Резидентный компонент безопасности (1/2)

Концепция корректного старта и ее развитие в истории эволюции СВТ и СЗИ

Здравствуйте!

В данной лекции мы поговорим о концепции корректного старта и ее развитии в истории эволюции средств вычислительной техники и средств защиты информации. Введем понятие резидентного компонента безопасности и перечислим его ключевые характеристики.

Парадигма доверенных вычислительных систем сформировалась далеко не единовременно. Первые ее «воплощения» были предложены в 90-х годах прошлого столетия. Задача в то время формулировалась как задача создания функционально замкнутой среды (ФЗС).

Самой популярной в то время операционной системой была операционная система MS DOS, которая, напомню, была средой однопотоковой и однозадачной. ФЗС трактовалась как проверенная операционная среда, в которой выполняется проверенная задача из конечного списка проверенных задач и использующая проверенные данные.

После завершения работы этой программы можно было запустить другую из списка проверенных, но для этого нужно было повторить загрузку операционной системы с самого начала. То есть повторяя, тем самым, все контрольные процедуры, обеспечивающие создание ФЗС. Эта концепция была очень соответствующей современному (на тот момент) уровню развития информационных технологий, и поэтому оказалась востребованной организациями, использующими стандартизованные технологии обработки информации - в первую очередь, банками.

Впервые в полном объеме решение задачи обеспечивалось СЗИ НСД «Аккорд» и СПО «Аккорд версии 1.х» производства компании ОКБ САПР. Это и послужило толчком к развитию аппаратных средств защиты от несанкционированного доступа.

Прошло несколько лет, и ФЗС стала сдерживающим фактором, так как новые операционные системы стали многозадачными. И все меньше находилось желающих ограничивать себя в использовании новых возможностей.

Возникло противоречие между развивающимися возможностями операционных систем и прикладного ПО на этой основе, и возможностями устаревших средств защиты от НСД. Так как они резко ограничивали использование новых свойств информационных технологий. Противоречие могло быть снято только развитием парадигмы защиты, и, конечно, ждать долго не пришлось.

Следующий этап – это формулирование концепции изолированной программной среды (ИПС). Она была ориентирована на многозадачные среды. Данная концепция предполагала создание условий, при которых защищенная специальным образом операционная среда исключала взаимовлияние одновременно выполняемых задач. И в этом состояла изолированность исполняемых проверенных программ в проверенной ОС с проверенными данными.

Как и ранее, концепция была технически поддержана следующей версией СЗИ НСД «Аккорд» и СПО разграничения доступа «Аккорд версии 2.х».

Именно тогда развитие СВТ достигло уровня, при котором многие из компонентов компьютера сами по себе стали представлять собой независимые вычислительные системы - вплоть до собственного микропрограммного обеспечения. Стало понятно, что не только программы, ОС и данные должны быть проверенными. Необходимо быть уверенными и в «невредоносности» аппаратных средств.

А вот в этом убедиться уже просто невозможно.

Как можно проверить всю аппаратуру, все микропрограммы, во всех сочетаниях и вариантах?! Потребность в защищенности вновь вступила в противоречие со сложностью анализа.

Примерно в 1992 году были сформулированы основные идеи, позволившие решить возникшую проблему. Это «синдром Мюнгхаузена» и «принцип Архимеда». «Синдром Мюнгхаузена» - это попытки убедиться в целостности программы, проверяя ее другой программой. Это можно сделать, но нужно сначала убедиться в целостности той программы, которой мы собираемся проводить проверку. Чем это сделать? Еще одной программой. При этом целостность данной программы также нужно проверить. И так до бесконечности. Самого себя вытянуть за волосы из болота нельзя. А вот кого-то другого - можно, если сам стоишь рядом на какой-то кочке. Это и есть принцип Архимеда: «Дайте мне точку опоры и я переверну Мир».

На основе этих принципов была построена концепция Резидентного Компонента Безопасности - независимого от СВТ устройства, контролирующего старт системы. Все ключевые операции по обеспечению безопасности должны быть вынесены в изолированную АППАРАТНУЮ среду, сложность которой позволяет проверить и её, и микропрограммы управления. Причем технологически эта аппаратная среда должна быть выполнена так, чтобы целостность СЗИ не нарушалась.

Уточненная концепция изолированной программной среды с учетом нового введенного понятия РКБ стала называться доверенной вычислительной средой – ДВС. В англоязычной литературе впоследствии она была обозначена как TPM - Trusted Platform Module.

