УТВЕРЖДАЮ

Генеральный директор

Закрытого акционерного общества "НТЦ КОНТАКТ"

______________

"____"________ 2004

ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС

ЗАЩИТЫ ПЭВМ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

"БАРЬЕР"

Руководство по эксплуатации

сюик.305817.002 рэ-ЛУ

Утвержден

сюик.305817.002 рэ-ЛУ

ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС

ЗАЩИТЫ ПЭВМ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

"БАРЬЕР"

Руководство по эксплуатации

сюик.305817.002 рэ

Содержание

1 Описание и работа ПАК "Барьер". 4

1.1 Назначение. 4

1.2 Основные сведения об изделии и технические характеристики. 5

1.3 Сведения о содержании драгоценных материалов и цветных металлов. 6

1.4 Состав ПАК "Барьер". 6

1.5 Устройство и работа ПАК "Барьер". 6

1.6 Средства измерения, инструмент и принадлежности. 9

1.7 Маркировка. 9

1.8 Упаковка. 9

2 Использование по назначению.. 10

2.1 Эксплуатационные ограничения. 10

2.2 Подготовка ПАК "Барьер" к использованию.. 10

2.3 Использование ПАК "Барьер". 12

2.4 Действия в экстремальных условиях. 15

3 Техническое обслуживание. 16

4 Текущий ремонт. 16

5 Хранение. 16

6 Транспортирование. 17

7 Утилизация. 17

8 Ресурсы, сроки службы и хранения, гарантии изготовителя (поставщика) 19

8.1 Ресурсы, сроки службы и хранения. 19

8.2 Гарантии изготовителя. 19

9 Свидетельство об упаковывании. 20

10 Свидетельство о приемке. 21

11 Движение изделия при эксплуатации. 22

11.1 Движение изделия при эксплуатации. 22

11.2 Прием и передача изделия. 22

11.3 Сведения о закреплении изделия при эксплуатации. 23

12 Ремонт и учет работы по бюллетеням и указаниям.. 23

Приложение А Перечень принятых сокращений. 24

Настоящее руководство по эксплуатации распространяется на программно-аппаратный комплекс защиты ПЭВМ от несанкционированного доступа "Барьер" (ПАК "Барьер") – комплекс, выполняющий функции защиты информационных ресурсов объекта от несанкционированного доступа (НСД).

ПАК "Барьер" предназначен для защиты информации ограниченного распространения и для использования в составе автономной ПЭВМ, работающей под управлением операционной системы (ОС) семейства MS Windows NT/2000/XP.

Данный документ описывает:

– принцип работы ПАК "Барьер";

– порядок хранения и транспортирования ПАК "Барьер";

– порядок монтажа и ввода в эксплуатацию ПАК "Барьер".

1 Описание и работа ПАК "Барьер"

1.1 Назначение

1.1.1 ПАК "Барьер" предназначен для использования в составе автономной ПЭВМ, работающей под управлением ОС семейства MS Windows /NT/2000/XP, для защиты информации ограниченного распространения с использованием следующих защитных функций:

– идентификация и аутентификация пользователей;

– контроль целостности технических и программных средств, а также служебной информации и информации пользователей;

– управление ресурсами ПЭВМ, а также возможность создания функционально замкнутой среды для каждого отдельного пользователя на уровне логических дисков;

– криптографическое преобразование информации, включающее шифрование ключевой информации и информации логических дисков;

– защищенная регистрация событий, включающая сбор данных аудита, накопление и просмотр событий аудита действий, каждого отдельного пользователя.

1.1.2 Совокупность программно-аппаратных средств, в состав которых входят ПЭВМ и ПАК "Барьер", предназначена для обработки и хранения информации ограниченного распространения.

1.1.3 Идентификация и аутентификация пользователей, контроль доступа и целостности аппаратной части ПЭВМ, программной среды выполняются ПАК "Барьер" вне зависимости от типа операционной среды и файловой системы до их загрузки.

1.1.4 Для эксплуатации и эффективного применения средств защиты ПАК "Барьер", поддержания необходимого уровня защищенности ПЭВМ и информационных ресурсов требуется:

– физическая охрана ПЭВМ и ее средств;

– наличие администратора безопасности – привилегированного пользователя, имеющего особый статус и абсолютные полномочия. Обязанности администратора безопасности по применению ПАК "Барьер" изложены в документе "Руководство оператора" СЮИК.00042;

– учет носителей информации (ТМ-идентификаторов пользователей);

– периодическое тестирование средств защиты ПАК "Барьер";

– использование в ПЭВМ, сертифицированных технических средств.

1.2 Основные сведения об изделии и технические характеристики

1.2.1 Основные сведения

Наименование изделия: программно-аппаратный комплекс защиты ПЭВМ от несанкционированного доступа "Барьер".

Обозначение изделия: СЮИК.305817.002

Изготовитель ЗАО "НТЦ КОНТАКТ"

Дата изготовления ___________________________________________________

Заводской номер _____________________________________________________

1.2.2 Технические характеристики

ПАК "Барьер" имеет следующие технические характеристики:

– габаритные размеры (без устройства считывателя карт-ключей) – не более 120´100´20 мм;

– масса – не более 0,5 кг;

– напряжение питания – плюс 5 В;

– ППЗУ имеет объем памяти не менее 96 Кбайт;

– ОЗУ имеет объем памяти не менее 2 Кбайта;

– тип используемой шины ПЭВМ – ISA/PCI;

– время реакции на смену карты-ключа – не более 40 мс;

– время хранения информации в ППЗУ при отключении питания ПЭВМ – не менее 5 лет;

– количество хранимых профилей пользователей – не более 8;

– время хранения ключей в ОЗУ РIС-микроконтроллера при отключении питания – не менее 30 дней;

– средняя наработка на отказ – не менее 1500 ч;

– среднее время восстановления работоспособности – не более 30 мин;

– срок службы – не менее 10 лет.

1.3 Сведения о содержании драгоценных материалов и цветных металлов

1.3.1 Сведения о содержании драгоценных металлов в аппаратной части ПАК "Барьер" приведены в таблице 1.

Таблица 1

1.4 Состав ПАК "Барьер"

1.4.1 Составные части в базовой конфигурации приведены в таблице 2.

Таблица 2

1.5 Устройство и работа ПАК "Барьер"

1.5.1 Устройство ПАК "Барьер"

1.5.1.1 В состав ПАК "Барьер" входят следующие элементы:

– адаптер, представляющий собой плату, содержащую всю аппаратную часть ПАК "Барьер" за исключением считывателя карт-ключей;

– считыватель карт-ключей представляет собой аппаратное устройство, подключающееся к порту адаптера. В качестве данного устройства применяется устройство типа DS1402D;

– карта-ключ используется для хранения в защищенном виде идентификационной информации пользователя;

– программное обеспечение микроконтроллеров, входящих в состав ПАК "Барьер", обеспечивает выполнение команд поступающих от ПЭВМ, внутреннее тестирование и управление устройствами, входящими в состав ПАК "Барьер";

– специальное программное обеспечение, выполняемое на ПЭВМ до загрузки ОС, работает как расширитель базовой системы ввода-вывода (BIOS) и обеспечивает выполнение следующих функций:

– конфигурирование системы защиты объекта, проверку целостности аппаратных и программных средств объекта;

– проверку пароля, вводимого пользователем;

– возможность шифрования информации на накопителях на жестких магнитных дисках (НЖМД) ПЭВМ;

– создание защищенных разделов для хранения информации пользователей;

– удаление загрузочных секторов и таблицы распределения логических дисков;

– драйвер для ОС семейства MS Windows NT/2000/XP.

1.5.1.2 В состав платы адаптера ПАК "Барьер" входят следующие элементы:

– центральный процессор;

– PIC-микроконтроллер;

– последовательная память;

– PCI-микроконтроллер;

– программируемая логическая интегральная схема (ПЛИС);

– датчик случайной числовой последовательности (ДСЧП);

– датчик вскрытия корпуса.

1.5.1.3 Центральный процессор, состоит из арифметико-логического устройства, блока регистров, встроенной памяти данных, логики прерываний, таймеров и портов ввода-вывода. Он предназначен для управления работой основных узлов адаптера и вычисления криптографических алгоритмов.

1.5.1.4 PIC-микроконтроллер предназначен для хранения критически важной информации, которая уничтожается при попытке несанкционированного вскрытия корпуса ПЭВМ. К такой информации относятся ключи и загружаемая информация о составе адаптера. PIC-микроконтроллер имеет автономное электропитание и способен, функционировать при выключенном питании ПЭВМ. PIC-микроконтроллер совмещен с датчиком вскрытия корпуса и часами реального времени. Он обеспечивает регистрацию сигналов датчиков вскрытия корпуса ПЭВМ и запись даты и времени такой регистрации.

