Программно-аппаратный комплекс средств защиты информации от несанкционированного доступа «Аккорд-АМДЗ»
— аппаратный модуль доверенной загрузки предназначен для применения на ПЭВМ (РС) типа IBM PC AT с целью защиты средств вычислительной техники и информационных ресурсов от НСД. Этот комплекс обеспечивает режим доверенной загрузки в различных операционных средах: MS DOS; Windows 3.x; Windows 9x; Windows NT, Windows 2000, Windows XP; OS/2; UNIX; Linux. Основным принципом работы «Аккорд-АМДЗ» является выполнение процедур, реализующих функции системы защиты информации, до загрузки операционной системы. Процедуры идентификации/аутентификации пользователя; контроля целостности аппаратных и программных средств; администрирование; блокировка загрузки операционной системы с внешних носителей информации размещены во внутренней памяти микроконтроллера платы «Аккорд». Таким образом, пользователь не имеет возможности изменения процедур, которые влияют на функциональность системы защиты информации. В энергонезависимой памяти контроллера «Аккорд» хранится информация о персональных данных пользователей, данные для контроля целостности программных и аппаратных средств, журнал регистрации и учета системных событий и действий пользователя. Эти данные могут быть изменены только авторизованным администратором безопасности информации, так как доступ к энергонезависимой памяти полностью определяется логикой работы программного обеспечения прошитого в микроконтроллер.
СЗИ НСД семейства «Аккорд»ТМ реализованы на базе контроллера «Аккорд-4.5» (для ПЭВМ с шинным интерфейсом ISA) и его функционального аналога для шинного интерфейса PCI — «Аккорд-5».
Для организаций, использующих промышленные PC компьютеры с шинным интерфейсом PC/104, может представлять интереспрограммно-аппаратный комплекс СЗИ НСД «Аккорд-PC104». Данный комплекс прошел испытания в жестких условиях эксплуатации (повышенная вибрация, широкий диапазон температур, высокая влажность и т.д.). Он может применяться в специализированных компьютерах, используемых в бортовой аппаратуре (наземные, воздушные, морские и промышленные системы), в измерительной аппаратуре, в устройствах связи, в мобильных системах, в том числе и военного назначения.
Программно-аппаратный сопроцессор безопасности «Аккорд-СБ»
Сопроцессор безопасности — изделие «Аккорд-СБ» — это многофункциональное программируемое устройство, предназначенное для защиты информации в вычислительных системах, требующих высокого уровня защищенности. Реализован на базе контроллера«Аккорд-СБ/2» (PCI — контроллер).
Специальное программное обеспечение «Аккорд-СБ» включает в себя:
· Загрузчик — настраивает параметры системы, загружает в ОЗУ монитор и операционную систему.
· Монитор — инициализирует ресурсы и запускает операционную систему. Предоставляет возможность работы с ресурсами платы в многозадачном режиме.
· Операционная система реального времени;
· Криптодрайвер — программа поддержки криптоускорителя Криптодрайвер обеспечивает взаимодействие монитора с платой криптоускорителя, установленной в шину расширения платы «Аккорд-СБ/2». Код драйвера находиться в энергонезависимой памяти расположенной на плате криптоускорителя и активизируется монитором. Обеспечен режим независимости ПО «Аккорд-СБ» от типа криптоускорителя;
· Прикладные библиотеки — набор вспомогательных процедур для самостоятельного программирования сопроцессора безопасности«Аккорд-СБ/2».
«Аккорд-СБ/2» дополнительно полностью реализует функции комплекса СЗИ НСД «Аккорд-АМДЗ» (аппаратный модуль доверенной загрузки).
Рекомендации по его применению:
1. В качестве аппаратного СКЗИ для:
· шифрования данных в каналах ввода/вывода;
· шифрования дисков
· формирования и проверки электронной цифровой подписи;
2. Организации защищённых виртуальных наложенных сетей в гетерогенных открытых сетях;
3. Организации защищённых аудио и видеоконференций;
4. В технологической защите электронного документооборота с использованием защитных кодов аутентификации (ЗКА).
