СПОСОБ ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ, ХРАНИМОЙ В ПЕРСОНАЛЬНОМ ЭВМ Российский патент 2013 года по МПК G06F12/14 G06F21/30 

Описание патента на изобретение RU2475823C1

Изобретение относится к области компьютерной техники и информационных технологий.

В указанной области техники издавна существует проблема защиты от несанкционированного доступа (НСД) к информации, хранимой в персональной ЭВМ (ПЭВМ), простейшим и исторически первым решением которой явилось создание и применение программного обеспечения, реализующего те или иные функции защиты. Однако опыт соответствующих разработок и теоретический анализ проблемы к настоящему времени наглядно продемонстрировали ограниченность такого подхода и подвели к необходимости разработки и применения технических способов и средств защиты информации (ТСЗИ) от НСД. Теперь нет необходимости обосновывать предпочтительность применения ТСЗИ по отношению к программным средствам защиты, поскольку первые, фактически, приобрели статус стандарта в области защиты информации. Однако в последние годы выдвинулась другая, сопутствующая проблема - сужение функциональных возможностей ПЭВМ, обусловленное их оснащением ТСЗИ.

Этой проблемы практически не существовало на начальных этапах разработки и применения ТСЗИ - она выдвинулась для ПЭВМ последних поколений, отличающихся от прежних, в частности, множеством разнообразных внешних интерфейсов и разветвленным набором периферийного оборудования. Ее анализ показывает, что первопричина проблемы кроется не в конструктивных особенностях ТСЗИ как устройств, а в самом способе защиты информации от НСД, который во всем множестве их известных вариантов реализован. Поэтому для характеристики уровня техники в предметной области требуется не рассмотрение различных вариантов ТСЗИ, являющихся в этом плане одинаково близкими к предмету изобретения, но анализ способа их применения, причем достаточно одного - наиболее характерного примера таковых - семейства ТСЗИ НСД «Аккорд»®, для которого вопросы методологии аппаратной защиты информации детально разработаны и освещены в научно-практической монографии [1].

Способ защиты от НСД, хранимой в ПЭВМ, описываемый в этом источнике, состоит в том, что ПЭВМ оснащают взаимодействующим с ее базовой системой ввода-вывода (Basic Input-Output System - BIOS) техническим средством защиты информации (ТСЗИ), содержащим схемы энергонезависимой памяти и собственную схему расширения BIOS (РБ). Резидентную операционную систему (РОС), ответственную за среду выполнения процедур безопасности и содержащую предназначенное для этого программное обеспечение (ПО), хранят в энергонезависимой памяти ТСЗИ и загружают в ПЭВМ по команде BIOS, передающей управление РБ на базе использования стандартной процедуры проверки основного оборудования ПЭВМ (POST) [1, c.111].

В этом способе, однако, не предусмотрено возврата управления основному BIOS после выполнения РБ, в результате чего процедура POST может остаться незавершенной и, соответственно, часть оборудования ПЭВМ невыявленной. Поэтому задействовать это оборудование, даже при его наличии, пользователь не сможет, что является очевидным сужением функциональных возможностей ПЭВМ, обусловленным применением известного способа защиты информации при помощи технических средств.

Кроме того, ПО ТСЗИ в известном способе запускают в такой момент, что оно может не иметь доступ к некоторым ресурсам (например, SCSI-дискам) для решения определенных задач безопасности (например, контроля целостности файлов).

Задачей изобретения является расширение функциональных возможностей ПЭВМ, оснащенных ТСЗИ. Техническим результатом, связанным с ее решением, является преодоление указанного противоречия между информационной безопасностью и имеющимися в распоряжении пользователя функциональными возможностями, которые - благодаря патентуемому способу - теперь останутся теми же, что и без ТСЗИ, причем (и это - главное) не в ущерб информационной безопасности.

Поставленная задача тривиального решения не имеет - ясно, что если в известном способе просто предусмотреть обратную передачу управления основному BIOS по исполнении РБ процедур безопасности, то это откроет для злоумышленно настроенного пользователя возможность внедрения в систему разнообразных разрушающих программных воздействий («вирусов»), программных «закладок» и т.п. Для того чтобы управление основному BIOS по окончанию работы РБ все же вернуть (поскольку никаким иным способом завершить его работу не представляется возможным), но не дискредитировать при этом политику информационной безопасности, необходимо сопроводить эту передачу некими дополнительными мерами, не раскрытыми в литературных источниках и не вытекающими явным образом из известных технических решений. Поэтому предложенный способ, позволяющий решить поставленную задачу, удовлетворяет установленным критериям новизны и изобретательского уровня, и на этих основаниях может быть квалифицирован как изобретение.

