CC BY
198
Раздел II КОМПЛЕКСНАЯ ЗАЩИТА ОБЪЕКТОВ СЛОЖНЫХ СИСТЕМ Ю.В. Романец, П.А.Тимофеев
Россия, г. Москва, ООО Фирма «АНКАД»
ВИРТУАЛЬНЫЕ ЗАЩИЩЕННЫЕ АРМ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ КРИПТОН
Идея виртуального компьютера наиболее полно получила свое воплощение в системе виртуальных машин фирмы VMWare. Все ресурсы компьютера распределяются между виртуальными компьютерами (ВК) с помощью Редактора конфигурации. С его помощью можно разделить следующие ресурсы: выбрать реальные IDE, SCSI жесткие диски, floppy-дисководы и виртуальные диски (один файл или несколько файлов, интерпретируемые как реальные жесткие диски), операционную систему, CD-ROM, локальную сеть, последовательный и параллельный порты, вариант подключения мыши; распределить оперативную память. Такая система проектировалась для разработки и тестирования программного обеспечения, предназначенного для работы в различных операционных системах. Все ВК присутствуют в реальном компьютере единовременно и изолируются друг от друга программными методами, что явно недостаточно, особенно в условиях недоверенной программной среды.
В докладе рассматривается создание виртуальных АРМ с раздельным функционированием (в каждый момент времени доступен только один виртуальный АРМ) и преимущественно аппаратной изоляцией их ресурсов друг от друга. Такой подход позволяет использовать один и тот же АРМ в нескольких защищенных виртуальных сетях для работы с открытой информацией и информацией ограниченного распространения (вплоть до информации, составляющей государственную тайну). В каждой виртуальной защищенной сети используется свой отдельный виртуальный АРМ. В качестве АРМ рассматриваются персональные компьютеры (ПК) и терминалы "тонкого клиента" (ТК).
Для реализации такого подхода предлагается использовать следующие средства КРИПТОН фирмы АНКАД:
- аппаратно программный модуль доверенной загрузки (АПМДЗ);
- программный шифратор прозрачного шифрования диска CryptonDisk;
- проходные аппаратные шифраторы интерфейсов IDE, SATA, USB;
- сетевые интерфейсы AncNet и КРИПТОН AncNet;
- программное средство шифрования трафика IP-Mobile SE.
Основой для реализации такого способа является АПМДЗ «КРИПТОН-ЗАМОК», обеспечивающий использование одного и того же АРМ для создания нескольких ВК и виртуальных терминалов (ВТ) путем управления (включением и блокировкой) жесткими дисками и платами серии КРИПТОН.
Блокировка жесткого диска производится посредством подключения управляемого от АПМДЗ устройства между интерфейсом IDE и диском. Предусмотрены также интерфейсы между сетевым адаптером и АПМДЗ. Блокировка шифрующих плат производится автоматически в случае отсутствия ключа шифрования, который вводится в плату через АПМДЗ, минуя оперативную память. Дополнительно к блокировке жесткого диска используется шифрование информации на проходе.
Рассмотрим построение ВК и ВТ. Наибольший интерес представляют сетевые варианты, поскольку автономные варианты - частный случай, получающийся при исключении сетевых интерфейсов.
При установке АПМДЗ «КРИПТОН-ЗАМОК» совместно с другими устройствами серии КРИПТОН АРМ может быть подключен к нескольким физическим и виртуальным локальным сетям, в которых циркулирует открытая информация и информация ограниченного распространения (вплоть до составляющей государственную тайну).
Рассмотрим структуру аппаратно-программных средств АРМ, подключенного к двум физическим сетям (рис.1). По одной из сетей циркулирует секретная информация, по другой - открытая и конфиденциальная. Жесткие диски, изображенные на рисунке, помечены буквами, обозначающими, какая информация может на них храниться (О - открытая, К - конфиденциальная, С - секретная информация). Кроме самой информации на дисках находится ПО: операционная система ВК и разрешенные к запуску приложения, загружаемые в ОЗУ. Секретная и конфиденциальная информация циркулирует в сети в зашифрованном виде. Для каждого виртуального компьютера АПМДЗ блокирует те или иные устройства АРМ.
1" Я.'
Рис. 1. Структура аппаратно-программных средств ПК для работы с секретной, конфиденциальной и открытой информацией
На АРМ устанавливается три жестких диска, по количеству виртуальных компьютеров и сетей, в которых он будет работать. Жесткий диск для секретной информации прозрачно шифруется. На каждый из дисков записан свой экземпляр операционной системы. При включении компьютера и предъявлении ключа АПМДЗ открывает для работы соответствующий сетевой интерфейс и диск, с которого грузится операционная система.
