномочий нет - имитируется выход с ошибкой.

В СЗИ «Аккорд» правила разграничения доступа устанавливаются присвоением объектам доступа атрибутов доступа. Установленный атрибут означает, что определяемая атрибутом операция может выполняться над данным объектом.

Установленные атрибуты определяют важнейшую часть ПРД пользователя. От правильности выбора и установки атрибутов во многом зависит эффективность работы СЗИ. В этой связи администратор службы безопасности информации должен ясно представлять, от чего и как зависит выбор атрибутов, назначаемых объектам, к которым имеет доступ пользователь. Как минимум, необходимо изучить принцип разграничения доступа с помощью данных атрибутов, а также особенности работы программных средств, которые будут применяться пользователем при работе.

Существует также и "черный список". Это файлы, или каталоги, которые присутствуют в списке объектов, для которых не установлен ни один атрибут доступа. Объекты, описанные в "черном списке", становятся недоступными пользователю, даже если они расположены в каталогах, к которым пользователь имеет доступ. В "черный список" можно включать также логические имена устройств и драйверы устройств. Эти объекты после такого описания становятся недоступны пользователю. Таким образом, осуществляется сопоставление пользователя и доступных ему устройств.

Для реализации мандатного принципа разграничения доступа каждому объекту вводится дополнительный атрибут - метка доступа. Использование 5 уровней доступа. Мандатный механизм доступа реализуется по следующему правилу: если уровень доступа пользователя (субъекта) выше или равен метке доступа каталога, файла, сетевого ресурса (объекта) то доступ к объекту предоставляется данному субъекту. Если при этом установлены дискреционные правила разграничения доступа, то операции, которые пользователь может выполнять с разрешенным объектом, определяются этими правилами разграничения доступа. То есть, реализован мандатный механизм доступа без контроля информационных потоков. Однако данный механизм может быть усилен (помимо дискреционного механизма) созданием замкнутой программной средой, путём присвоения меток конфиденциальности отдельным процессам (приложениям).

Требование регистрации событий (подсистема регистрации и учёта).

Как для каталогов, так и для отдельных файлов может быть установлена опция регистрации доступа к каталогу и его содержимому в регистрационном журнале.

Регистрация осуществляется в следующем порядке:

- для каждого пользователя администратор БИ устанавливает уровень детальности журнала - низкая, средняя, высокая;

- для любого уровня детальности в журнале отражаются параметры регистрации пользователя, доступ к устройствам, запуск задач, попытки нарушения ПРД, изменения ПРД (в частности, изменение паролей);

- для среднего уровня детальности в журнале отражаются дополнительно все попытки доступа к защищаемым дискам, каталогам и отдельным файлам, а также попытки изменения некоторых системных параметров - даты, времени и др.;

- для высокого уровня детальности в журнале отражаются дополнительно все попытки доступа к содержимому защищаемых каталогов.

Кроме этого, предусмотрен механизм принудительной регистрации доступа к объектам.

Требование очистки памяти (подсистема регистрации и учёта).

В СЗИ "Аккорд" осуществляется перехват функций освобождения памяти и завершения задачи. Именно при этом и выполняется очистка оперативной памяти (освобождаемого блока). Очистка внешней памяти на диске выполняется опционно. Соответствующая опция устанавливается администратором БИ при создании ПРД пользователя. Опционный механизм применен в связи с тем, что очистка внешней памяти требует определенных временных затрат, которые не всегда (исходя из значимости защитных механизмов) оправданы.

Атрибуты устанавливаются с помощью редактора ПРД к ПЭВМ и информации

Требование целостности (подсистема обеспечения целостности).

В СЗИ "Аккорд" применяется следующий механизм.

1. Контроль целостности системных областей диска, файлов ОС и прикладного ПО, разделов реестра Windows осуществляется на аппаратном уровне контроллером «Аккорд АМДЗ» до загрузки ОС.

2. Если процедура контроля из п.1 выполнена успешно, то в момент запуска подсистемы разграничения доступа может выполняться контроль целостности файлов, по индивидуальному списку каждого пользователя.

3. Целостность же самого этого файла на диске обеспечивается тем, что эталонное значение его хэш-функции, являющейся как бы интегральной хэш-функцией всех контролируемых файлов, вычисляется с использованием секретного ключа, который хранится в ТМ-идентификаторе пользователя. Этот ключ генерируется при регистрации ТМ-идентификатора с использованием датчика случайных чисел, установленного на плате контроллера, и для каждого пользователя является уникальным.

В СЗИ "Аккорд" предусмотрен динамический контроль целостности исполняемых модулей (задач). Этот контроль выполняется при каждом запуске контролируемого модуля, независимо от того, выполняется ли эта операция пользователем, или ОС. Как и на других этапах контроля целостности, здесь применяется контроль с использованием хэш-функции.

Дополнительно в СЗИ "Аккорд" предусмотрен динамический контроль целостности собственно монитора разграничения доступа. Этот контроль выполняется периодически и обеспечивает дополнительный уровень защиты от случайных или преднамеренных покушений на отключение СЗИ.

Условия распространения:

Комплекс СЗИ НСД "Аккорд-NT/2000" версии 2.0 (ТУ 4012-019-11443195-01), Для ПЭВМ типа IBM PC AT с шиной PCI и файловыми системами FAT12, FAT16, FAT32, NTFS, HPFS, FreeBSD, Linux EXT2FS с разграничением доступа пользователей в среде ОС Windows NT, Windows 2000, Windows XP - 361 у.е.

