Способ защиты от несанкционированного доступа к информации, хранимой в компьютерных системах

Изобретение относится к области защиты информации, а именно к способам защиты от несанкционированного доступа (НСД) к информации, хранимой в компьютерных системах (КС), в особенности в системах терминального доступа (СТД). Особенность получивших распространение в последние годы СТД состоит в том, что только к меньшей части входящих в их состав компьютеров (терминальным серверам - ТС) применимы известные способы защиты информации от НСД; для большей же части компьютеров, входящих в состав СТД - терминальных клиентов (ТК) - наиболее совершенные защитные решения, гарантирующие доверенную загрузку проверенной операционной системы (ОС) и создание тем самым в системе изолированной программной среды, к сожалению, неприменимы.

Невозможность непосредственного применения в ТК защитных решений, разработанных для стационарных ПЭВМ, связана с тем, что ТК не являются точными копиями последних, а имеют ряд архитектурных и функциональных особенностей. К архитектурным особенностям ТК относится, в частности, усеченный набор аппаратных возможностей, в т.ч. отсутствие PCI-слотов, что технически не дает возможности оснастить их какими-либо встроенными (стационарными) устройствами защиты. Кроме того, ТК отличаются и функциональностью: они работают иначе, чем стационарные ПЭВМ, что сказывается на всем технологическом процессе обработки информации в СТД и, как следствие, на технологии защиты, причем с самых первых этапов - с процесса загрузки и старта. Однако в соответствии с теоретическими основами защиты информации [1] основной принцип защиты, состоящий в том, что защитные решения должны обеспечивать загрузку только проверенной операционной системы (ОС) только с разрешенных носителей, необходимо сохранить и в СТД. Поэтому для характеристики уровня техники в предметной области известные технические решения следует рассмотреть как в части устройств, так и способов (технологий) их применения, поскольку именно внесение существенных отличий в последние и может позволить адаптировать их для СТД.

Наиболее совершенные из известных устройств защиты информации фактически представляют собой комплекс технических средств, содержащий взаимодействующие между собой в процессе контроля целости программной среды стационарное устройство (СУ) и, по меньшей мере, одно мобильное устройство (МУ). Таково, в частности, устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ (ПЭВМ), в котором МУ представляет собой внешний носитель информации, выполненный в виде энергонезависимой памяти, а СУ - встроенный в ПЭВМ модуль, содержащий собственную энергонезависимую память, а также контроллеры обмена информации с ПЭВМ и с МУ. Для взаимодействия между СУ и МУ в этом устройстве предусмотрен соответствующий выносной контактный узел [2]. В энергонезависимую память МУ записывают индивидуальную неизменяемую для каждого пользователя информацию, в частности его персональный идентификатор, а также вычисленное значение хэш-функции защищаемых от несанкционированных изменений файлов. Пароль пользователя, список защищаемых от несанкционированных изменений файлов, вычисленное значение их хэш-функции, имя назначенной пользователю стартовой программы и список разрешенных к выполнению программ записывают на жесткий диск ПЭВМ. Наличие в составе ПЭВМ СУ, содержащего контроллер обмена информацией с МУ, и энергонезависимую память, в которую записывают коды контроля целостности информации ПЭВМ и коды считывания информации с МУ, позволяет создать функционально-замкнутую (доверенную) программно-логическую среду, обеспечивая тем самым эффективную защиту информации, хранящейся в ПЭВМ, от НСД.

Близким по архитектуре к описанному устройству является устройство аналогичного наименования, отличающееся от первого наличием в составе СУ отдельного процессора для идентификации/аутентификации (И/А) пользователя [3].

Реализованный в этих и подобных устройствах способ защиты информации от НСД с учетом возможности применения в КС, содержащих, по меньшей мере, две ПЭВМ, состоит, таким образом, в том, что по меньшей один из компьютеров, входящий в состав КС, оснащают комплексом технических средств защиты информации, содержащим взаимодействующие между собой в процессе контроля целостности программной среды стационарное устройство (СУ), и, по меньшей мере, одно мобильное устройство (МУ). Однако недостатком этого способа является уязвимость в отношении несанкционированных действий ОС, которая сохраняется вне указанного комплекса, а потому гарантий, что таковая действительно является проверенной, нет.

