Средства доверенной загрузки

Размещено на http://www.allbest.ru/

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Московский государственный лингвистический университет»

Институт информационных наук

Кафедра международной информационной безопасности

РЕФЕРАТ

по дисциплине: «ПАСЗИ»

Тема: «Средства доверенной загрузки»

Садовникова Валентина Андреевна

Москва, 2020

Введение

Доверенная загрузка -- это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и аппаратной идентификации / аутентификации пользователя ^[1].

Доверенная загрузка обычно включает в себя:

· Аутентификацию;

· Контроль устройства, с которого BIOS начинает загрузку ОС (чаще жёсткий диск компьютера, но это также может быть устройство чтения съёмный носителя, загрузки по сети и т.п.);

· Контроль целостности и достоверности загрузочного сектора устройства и системных файлов запускаемой ОС;

· Шифрование/расшифрование загрузочного сектора, системных файлов ОС, либо шифрование всех данных устройства (опционально).

· Аутентификация, шифрование и хранение секретных данных, таких как ключи, контрольные суммы и хеш-суммы, выполняются на базе аппаратных средств.

Средства доверенной загрузки (СДЗ) -- программно-технические средства, которые реализуют функции по предотвращению несанкционированного доступа к программным и (или) техническим ресурсам средства вычислительной техники на этапе его загрузки. Средства доверенной загрузки обеспечивают нейтрализацию следующих основных угроз безопасности информации:

· несанкционированный доступ к информации за счет загрузки нештатной операционной системы и обхода правил разграничения доступа штатной операционной системы и (или) других средств защиты информации, работающих в среде штатной операционной системы;

· нарушение целостности программной среды средств вычислительной техники и (или) состава компонентов аппаратного обеспечения средств вычислительной техники в информационной системе;

· нарушение целостности программного обеспечения средства доверенной загрузки;

· несанкционированное изменение конфигурации (параметров) средств доверенной загрузки;

· преодоление или обход функций безопасности средств доверенной загрузки.

1. Особенности

Аппаратные модули доверенной загрузки имеют значительные преимущества перед чисто-программными средствами. Но обеспечение доверенной загрузки не может быть выполнено чисто аппаратно. Главные преимущества аппаратных средств:

· Высокой степени защищённость секретной информации о паролях, ключах и контрольных суммах системных файлов. В условиях стабильной работы такого модуля не предусмотрено способа извлечения такой информации. (Однако известны некоторые атаки на существующие модули, нарушающие их работоспособность);

· Возможная засекреченность алгоритмов шифрования, выполняемых аппаратно;

· Невозможность запустить компьютер, не вскрывая его содержимого;

· В случае шифрования загрузочного сектора, невозможно запустить операционную систему пользователя, даже после извлечения аппаратного модуля;

· В случае полного шифрования данных, невозможность получить любые данные после извлечения аппаратного модуля.

Выделены следующие типы средств доверенной загрузки: средства доверенной загрузки уровня базовой системы ввода-вывода; средства доверенной загрузки уровня платы расширения; средства доверенной загрузки уровня загрузочной записи.

Для дифференциации требований к функциям безопасности средств доверенной загрузки выделяются шесть классов защиты средств доверенной загрузки. Самый низкий класс - шестой, самый высокий - первый.

Средства доверенной загрузки, соответствующие 6 классу защиты, применяются в информационных системах, не являющихся государственными информационными системами, информационными системами персональных данных, информационными системами общего пользования и не предназначенных для обработки информации ограниченного доступа, содержащей сведения, составляющие государственную тайну.

Средства доверенной загрузки, соответствующие 5 классу защиты, применяются в государственных информационных системах 3 класса защищенности в случае отсутствия взаимодействия этих систем с информационно-телекоммуникационными сетями международного информационного обмена, а также в государственных информационных системах 4 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3 уровня защищенности персональных данных в случае актуальности угроз 3-го типа и отсутствия взаимодействия этих систем с информационно-телекоммуникационными сетями международного информационного обмена, а также при необходимости обеспечения 4 уровня защищенности персональных данных.

Средства доверенной загрузки, соответствующие 4 классу защиты, применяются в государственных информационных системах 3 класса защищенности в случае их взаимодействия с информационно- телекоммуникационными сетями международного информационного обмена, а также в государственных информационных системах 1 и 2 классов информационного обмена, а также при необходимости обеспечения 1 и 2 защищенности, в информационных системах персональных данных при необходимости обеспечения 3 уровня защищенности персональных данных в случае актуальности угроз 2-го типа или взаимодействия этих систем с информационно-телекоммуникационными сетями международного информационного обмена, а также при необходимости обеспечения 1 и 2 уровня защищенности персональных данных, в информационных системах общего пользования II класса.