Дополнительное программное обеспечение (Подсистемы распределенного аудита и управления) - 300 у.е. (до 10 станций, более 10 - цена договорная)

Недостатки ПАК «Аккорд»:

- недостаточная функциональность по вопросам контроля и управления доступом к информации;

- для обеспечения требуемого уровня безопасности система должна устанавливаться только на проверенные ПЭВМ (на предмет программных закладок в BIOS, ОС и прикладном ПО), в противном случае открываются потенциальные возможности по НСД к ресурсам рабочей станции, вплоть до отключения защитных механизмов и получения полного контроля;

- отсутствие системы постоянного мониторинга подконтрольных станций 4(опрос становится не эффективным при работе в большой сети);

- возможность по перехвату трафика между станциями;

- уязвимости используемых сетевых сервисов рабочих станций;

- процедуру регистрации новых станций должен осуществлять администратор на каждой станции, что затруднительно при территориально разнесённой сети;

- ограничение на сетевой ТМ-идентификатор (до 31 станции);

- возможна некорректная работа и сбои при использовании рекомендованных типов контроллеров и ПО, но разных версий (на АРМ и станциях).

3.3.3 Средство защиты информации «Secret Net»

СЗИ «Secret Net» представляет собой программный комплекс позволяющий осуществлять контроль и управление доступом к информации, циркулирующей в АС. В системе «Secret Net» предусмотрена аппаратная поддержка внешней защиты. Она может обеспечиваться Secret Net TM Card, электронным замком «Соболь» и т.д..

Рассмотрим реализацию защитных механизмов используемых в СЗИ «Secret Net» по аналогии с рассмотренным выше ПАК «Аккорд», т.е. привязываясь к пунктам РД. «АС. Защита от НСД к информации. Классификация АС и требования по защите информации.».

СЗИ «Secret Net» имеет архитектуру клиент-сервер, при которой серверная часть обеспечивает централизованное хранение и обработку данных системы защиты, а клиентская часть содержит защитные механизмы и обеспечивает хранение части данных в собственной базе данных.

Требование идентификации и аутентификации (подсистема управления доступом).

Идентификация (распознавание) и аутентификация (проверка подлинности) пользователей осуществляется при каждом входе пользователя в систему. При загрузке компьютера система «Secret Net» запрашивает у пользователя его идентификатор и пароль. Затем проверяется, был ли зарегистрирован в системе пользователь с указанным именем и правильно ли указан его пароль. Если идентификатор и пароль указаны верно, то пользователю разрешен вход в систему. В качестве идентификаторов могут использоваться: уникальные имена и уникальные номера аппаратных устройств идентификации (персональных идентификаторов). Имя присваивается пользователю при создании в системе «Secret Net» объекта «пользователь», который будет соответствовать данному реальному пользователю компьютера. Если компьютер оснащен устройством чтения персональных идентификаторов, пользователю может быть присвоен такой персональный идентификатор, уникальный номер которого будет однозначно его идентифицировать. Аутентификация пользователя осуществляется после его идентификации для подтверждения того, что пользователь действительно является тем, кем представился. При аутентификации пользователя осуществляется проверка правильности указанного им пароля. В «Secret Net» поддерживается работа с паролями длиной до 16 символов. Если пароль указан неверно, подается звуковой сигнал и в системном журнале регистрируется попытка несанкционированного доступа к компьютеру. При неоднократном вводе неверного пароля блокируется клавиатура рабочей станции, подается звуковой сигнал, на экран выдается соответствующее сообщение. А после нажатия любой клавиши осуществляется перезагрузка рабочей станции. Идентификаторы пользователей (имена и номера аппаратных идентификаторов) хранятся в базе данных системы защиты в открытом виде. А пароли пользователей хранятся в базе данных системы защиты в виде значения хеш-функции от пароля пользователя. Пароль может быть изменен только самим пользователем или администратором безопасности (пользователем, имеющим соответствующие привилегии) при помощи специальных программных средств. Администратор может назначать пользователям новые пароли, но не имеет возможности узнать значения старых паролей. Факт смены пароля пользователя регистрируется в системном журнале.

Если на компьютере не установлена плата аппаратной поддержки внешней защиты, то средства идентификации и аутентификации системы «Secret Net» можно обойти, загрузив операционную систему с гибкого диска. Функция программной защиты от загрузки с гибкого диска позволяет предотвратить такую возможность, сделав «невидимым» жесткий диск компьютера. При использовании этой функции изменяются системные области локальных жестких дисков компьютера. В результате, при загрузке с гибкого диска без системы защиты, пользователь не сможет работать с жесткими дисками компьютера. Для работы с защищенными дисками будут необходимы специальные программные средства чтения системных областей жестких дисков, которые доступны только при загрузке системы защиты.

Требование реализации дискреционного и мандатного механизмов разграничения доступа (подсистема управления доступом).

Все объекты системы «Secret Net» подразделяются на два основных типа: ?объекты управления, с помощью которых осуществляется управление средствами защиты компьютера (пользователи, группы пользователей, ресурсы компьютера);объекты, защищаемые средствами системы защиты, или защищаемые объекты (ресурсы компьютера).

Ресурсы компьютера являются как защищаемыми объектами, так и объектами, с помощью которых осуществляется управление средствами защиты компьютера. Все ресурсы компьютера в системе «Secret Net»делятся на три типа:

· ?ресурсы файловой системы;

· ?аппаратные ресурсы;

· ?ресурсы операционной системы.