Согласно изобретению в способе защиты от НСД к информации, хранимой в ПЭВМ, при котором ПЭВМ оснащают взаимодействующим с ее базовой системой ввода-вывода (BIOS) техническим средством защиты информации (ТСЗИ), содержащим схемы энергонезависимой памяти и собственную схему расширения BIOS (РБ), причем резидентную операционную систему (РОС), ответственную за среду выполнения процедур безопасности, хранят в энергонезависимой памяти ТСЗИ и загружают в ПЭВМ по команде BIOS, передающей управление РБ на базе использования стандартной процедуры проверки основного оборудования ПЭВМ (POST), управление возвращают BIOS ПЭВМ.

Чтобы при этом задача изобретения была решена, перед загрузкой РОС задают выполнение последовательности команд, которая по адресу размещения в оперативном запоминающем устройстве (ОЗУ) ПЭВМ загрузочного кода основной ОС (ООС), при помощи которого выполняют ее загрузку с реального загрузочного устройства (FDD, HDD, CDROM, USB, Network), устанавливает точку останова таким образом, что ее срабатывание будет обработано соответствующим кодом в РБ, причем минимальный загрузочный код ООС и информацию о реальном загрузочном устройстве сохраняют в ОЗУ ПЭВМ. Затем управление возвращают BIOS для завершения процедуры POST, по окончании которой в момент передачи управления загрузочному коду ООС срабатывает заданная ранее точка останова. Ее обрабатывают соответствующим кодом, заданным при работе РБ, который передает управление процедуре загрузки РОС. Далее выполняют загрузку РОС из памяти ТСЗИ и запускают задачу безопасности (контроль целостности, идентификацию/аутентификацию и т.п.), по завершении которой выполняют программу выхода в штатный режим работы ПЭВМ.

Так как после выполнения процедур РБ управление возвращают BIOS ПЭВМ, процедура POST может корректно завершиться и вызвать собственные РБ всех остальных контроллеров, сохранив тем самым весь набор функциональных возможностей ПЭВМ, доступный без оснащения ее ТСЗИ. Поскольку процедура POST автоматически выполняется при каждом запуске ПЭВМ, указанные отличительные признаки относятся ко всем без исключения вариантам осуществления данного способа.

В отдельных вариантах способа точку останова целесообразно задавать путем подготовки условий прерывания в одном из отладочных регистров процессора ПЭВМ, который программируют на останов по условию исполнения кода по определенному адресу, где располагается загрузочный код ООС, и установки обработчика прерывания пошагового режима путем занесения в таблицу прерываний адреса, указывающего на часть соответствующего кода из РБ (в частности, обеспечивающую загрузку РОС).

Кроме того, РОС целесообразно загружать путем установки транслятора обращения к секторам загрузочного устройства ПЭВМ в обращение к энергонезависимой памяти ТСЗИ и инициации штатной загрузки с этого носителя информации. При этом вместо чтения секторов памяти реального загрузочного устройства (а именно т.н. «дисковода А:») происходит чтение энергонезависимой памяти ТСЗИ, которая недоступна для несанкционированных изменений со стороны пользователя. Транслятор обращений целесообразно задавать внесением соответствующих изменений в таблицу прерываний.

Программу выхода в штатный режим работы ПЭВМ целесообразно выполнять путем восстановления загрузочного кода ООС, замены обработчика обращений к загрузочному устройству на прежний и передачи управления на восстановленный код. Восстановление после выхода из РОС функции работы с реальным загрузочным устройством и загрузочного кода ООС, наряду с возвратом управления процедуре POST, обеспечивает отсутствие ограничений функциональных возможностей ПЭВМ.

Таким образом, описанный способ, с одной стороны, обеспечивает возврат управления BIOS ПЭВМ и завершение процедуры POST, что позволяет корректно выявить и настроить в ПЭВМ периферийные устройства, имеющие собственные РБ и выявляемые после ТСЗИ. С другой стороны, предусмотренный в способе перехват момента загрузки ООС с заменой на загрузку РОС, позволяет своевременно запустить и корректно решить все требующиеся задачи безопасности. На этом основании описанный способ можно считать не только обеспечивающим достижение указанного технического результата, но и удовлетворяющим требованиям действующих стандартов в области информационной безопасности [2].