От указанного недостатка свободен способ защиты информации, в котором дополнительно имеется возможность инсталлировать проверенную ОС на входящую, в частности, в состав СУ энергонезависимую память (флэш-диск), получив тем самым ОС, целостность которой твердо гарантирована и постоянно контролируется в процессе работы [1, с.142].

Последний - наиболее близкий к заявляемому - способ состоит в том, что по меньшей мере один из компьютеров, входящий в состав КС, оснащают комплексом технических средств защиты информации, содержащим взаимодействующие между собой в процессе контроля целостности программной среды стационарное устройство (СУ), и, по меньшей мере, одно мобильное устройство (МУ), а образ доверенной операционной системы (ОС), ответственной за загрузку проверенного программного обеспечения (ПО), постоянно хранят в схемах энергонезависимой памяти одной из указанных групп взаимодействующих устройств. В этом способе образ доверенной ОС, ответственной за загрузку проверенного ПО, хранят в схемах энергонезависимой памяти, входящих в состав СУ, и потому для ТК и, следовательно, для СТД, этот способ, к сожалению, неприменим - хотя бы по причине отсутствия в ТК свободных слотов для установки СУ.

Технической задачей изобретения является создание построенного на подобных принципах способа защиты от НСД к информации, хранимой в КС, который был бы пригоден и для СТД. Технический результат, достигаемый в связи с ее решением, состоит в повышении уровня защищенности широко распространившихся в последние годы терминальных систем.

Согласно изобретению, в способ защиты от НСД к информации, хранимой КС, в котором по меньшей мере один из компьютеров, входящий в состав КС, оснащают комплексом технических средств защиты информации, содержащим взаимодействующие между собой в процессе контроля целостности программной среды стационарное устройство (СУ), и, по меньшей мере, одно мобильное устройство (МУ), а образ доверенной операционной системы (ОС), ответственной за загрузку проверенного программного обеспечения (ПО), постоянно хранят в схемах энергонезависимой памяти одной из указанных групп взаимодействующих устройств, причем СУ размещают внутри указанного компьютера, а МУ снабжают легальных пользователей КС, внесены следующие основные отличия.

Каждую группу легальных пользователей, отличающихся по своим функциональным обязанностям в КС - в частности рядовых пользователей и администратора системы - снабжают отличающимися, по меньшей мере, программно и адаптированными под их задачи МУ активного типа.

При этом образы доверенной ОС и проверенного ПО хранят на МУ и загружают перед началом работы по сети, связывающей все компьютеры в КС, а по окончании работы в компьютерах, не оснащенных СУ, не сохраняют. Исключениями являются ТС, оснащение которых СУ позволяет создать условия для безопасного хранения в них этих образов.

Замысел изобретения состоит, таким образом, в изменении как места хранения проверенной ОС - со стационарного (в составе СУ) на мобильное (в составе МУ), так и способа ее доверенной загрузки - с локального (с носителя, входящего в состав ТК или непосредственно к нему подключенного) на загрузку по сети. Поскольку при этом функциональность МУ существенно расширяется (в известных вариантах МУ могут быть пассивны - от них требуется наличие только энергонезависимой памяти), то для реализации изобретения требуются другие МУ - активного типа (поддерживающие, в частности, криптографические методы, в т.ч. связанные с электронной подписью - ЭП, а потому оснащенные микропроцессором и обладающие большими объемами энергонезависимой памяти).