Ниже приводится перечень ресурсов компьютера, защищаемых средствами системы «Secret Net» в соответствии с типом, к которому они принадлежат.

Таблица 4

Тип ресурса	Состав
Ресурсы файловой системы	Локальные логические диски и размещающиеся на них каталоги и файлы
Аппаратные ресурсы	Локальные и сетевые принтеры, коммуникационные порты, физические диски, дисководы, приводы CD ROM
Ресурсы операционной системы	Системные файлы, ключи системного реестра, системное время, диалоги настройки параметров системы

Система защиты «Secret Net» использует стандартные механизмы Windows NT для Избирательного (дискреционного) управления доступом. Непосредственное управление осуществляется с помощью диалогов «Secret Net». Избирательный доступ на основе предоставления прав и привилегий. Права - это правила доступа, ассоциированные с ресурсом, привилегия - предоставляемая пользователю возможности выполнения тех или иных действий с ресурсом. Привилегии имеют приоритет над правами. Привилегии пользователю могут быть назначены индивидуально или быть получены от группы поле его включения в нее. Групповые привилегии действуют, даже если индивидуальные привилегии отсутствуют.

Система «Secret Net» включает в свой состав средства, позволяющие организовать полномочное (мандатное) управление доступом (МПУД) пользователей к конфиденциальной информации. Полномочное управление доступом осуществляется только по отношению к каталогам и распространяется на все файлы и подкаталоги, находящиеся в них. При организации полномочного управления доступом для каждого пользователя компьютера устанавливается некоторый уровень допуска к конфиденциальной информации, определяющий его права на доступ к конфиденциальным данным. Всем каталогам, находящимся на локальных дисках и подключенных сетевых дисках компьютера, назначается категория конфиденциальности, которая определяется специальной меткой, устанавливаемой на каталог. Категории конфиденциальности соответствует уровень доступа к конфиденциальной информации, устанавливаемый для пользователей компьютера. Используются три категории конфиденциальности информации: «Нет», «Конфиденциально», «Строго конфиденциально». Доступ к конфиденциальным каталогам и находящимся в них файлам осуществляется следующим образом. Когда пользователь (программа, запущенная пользователем) осуществляет попытку доступа к конфиденциальному каталогу или находящемуся в нем файлу, диспетчер доступа «Secret Net» определяет категорию конфиденциальности данного ресурса, считывая установленную на каталог метку конфиденциальности. Затем категория конфиденциальности ресурса сопоставляется с уровнем допуска пользователя к конфиденциальной информации. Если текущий пользователь не превышает свой уровень допуска, осуществляя доступ к конфиденциальному ресурсу, система защиты санкционирует доступ к ресурсу. В противном случае система защиты блокирует доступ к ресурсу. При работе системы «Secret Net» в режиме полномочного управления доступом контролируются потоки конфиденциальной информации. Это позволяет, например, предотвратить копировать конфиденциальные документы в не конфиденциальные области дисков и запретить свободный доступ к принтерам и коммуникационному оборудованию. Печать конфиденциальных документов в этом случае осуществляется только встроенными средствами системы «Secret Net». Компонента управления доступом к ресурсам включается в Explorer, входящий в состав ОС Windows, и позволяет управлять степенью конфиденциальности сведений, хранимых в файлах на локальных и сетевых дисках. Степень конфиденциальности сведений определяется категорией конфиденциальности, которая присваивается каталогам, содержащим конфиденциальную информацию. Система «Secret Net» поддерживает три категории конфиденциальности информации: «отсутствует» (информация доступна всем пользователям), «конфиденциально», «строго конфиденциально». Драйвер полномочного управления доступом контролирует доступ пользователей к файлам, содержащимся в конфиденциальных каталогах. Драйвер сравнивает уровень допуска пользователя к конфиденциальной информации и категорию конфиденциальности, присвоенную каталогу, к файлам которого осуществляет доступ пользователь. В том случае, если уровень допуска пользователя не позволяет ему осуществить доступ к файлу - доступ блокируется. При этом драйвер полномочного управления доступом оповещает агент сервера безопасности о том, что произошла попытка НСД.

В системе защиты так же существуют средства, позволяющие без использования системы атрибутов ограничить доступ пользователей к исполняемым файлам и ограничить их круг только теми программами, которые действительно необходимы ему для выполнения своих служебных обязанностей. Для этой цели применяется механизм замкнутой программной среды, когда пользователю определяется перечень программ, разрешенных для запуска.

Требование регистрации событий (подсистема регистрации и учёта).

В процессе работы системы «Secret Net» все события, происходящие на компьютере и связанные с безопасностью системы, регистрируются в системном журнале механизмом регистрации событий. При регистрации события в системном журнале для него указывается следующая информация:

- дата и время, определяющие, когда событие произошло;

- идентификатор пользователя, действия которого привели к появлению события;

- краткая характеристика события;

- имя программы, работа которой привела к появлению события;

- ресурс, при работе с которым произошло событие.

В системный журнал заносятся сведения более чем о 100 видах событий. Механизм регистрации событий позволяет гибко управлять регистрацией событий. Для каждого пользователя можно определить индивидуальный режим регистрации. От установленных для пользователей режимов регистрации зависит размер системного журнала и соответственно время записи и последующего анализа событий. Также, можно установить предельный срок хранения регистрационных записей в системном журнале, по истечении которого устаревшие записи будут автоматически удаляться из журнала. Настройку режимов регистрации событий может осуществлять только тот пользователь, который наделен соответствующими привилегиями на администрирование системы защиты. Если на файл установлены дополнительные атрибуты «Аудит чтения» или «Аудит записи», то любое соответствующее обращение пользователей к этому файлу будет фиксироваться в системном журнале независимо от установленных для них режимов регистрации событий.