Средства доверенной загрузки, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

2. Примеры существующих аппаратных средств

Аппаратный модуль доверенной загрузки "Аккорд-АМДЗ"

Представляет собой аппаратный контроллер, предназначенный для установки в слот ISA (модификация 4.5) или PCI (модификация 5.0). Модули «Аккорд-АМДЗ» обеспечивают доверенную загрузку операционных систем (ОС) любого типа с файловой структурой FAT12, FAT16, FAT32, NTFS, HPFS, Free BSD, Linux EXT2FS.

Вся программная часть модулей (включая средства администрирования), журнал событий и список пользователей размещены в энергонезависимой памяти контроллера. Таким образом, функции идентификации /аутентификации пользователей, контроля целостности аппаратной и программной среды, администрирования и аудита выполняются самим контроллером до загрузки ОС.

Основные возможности:

· идентификация и аутентификация пользователя с использованием ТМ-идентификатора и пароля длиной до 12 символов;

· блокировка загрузки ПЭВМ с внешних носителей;

· ограничение времени работы пользователей;

· контроль целостности файлов, аппаратуры и реестров;

· регистрация входа пользователей в систему в журнале регистрации;

· администрирование системы защиты (регистрация пользователей, контроль целостности программной и аппаратной части ПЭВМ).

Дополнительные возможности:

· контроль и блокировка физических линий;

· интерфейс RS-232 для применения пластиковых карт в качестве идентификатора;

· аппаратный датчик случайных чисел для криптографических применений;

· дополнительное устройство энергонезависимого аудита.

Рис. 1 «Аккорд-АМДЗ»

Модуль доверенной загрузки «Криптон-замок/PCI»

Предназначен для разграничения и контроля доступа пользователей к аппаратным ресурсам автономных рабочих мест, рабочих станций и серверов локальной вычислительной сети. Позволяют проводить контроль целостности программной среды в ОС, использующих файловые системы FAT12, FAT16, FAT32 и NTFS.

Особенности:

· идентификация и аутентификация пользователей до запуска BIOS при помощи идентификаторов Тouch Мemory;

· разграничение ресурсов компьютера, принудительная загрузка операционной системы (ОС) с выбранного устройства в соответствии с индивидуальными настройками для каждого пользователя;

· блокировка компьютера при НСД, ведение электронного журнала событий в собственной энергонезависимой памяти;

· подсчет эталонных значений контрольных сумм объектов и проверка текущих значений контрольных сумм, экспорт/импорт списка проверяемых объектов на гибкий магнитный диск;

· возможность интеграции в другие системы обеспечения безопасности (сигнализация, пожарная охрана и др.).

Рис.2 «Криптон-замок/PCI»

Intel Trusted Execution Technology

Технология доверенного выполнения от Intel.

Представляет собой скорее не средство доверенной загрузки, а защиту ресурсов любых отдельных приложений на аппаратном уровне в целом.

TXT является абсолютно новой концепцией безопасности компьютера на аппаратном уровне, включая работу с виртуальными ПК.

Технология TXT состоит из последовательно защищённых этапов обработки информации и основана на улучшенном модуле TPM. В основе системы лежит безопасное исполнение программного кода. Каждое приложение, работающее в защищённом режиме, имеет эксклюзивный доступ к ресурсам компьютера, и в его изолированную среду не сможет вмешаться никакое другое приложение. Ресурсы для работы в защищённом режиме физически выделяются процессором и набором системной логики. Безопасное хранение данных означает их шифрование при помощи всё того же TPM. Любые зашифрованные TPM данные могут быть извлечены с носителя только при помощи того же модуля, что осуществлял шифрование.

Intel также разработала систему безопасного ввода данных. У вредоносной программы не будет возможности отследить поток данных на входе компьютера, а кейлоггер получит только бессмысленный набор символов, поскольку все процедуры ввода (включая передачу данных по USB и даже мышиные клики) будут зашифрованы. Защищённый режим приложения позволяет передавать любые графические данные в кадровый буфер видеокарты только в зашифрованном виде, таким образом, вредоносный код не сможет сделать скриншот и послать его хакеру.

Рис.3

доверенный загрузка носитель программный

Заключение

Мы ознакомились с понятием средств доверенной загрузки, для чего они применяются и их особенности. Также была подробно представлена классификация данных средств и рассмотрены примеры с кратким описанием функционала. В конечном счете мы дополнили и укрепили знания о средствах доверенной загрузки.

Размещено на Allbest.ru