Изобретение относится к области компьютерной техники и информационных технологий.
В указанной области техники издавна существует проблема создания доверенных средств вычислительной техники (СВТ), гарантированно защищенных от несанкционированного доступа (НСД) к хранимой и обрабатываемой в них информации. Простейшим и исторически первым решением этой проблемы явилось создание и применение программного обеспечения, реализующего те или иные функции защиты. Однако опыт соответствующих разработок и теоретический анализ проблемы наглядно продемонстрировали ограниченность такого подхода и подвели к необходимости разработки и применения программно-аппаратных способов и средств защиты информации (ТСЗИ) от НСД. Теперь нет необходимости обосновывать предпочтительность применения ТСЗИ по отношению к программным средствам защиты, поскольку первые, фактически, приобрели статус стандарта в области защиты информации.
Теория и практика защиты информации от НСД с помощью ТСЗИ были обобщены в монографии [1, с. 48], где была сформулирована и доказана теорема об использовании компонента безопасности (ИКБ), согласно которой задача контроля целостности системы разрешима только при использовании специализированного аппаратного резидентного компонента безопасности (РКБ). Там же было доказано, что для системы произвольной структуры, в частности, вычислительного комплекса, одного РКБ мало, а необходимо их размещение во всех вершинах описывающего систему графа, кратность которых больше 2, т.е. имеющих по крайней мере 2 ребра, связывающих их с вершинами следующего уровня иерархии [1, с. 56]. Но ранее это теоретическое положение не было реализовано, поскольку задача защиты информации решалась для локального СВТ - персональной ЭВМ.
Эта задача была решена тем, что единственный РКБ - в частности, контроллер семейства «Аккорд» - выполнен в виде дочерней платы, устанавливаемой в один из слотов материнской платы ПЭВМ [1, с. 107]. Недостаток этого решения состоит в том, что если нарушителю удастся, физически взломав компьютер (вскрыв его корпус), заранее извлечь контроллер из слота, то выполнение процедур безопасности заблокируется.
В дальнейшем это решение было, с целью повышения уровня защищенности компьютера по отношению к такого рода несанкционированным действиям, усовершенствовано: на материнской плате для установки контроллера «Аккорд» предлагалось выделять слот с расширенным набором контактов, пропускать через избыточные контакты, по меньшей мере, одну электрическую цепь, размыкание которой гарантированно приводит к потере работоспособности компьютера, а на плате контроллера присоединять к соответствующим контактам, по меньшей мере, один элемент физической коммутации, обеспечивающий замыкание/размыкание вышеупомянутой цепи при установке/извлечении платы контроллера [2]. Реализованный таким образом контроллер может быть физически извлечен из материнской платы компьютера, однако при его извлечении компьютер становится неработоспособным - пример псевдонеизвлекаемого РКБ.
Известен также истинно неизвлекаемый вариант РКБ, в частности, аппаратно-программный модуль доверенной загрузки (АПМДЗ), который интегрируется непосредственно на материнскую плату компьютера в виде чипсета и прочих аппаратных компонентов на этапе ее разработки [3]. Такое решение, однако, универсальным не является, поскольку оно не может быть использовано для дооснащения РКБ широкой номенклатуры серийно выпускаемых СВТ, которые были разработаны без учета этого требования.
Другой не реализованной в разработках ТСЗИ концепцией, раскрытой в вышеупомянутой монографии, являются многоуровневые системы безопасности, в которых уровень безопасности определяется как иерархический атрибут, а каждая составляющая компонента системы ассоциирована со своим уровнем безопасности [1, с. 16]. Это также обусловлено тем, что ранее такое решение было неактуальным, так как многоуровневые системы не имели широкого распространения. Однако в результате бурного развития в последние годы СВТ, в частности, распространения многопроцессорных вычислительных комплексов, содержащих несколько центральных устройств (ЦУ), многоуровневые системы безопасности актуализировались.
Следовательно, по мере совершенствования СВТ ТСЗИ тоже должны эволюционировать, поскольку их защитные функции, достаточные еще недавно, на современном этапе уже недостаточны. С другой стороны, арсенал нарушителей тоже не стоит на месте, и в число несанкционированных действий, учитываемых в моделях нарушителя прошлых лет, следует внести относительно новые. В частности, всякого рода инвазивные воздействия на периферийные устройства (ПУ) и периферийные интерфейсы (ПИ) - например, с использованием специально подготовленных (снабженных «закладками») ПУ, предназначенных для подмены ими аутентичных ПУ - от которых известные ТСЗИ эффективно не защищают. Кроме того, существующие защитные решения предполагают размещение СВТ в пределах контролируемых зон, что на практике чаще всего недостижимо.