Требование целостности КСЗ (подсистема обеспечения целостности).

Механизм контроля целостности используется в системе «Secret Net» для повышения надежности работы системы защиты. Он осуществляет проверку целостности следующих объектов:

· системных программ - ядра и исполняемых файлов системы;

· разрешенных для запуска программ замкнутой программной среды при включенном режиме контроля целостности;

· других файлов, список которых определен администратором системы защиты;

· ключей системного реестра.

Для всех проверяемых объектов составляются пакеты контроля целостности. В пакетах содержатся контрольные суммы проверяемых объектов и полный путь к каждому из них. Контрольные суммы рассчитываются с использованием хеш-функций (в соответствии с ГОСТ Р 34-10 в режиме имитовставки) или по оригинальному (быстрому) алгоритму собственной разработки. Проверка целостности системных и разрешенных для запуска программ осуществляется при загрузке компьютера. Проверка файлов из списка, составленного администратором, осуществляется как при загрузке компьютера, так и согласно установленному администратором расписанию (например, один раз каждые два часа). Процедура проверки целостности осуществляется следующим образом. Вычисляются контрольные суммы всех проверяемых объектов, список которых содержится в пакете контроля целостности. Сравниваются новые значения полученных контрольных сумм с ранее вычисленными значениями, содержащимися в пакете контроля целостности. Если хотя бы для одного из проверяемых объектов эти значения не сошлась, результат проверки считается отрицательным, а целостность исполняемых файлов - нарушенной. Реакция системы «Secret Net» на нарушение целостности объектов определяется настройками механизма контроля целостности. Эти настройки могут быть индивидуальными для каждого пользователя компьютера.

Условия распространения:

Сервер безопасности класса С (до 50 защищаемых серверов и рабочих станций) - 980 у.е.;

Сервер безопасности класса В (до 250 защищаемых серверов и рабочих станций) - 2460 у.е.;

Сервер безопасности класса А (неограниченное количество защищаемых серверов и рабочих станций) - 4800 у.е.;

Недостатки СЗИ «Secret Net»:

- недостаточная защищённость при использовании без средств аппаратной поддержки;

- для обеспечения требуемого уровня безопасности система должна устанавливаться только на проверенные ОС;

- уязвимость используемой на сервере безопасности БД «Oracle 8-х»;

- возможна некорректная работа при получении на АРМ администратора экранов пользователей (при использовании на станциях высокого разрешения и 16-24-32 битного цвета);

3.3.4 Средства усиленной аутентификации пользователей перед загрузкой операционной системы

СЗИ использующие только программные методы, особенно базирующиеся на защитных механизмах ОС, являются потенциально уязвимыми для методов обхода систем аутентификации путём альтернативной загрузки. Поэтому, использование на ПЭВМ средств доверенной загрузки, обеспечивающих возможность загрузки только зарегистрированным пользователям и контролирующим сам процесс загрузки становиться необходимостью, особенно в АС обрабатывающих конфиденциальную информацию. Данные системы часто называют «электронными замками» - ЭЗ. Они позволяют, помимо аутентификации пользователей и контроля процесса загрузки осуществлять контроль целостности аппаратных и программных ресурсов рабочей станции и блокировку, при попытке НСД устройств ввода-вывода (CD-Rom, FDD, LPT, SCSI, ZIP и т.д.). ЭЗ, как правило, комплектуются не только встроенным в ПЗУ (BIOS) ПО, но и дополнительным, позволяющим расширить их функциональность и интегрировать их с другими СЗИ, используемыми в АС. Среди существующих сертифицированных ЭЗ, отвечающих требованиям, рассматриваемой АС, имеет смысл рассматривать следующие продукты: «Аккорд-АМДЗ», разработанный «ОКБ САПР» и «Соболь», разработанный НИП «Информзащита». Ниже будет приведён краткий сравнительный анализ данных продуктов. Рассмотрим функции устройств, касающиеся только ОС Windows NT (т.к., например, в «Аккорде» предусмотрены функции контроля загрузки ОС относящиеся к Windows 9x).