Наиболее целесообразно «Аккорд-СБ/2» применять в качестве серверного средства защиты информации.
Программно-аппаратные комплексы защиты от НСД к информации «Аккорд-1.95», «Аккорд-NT», «АРМ АБИ»
Комплексы «Аккорд-1.95», «Аккорд-NT» позволяют реализовать систему защиты от НСД к ПЭВМ и информации с применением персональных идентификаторов пользователей, выполненных на базе устройств памяти Touch Memory (ТМ-идентификаторов), как для автономных ПЭВМ, так и для ПЭВМ, объединенных в вычислительную сеть.
Указанные комплексы работают совместно с комплексами «Аккорд-АМДЗ» и базируются на использовании контроллеров«Аккорд-4++», «Аккорд-4.5», «Аккорд-5», «Аккорд-PC104», «Аккорд-СБ/2».
Комплексы обеспечивают:
· защиту от НСД к ПЭВМ;
· идентификацию/ аутентификацию пользователей;
· аппаратный контроль целостности системных файлов и критичных разделов Regestry;
· доверенная загрузка ОС;
· контроль целостности программ и данных, их защиту от несанкционированных модификаций;
· создание индивидуальной для каждого пользователя изолированной рабочей программной среды;
· запрет запуска неразрешенных программ;
· разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;
· разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа, управление потоками информации;
· автоматическое ведение протокола регистрируемых событий;
· удаленное централизованное управление настройками системы защиты.
Комплексы включают в себя следующие подсистемы:
· Подсистему управления доступом
· Подсистему регистрации и учета (аудит)
· Подсистему обеспечения целостности
· Подсистему удаленного централизованного управления настройками системы защиты «Автоматизированное Рабочее Место Администратора Безопасности» (АРМ АБИ).
С помощью данных комплексов администратор безопасности информации имеет возможность описать любую не противоречивую политику безопасности на основе наиболее полного набора атрибутов:
I. Операции с файлами:
R — разрешение на открытие файлов только для чтения.
W — разрешение на открытие файлов для записи.
C — разрешение на создание файлов на диске.
D — разрешение на удаление файлов.
N — разрешение на переименование файлов.
V — видимость файлов. Позволяет делать существующие файлы невидимыми для программ. Этот параметр имеет более высокий приоритет, чем R,W,D,N,O.
О — эмуляция разрешения на запись информации в файл. Этот параметр имеет более низкий приоритет, чем W (открыть для записи).
II. Операции с каталогом:
M — создание каталогов на диске.
Е — удаление каталогов на диске.
G — разрешение перехода в этот каталог.
III. Прочее:
Х — разрешение на запуск программ.
IV. Регистрация:
r — регистрируются все операции чтения файлов диска в журнале.
w — регистрируются все операции записи файлов диска в журнале.
Для разграничение прав доступа к информационным ресурсам, кроме дискреционного, осуществлен мандатный принцип доступа субъектов к информационным ресурсам. Набор атрибутов СЗИ Аккорд может применяться для описания ПРД при обращении с рабочей станции ЛВС к ресурсам файловых серверов. Кроме этого, администратор БИ для каждого субъекта — пользователя системы определяет:
· перечень файлов, целостность которых должна контролироваться системой и опции контроля;
· запуск стартовой задачи (для функционально замкнутых систем);
· наличие, либо отсутствие привилегий супервизора;
· детальность журнала доступа;
· назначение/изменение пароля для аутентификации;
· временные ограничения — время по дням недели (с дискретностью 30 мин), в которое разрешено начало работ для данного субъекта;
· параметры управления экраном — гашение экрана через заранее определенный интервал времени (в случае, если в течение указанного интервала действия оператором не выполнялись), подача соответствующих звуковых и визуальных сигналов.
Программно-аппаратный комплекс средств защиты информации «ШИПКА» (Шифрование Идентификация Подпись Коды Аутентификации)
|
|
|
Дата добавления: 2015-05-07; Просмотров: 782; Нарушение авторских прав?; Мы поможем в написании вашей работы!
Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет