Средство организации доверенного сеанса как альтернатива доверенной вычислительной среде

Одной из основных угроз использования ЭЦП в недоверенной среде является подмена документа в момент его подписания с помощью некоторого средства криптографической защиты информации (СКЗИ) на автоматизированном рабочем месте (АРМ) пользователя. Принципиально эта проблема решается на сегодняшний день созданием доверенной вычислительной среды (ДВС) с использованием аппаратных модулей доверенной загрузки (АМДЗ) и средств разграничения доступа с динамическим контролем целостности данных. При этом программно-аппаратное средство, которое осуществляет ключевые операции по обеспечению безопасности, должно быть вынесено отдельно от аппаратной части АРМ и действовать как внешний по отношению к АРМ механизм.

Данное техническое решение позволяет свободно использовать средства ЭЦП (и СКЗИ в целом) и применяется повсеместно. Кроме того, оно согласуется с требованиями регуляторов в области защиты информации (ФСТЭК России, Федеральная служба безопасности Российской Федерации). Существенным минусом такого подхода является довольно большая конечная стоимость средств защиты информации (как правило, соизмеримая со стоимостью самого АРМ - не менее 20000 рублей).

Помимо этого, существует множество дополнительных затрат на проведение аттестации отдельных АРМ и всей АС в соответствии с требованиями регуляторов. Например, Федеральная служба безопасности Российской Федерации жестко регламентирует использование СКЗИ (и средств ЭЦП), в том числе их встраивание в ОС.

Так или иначе, все доступные на сегодняшний день решения по защите АРМ, как правило, сводятся к покупке:

1. сертифицированной ОС - на данный момент это преимущественно ОС семейства Microsoft Windows, сертифицированные ФСТЭК и ФСБ, и некоторые дистрибутивы Linux;

Разработчики не всегда заботятся о том, чтобы получить сертификат на актуальные версии ОС (сегодня, например, сертифицированными являются Microsoft Windows XP или Microsoft Windows Server 2003). Кроме того, как уже говорилось, ОС не является средством защиты. В сертификате ФСТЭК значится «Операционная система со встроенными средствами защиты...», а отнюдь не «средство защиты информации». И это принципиально, ОС сама по себе, даже сертифицированная, не является средством защиты, и уж тем более не является доверенной средой. ОС использует в своей работе аппаратные средства АРМ, а проверить на «невредоносность» всю аппаратуру и все микропрограммы просто невозможно.

1. сертифицированных средств защиты информации от НСД и сертифицированных СКЗИ.

С распространением распределенных автоматизированных систем (АС) возникает необходимость создания доверенной среды для всех внешних пользователей (удаленных пользователей, поставщиков данных), что довольно проблематично. Фактически даже можно утверждать, что при построении распределенной АС нет возможности контролировать выполнение требований безопасности на стороне внешних пользователей - создание доверенной среды является дорогим решением, а контролировать своевременное обновление встроенных систем безопасности ОС и ППО просто не удастся.

Но если задаться логичным вопросом: «а всегда ли так необходимо обеспечивать защищенность и «доверенность» для отдельно взятого АРМ?», станет очевидно, что по на самом деле контролировать среду АРМ (особенно удаленного) действительно необходимо только в небольшой промежуток времени - когда пользователь работает с удаленного АРМ в системе. Все остальное время контролировать АРМ удаленного пользователя для владельца системы - вовсе не обязательно.

Получается, что задачу можно сформулировать несколько другим образом - не «создать на АРМ доверенную среду», а «создать доверенную среду выполнения конкретной задачи». Т. е. нужно создать на АРМ условия, при которых можно будет в доверенной среде решать задачи, касающиеся взаимодействия с определенной системой, и только их. Причем средство создания таких условий должно быть дешевым и доступным для всех пользователей АС. Пример реализации такого средства - средство организации доверенного сеанса «МАРШ!» (СОДС «МАРШ!»).

СОДС «МАРШ!» - USB-устройство, с помощью которого можно создавать «доверенный сеанса связи» недоверенного АРМ с системой. При этом каждый раз с «МАРШ!» осуществляется загрузка одного и того же эталонного образа ОС (используется ограниченная ОС семейства Linux с запретом работы пользователя в оболочке «shell»). Требования безопасности непосредственно к АРМ не предъявляются вовсе: ДВС создавать не нужно, на АРМ может отсутствовать ОС и НЖМД.

Целостность среды выполнения задач пользователя обеспечивается использованием эталонного ПО из защищенной области носителя (ROM - Read Only Memory) на время сеанса работы пользователя. При этом отсутствует возможность записи или изменения среды функционирования эталонного ПО, в ходе загрузки «МАРШ!» проводит процедуру самотестирования и проверки целостности встроенного ПО и ОС.

После загрузки с «МАРШ!» пользователь фактически имеет доступ к одному или нескольким приложениям (например, терминальный клиент Citrix, браузер и/или СПО СКЗИ). Неконтролируемый доступ из сети можно полностью исключить средствами межсетевого экранирования и/или средствами создания VPN. Обновление встроенного ПО, а также ключевой информации (сертификаты X.509) можно осуществлять удаленно и без каких-либо рисков.

Таким образом, СОДС «МАРШ!» представляет собой устройство, которое:

• является мобильным и платформо-независимым;
• не требует от конечного пользователя каких-либо дополнительных действий. Для начала работы достаточно однократно в настройках BIOS установить загрузку с USB-устройств в первом приоритете, после чего подключить и начать работу с устройством «МАРШ!»;
• позволяет выполнять требования регуляторов на новом уровне;
• стоит в среднем в несколько раз дешевле традиционных средств защиты.

СПИСОК ЛИТЕРАТУРЫ:

1. Конявский В. А. Доверенный сеанс связи. Развитие парадигмы доверенных вычислительных систем - на старт, внимание, МАРШ! // Комплексная защита информации. Сборник материалов XV Международной научно-практической конференции (1-4 июня 2010 г., Иркутск (Россия)). М., 2010. С. 166-169.

2. Рябко С. Д. Система защиты персональных данных информационных систем персональных данных ОАО «ЦЕНТРТЕЛЕКОМ». Выбор VPN-решения. Презентация. 26 апреля 2010 г. М., 2010.

Автор: Каннер А. М.

Дата публикации: 01.01.2010

Библиографическая ссылка: Каннер А. М. Средство организации доверенного сеанса как альтернатива доверенной вычислительной среде // Информационные технологии управления в социально-экономических системах. М., 2010. Вып. 4. С. 140–143.

---