Данная концепция также была поддержана возможностями нового варианта СЗИ НСД «Аккорд». И в настоящее время эта концепция является основной. Достаточно сказать, что условие доверенности является необходимым при использовании электронной подписи (ЭП). А можно ли представить себе современные системы без этих технологий? Нет.

Но прошло совсем немного времени, и мы столкнулись с лавинообразным внедрением информационных технологий в каждодневную жизнь людей, в том числе в сфере взаимодействия с государством. В силу традиций взаимодействие государства и граждан принято называть «предоставлением государственных услуг», но сути это не меняет - необходимо обеспечить доверенное информационное взаимодействие в электронной форме между гражданами со своими компьютерами с одной стороны и государством со своими ГИС с другой стороны. И если защитить ГИС средствами ДВС вполне возможно, то установить РКБ на каждый «домашний» компьютер абсолютно невозможно, как бы нам этого ни хотелось бы.

На этот раз выход совсем прост. Он основывается на разумном предположении, что далеко не все время гражданин взаимодействует с государством. У него есть и другие дела. Поэтому в данном случае можно уйти от необходимости создания ДВС «навсегда» и попытаться обеспечить доверенный сеанс связи (ДСС) только на время связи. Закончится сеанс - перезагрузились, получили доступ ко всем, даже непроверенным ресурсам. Можно работать как обычно, довольствуясь антивирусом. Нужна связь с государственными информационными системами - загрузились с помощью создания средств ДСС и работаем с ними.

Так появилась концепция доверенного сеанса связи (ДСС) или обеспечение временной доверенной среды для решения конкретных задач.

Следует отметить, что ДСС хоть и является логическим продолжением ДВС, но не заменяет ее полностью, а лишь позволяет решать некоторый спектр задач, которые достаточно тяжело решаются в рамках ДВС.

Дальнейшее развитие концепции доверенного старта связано с идеей новой гарвардской архитектуры. Эта архитектура не является развитием парадигмы ДСС, но использует те же, что и у нее идеи, восходящие к ДВС. Правильная аппаратная среда может обеспечивать неизменность программной среды. Однако абсолютно неизменная система не может функционировать. Поэтому важно разделить 2 сущности: программу, которая должна оставаться неизменной, и данные, которые в процессе работы могут изменяться. Подобное разделение без гарантии неизменности характерно для гарвардской архитектуры, которая впоследствии была доработана до новой гарвардской архитектуры.

Информацию по этому вопросу можно найти в литературе, указанной в методических материалах к лекции. Сейчас мы не будем на этом останавливаться подробно.

 Вернемся к понятию резидентного компонента безопасности и зафиксируем его определение.

Резидентный компонент безопасности – это встроенный в технические средства вычислительной системы объект, который способен контролировать целостность технических средств. То есть целостность и программных и аппаратных средств.

Важно отметить, что необходимым этапом контроля целостности объекта контроля является также его идентификация и аутентификация, так как выполнять контроль целостности неаутентифицированного объекта – бессмысленно.

Теперь давайте перечислим ключевые характеристики РКБ:

• это устройство памяти с очень высоким уровнем защищенности – то есть его внутреннее программное обеспечение должно быть немодифицируемым,
• примитивное устройтво – иначе обеспечение его собственной защищенности эквивалентно задаче защиты компьютера, который он защищает,
• встроенное в контролируемую систему и стартующее до старта основной ОС –  иначе  его функционирование будет бессмысленным,
• независимое от контролируемой системы – то есть функционирующее автономно,
• и перестраиваемое – то есть предполагающее функционирование в двух режимах: режиме настроек и в пользовательском режиме – режиме контроля.

Средства защиты информации, в которых на практике реализованы идеи РКБ, должны обладать рассмотренными ключевыми характеристиками. К таким СЗИ относятся все средства защиты семейства «Аккорд» производства компании ОКБ САПР, о которых мы будем говорить подробно в дальнейшем в рамках данного курса.

Итак, в данной лекции мы рассмотрели концепцию корректного старта и ее развитие в истории эволюции средств вычислительной техники и средств защиты информации. Ввели понятие резидентного компонента безопасности и перечислили его ключевые характеристики. В следующей лекции мы поговорим подробнее об основных ключевых характеристиках, и также рассмотрим применение РКБ для решения различных задач.

Спасибо за внимание, до встречи на следующей лекции!