Доверенные сеансы связи с средства их обеспечения

В начале 1990-х годов был сформулирован один из основных принципов защиты информации - принцип доверенных вычислений. В соответствии с этим принципом, критичные с точки зрения безопасности информации вычисления должны производиться в доверенной вычислительной среде.

С развитием средств вычислительной техники и появлением новых возможностей ОС и прикладного ПО последовательно формировались следующие подходы к определению понятия доверенная вычислительная среда:

• функционально замкнутая среда (ФЗС);
• изолированная программная среда (ИПС);
• доверенная вычислительная среда (ДВС) на основе резидентных компонентов безопасности (РКБ).

Каждый подход становился развитием предыдущего и включал основную часть его положений.

На сегодняшний день основным принципом построения крупных информационных систем является объединение территориально распределённых ЛВС и отдельных компьютеров через сеть Интернет в общую распределённую информационную систему (РИС). Пользователи работают в едином информационном пространстве, разделяемом на зоны с различным набором прав на использование сервисов.

Используемые обычно программно-аппаратные средства защиты информации разделяются на три категории:

• средства обеспечения доверенной загрузки (СОДЗ);
• средства обеспечения доверенности компьютера (СОДК);
• средства обеспечения защищённого соединения (СОЗС).

К средствам обеспечения доверенной загрузки относятся аппаратные модули доверенной загрузки, обеспечивающие аппаратную идентификацию-аутентификацию пользователя, целостность программно-технических средств компьютера, файловой системы и назначенных объектов, запуск ОС только из определённой области и т.д.

Процедуру загрузки, защищенную таким образом, назовём доверенной загрузкой операционной системы.

К средствам обеспечения доверенности компьютера относятся программно-аппаратные комплексы, включающие средства обеспечения доверенной загрузки, средства обеспечения разграничения доступа к ресурсам, а также антивирусные средства.

Компьютер (сервер), в котором установлены и должным образом настроены средства обеспечения доверенности компьютера, назовём доверенным компьютером (сервером).

Средства обеспечения защищенного соединения обеспечивают конфиденциальность, целостность и доступность передаваемой информации (в конкретных ИС может быть достаточно выполнения одного или двух свойств).

Сетевое соединение, при котором с обеих сторон установлены и должным образом настроены средства обеспечения доверенного соединения, назовём защищённым соединением.

Политики информационной безопасности распределенной информационной системы предполагают использование всех трех категорий СЗИ. При этом используемые СЗИ должны быть сертифицированы, а распределенная информационная система - аттестована на соответствие требованиям регуляторов (ФСТЭК, ФСБ).

На практике построение защищённых распределенных информационных систем имеет следующие особенности:

• выполнение требований политики ИБ, в частности запуск разрешённых для выполнения задач в рамках изолированной программной среды, необходимо контролировать как для локального, так и для удалённого (подключаемого) сегмента распределенной информационной системы, что не всегда реализуемо на практике;
• для обеспечения конфиденциальности, целостности и достоверности данных с возможностью применения ЭЦП необходимо использовать сертифицированные ОС, СЗИ НСД и СКЗИ, а также обеспечить аттестацию рабочих мест пользователей и всей распределенной информационной системы;
• сертифицированные ОС имеют ограничения на установку и обновление компонентов ОС и прикладного ПО и зачастую предоставляют недостаточный функционал;
• стоимость сертифицированных ОС, СЗИ НСД и СКЗИ, а также процедуры аттестации часто превышает стоимость компьютерной техники и прикладного ПО на рабочем месте пользователя.

Таким образом, обеспечить защиту распределенной информационной системы, в частности, государственных автоматизированных систем, средствами доверенной вычислительной среды на основе резидентного компонента безопасности в принципе возможно (хотя требует значительных затрат и связано с рядом сложностей), но для рабочих мест служащих и персональных компьютеров граждан, которые планируют работать с сервисами государственных автоматизированных систем, такой подход не применим. Развитие целого ряда государственных автоматизированных систем сдерживает именно то, что организация защищённой работы удалённых пользователей с их сервисами оказывается слишком сложной.

Коллективом ОКБ САПР проведены исследования, результатом которых является принципиально новая концепция доверенного сеанса связи удалённых пользователей с сервисами доверенной распределенной информационной системы через сеть Интернет, развивающая концепцию доверенной вычислительной среды на основе резидентного компонента безопасности. Суть концепции состоит в предоставлении пользователю достаточных условий для защищённой работы с сервисами доверенной распределенной информационной системы на определённый период времени, при выполнении которых не требуется построение изолированной программной среды на компьютере пользователя, но в то же время не снижается класс защиты РИС.

