г. Смоленск,
Военная академия ВПВО ВС РФ
АТТЕТСТАЦИЯ ТВЕРДОТЕЛЬНОГО ЭЛЕКТРОННОГО ДИСКА
В ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМАХ РЕАЛЬНОГО ВРЕМЕНИ
НА ЗАЩИЩЕННОСТЬ
В настоящее время возникает все большая необходимость в создании вычислительных средств (ВС) специального назначения, предназначенных для работы в жёстких условиях эксплуатации (климатических, при воздействии спецфакторов) и призванных выполнять функции вычислительных устройств в автоматизированных рабочих местах (АРМ) различных стационарных систем управления и контроля, бортовых вычислительных устройств, вычислительных устройств для работы на объектах мобильного типа, в том числе и в составе АРМ.
Большинство ВС специального назначения по своей структуре не сильно отличаются от классических представлений об ЭВМ. Все они содержат процессор (вычислитель), память долговременного и кратковременного хранения, различные устройства сопряжения.
Одной из проблем, возникающих при создании ВС специального назначения, является создание надежной дисковой памяти и средств резервного копирования данных. Накопители на жестких дисках, а также устройства резервного копирования данных (магнитооптические диски, оптические диски CD-RW, DVD-RW, стримеры и др.), представляют собой электромеханические устройства и, как следствие, являются слабым звеном ВС, существенно сокращая сроки службы изделий, в которых они используются.
Как показала практика, срок службы жестких дисков в условиях механических воздействий сокращается до 3-4-х лет, после чего диски приходятся менять полностью.
Следует также отметить, что для некоторых ВС, используемых на объектах мобильного типа, важным параметром является уровень собственного шума, что также накладывает определённые ограничения на использование жёстких дисков.
Таким образом, для ЭВМ, работающих в условиях внешних механических воздействий, крайне желательно использовать диски, обладающие более высокой стойкостью к внешним факторам и пониженными шумовыми характеристиками.
Проведя анализ существующих типов памяти, а также, учитывая положение дел в отечественной микроэлектронной промышленности, можно сделать вывод, что реальным решением проблемы может стать разработка специального типа долговременного запоминающего устройства, основанного на комбинации энергонезависимой памяти типа Flash и оперативной памяти типа SRAM или SDRAM (технология FLRAM).
Но помимо решения задачи обеспечения надежности самого устройства, естественно, встает вопрос оценки степени защищенности занесенных на накопитель данных.
Существует большая номенклатура методов и способов защиты информации и задача выбора тех или иных мер возлагается на специалиста по сетевой безопасности. Как вариант, предлагается рассмотреть следующие превентивные меры защиты:
1. Методы разграничения доступа:
· разграничение доступа по спискам;
· использование матрицы установления полномочий;
· по уровням секретности и категориям;
· парольное разграничение доступа.
2. Шифрование информации:
· Пофайловое шифрование. Пользователь сам выбирает файлы, которые следует зашифровать. Такой подход не требует глубокой интеграции средства шифрования в систему.
· Шифрование каталогов. Пользователь создает папки, все данные в которых шифруются автоматически. Шифрование каталогов довольно удобно и прозрачно, хотя в его основе лежит все то же пофайловое шифрование. Такой подход требует глубокого взаимодействия с операционной системой, поэтому зависит от используемой платформы.
· Шифрование виртуальных дисков. Шифрование виртуальных дисков подразумевает создание файла на жестком диске. Этот файл в дальнейшем доступен пользователю как отдельный диск (операционная система «видит» его как новый логический диск).
· Шифрование всего диска. В этом случае шифруется абсолютно все: загрузочный сектор операционной системы, все системные файлы и любая другая информация на диске.
· Защита процесса загрузки. Если зашифрован весь диск целиком, то операционная система не сможет запуститься, пока какой-либо механизм не расшифрует файлы загрузки. Поэтому шифрование всего диска обязательно подразумевает и защиту процесса загрузки. Обычно пользователю требуется ввести пароль, чтобы операционная система могла стартовать. Если пользователь введет пароль правильно, программа шифрования получит доступ к ключам шифрования, что позволит читать дальнейшие данные с диска.
3. Защита на основе файловой системы.
4. Аутентификация.
Чтобы успешно пройти процедуру сильной аутентификации, пользователю необходимо предъявить токен (USB-ключ или смарт-карту) операционной системе (например, вставить его в один из USB-портов компьютера или в устройство считывания смарт-карт), а потом доказать свое право владения этим электронным ключом (то есть ввести пароль). Таким образом, задача злоумышленника, пытающегося получить доступ к чувствительным данным, сильно осложняется: ему требуется не просто знать пароль, но и иметь физический носитель, которым обладают лишь легальные пользователи.
5. Установка пароля на BIOS.
Установка пароля на загрузку ПК - единственный способ обеспечения конфиденциальности. В этом случае вам используются следующие параметры SETUP:
· Security. В режиме System требуется ввести пароль для запуска компьютера, в режиме Setup - только для входа в SETUP BIOS;
· User Password - здесь можно установить пароль для пользователя, которому разрешены некоторые действия по простейшей настройке, такие как запуск компьютера, установка системного времени и некоторыми другими. Ввод "пустого" пароля отключает проверку пароля;
· Supervisor Password - этот пароль предназначен для администрирования SETUP. Он позволяет изменить или отменить пользовательский пароль.
В соответствии с приведенными методами защиты жесткого диска, а так же в зависимости от степени важности хранимой на диске информации составляется таблица, содержащая наименование методов защиты и их реализацию в системе (табл. 1):
Таблица 1
Метод защиты | Реализация |
Разграничение доступа | + |
Шифрование | - |
Защита на основе файловой системы (NTFS, FAT) | - |
Аутентификация | + |
Установка пароля на BIOS | - |
«+» – данный метод защиты реализован в системе;
«-» – данный метод защиты не реализован в системе.
Далее (на основе данных таблицы 1) составляется таблица, которая показывает, какую степень защиты предоставляет каждый из методов (табл. 2). Степень защиты определяется администратором системы:
Таблица 2
Метод защиты | Степень защиты | ||
низкая | средняя | высокая | |
Разграничение доступа |
| + | |
Шифрование | + | ||
Защита на основе файловой системы (NTFS, FAT) | + | ||
Аутентификация |
| + | |
Установка пароля на BIOS | + |
Аутентификация: если в системе реализована двухфакторная аутентификация, т. е. с применением USB-ключей или смарт-карт, то можно говорить о высоком уровне защиты. Если же аутентификация основана только на вводе пароля, то можно сказать, что реализован средний уровень защиты. Соответственно, если отсутствуют обе процедуры, то говорят о низкой степени защиты.
Защита на основе файловой системы (NTFS, FAT): файловая система NTFS предоставляет больше возможностей по защите информации в отличии от файловой системы FAT. Поэтому, при заполнении таблицы 2 необходимо учитывать вид файловой системы – если установлена NTFS, то можно говорить о высоком уровне защиты, если установлена FAT – низкий уровень защиты.
Шифрование: если установлена файловая система FAT, то говорить о защите не имеет смысла – в таблице 2 сразу можно ставить «-» (кроме тех случаев, когда присутствуют другие способы шифрования). В других случаях необходимо отталкиваться от технологий шифрования. Соответственно оценка уровня защищенности будет зависеть от администратора системы, т. е. от того, какая технология шифрования для него является наиболее «защищающей» (таких технологий может быть и несколько).
После построения и заполнения таблицы 2 делается вывод о том, какую степень защиты имеют данные на жестком диске. По результатам приведенной таблицы, можно сказать, что в данном случае жесткий диск имеет низкую степень защиты (для оценки берут наибольшее количество плюсов по каждому столбцу).
Также, целесообразно построить таблицу, которая будет содержать возможные виды угроз относительно жесткого диска и вероятность их реализации (таблица 3). Вероятность устанавливается так же администратором.
Таблица 3
Виды угроз | Вероятность возникновения |
Несанкционированный доступ к информации, хранимой на жестком диске | 0,5 |
Хищение информации | 0,5 |
Модификация информации | 0,5 |
Уничтожение информации | 0,5 |
Угроза конфиденциальности (доступ других лиц) | 0,5 |
Утечка информации по каналам связи | 0,5 |
После проведенного выше анализа и заполнения таблицы 3 делается вывод о том, насколько защищена информация, хранимая на жестком диске. По результатам приведенной таблицы, можно сказать, что в данном случае жесткий диск имеет среднюю степень защиты (для оценки вычисляют среднюю вероятность по столбцу «Вероятность возникновения»). В данном случае, средняя вероятность равна 0,5, что является средним показателем защиты. Если значение вероятности будет равно 1 или будет иметь значение, близкое к 1, то можно говорить о том, что жесткий диск имеет высокую степень защиты. Данная таблица может дополняться угрозами по усмотрению администратора системы.