Таблица

	АККОРД	СОБОЛЬ
Общие сведения
Разработчик	ОКБ «САПР»	НИП «Информзащита»
Класс защиты, действующие сертификаты	Может использоваться при создании АС до 1Д, а в качестве средства идентификации и аутентификации пользователей и контроля целостности в АС до 1Б включительно (№246/1 ГТК); Соответствует устройствам типа ЭЗ типа КЭЗ-1.99 (СФ/527-0542 ФАПСИ)	Может использоваться при разработке систем защиты для АС до 1В включительно (№457 ГТК); Соответствует устройствам типа ЭЗ типа КЭЗ-1.99 (СФ/527-0557 ФАПСИ)
Идентификация и аутентификация
Тип идентификатора	Touch memory DS1992 - DS1996 Возможна установка интерфейса RS- 232 для считывателя smart-карт	Touch memory DS1992 - DS1996
Подсистема аутентификации Метод аутентификации Длина пароля	По паролю, вводимому с клавиатуры Длина пароля - до 12 символов	По паролю, вводимому с клавиатуры. Длина пароля - до 16 символов
Возможности по блокировке, в случае неудачи процедуры иден-ии,аут-ии	Устанавливается дополнительно блокировка до 2-х физических каналов	Блокировка (для PCI-версии) до 3-х устройств
Хранение служебной информации	Служебная информация о регистрации пользователя (имя, номер присвоенного персонального идентификатора и т.д.) хранится в ОЗУ платы	Служебная информация о регистрации пользователя (имя, номер присвоенного персонального идентификатора и т.д.) хранится в ОЗУ платы
Подсистема контроля целостности
Контролируемые ресурсы	Состав и параметры аппаратной части ПЭВМ, диски, файлы, реестр Windows.	Файлы и сектора жесткого диска.
Используемый алгоритм	Обеспечивается ROM BIOS платы, алгоритм расчёта хэш-функции схожий с ГОСТ 34-11	Обеспечивается ROM BIOS платы, контрольные суммы рассчитываются по алгоритму ГОСТ 28147-89 в режиме имитовставки.
Место хранения контрольных сумм	Эталонное (контрольное) значение хэш-функции контрольной суммы хранится в энергонезависимой памяти контроллера. При контроле целостности индивидуального списка файлов пользователя результирующая хэш-функция, хранится на жестком диске, но подписывается кодом аутентификации с использованием секретного ключа пользователя ( хранится в ТМ -идентификаторе пользователя)	На диске, в специальных файлах
Подсистема регистрации
Журнал регистрации	Записи системного журнала хранятся в специальной области ОЗУ платы контроллера. Можно скопировать содержимое журнала в файл на гибкий диск.	Записи системного журнала хранятся в специальной области ОЗУ платы контроллера. Размер этой области памяти ограничен и позволяет хранить не более 80 записей о регистрируемых событиях.
Хранимая в журнале информация	Дата и время начала сеанса работы, а для остальных событий этого сеанса выводится только время в виде смещения от начала работы; Наименование выполненной операции; Номер ТМ-идентификатора; Результат операции;	Время; дату события; имя пользователя (или тип идентификатора, в случае незарегистрированного пользователя); номер идентификатора; описание события
Дополнительные возможности
Управление внешними устройствами	Запрет загрузки с внешних носителей (FDD,CD-ROM); Устанавливается дополнительно блокировка до 2-х физических каналов (устройств);	Запрет загрузки с внешних носителей (FDD,CD-ROM); Блокировка (для PCI-версии до 3-х устройств);
Возможности интеграции с другими СЗИ	Дополнительное ПО - «Аккорд-NT/2000» версии 2.0 (подсистема распределения доступа); Подсистемы распределенного аудита и управления (для ЛВС); Возможно использование в качестве ЭЗ в СЗИ «Secret Net».	Возможность совместной работы с системами защиты семейства «Secret Net» и средством построения VPN «Континент-К»
Эксплуатационные характеристики
Поддержка и сопровождение	Гарантия 12 месяцев; Бесплатная служба тех. поддержки по телефону;	Гарантия 12 месяцев; В течение 6 месяцев бесплатная поставка новых версий; Бесплатная служба тех. поддержки по телефону; Послегарантийное сопровождение (на 12 месяцев) - 20% от стоимости;
Документация	Инструкции и руководства в электронном виде; Инструкции и руководства в печатном виде поставляются при покупке более 10 комплектов;	Инструкции и руководства в печатном виде;
Условия распространения
Стоимость	Базовый комплект: «Аккорд - 5 « (без СПО) - 243 у.е.	Базовый комплект: ЭЗ «Соболь-PCI» в комплекте с двумя идентификаторами DS-1992 - 230 у.е.

Как видно из вышеизложенного, рассматриваемые ЭЗ по своим функциональным возможностям не слишком отличаются друг от друга, и выбор в пользу того или иного должен определять выбор СЗИ, совместно с которым планируется использоваться данное изделие.

3.3.5 Средства межсетевого экранирования

На современном этапе развития информационных технологий и сетевого оборудования основным средством защиты внутреннего сетевого ресурса специализированных АС от внешних угроз являются межсетевые экраны (МЭ). В соответствии с требованиями Гостехкомиссии РФ, под МЭ будем понимать локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей (и/или выходящей) в (из) АС. МЭ обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и заданных правил, проводя таким образом разграничение доступа субъектов из одной АС (или ее подсистемы) к объектам другой. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.

Основной нормативно-методической базой при разработке требований к обеспечению безопасности информации на базе МЭ являются руководящие документы Гостехкомиссии. В соответствии с этими документами к МЭ предъявляются следующие требования по уровню защиты информации от НСД:

- МЭ, разделяющий открытый сегмент сети и закрытый сегмент, в котором хранятся и обрабатываются сведения с грифом "СС" - не ниже 2 класса защищенности;

- МЭ, разделяющие подсети внутри закрытого сегмента сети - не ниже 3 класса защищенности

Требования к межсетевым экранам 2 и 3 класса

Управление доступом

МЭ 3 класса должен обеспечивать:

· фильтрацию на сетевом уровне. Решение по фильтрации может приниматься независимо для каждого сетевого пакета на основе сетевых адресов отправителя и получателя или на основе других атрибутов.

· фильтрацию на транспортном уровне запросов на установление виртуальных соединений. При этом учитываются транспортные адреса отправителя и получателя.

· фильтрацию на прикладном уровне запросов к прикладным сервисам. При этом учитываются прикладные адреса отправителя и получателя.

· фильтрацию с учетом даты/времени

МЭ 2 класса дополнительно должен обеспечивать:

· возможность сокрытия субъектов (объектов) и/или прикладных функций защищаемой сети

· возможность трансляции сетевых адресов

Идентификация и аутентификация

МЭ 3 класса должен обеспечивать возможность аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети.