Наиболее близким к изобретению, в связи с тем, что его система безопасности - двухуровневая, является «Способ и устройство доверенной загрузки компьютера с контролем периферийных интерфейсов» согласно [4].
Вторым уровнем (по отношению первому уровню - стандартным функциям безопасности РКБ, в частности, доверенной загрузки) системы безопасности является контроль периферийных интерфейсов и их физическое подключение или отключение по результатам этого контроля. Для этого защищаемый компьютер оснащен дополнительными аппаратными модулями (по существу - тоже РКБ), включенными тем или иным способом (в частности, обеспечивающим неизвлекаемость) в разрыв между материнской платой компьютера и соответствующим контролируемым или защищаемым интерфейсом, с обеспечением гарантий отсутствия подключений аналогичных интерфейсов в обход дополнительных РКБ.
Недостатки этого технического решения обусловлены тем, что дополнительный РКБ, включенный в разрыв указанной цепи, для каждого ПИ единственный (как максимум, интегрированный с платой компьютера и потому неизвлекаемый), а со стороны соответствующего ПУ защита ПИ фактически отсутствует - реальное окно возможностей нарушителю. Кроме того, оно применимо лишь к локальным компьютерам, а для защиты получивших широкое распространение в последние годы вычислительных комплексов, в состав которых входит ряд центральных устройств (ЦУ), по существу - тоже компьютеров со своими наборами ПУ, оно не пригодно.
Задачей изобретения является преодоление указанных недостатков, а его технический результат заключается в создании доверенных вычислительных комплексов с многоуровневой системой защиты, обеспечивающей повышенный уровень защищенности по отношению к несанкционированным действиям, в особенности, атакам нарушителя со стороны ПУ и ПИ.
Указанная задача решена тем, что в вычислительный комплекс, содержащий, по меньшей мере, одно центральное устройство (ЦУ) и, по меньшей мере, одно периферийное устройство (ПУ), взаимодействующее со своим ЦУ через периферийный интерфейс (ПИ), в котором, по меньшей мере, одно ЦУ содержит резидентный компонент безопасности (РКБ), интегрированный в его состав и поддерживающий, наряду с защитой ЦУ от несанкционированного доступа, физическое подключение или отключение ПИ, внесено следующее отличие - фактически, делающее его доверенным.
Согласно изобретению, по меньшей мере, одно ПУ содержит включенный в разрыв ПИ резидентный элемент безопасности (РЭБ), интегрированный в состав ПУ, являясь физически неизвлекаемым из него, поддерживающий функции безопасности, заключающиеся во взаимной идентификации или аутентификации со своим ЦУ и физическом подключении или отключении ПИ в зависимости от результата идентификации или аутентификации. Новизна этого отличительного признака очевидна: согласно уровню техники, ТСЗИ могут быть интегрированы либо в состав ЦУ, либо - согласно прототипу - в разрыв цепи, соединяющей ЦУ с ПУ, но никак не в состав самого ПУ.
Особенность ТСЗИ, предназначенных для интегрирования в ПУ, состоит в том, что они функционально упрощены по отношению к обычным РКБ (АПМДЗ): от них не требуется, в частности, хранение доверенной операционной системы и управление доверенной загрузкой. Эта относительная простота позволяет задать наиболее безопасное - физически неизвлекаемое - исполнение таких ТСЗИ как обязательное. В этом состоит их существенное отличие от РКБ, для которых физически неизвлекаемое исполнение является факультативным. Поэтому таковые, согласно принятой в электронике терминологии, наименованы иначе - РЭБ, отражая тот факт, что электронные элементы, в отличие от электронных компонентов, неизвлекаемы по определению (пример - интегральный транзистор в составе кремниевой ИС).
Причинно-следственная связь этих отличительных признаков с достижением указанного технического результата очевидна: ПУ, снабженное РЭБ, идентифицирующим или аутентифицирующим ЦУ, пытающееся установить с ним связь, и устанавливающим эту связь лишь при положительном результате идентификации или аутентификации, уже не представляет ценность для нарушителя в качестве возможного носителя интересующей его информации. Поэтому любые несанкционированные действия с ним, в частности, подмена и хищение, становятся бессмысленными.