Пользователи теперь могут работать на недоверенном компьютере в двух режимах: обычный режим (без доступа к сервисам доверенной распределенной информационной системы) и режим доверенного сеанса связи, в рамках которого обеспечивается защищённая работа с сервисами распределенной информационной системы. Выбор режима работы осуществляет пользователь. Это позволяет избежать ограничений, связанных с необходимостью специальным образом оборудовать компьютер пользователя и постоянно выполнять организационные требования, ограничивающие состав установленного ПО, права доступа, период работы и т.д. В нужное время пользователь может перейти в режим доверенного сеанса связи и получить доступ к сервисам доверенной РИС. Закончив работу, он может вернуться в обычный режим и использовать компьютер без ограничений.

Таким образом, пользователи могут безопасно работать с сервисами доверенной распределенной информационной системы через сеть Интернет с любого, в т.ч. недоверенного компьютера.

Определение доверенного сеанса связи можно сформулировать следующим образом.

Доверенный сеанс связи (ДСС) - период работы компьютера, в рамках которого обеспечивается доверенная загрузка ОС, организуется защищённое соединение, а также поддерживаются достаточные условия работы с ЭЦП.

Концепция доверенного сеанса связи развивает идеи функционально замкнутой среды, изолированной программной среды и доверенной вычислительной среды на основе резидентного компонента безопасности.

Практической реализацией предложенного подхода стал программно-аппаратный комплекс - средство обеспечения доверенного сеанса, предназначенный для организации защищённой работы удалённых пользователей недоверенных компьютеров с сервисами доверенной распределенной информационной системы через сети передачи данных в рамках доверенного сеанса связи.

Комплекс средств обеспечения доверенного сеанса состоит из клиентской и серверной части - Клиент ДСС и Сервер ДСС.

Клиент ДСС - загрузочное USB-устройство с собственным микропроцессором, управляющим доступом к нескольким аппаратно разделённым областям памяти на основании назначенных для них атрибутов, содержащее загрузочную ОС, набор функционального ПО, СЗИ НСД и СКЗИ.

Сервер ДСС - доверенный сервер, обеспечивающий создание и работу защищённого сетевого соединения с пользователями, имеющими персональные устройства (Клиенты ДСС), с целью предоставления им защищённого доступа к сервисам РИС.

Клиент ДСС предназначен для применения в распределенной информационной системе в качестве:

• средства обеспечения доверенной загрузки ОС[1] (ОС загружается из защищённой от записи памяти устройства, жёсткий диск компьютера не используется);
• средства обеспечения защищённого соединения с Сервером ДСС на основе асимметричных криптографических алгоритмов (закрытые ключи и сертификаты хранятся в защищённой памяти Клиента ДСС);
• средства идентификации-аутентификации пользователя для доступа к сервисам распределенной информационной системы (в т.ч. хранение ключей и сертификатов);
• среды исполнения функционального ПО для подготовки и обработки данных;
• средства выработки и проверки ЭЦП данных;
• среды функционирования прикладного ПО сторонних производителей;
• средства хранения данных в выделенной области памяти устройства.

Сервер ДСС предназначен для применения в распределенной информационной системе в качестве средства:

• организации защищённого соединения с Клиентом ДСС и Сервером авторизации распределенной информационной системы;
• авторизации пользователя Клиента ДСС на доступ к сервисам распределенной информационной системы;
• организации защищённой работы пользователя Клиента ДСС с сервисами распределенной информационной системы в рамках ДСС.

Схема работы средства обеспечения доверенного сеанса выглядит следующим образом:

1. Удалённый пользователь недоверенного компьютера выполняет загрузку ОС с Клиента ДСС и устанавливает доверенный сеанс связи с Сервером ДСС.
2. Сервер ДСС выполняет авторизацию пользователя на доступ к сервисам распределенной информационной системы с помощью Сервера авторизации распределенной информационной системы.
3. Сервер ДСС соединяет пользователя с требуемым сервисом распределенной информационной системы.

Применение этой схемы дает следующие преимущества:

• пользователю предоставляется необходимый функционал и достаточный уровень защиты (близкий к уровню доверенного компьютера с набором сертифицированных ОС, СЗИ НСД и СКЗИ);
• стоимость средств обеспечения доверенного сеанса значительно ниже стоимости оборудования рабочего места необходимым для реализации политики изолированной программной среды набором СЗИ;
• Клиент ДСС является мобильным загрузочным устройством, готовым к работе на любом недоверенном компьютере;
• средства обеспечения доверенного сеанса не накладывает ограничений на работу пользователя с компьютером вне доверенного сеанса связи.

---

[1] При загрузке ОС с Клиента ДСС отсутствует необходимость в контроле целостности технических средств компьютера (в т.ч. загрузочной записи и файловой системы жёсткого диска), поскольку ОС хранится в защищённой от записи памяти Клиента ДСС и во время работы контролируется с помощью встроенных СЗИ НСД. Таким образом, и на этапе хранения, и на этапе эксплуатации технические средства компьютера не влияют на работу ОС.

Автор: Чугринов А. В.

Дата публикации: 01.01.2010

Библиографическая ссылка: Чугринов А. В. Доверенные сеансы связи с средства их обеспечения // Information Security/Информационная безопасность. М., 2010. № 4 (август–сентябрь). С. 54–55.

---