Регистрация

МЭ 3 класса должен обеспечивать:

· возможность регистрации и учета фильтруемых пакетов. В параметры фильтрации должны включаться адрес, время и результат фильтрации.

· регистрацию и учет запросов на установление виртуальных соединений

· локальную сигнализацию попыток нарушения правил фильтрации

МЭ 2 класса дополнительно должен обеспечивать:

· дистанционную сигнализацию попыток нарушения правил фильтрации

· регистрацию и учет запрашиваемых сервисов прикладного уровня

· программируемую реакцию на события в межсетевом экране

Администрирование: идентификация и аутентификация

МЭ 2 и 3 класса должен обеспечивать:

· идентификацию и аутентификацию при его локальных запросах на доступ;

· невозможность доступа неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась;

· устойчивость к пассивному и активному перехвату информации при удаленных запросах администратора МЭ на доступ

Администрирование: регистрация

МЭ 3 класса должен обеспечивать:

· регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки системы и ее программного останова. В параметрах регистрации указываются: дата, время, код события, результат попытки, идентификатор администратора МЭ

· регистрацию запуска программ и процессов

· регистрацию действия администратора МЭ по изменению правил фильтрации

МЭ 2 класса дополнительно должен обеспечивать:

· дистанционную сигнализацию попыток правил фильтрации

· регистрацию и учет запрашиваемых сервисов прикладного уровня

· программируемую реакцию на события в межсетевом экране

Целостность:

МЭ 3 класса должен обеспечивать средства контроля целостности по контрольным суммам.

МЭ 2 класса дополнительно должен обеспечивать средства контроля за целостностью своей программной и информационной частью как в процессе загрузки, так и динамически.

Восстановление:

МЭ 3 и 2 класса должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств МЭ

Тестирование:

В МЭ 2 и 3 класса должна обеспечиваться:

Возможность регламентного тестирования реализации правил доступа, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора МЭ, процесса регистрации действий администратора МЭ, процесса контроля за целостностью программной и информационной части МЭ, процедуры восстановления

Тестовая документация МЭ 2 и 3 классов:

Должна содержать описания тестов и испытаний, которым подвергался МЭ, и результаты тестовых испытаний.

Таким образом, реализация указанных требований РД обеспечит применение в АС процедур фильтрации, экранирования, блокирования входного и выходного контроля информации в каналах удаленного доступа на сетевом, транспортном и прикладном уровнях, а также позволит создать многоуровневую защиту данных внутри системы и предотвратить деструктивные воздействия извне.

В настоящее время на рынке представлена достаточно широкая линейка как программных, так и аппаратных средств межсетевого экранирования, имеющих сертификат Гостехкомиссии на 3 класс НСД для МЭ. В частности:

- Застава

- Застава-Джет

- ФПСУ-IP

- CCПТ-1М

В то же время по 2 классу на данный момент нет МЭ, серийное производство которых было бы сертифицировано по 2 классу. На второй класс были сертифицированы только отдельные экземпляры МЭ «Застава-Джет». Такая ситуация обусловлена отсутствием в настоящий момент спроса на МЭ такого класса, а не сложностью выполнения требований РД. В этой связи было бы целесообразно, выбрать среди МЭ, сертифицированных по 3 классу то изделие, которое бы в наибольшей степени отвечало таким требованиям, как надежность, современность и перспективность реализуемых технологий экранирования, наличие сертификата Гостехкомиссии на отсутствие недекларированных возможностей, возможность интеграции с другими подсистемами защиты информации. А затем, предложить фирме-изготовителю провести доработку изделия и сертификацию МЭ по 2 классу под определенные гарантии последующих закупок. В этой связи, на наш взгляд, наибольшего внимания заслуживают отечественные фирмы-производители: «Элвис+» с продуктом «Застава» и «Амикон» с МЭ «ФПСУ-IP».

Если вариант заказа разработки МЭ окажется неприемлемым, то для выполнения требований РД следует использовать МЭ «Застава-Джет».

Вывод:В рассматриваемой ЛВС для обеспечения контроля и управления доступом к информации на мейнфрейме необходимо использовать СРД «Щит» - ввиду отсутствия иных сертифицированных средств для данной платформы.

Для используемых в ЛВС ПЭВМ более целесообразно использование СЗИ «Secret Net» (с использованием средств аппаратной поддержки), как системы совмещающей в себе не только достаточный уровень защиты информации, но и более богатые функциональные возможности, по сравнению с ПАК «Аккорд» (удалённая регистрация пользователей и рабочих станций, возможность удалённой регистрации и блокирования ТМ-идентификаторов, шифрование трафика и т.д.).

В качестве средства усиленной аутоинтефикации целесообразнее всего использовать ЭЗ «Соболь».

Для межсетевого экранирования следует выбирать лучший отечественный МЭ 3 класса и заказывать производителю доработку для сертификации по 2 классу, либо использовать МЭ «Застава-Джет».

3.4 Компьютерные вирусы и средства защиты от них

На данный момент антивирусная защита должна являться неотъемлемой частью системы защиты информации от НСД. Это обусловлено не только всё возрастающим количеством компьютерных вирусов (в т.ч. обладающих новыми свойствами), но и их распространением не только с помощью традиционных носителей информации, но и по различным коммуникационным каналам.

Рассмотрим требования, предъявляемые к антивирусным программам.

Качество обнаружения вирусов. Данное свойство подразумевает не только непосредственно обнаружение вирусов и их нейтрализация, но и сведение к минимуму количество ложных срабатываний.