ИСТОЧНИКИ ИНФОРМАЦИИ

1. Конявский В.А. Управление защитой информации на базе СЗИ НСД «Аккорд». - М.: Радио и связь, 1999. - 325 с.

2. ГОСТ Р 50739-95. СВТ. Защита от НСД к информации.

Похожие патенты RU2475823C1

название год авторы номер документа
СПОСОБ БЕЗОПАСНОГО РАСШИРЕНИЯ ФУНКЦИЙ АППАРАТНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ 2014
  • Алтухов Андрей Андреевич
  • Конявский Валерий Аркадьевич
  • Счастный Дмитрий Юрьевич
RU2574347C2
СПОСОБ ЗАЩИТЫ КОМПЬЮТЕРА 2016
  • Конявский Валерий Аркадьевич
RU2628142C1
ДОВЕРЕННЫЙ ВЫЧИСЛИТЕЛЬНЫЙ КОМПЛЕКС С МНОГОУРОВНЕВОЙ СИСТЕМОЙ БЕЗОПАСНОСТИ 2023
  • Конявский Валерий Аркадьевич
  • Букин Андрей Геннадьевич
RU2816097C1
УСТРОЙСТВО СОЗДАНИЯ ДОВЕРЕННОЙ СРЕДЫ ДЛЯ КОМПЬЮТЕРОВ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ 2013
  • Дударев Дмитрий Александрович
  • Полетаев Владимир Михайлович
  • Полтавцев Александр Васильевич
  • Романец Юрий Васильевич
  • Сырчин Владимир Кимович
RU2538329C1
УСТРОЙСТВО ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА ДЛЯ КОМПЬЮТЕРОВ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ 2006
  • Алференков Николай Николаевич
  • Полетаев Владимир Михайлович
  • Романец Юрий Васильевич
  • Снетков Павел Валентинович
  • Сырчин Владимир Кимович
  • Тимофеев Петр Александрович
  • Чентуков Александр Викторович
RU2321055C2
УСТРОЙСТВО СОЗДАНИЯ ДОВЕРЕННОЙ СРЕДЫ ДЛЯ КОМПЬЮТЕРОВ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ 2014
  • Дударев Дмитрий Александрович
  • Кравцов Алексей Юрьевич
  • Полетаев Владимир Михайлович
  • Полтавцев Александр Васильевич
  • Романец Юрий Васильевич
  • Сырчин Владимир Кимович
RU2569577C1
УСТРОЙСТВО ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ, ХРАНИМОЙ В ПЕРСОНАЛЬНОЙ ЭВМ 1995
RU2067313C1
СПОСОБ ЗАЩИТЫ ПЕРСОНАЛЬНОГО КОМПЬЮТЕРА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА И УСТРОЙСТВО ДЛЯ ЕГО РЕАЛИЗАЦИИ 1997
  • Варшавский З.М.
  • Красовский С.Я.
  • Рубанов В.О.
  • Стребков А.И.
RU2126168C1
СПОСОБ ВЫПОЛНЕНИЯ ОБРАЩЕНИЯ К ПРОЦЕДУРАМ ЗАГРУЗОЧНОГО ДРАЙВЕРА 2014
  • Русаков Вячеслав Евгеньевич
  • Киржеманов Андрей Леонидович
  • Паршин Юрий Геннадьевич
RU2586576C1
УСТРОЙСТВО ЗАЩИТЫ ИНФОРМАЦИИ, ХРАНЯЮЩЕЙСЯ В ПЕРСОНАЛЬНОЙ ЭВМ 1995
  • Панченко В.И.
  • Сачков А.В.
  • Сотов А.В.
RU2099779C1

Реферат патента 2013 года СПОСОБ ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ, ХРАНИМОЙ В ПЕРСОНАЛЬНОМ ЭВМ