При загрузке с секретным ключом блокируются выход в сеть для конфиденциальной и открытой информации и диски с открытой и конфиденциальной информацией (рис 2). Открывается доступ к проходному шифратору секретного диска и шифрующему сетевому интерфейсу.
Для работы в виртуальной сети для открытой информации блокируются шифрующий сетевой интерфейс, проходной шифратор секретного диска, диски
(1
о
с
с
для секретной и конфиденциальной информации, открывается доступ к физической сети конфиденциальной и открытой информации (рис.3).
Аналогично осуществляется работа в виртуальной сети для конфиденциальной информации, только блокируется диск с открытой информацией и загружаются программный модуль шифрования трафика IP-Mobile и программный шифратор прозрачного шифрования диска CryptonDisk (опционально).
ҐІШк
Рис. 2. Структура аппаратно-программных средств ВК для работы с секретной информацией
Рис. 3. Структура аппаратно-программных средств ВК для работы с открытой информацией
Рассмотрим структуру аппаратно-программных средств АРМ для построения виртуальных терминалов при работе с открытой и закрытой информацией в техно-
логии «тонкий клиент» (рис.4). Средства защиты АРМ остались те же, но на АРМ отсутствуют жесткие диски и в сетях появились дополнительно сервера.
Виртуальный терминал для работы с конфиденциальной и секретной (КС) информацией строится путем отключения сетевого адаптера AncNet (рис. 5).
Сервер приложений КС
Сервер приложений О
Сгуріоп Апе№1
Криптон ТК Замок
Ключ
к
с
к
Рис. 4. Структура аппаратно-программных средств терминала для работы с секретной, конфиденциальной и открытой информацией
СЗУТ
к ■ -
! в\
Ключ
с
к
Рис. 5. Структура аппаратно-программных средств ВТ для работы с секретной и конфиденциальной информацией
Рассмотрим упрощенно работу такого ВТ. При предъявлении ключа производится аутентификация пользователя на сервере защиты и управления терминалами (СЗУТ) и при положительном результате загрузка операционной системы с клиентской частью программного обеспечения (ПО) «тонкого клиента» с СЗУТ в терминал и запуск их на терминале. Далее с СЗУТ загружается профиль пользователя,
в который входит список допустимых приложений. Для запуска приложений запрос на запуск поступает на сервер приложений (он включает информацию о пользователе). По запросу сервер приложений проводит повторную аутентификацию пользователя и запускает приложение на сервере, если оно разрешено для запуска данному пользователю. Далее ВТ работает с приложением. При работе на терминал поступают лишь команды отображения информации на дисплее и с терминала уходят команды управления. Само приложение работает на сервере. Таким образом, на терминале нет ПО, а значит и нечего атаковать. Все вопросы безопасности должны решаться на сервере приложений КС.
Виртуальный терминал для работы с открытой (О) информацией строится путем блокирования сетевого интерфейса Crypton AncNet (рис. 6). При этом доверенные ОС и клиентская часть ПО загружаются в память ВТ из АПМДЗ «КРИПТОН-ЗАМОК». Далее на открытом сервере запускаются нужные приложения, набор которых можно при необходимости ограничить.
Сервер приложений О
Апс№1
ПО
ТК
о
Ключ
с
о
Рис. 6. Структура аппаратно-программных средств ВТ для работы с открытой информацией
Сравним предложенный вариант АРМ с тремя отдельными компьютерами, выполняющими те же функции, с точки зрения появления новых угроз. Первые два компьютера для конфиденциальной и секретной информации прошли специальные исследования, используют сертифицированные аппаратные и программные средства и предназначены для работы с информацией вплоть до составляющей государственную тайну. Берем точно такой же АРМ и строим на нем два ВК для секретной и конфиденциальной информации. Получаем практически классический многопользовательский АРМ. При этом не только не добавляется новых угроз, но наоборот, защита усиливается за счет аппаратного разграничения доступа пользователя к жестким дискам и сетевым интерфейсам. Опасения может вызвать лишь включение в АРМ виртуального компьютера для работы с открытой информацией и выходом в открытую сеть.