Надёжность работы антивируса. Антивирусное ПО во время функционирования (мониторинга или сканирования) не должно приводить к «зависанию» системы или к её краху. При этом, в случае возникновения, по логике работы антивируса, достаточно опасной ситуации, должен быть произведён останов системы с соответствующим уведомлением.

Оперативность и автоматизация обновления. Напрямую связано с характеристиками по обнаружению новых вирусов. Автоматическое обновление актуально в АС с большим количеством рабочих станций.

Производительность. Антивирусная защита не должна конфликтовать с производительностью системы. Мониторинг и сканирование «на лету» не должны заметно замедлять работу приложений конечного пользователя, а периодическое сканирование файловой системы должно продолжаться приемлемое время.

Контроль точек возможного проникновения вирусов. Для рабочих станций - автоматическое сканирование «внешних» файлов (с дискет, компакт-дисков, электронной почты, корпоративного сервера и т.д.). Антивирусная защита серверов.

Управляемость. Возможность централизованного управления настройками на рабочих станциях пользователей в соответствии с принятой политикой безопасности.

В мире насчитывается примерно 55 компаний-производителей антивирусного ПО. В России наибольшей популярностью пользуются DrWeb (Диалог-Наука), AVP (Лаборатория Касперского), Norton AntiVirus (Symantec), Panda Antivirus , Trend Micro PC-Cillin (Trend Micro),McAfee VirusScan (McAfee). Выбор в пользу того или иного антивируса довольно сложная задача. А результаты тестирования во многом могут быть субъективны и зависеть от симпатий тестирующей стороны (тестовый набор может быть «заточен» под конкретный антивирус). В результатах тестирования необходимо в первую очередь обращать внимание на способность антивируса обнаруживать вирусы «WildList», т.е. реально встречающиеся на рабочих станциях пользователей, а так же обнаруживать полиморфные вирусы. Способность определять последние во многом зависит от заложенных в антивирусе эвристических алгоритмов. Кроме того, от этого напрямую зависит и размер антивирусных баз - достаточно внести туда сигнатуру «первоначального» вируса и в дальнейшем все его модификации будут обнаруживаться на основании эвристических алгоритмов. В противном случае необходимо обновлять базу с появлением каждой новой «мутацией» вируса. Наиболее удачно реализованы эвристические алгоритмы в антивирусах Eset NOD32(Eset) и DrWeb (Диалог-Наука), они определяют 100% полиморфных вирусов. Другой подход к проверки эффективности заложенных алгоритмов является тестирование новых вирусов антивирусами старых версий. Для тестирования берутся антивирусные программы годичной давности (т.е. последнее обновление баз и ядра производилось год назад). По результата данного теста лучшие результаты показали DrWeb (Диалог-Наука), Eset NOD32(Eset), CA InoculateIT(CA) и Norton AntiVirus (Symantec). При проверке антивирусов по тесту «WildList», т.е. вирусов представляющих реальную, а не мнимую угрозу на июнь 2010г. 100% обнаруживают следующие антивирусы: CA Vet AntiVirus(CA), Eset NOD32, Norman Virus Control, DrWeb (Диалог-Наука), Norton AntiVirus(Symantec), Sophos Anti-Virus и Command AntiVirus. Скорость сканирования файловой системы зависит как от скорости работы антивируса, так и от объёмов проверяемой системы, поэтому принято тестировать 1Gb-3Gb данных. Тут лидируют AntiVir Personal Edition, Eset NOD32(Eset), DrWeb (Диалог-Наука), AVP (Лаборатория Касперского).

Другой относящийся к производительности показатель демонстрирует насколько замедляется работа приложений конечного пользователя при постоянной работе резидентного модуля антивируса (данный модуль является обязательным компонентом практически всех современных антивирусов, за исключением специализированных антивирусов-ревизоров). Наиболее эффективны здесь CA Vet AntiVirus(CA), Eset NOD32(Eset), Panda Antivirus, AVP (Лаборатория Касперского), DrWeb (Диалог-Наука), Norton AntiVirus(Symantec),правда, последний занимает в оперативной памяти порядка 15 мегабайт и иногда притормаживает систему. Немаловажной является и способность обнаруживать вирусы в различных архивах. По этому показателю лидируют AVP (Лаборатория Касперского), DrWeb (Диалог-Наука), Panda Antivirus, CA Vet AntiVirus. А определённые проблемы наблюдаются у Norton AntiVirus(Symantec), AntiVir Personal Edition, Norman Virus Control - некоторые не в состоянии работать с rar-архивами, другие пропускают вирусы в содержимом архивов. Модули-ревизоры контролируют целостность и неизменяемость контролируемых областей (или всей) файловой системы и загрузочных секторов. Однако при работе с данными модулями от пользователя требуется определённая квалификация, поскольку данные модули могут выдавать (в зависимости от настроек) большое количество предупреждений, большая часть из которых может оказаться ложными. Кроме того данный модуль необходимо устанавливать на «чистую» машину с минимальной начальной конфигурацией. По удобству применения в автоматизированных системах, т.е. по наличию версий, как для рабочих станций, так и для серверов, интеграцией с межсетевыми экранами, наличием центра управления антивирусной защитой лидируют продукты Trend Micro, Лаборатории Касперского, CA, Symantec. Кроме того, при выборе антивируса необходимо произвести его предварительное тестирование на совместимость со средствами защиты, которые будут примеряться в данной АС, т.к. возможны варианты когда либо антивирус будет принимать деятельность системы защиты за враждебную (обращение к загрузочному сектору, изменение файлов конфигурации и т.д.) или система защиты будет блокировать деятельность антивирусной программы.