Такого рода технические средства известны и серийно производятся - к ним относятся, в частности, выполненные в форм-факторе «USB-ключ» персональные средства криптографической защиты информации (ПСКЗИ) ШИПКА (Шифрование, Идентификация, Подпись, Коды Аутентификации) [4] разработки ОКБ САПР. Применимость основанного на использовании МУ с USB-интерфейсом защитного решения для СТД связана с тем, что любые ТК - даже простейшие - как правило, имеют USB-порты.

Преимуществ у такого способа построения защищенных СТД два:

1) значительно проще организовать защищенное хранение образов ОС и ПО в МУ, где к собственным защитным механизмам аутентификации пользователя при доступе к его памяти может быть добавлена такая организационная мера, как хранение в сейфе в нерабочее время;

2) значительно удобнее организовать централизованное администрирование образов ОС для каждого из ТК.

Поскольку такого рода защитные решения не известны по патентным и научно-техническим источникам информации и не вытекают для специалиста явным образом из известного уровня техники, заявленный способ по основным отличительным признакам соответствует критериям изобретения «новизна» и «изобретательский уровень».

В конкретных вариантах осуществления описанного способа могут быть использованы следующие уточняющие признаки.

За рядовыми пользователями СТД целесообразно закрепить компьютеры с усеченными наборами аппаратных возможностей и не оснащенные СУ - терминальные клиенты (ТК) - и снабдить их клиентскими МУ, поддерживающими, будучи подключенными к ТК, функции И/А пользователя, а также проверки подлинности и целостности загружаемых образов ПО посредством криптографических методов, например электронной подписи (ЭП). В качестве ТК, таким образом, может быть использовано любое СВТ, поддерживающее загрузку с USB-устройств, а И/А пользователя можно осуществлять по PIN-коду. Другим криптографическим методом в технически обоснованных случаях пригодным для проверки подлинности и целостности загружаемых образов ПО является вычисление и проверка их хэш-функций.

СУ целесообразно оснастить по меньшей мере один полнофункциональный компьютер, выделенный в качестве ТС, и закрепить за ним функции создания терминальной сессии, при которой для целей аппаратной И/А пользователей используют полученную по сети информацию с клиентских МУ. Непосредственное подключение МУ к ТС, таким образом, не производят, а обеспечивают удаленное взаимодействие между всеми МУ и СУ в составе ТС по сети, связывающей воедино все компьютеры КС.

За администратором системы целесообразно закрепить компьютер, выделенный в качестве автоматизированного рабочего места администратора (АРМА), и снабдить его администраторским МУ, поддерживающим, будучи подключенным к АРМА, функции индивидуального конструирования образов ПО для всех ТК, вычисления ЭП для образов ПО и инициализации клиентских МУ. Наличие в составе КС АРМА позволяет конструировать образы ПО ТК для разных пользователей с разным набором возможностей, что позволяет оперативно реагировать на всякого рода изменения ситуации без снижения уровня информационной безопасности.

В качестве сервера хранения и сетевой загрузки ПО (СХСЗ) целесообразно выделить по меньшей мере еще один компьютер и закрепить за ним серверное МУ, поддерживающее, будучи подключенным к СХСЗ, функции хранения образов ПО и предоставления их для загрузки по сети, а также создание учетных записей пользователей и назначения им клиентских МУ. На СХСЗ целесообразно вести журналирование работы пользователей с момента включения ТК до старта сессии с ТС и с момента разрыва сессии до выключения ТК, а также журналирование действий администратора СХСЗ и администратора безопасности СХСЗ (при их наличии). СХСЗ необходимо устанавливать в рамках общего защищенного контура с ТК, которые с него загружаются.

И как уже упоминалось выше, МУ, хранящие образы ОС и ПО, целесообразно сохранять в сейфе в нерабочее время.