Рассмотрим возможности несанкционированного обмена информацией между виртуальными компьютерами. Обмен через оперативную память (ОП) и жесткие диски исключается, поскольку ОП при перезагрузке очищается, а жесткие
диски различных ВК аппаратно изолированы. Остаются недекларированные модули накопления и передачи информации, специально заложенные в аппаратные средства (системную плату, видеоплату и др.), совместно используемые виртуальными компьютерами. Но эта угроза не является новой и должна анализироваться в процессе специальных исследований обычного многопользовательского АРМа для работы с информацией, составляющей государственную тайну.
Допустим, что такие средства все-таки остались незамеченными. В предлагаемом нами варианте утечка предварительно накопленной закрытой информации непосредственно через сетевую карту без участия ПО исключается, поскольку используется доверенная карта отечественной разработки AncNet. Возможность утечки через закладки в ПО, взаимодействующие с аппаратными модулями накопления информации, также исключается, поскольку ПО, включая операционную систему, прошло специальные исследования. Однако для таких многопользовательских АРМ запрещается выход в открытую сеть, возможно из-за сложности анализа ПО на отсутствие программных закладок.
Использование ВК и ВТ существенно облегчает задачу анализа ПО, поскольку для выхода в открытую сеть можно использовать ВК с урезанной ОС, имеющей только функции транспорта. Проанализировать такую ОС значительно легче уже в силу сокращения объема программного кода. Для сохранения функциональности можно для работы с открытой информацией выделить два изолированных ВК один многофункциональный с полной ОС и без выхода в Интернет, а другой урезанный с выходом в Интернет. И, наконец, можно заменить урезанный ВК виртуальным терминалом. При этом для полноценной работы используется «конфиденциальный» ВК, а для выхода в Интернет ВТ (рис. 7).
Рис. 7. АРМ с виртуальными компьютерами и терминалом
При этом для хранения ОС ВТ может использоваться АПМДЗ «КРИПТОН-ЗАМОК» или IDE Flash Memory (FM) вместо жесткого диска. В качестве такой ОС может использоваться Windows CE, исходные тексты которой известны. Ее также можно урезать, оставив только клиентскую часть ПО «тонкого клиента». Дополнительно можно фильтровать форматы управляющей информации, циркулирующей между терминалом и сервером.
Описанные выше реализации виртуальных компьютеров и терминалов в составе виртуальных защищенных сетей приведены в патенте №2276466 от 10 ноября 2004 года. Использование виртуальных компьютеров позволит строить виртуальные защищенные сети, доступ в которые может осуществляться с одного и того же рабочего места несколькими сотрудниками с разными полномочиями. Использование ВК и ВТ решает также проблему безопасного выполнения электронной цифровой подписи путем выделения отдельного изолированного ВК.
В.Р. Антонец,* С.В. Дворянкин,** В. К. Екимов***
Россия, г. Москва, ВНИИИАС,* ООО «Сигма - интегрированные системы»,**
ГУП «ГОРМОСТ»***
УПРАВЛЕНИЕ НАДЕЖНОСТЬЮ ТЕХНИЧЕСКИХ СРЕДСТВ, ОБЕСПЕЧИВАЮЩИХ БЕЗОПАСНОСТЬ ЭКСПЛУАТАЦИИ ТОННЕЛЬНЫХ СООРУЖЕНИЙ МЕГАПОЛИСА
Внедрение системы менеджмента качества в эксплуатацию технических средств, обеспечивающих безопасность эксплуатации тоннельных сооружений крупных городов (далее по тексту - ТСБТ), изначально предполагает создание информационной системы управления надежностью (ИСУН), обобщенная схема которой показана на рис.1.
Рис. 1. Обобщенная схема информационной системы управления надежностью ТСБТ
Целевая функция ИСУН (рис.1) заключается в сборе текущей информации о надежности функционирования ТСБТ, поступающей из АСУ нижнего уровня автоматизированной системы обеспечения безопасности тоннеля (АСУ-Н), ее многоуровневом анализе и синтезе по критерию «уровень надежности технических средств», комплекса корректирующих и предупреждающих действий (мероприятий) по поддержанию уровня надежности на проектном уровне. Входом системы является осведомительная информация из АСУ-Н, характеризующая уровень надежности ТСБТ, выходом - управляющая информация для системы логистической поддержки технического и сервисного обслуживания (ремонта) ТСБТ. Основным выходным продуктом ИСУН является программа обеспечения надежности и данные для оптимизации сроков технического обслуживания, сервисного обслуживания и межремонтных сроков.
Качество функционирования ИСУН зависит от выбранных методов обработки осведомительной информации, и, в частности, от примененных методов клас-