Изобретение относится к области компьютерной техники и информационных технологий. Техническим результатом является расширение функциональных возможностей ПЭВМ посредством технического средства защиты информации (ТСЗИ), содержащим схемы энергонезависимой памяти и собственную схему расширения BIOS (РБ). Для достижения указанного технического результата перед загрузкой резидентной операционной системы (РОС) задают выполнение последовательности команд, которая по адресу размещения в оперативном запоминающем устройстве (ОЗУ) ПЭВМ загрузочного кода основной ОС (ООС), при помощи которого выполняют ее загрузку с реального загрузочного устройства (FDD, HDD, CDROM, USB, Network), устанавливает точку останова таким образом, что ее срабатывание будет обработано соответствующим кодом в РБ, причем минимальный загрузочный код ООС и информацию о реальном загрузочном устройстве сохраняют в ОЗУ ПЭВМ. Возврат управления BIOS ПЭВМ осуществляют, таким образом, только после проведения этой подготовительной операции. Далее при срабатывании точки останова заменяют первую команду загрузочного кода на переход к загрузчику РОС, загружают РОС из памяти ТСЗИ и запускают задачу безопасности (контроль целостности, идентификацию/аутентификацию и т.п.), по завершении которой выполняют программу выхода в штатный режим работы ПЭВМ. 3 з.п. ф-лы.

Формула изобретения RU 2 475 823 C1

1. Способ защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ (ПЭВМ), при котором ПЭВМ оснащают взаимодействующим с ее базовой системой ввода-вывода (BIOS) техническим средством защиты информации (ТСЗИ), содержащим схемы энергонезависимой памяти и собственную схему расширения BIOS (РБ), причем резидентную операционную систему (РОС), ответственную за среду выполнения процедур безопасности, хранят в энергонезависимой памяти ТСЗИ и загружают в ПЭВМ по команде BIOS, передающей управление РБ на базе использования стандартной процедуры проверки основного оборудования ПЭВМ (POST), отличающийся тем, что перед загрузкой РОС задают выполнение последовательности команд, которая по адресу размещения в оперативном запоминающем устройстве (ОЗУ) ПЭВМ загрузочного кода основной ОС (ООС) устанавливает точку останова таким образом, что ее срабатывание будет обработано соответствующим кодом в РБ, причем минимальный загрузочный код ООС и информацию о реальном загрузочном устройстве сохраняют в ОЗУ ПЭВМ, далее управление возвращают BIOS, при срабатывании точки останова заменяют первую команду загрузочного кода на переход к загрузчику РОС, загружают РОС и запускают задачу безопасности (контроль целостности, идентификацию/аутентификацию и т.п.), по завершении которой выполняют программу выхода в штатный режим работы ПЭВМ.

2. Способ по п.1, отличающийся тем, что в нем точку останова задают путем выполнения подготовки условий прерывания в одном из отладочных регистров процессора ПЭВМ, который программируют на останов по условию исполнения кода по указанному адресу, и установки обработчика прерывания пошагового режима путем занесения в таблицу прерываний адреса, указывающего на часть соответствующего кода из РБ.

3. Способ по п.1, отличающийся тем, что в нем РОС загружают путем установки транслятора обращения к секторам загрузочного устройства ПЭВМ в обращение к энергонезависимой памяти ТСЗИ и инициации штатной загрузки с этого носителя информации.

4. Способ по п.1 или 3, отличающийся тем, что в нем программу выхода в штатный режим работы ПЭВМ выполняют путем восстановления загрузочного кода ООС, замены обработчика обращений к загрузочному устройству на прежний и передачи управления на восстановленный код.

Документы, цитированные в отчете о поиске Патент 2013 года RU2475823C1

КОНЯВСКИЙ В.А
Управление защитой информации на базе СЗИ НСД «Аккорд»
- М.: Радио и связь, 1999, с.111
Приспособление для суммирования отрезков прямых линий 1923
  • Иванцов Г.П.
SU2010A1
EP 1251420 B1, 19.03.2003
RU 95104292 A1, 20.08.1996
УСТРОЙСТВО ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА ДЛЯ КОМПЬЮТЕРОВ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ 2006
  • Алференков Николай Николаевич
  • Полетаев Владимир Михайлович
  • Романец Юрий Васильевич
  • Снетков Павел Валентинович
  • Сырчин Владимир Кимович
  • Тимофеев Петр Александрович
  • Чентуков Александр Викторович
RU2321055C2

RU 2 475 823 C1

Авторы

Григорьев Григорий Эркинович

Конявский Валерий Аркадьевич

Кряжев Алексей Сергеевич

Синякин Савелий Александрович

Даты

2013-02-20Публикация

2011-09-07Подача