Приведенная полная совокупность отличительных признаков заявляемого способа действительно решает задачу изобретения и обеспечивает достижение указанного технического результата, поскольку она позволяет адекватно контролировать целостность и аутентичность образов ОС и ПО, загружаемых по сети - качество, не обеспечиваемое большинством известных методов удаленной загрузки. Поэтому известные методы, в принципе, позволяют загружать на ТК совсем не те ОС, загрузка которых предполагалась изначально и которые способны подорвать безопасность КС. В заявляемом же способе загружаемые ОС подписаны ЭП, и эта ЭП проверяется до загрузки клиентским МУ, имеющим ключ проверки подписи пары, ключом подписи которой подписаны образы ОС. Поэтому загрузиться могут только предназначенные данному конкретному пользователю ТК образы, результаты проверки ЭП для которых будут корректны. Существенно также то, что криптографические вычисления, связанные с ЭП, согласно изобретению производятся не в составе КС, а в отдельных аппаратных средствах с особым режимом хранения - МУ активного типа. Тем самым обеспечивается твердая гарантия целостности соответствующих программ.

ЛИТЕРАТУРА

1. Конявский В.А. Управление защитой информации на базе СЗИ НСД «Аккорд». - М.: Радио и связь, 1999 - 325 с.

2. Патент России на изобретение №2067313, 1996.

3. Патент России на изобретение №2263950, 2005.

4. Патент России на полезную модель №83862, 2009.

1. Способ защиты от несанкционированного доступа к информации, хранимой в компьютерных системах (КС), в котором по меньшей мере один из компьютеров, входящий в состав КС, оснащают комплексом технических средств защиты информации, содержащим взаимодействующие между собой в процессе контроля целостности программной среды стационарное устройство (СУ), и, по меньшей мере, одно мобильное устройство (МУ), а образ доверенной операционной системы (ОС), ответственной за загрузку проверенного программного обеспечения (ПО), постоянно хранят в схемах энергонезависимой памяти одной из указанных групп взаимодействующих устройств, причем СУ размещают внутри указанного компьютера, а МУ снабжают легальных пользователей КС, отличающийся тем, что каждую группу легальных пользователей, отличающихся по своим функциональным обязанностям в КС, в частности рядовых пользователей и администратора системы, снабжают отличающимися, по меньшей мере, программно и адаптированными под их задачи МУ активного типа, причем образы доверенной ОС и проверенного ПО хранят на МУ и загружают перед началом работы по сети, связывающей все компьютеры в КС, а по окончании работы в компьютерах, не оснащенных СУ, не сохраняют.

2. Способ по п.1, отличающийся тем, что в нем за рядовыми пользователями закрепляют компьютеры с усеченными наборами аппаратных возможностей и не оснащенные СУ - терминальные клиенты (ТК) - и снабжают их клиентскими МУ, поддерживающими, будучи подключенными к ТК, функции идентификации/аутентификации (И/А) пользователя, а также проверки подлинности и целостности загружаемых образов ПО посредством криптографических методов, например электронной подписи (ЭП).

3. Способ по п.1, отличающийся тем, что в нем СУ оснащают по меньшей мере один полнофункциональный компьютер, выделенный в качестве терминального сервера (ТС), и закрепляют за ним функцию создания терминальной сессии, при которой полученную по сети информацию с клиентских МУ, подключенных к ТК, используют для целей аппаратной И/А пользователей.

4. Способ по п.1, отличающийся тем, что в нем за администратором системы закрепляют компьютер, выделенный в качестве автоматизированного рабочего места администратора (АРМА), и снабжают его администраторским МУ, поддерживающим, будучи подключенным к АРМА, функции индивидуального конструирования образов ПО для всех ТК, вычисления ЭП для образов ПО и инициализации клиентских МУ.

5. Способ по п.1, отличающийся тем, что в нем выделяют по меньшей мере один компьютер в качестве сервера хранения и сетевой загрузки ПО (СХСЗ), и закрепляют за ним серверное МУ, поддерживающее, будучи подключенным к СХСЗ, функции хранения образов ПО и предоставления их для загрузки по сети, а также создание учетных записей пользователей и назначения им клиентских МУ.

6. Способ по п.1, отличающийся тем, что в нем МУ, хранящие образы ОС и ПО, сохраняют в сейфе в нерабочее время.