Резидентный компонент безопасности (2/2)

Ключевые характеристики и применение

Здравствуйте!

В данной лекции мы продолжим разговор о ключевых характеристиках резидентного компонента безопасности и рассмотрим основные из них более подробно. Также мы поговорим о применении РКБ для решения различных задач.

Как было сказано на предыдущей лекции, одной из ключевых характеристик  резидентного компонента безопасности является его независимость от контролируемой (защищаемой) среды. Давайте разберемся в этом вопросе подробнее.

Независимость означает, что средство защиты, реализованное на основе идеи РКБ, должно функционировать максимально автономно от защищаемого объекта.

Конечно, на практике взаимозависимость полностью исключить невозможно, и тем самым абсолютная автономность недостижима. Ведь защита и объект всегда связаны, хотя бы потому, что данное средство защищает именно данный объект. Поэтому мы говорим именно о максимальной автономности средства защиты от защищаемого объекта.

Давайте покажем, что в случае взаимозависимости качество защиты ухудшается.

В той или иной степени, защита обеспечивается и при общем базисе. Очевидно, по этой причине в сфере информационной безопасности распространены недобросовестные утверждения о том, что полноценная защита программной среды может быть обеспечена целиком программными методами, например, программными межсетевыми экранами, антивирусными программами, и тому подобное.

Однако важно понимать, что защита любого процесса базируется на сравнении результата обработки данным процессом известного тестового сигнала с известным эталоном. Очевидно, что и средство сравнения, которое выполняет  сравнение результата с эталоном, и сам эталон не должны зависеть от тестируемого процесса. Но если, например, защищается процесс загрузки операционной системы, то обеспечить такую независимость средствами только загружаемого ПО невозможно. Средство сравнения будет работать на базе той же самой операционной среды, достоверность которой оно устанавливает и, значит, будет зависимо от среды. В этом случае наблюдается та самая взаимозависимость средства защиты от защищаемого объекта.

Так, в загружаемое ПО можно включить программу, блокирующую измерение фактических результатов и подставляющую требуемое эталонное значение. Рассуждения не меняются, если тестируется некий вторичный процесс: подстановка может быть выполнена на предыдущих этапах.

Таким образом, мы показали, что резидентный компонент безопасности должен быть максимально автономен относительно программной среды, безопасность которой он должен обеспечивать.

Следующей ключевой характеристикой резидентного компонента безопасности является его примитивность.

Как мы уже говорили ранее, с одной стороны, РКБ должен входить в состав компьютерный системы, безопасность которой он обеспечивает. С другой - быть автономным. На первый взгляд, это очевидное противоречие. Однако входить в состав КС и быть автономным относительно программной среды возможно: компьютерная система – это не только программные средства, это и аппаратная реализация, и интерфейсы, и стандарты взаимодействия, и так далее. Действительно, РКБ должен быть совместим с компьютерной системой, иметь возможность физически входить в состав системы. Одновременно он должен быть независим от компьютерной системы, то есть являться специализированным компьютером с собственной операционной средой, памятью и прочими атрибутами фон-неймановской машины.

Теоретически в качестве РКБ возможно применить просто еще один компьютер. Но это в том случае, если бы удалось обеспечить значительно более высокий уровень его защищенности, чем у защищаемого компьютера.

РКБ как компьютерное устройство должен существенно отличаться от защищаемой среды, по крайней мере, иметь намного меньше уязвимостей. На практике это выглядит так: почти всегда проще не предоставлять конкретных возможностей для атаки, чем надежно защититься от нее. В отличие от защищаемой универсальной электронной среды, компонент безопасности должен быть узко специализированным, примитивным компьютером.

Итак, РКБ должен представлять собой вычислительную машину, причем нужно стремиться, чтобы возможности его были максимально ограничены. Так как чем меньше возможностей, тем лучше защита.

Принцип примитивности, ограниченности свойств РКБ как вычислительного устройства позволяет конкретизировать его сущность и статус в рамках компьютерной системы. Логично возложить подавляющее большинство вспомогательных функций сопряжения и взаимодействия РКБ с КС на устройства системы, оставив  при этом на долю РКБ только «руководство».

Поэтому необходимо выполнение двух требований:

• РКБ как «руководитель» должен «знать» в процессе функционирования эталонный результат технологических процессов – хранить эталон и позволять его варьировать при необходимости извне;
• Устройства КС, «подчиненные РКБ», должны информироваться о требованиях РКБ в процессе выполнения соответствующих технологических процедур и операций.