Из рассмотренных антивирусных программ лучшими на данный момент являются:

для рабочей станции: Eset NOD32(Eset), CA Vet AntiVirus(CA), DrWeb (Диалог-Наука).

для АС: NeaTSuite (бывший продукт Trend Micro Enterprise), Kaspersky Corporate Suite (Лаборатория Касперского), Norton AntiVirus™ Corporate Edition и Symantec AntiVirus™ Enterprise Edition (Symantec).

Ниже представлены типовые решения антивирусной защиты и цены на них.

Карта типовой сети:

Серверы: MS Windows NT 4.0, Solaris 7.0/8.0, MVS/ OS/390 (ES-9000)

Приложения: File server/Print server, Oracle 7/8, MS Exchange server/Lotus Notes

Рабочие станции: MS Windows 2000

Протоколы:TCP/IP, Netbios, X.25

Таблица

Общее количество рабочих станций:	100
Количество файл-серверов MS Windows NT 4.0:	4
Количество серверов БД Solaris 7.0/8.0 :	4
ES-9000	4

Вариант 1

На базе продуктов «Лаборатории Касперского».

Установить на рабочие станции «Business Optimal для Windows WS «

Установить на файловый сервер «Business Optimal для Windows Svr».

Установить на сервер БД «Business Optimal для Solaris Intel Svr».

Установить на почтовую систему «Business Optimal для MS Exchange 5.5/2000»*, или «Business Optimal для Lotus Notes/Domino»*, или «Business Optimal для Solaris Intel Mail Svr»* или «GateProtector».

Установить на межсетевой экран Firewall-1 «Антивирус Касперского для CheckPoint»*.

Особенности решения:

сертификация Гостехкомиссии РФ

развитая система подписки

централизованное управление

поддержка МЭ Firewall-1

Недостатки: отсутствие поддержки платформ на базе OS/390.

Ориентировочная стоимость решения от 10000 $.

Вариант 2

На базе продуктов «Trend Micro».

Установить на рабочие станции « OfficeScan Corporate Edition «

Установить на файловый сервер «ServerProtect».

Установить на сервер OS/390 «ScanMail for Lotus Notes»*.

Установить на почтовую систему «ScanMail for Microsoft Exchange»*, или «ScanMail for Lotus Notes»*; Или на шлюз интернета «InterScan VirusWall»* или «Trend Micro InterScan Messaging Security for SMTP»*.

Установить «Trend Micro Control Manager» или «Trend Virus Control System (Trend VCS)».

Установить на межсетевой экран Firewall-1 «InterScan VirusWall»*.

Особенности решения:

ориентация на ОС MS Windows NT/2000

поддержка платформ на базе OS/390

поддержка МЭ Firewall-1

Недостатки: отсутствие продуктов для серверов Solaris (кроме «ScanMail for Lotus Notes» и «InterScan VirusWal»)

Ориентировочная стоимость решения от 8000 $.

Итогом проделанной работы явилась функциональная схема типовой ЛВС с наложенными средствами защиты информации.

Рисунок 3.2. Состав средств защиты



Рис. 3.3. Функциональная схема типовой ЛВС с наложенными средствами защиты информации

Выводы: Исходя из результатов исследования и сформулированных ранее требований к системе, был определен состав средств защиты (рисунок 3.2.), разработана схема включения части из указанных типов средств в типовую ЛВС (рисунок 3.3). Затем был проведен подробный анализ существующих средств защиты и сделан обоснованный выбор по конкретным маркам средств защиты и способам их применения.

Заключение

В работе решена актуальная задача, имеющая военно-практическое значение. Сущность ее заключается в повышении защищенности информации, обрабатываемой и циркулирующей в ЛВС военного назначения.

Анализ, проведенный в работе, показал, что, используемые в настоящее время в Вооруженных силах РФ средства для защиты информации не отвечают всем требованиям, предъявляемым в этой области, и не обеспечивают всей полноты ее реализации.

В связи с факторами, отмеченными выше, для решения задачи повышения защищенности информации обоснован подход и концепция защиты от НСД. Разработаны предложения по составу специальных средств защиты информации и управления ею, разработана схема комплексной защиты информации в ЛВС военного назначения.

Таким образом, получены следующие результаты:

1. Собраны исходные данные по составу, структуре ЛВС, аппаратно-программным средствам. В результате выявлена типовая структура ЛВС, используемые ОС на рабочих местах пользователей и серверах, коммуникационные протоколы и другие данные, необходимые для выбора средств защиты информации и способов их применения. Установлено, что наиболее распространенными являются ОС Windows NT, МСВС, VM/CMS (на платформе ES/9000).

2. На основе классификации моделей нарушителя и типов угроз сформулированы требования к проектируемой системе защиты информации, а именно: должна обеспечиваться защита как от внешнего нарушителя, так и от внутреннего, имеющего полномочия вплоть до системного оператора.

3. Общий подход и концепция защиты от НСД при функционировании системы сформулирован в виде состава подсистем защиты и требований к ним. Кроме того, были определены основные функции службы управления безопасностью в ЛВС, функции администратора безопасности и состав организационно-распорядительных документов.

4. Исходя из результатов обследования и, сформулированных ранее требований к системе, был определен состав средств защиты:

· электронный замок для усиления аутентификации пользователей

· программные средства, дополняющие функции ОС до соответствия требованиям уровня 1В