При наличии в описываемом доверенном вычислительном комплексе, по меньшей мере, двух ЦУ, взаимодействующих через центральные интерфейсы (ЦИ), в его несущую конструкцию, например, стойку, целесообразно интегрировать резидентный сервер безопасности (РСБ), связанный с РКБ всех ЦУ, поддерживающий функции безопасности, заключающиеся в аутентификации каждого из ЦУ и физическом подключении или отключении соответствующих ЦИ в зависимости от результата аутентификации. Таким образом, условием существования этого, третьего контура безопасности, со связями РКБ - РСБ, наряду с двумя вышеописанными контурами безопасности, со связями РКБ - ЦУ и РКБ - РЭБ, является наличие нескольких ЦУ и, соответственно, ЦИ в составе комплекса.
Как вариант, целесообразный при повышенных требованиях к уровню защищенности, рекомендуется построение схем, по меньшей мере, одного РКБ ЦУ или РЭБ ПУ поддерживающими процедуру взаимной идентификации или аутентификации по криптографически защищенному протоколу или каналу.
Настоящим изобретением впервые реализован иерархический принцип построения интегрированных в состав СВТ (резидентных) средств безопасности: от единственного среднего звена (РКБ) в доверенном локальном компьютере (здесь - ЦУ), к высшему (РСБ) и низшему (РЭБ) звеньям в доверенном вычислительном комплексе. Возможности, обеспечиваемые таким решением, позволяют без ущерба для безопасности разместить комплекс вне контролируемой зоны и построить на его основе доверенную интеграционную платформу (ДИП), интегрирующую СВТ со всеми необходимыми ресурсами. Такая ДИП может включать в себя, в частности:
- серверную стойку, оборудованную средствами инженерной защиты, в т.ч. датчиками вскрытия корпуса, акселерометрами и др., позволяющими контролировать местоположение комплекса, его состав и физическую целостность;
- средства неизвлекаемости доверенного оборудования, обеспечивающими отключение ДИП при попытке изъятия или замены доверенного оборудования на средства, неаутентифицированные защитными механизмами;
- базовый набор средств обеспечения доверия, включая описанные РЭБ, РКБ и РСБ, а также дополнительные сервера: контроля состава ДИП, доверенной загрузки, мониторинга подконтрольных объектов, инженерной защиты и активного аудита, и др.
Приведенная степень раскрытия отличительных признаков изобретения достаточна для воплощения в конкретных схемотехнических решениях специалистами в области компьютерной техники и информационных технологий и в дополнительной детализации не нуждается.
ИСТОЧНИКИ ИНФОРМАЦИИ
1. Конявский В.А. Управление защитой информации на базе СЗИ НСД «Аккорд». - М.: Радио и связь, 1999 - 325 с.
2. Патент России на изобретение RU 2628142 С1, опубл. 15.08.2017.
3. Патент России на изобретение RU 2538329 С1, опубл. 19.11.2014.
4. Патент России на изобретение RU 2748575 С1, опубл. 27.05.2021.
| название | год | авторы | номер документа |
|---|---|---|---|
| СПОСОБ БЕЗОПАСНОГО РАСШИРЕНИЯ ФУНКЦИЙ АППАРАТНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ | 2014 |
|
RU2574347C2 |
| Способ и устройство доверенной загрузки компьютера с контролем периферийных интерфейсов | 2020 |
|
RU2748575C1 |
| КОМПЬЮТЕР ДЛЯ РАБОТЫ В ДОВЕРЕННОЙ ВЫЧИСЛИТЕЛЬНОЙ СРЕДЕ | 2017 |
|
RU2666618C1 |
| СРЕДСТВО ДОВЕРЕННОЙ ЗАГРУЗКИ СО ВСТРОЕННЫМ БИНАРНЫМ ТРАНСЛЯТОРОМ ОПЕРАЦИОННОЙ СИСТЕМЫ И БЕСПРОВОДНЫМ КАНАЛОМ УПРАВЛЕНИЯ | 2023 |
|
RU2820971C1 |
| СПОСОБ ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ, ХРАНИМОЙ В ПЕРСОНАЛЬНОМ ЭВМ | 2011 |
|
RU2475823C1 |
| Система, способ и устройство непрерывной аутентификации пользователя и защиты ресурсов автоматизированного рабочего места от несанкционированного доступа | 2018 |
|
RU2691201C1 |
| Способ защиты компьютерной системы от загрузки нештатной операционной системы | 2022 |
|
RU2791431C1 |