Выполнение требования минимальной конфигурации РКБ как вычислительного устройства возможно в том случае, если интерпретировать его, пусть это очень схематично, как долговременное запоминающее устройство. Действительно, тем или иным способом в РКБ извне записывается эталон, а развитые исполнительные устройства защищаемой системы считывают необходимые инструкции из РКБ.

Следующая ключевая характеристика РКБ – это его перестраиваемость.

Задачи безопасности электронного обмена данными, в решении которых должен участвовать РКБ, можно разделить на две группы, соответствующие двум основным этапам работы компьютерной системы:

• этап формирования политики безопасности — режим управления;
• этап электронного обмена информацией — пользовательский режим.

В режиме управления назначение РКБ — обеспечение легального формирования выбранной администратором безопасности политики безопасности. Для этого требуется внесение соответствующих изменений (записей) в базу данных компонента безопасности. Следовательно, для применимости РКБ на этапе управления КС компонент должен обладать свойством «записи». В пользовательском режиме назначение РКБ – контроль доступа пользователей к интересующим их объектам компьютерной системы в соответствии со сформированной политикой безопасности. Доступ либо разрешается, либо запрещается в соответствии с информацией из базы данных РКБ, которая содержит правила функционирования КС. Следовательно, для применимости РКБ в пользовательском режиме КС он должен обладать возможностью «чтения».

Но в случае, если РКБ одновременно обладает и свойством «чтения» и свойством «записи», то задача защиты КС сводится к почти равноценной задаче защиты компьютера – РКБ. Достаточно легко реализовать разрушающее программное воздействие, если РКБ одновременно обладает свойствами «чтение» и «запись».

В связи с этим резидентный компонент безопасности должен иметь перестраиваемую архитектуру: в режиме управления обладать свойством «записи»; в пользовательском режиме - свойством «чтение».

Возникает вопрос, а кто или что должно выдавать команду на перестройку РКБ? Такая команда не должна исходить от компьютерной системы иначе будет возможна реализация на нее разрушающего программного воздействия. Например, злоумышленник является легальным пользователем КС и может использовать функциональные возможности РКБ. При этом может быть построена некая программа, при помощи которой этот злоумышленник, сможет сначала выяснить свои права доступа к интересующему его объекту (с помощью процесса «чтение»), а затем заменить свои права на другие (с помощью процесса «записи»). 

Поэтому остается единственная возможность — перестройка архитектуры РКБ должна осуществляться извне, защищенным воздействием системного администратора или иного уполномоченного лица.

Итак, мы разобрали ключевые характеристики РКБ, теперь давайте поговорим о различных вариантах применения концепции РКБ.

Возможны различные применения концепции РКБ, например:

• Для обеспечения доверенной загрузки операционной системы СВТ. Как уже упоминалось на прошлой лекции, концепция РКБ положена в основу продуктов семейства «Аккорд» производства ОКБ САПР. Их мы будем подробно рассматривать в рамках данного курса. Эти средства защиты включают в себя РКБ в виде аппаратной части – аппаратного модуля доверенной загрузки (АМДЗ), который предназначен для обеспечения «правильного старта» компьютерной системы, то есть доверенной загрузки операционных систем.
• Концепция РКБ применяется для защищенной реализации криптографических алгоритмов (зашифрования/расшифрования, выработки/проверки подписи). При этом все криптографические операции выполняются внутри аппаратного устройства – РКБ. Также внутри этого аппаратного устройства генерируются и хранятся неизвлекаемые криптографические ключи. Для генерации используется аппаратный датчик случайных чисел.
• Помимо этого применение концепции РКБ также возможно для хранения неизвлекаемых криптографических ключей, но когда криптографические алгоритмы реализованы программно. В этом случае, например, при программном шифровании сообщения или сеанса связи хранящийся защищенно криптографический ключ не извлекается из аппаратного устройства и продолжает храниться защищено. А само шифрование выполняется с использованием сессионных ключей, сгенерированных на этих неизвлекаемых ключах.
• Также концепция РКБ применяется для ведения неперезаписываемых журналов событий. В данном случае в аппаратном устройстве РКБ хранятся журналы событий различных приложений. Редактирование и удаление данных журналов невозможно в соответствии с реализацией РКБ. Также в нем хранятся и журналы самого РКБ, используемые при расследовании инцидентов безопасности.

Итак, в данной лекции мы рассмотрели ключевые характеристики резидентного компонента безопасности, а также различные варианты применения концепции РКБ. На следующих лекциях мы поговорим о средствах защиты информации, построенных на базе рассмотренной концепции РКБ.

Спасибо за внимание, до встречи на следующей лекции!