Тема 20: Аппаратные средства СЗИ НСД
На средства аппаратной поддержки возлагается решение следующих задач:
- осуществление идентификации и аутентификации пользователей до загрузки операционной системы (с регистрацией попыток НСД);
- предотвращение несанкционированной загрузки сторонней (незащищенной) операционной системы с отчуждаемых носителей (с гибких дисков, компакт-дисков и, в случае применения электронного замка «Соболь», - с дисков магнитооптических накопителей);
- обеспечение усиленной аутентификации пользователей с применением персональных электронных идентификаторов («таблеток») Touch Memory , Smart -карт и Proximity -карт.
В основе функциональности средств аппаратной поддержки лежит использование расширений базовой системы ввода-вывода и применение персональных устройств идентификации: «таблеток» Touch Memory , Smart -карт, Proximity -карт, хранящих уникальный собственный номер и позволяющих считывать и записывать персональные данные пользователя (ключи и т.п.).
Простейшим средством аппаратной поддержки, обеспечивающим предотвращение загрузки с отчуждаемых носителей и аутентификацию пользователей при помощи персональных устройств является микросхема расширений BIOS , устанавливаемая в разъем BOOT ROM BIOS сетевого адаптера
При невозможности использования указанного разъема (он может быть занят микросхемой ПЗУ удаленной загрузки) аппаратная поддержка осуществляется с помощью специальной платы, обеспечивающей чтение аппаратурой компьютера
информации из микросхемы расширения BIOS . Плата содержит разъем для системной шины ISA ( PCI ), панель для установки микросхемы с расширением BIOS и перемычки для ручной установки адреса начала расширения BIOS в ОП.
Рис . 3.20.1. Плата Secret Net Card
В случае использования платы сетевого адаптера или Secret Net Card для идентификации пользователей считыватели Touch Memory и Smart -карт, подключаются к разъему асинхронного последовательного адаптера (СОМ-порта) компьютера.
Secret Net Touch Memory Card полностью обеспечивает защиту от загрузки с отчуждаемых носителей и усиленную аутентификацию пользователей "Считыватель Proximity -карт обеспечивает чтение персональных идентификаторов, а в дальнейшем - и запись информации в идентификатор.
Рис. 3.20.2. Плата Secret Net TM Card
Рис. 3.20.3. Электронный замок «Соболь»
Электронный замок «Соболь» может работать как автономно, так и в составе системы Secret Net 4.0 (режим интеграции). Электронный замок решает те же задачи защиты от загрузки и усиленной аутентификации, что и Secret Net Touch Memory Card Он обеспечивает хранение информации для контроля целостности информации на жестких дисках компьютера до загрузки операционной системы. При автономном режиме работы электронный замок обеспечивает хранение списков зарегистрированных пользователей и информации для аутентификации при помощи персональных идентификаторов.
Электронный замок «Соболь», кроме защиты от несанкционированной загрузки, обеспечивает хранение списков зарегистрированных пользователей для аутентификации, хранение программы и данных для контроля целостности ресурсов компьютера до загрузки операционной системы, как при автономной работе, так и при работе в составе системы Secret Net , а также хранение системного журнала для регистрации событий, имеющих отношение к безопасности защищаемого компьютера .
Кроме того, Электронный замок «Соболь» имеет 2 (4) реле для физического отключения устройств до завершения процессов идентификации, аутентификации и контроля целостности ресурсов компьютера и качественный датчик случайных чисел, с помощью которого могут генерироваться криптографические ключи.