| Комплекс аппаратно-программных средств, создающий защищенную облачную среду с автономной полнофункциональной инфраструктурой логического управления с биометрико-нейросетевой идентификацией пользователей и с аудитом подключаемых технических средств | 2016 |
|
RU2635269C1 |
| Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды и способ реализации удаленного управления | 2016 |
|
RU2633098C1 |
| УСТРОЙСТВО СОЗДАНИЯ ДОВЕРЕННОЙ СРЕДЫ ДЛЯ КОМПЬЮТЕРОВ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ | 2013 |
|
RU2538329C1 |
Изобретение относится к области информационной безопасности. Техническим результатом является создание доверенных вычислительных комплексов с многоуровневой системой защиты, обеспечивающей повышенный уровень защищенности по отношению к несанкционированным действиям, в особенности атакам нарушителя со стороны периферийного устройства (ПУ) и периферийного интерфейса (ПИ). Технический результат достигается тем, что доверенный вычислительный комплекс с многоуровневой системой безопасности содержит по меньшей мере одно центральное устройство (ЦУ) и по меньшей мере одно ПУ, взаимодействующее со своим ЦУ через ПИ, в котором по меньшей мере одно ЦУ содержит резидентный компонент безопасности (РКБ), интегрированный в его состав и поддерживающий, наряду с защитой ЦУ от несанкционированного доступа, физическое подключение или отключение ПИ, причем по меньшей мере одно ПУ содержит включенный в разрыв ПИ резидентный элемент безопасности (РЭБ), интегрированный в состав ПУ, являясь физически неизвлекаемым из него, поддерживающий функции безопасности, заключающиеся во взаимной идентификации или аутентификации со своим ЦУ и физическом подключении или отключении ПИ в зависимости от результата идентификации или аутентификации. 2 з.п. ф-лы.
1. Доверенный вычислительный комплекс с многоуровневой системой безопасности, контролирующей в том числе периферийные интерфейсы, содержащий по меньшей мере одно центральное устройство (ЦУ) и по меньшей мере одно периферийное устройство (ПУ), взаимодействующее со своим ЦУ через периферийный интерфейс (ПИ), в котором по меньшей мере одно ЦУ содержит резидентный компонент безопасности (РКБ), интегрированный в его состав и поддерживающий, наряду с защитой ЦУ от несанкционированного доступа, физическое подключение или отключение ПИ, отличающийся тем, что по меньшей мере одно ПУ содержит включенный в разрыв ПИ резидентный элемент безопасности (РЭБ), интегрированный в состав ПУ, являясь физически неизвлекаемым из него, поддерживающий функции безопасности, заключающиеся во взаимной идентификации или аутентификации со своим ЦУ и физическом подключении или отключении ПИ в зависимости от результата идентификации или аутентификации.
2. Комплекс по п. 1, отличающийся тем, что при наличии в нем по меньшей мере двух ЦУ, взаимодействующих через центральные интерфейсы (ЦИ), он содержит интегрированный в его несущую конструкцию резидентный сервер безопасности (РСБ), связанный с РКБ всех ЦУ, поддерживающий функции безопасности, заключающиеся в аутентификации каждого из ЦУ и физическом подключении или отключении соответствующих ЦИ в зависимости от результата аутентификации.
3. Комплекс по пп. 1, 2, отличающийся тем, что в нем схемы по меньшей мере одного РКБ ЦУ или РЭБ ПУ построены поддерживающими процедуру взаимной идентификации или аутентификации по криптографически защищенному протоколу или каналу.
| Способ и устройство доверенной загрузки компьютера с контролем периферийных интерфейсов | 2020 |
|
RU2748575C1 |
| УСТРОЙСТВО СОЗДАНИЯ ДОВЕРЕННОЙ СРЕДЫ ДЛЯ КОМПЬЮТЕРОВ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ | 2013 |
|
RU2538329C1 |
| МАШИНА ДЛЯ ОДНОСТОРОННЕЙ ТОЧЕЧНОЙ СВАРКИ | 0 |
|
SU200051A1 |
| СПОСОБ И СИСТЕМА ДОВЕРЕННОЙ ЗАГРУЗКИ ОПЕРАЦИОННОЙ СИСТЕМЫ ВЫЧИСЛИТЕЛЬНОГО УСТРОЙСТВА | 2021 |
|
RU2773456C1 |
| CN 111625875 A, 04.09.2020 | |||
| Токарный резец | 1924 |
|
SU2016A1 |