1.5.1.5 Последовательная память представляет собой перепрограммируемое постоянное запоминающее устройство (ППЗУ), обеспечивающее энергонезависимое хранение части информации, требующей изменения в процессе эксплуатации адаптера. Используется также для хранения журнала аудита.

1.5.1.6 ПЛИС предназначена для согласования сигналов между центральным процессором адаптера и системной шиной ПЭВМ по временам и уровню.

1.5.1.7 ДСЧП предназначен для формирования случайных числовых последовательностей, используемых в работе ПЭВМ и включает в себя генератор шума, компаратор напряжения и схемы сопряжения с центральным процессором.

1.5.1.8 Датчик вскрытия корпуса ПЭВМ предназначен для фиксирования момента вскрытия корпуса ПЭВМ и выдачи сигналов на PIC-микроконтроллер для уничтожения критически важной информации.

1.5.2 Принцип работы

1.5.2.1 При включении питания происходит самотестирование адаптера, после чего проверяется наличие карты-ключа. Если при включении питания карта находится в контактном устройстве, считывается ее идентификатор и сравнивается с перечнем допустимых из таблицы пользователей, хранящейся в ППЗУ адаптера. Если идентификатор не зарегистрирован, то его значение заносится в журнал аудита. При сравнении считанного идентификатора с любым из перечня допустимых определяется номер пользователя. Одновременно с перечисленными выше действиями работает программа POST (BIOS). Она передает управление программе-расширению BIOS для обеспечения загрузки в ОЗУ ПЭВМ из ППЗУ адаптера программы паролирования, которая осуществляет разграничение прав доступа, паролирование, контроль целостности, администрирование и т. д. После загрузки программы паролирования осуществляется контроль целостности загруженного модуля и передача ему управления. При этом если идентификатор карты-ключа не был опознан, происходит блокирование ПЭВМ.

1.5.2.2 Программа паролирования, являющаяся основным компонентом встроенного программного обеспечения ПАК "Барьер", производит зашифрование логических дисков, которые не были зашифрованы при предыдущем выходе. Далее осуществляется процедура аутентификации пользователя путем ввода пароля. Значения символов, составляющих пароль, на экране монитора не отображаются. Длина пароля не более 255 символов. Минимальное количество символов, составляющих пароль – 8. Программа контроля вычисляет функцию хэширования от введенного пароля и передает ее в адаптер для сравнения. Если пароль верный, пользователю будут предоставлены определенные для него ресурсы и права на выполнение команд, соответствующих его статусу, и устанавливается выбранная аппаратная конфигурация ПЭВМ. При этом происходит расшифрование доступных данному пользователю логических дисков, контроль целостности файлов указанных при процедуре инсталляции и происходит загрузка ОС.

В противном случае пользователю предоставляются еще две дополнительные попытки ввода пароля. Если пароль введен неверно три раза, работа ПЭВМ блокируется.

1.5.2.3 Все параметры, определяющие права каждого из пользователей устанавливаются при инсталляции ПАК "Барьер" и могут быть изменены лишь администратором безопасности или администратором ключей при помощи средств администрирования ПАК "Барьер".

1.5.2.4 Во время загрузки ОС, драйвер устройства уничтожает информацию о структуре логических дисков на НЖМД.

1.6 Средства измерения, инструмент и принадлежности

1.6.1 Специальных измерительных приборов, необходимых для работы и настройки ПАК "Барьер" и выполнения работ по техническому обслуживанию не требуется.

1.7 Маркировка

1.7.1 На плату ПАК "Барьер" нанесена маркировка, содержащая следующие данные:

– товарный знак предприятия-изготовителя ПАК "Барьер";

– шифр ПАК "Барьер";

– порядковый номер ПАК "Барьер" по системе нумерации предприятия-изготовителя.

1.8.1 ПАК "Барьер" упаковывается в полиэтиленовый пакет и помещается в картонную коробку.

2 Использование по назначению

2.1 Эксплуатационные ограничения

2.1.1 Автономная ПЭВМ, в составе которой используется ПАК "Барьер", должна иметь следующие эксплуатационные параметры:

– процессор, совместимый с Intel Pentium, с тактовой частотой не менее 100 МГц;

– ОЗУ емкостью не менее 32 Мбайт;

– накопители на жестких магнитных дисках IDE – не более 4;

– количество логических дисков – не более 10.

2.1.2 Условия эксплуатации ПАК "Барьер":

– температура окружающего воздуха от плюс 10 до плюс 32,5 0С;

– относительная влажность окружающего воздуха до 80 % при температуре окружающего воздуха плюс 25 0С;

– атмосферное давление от 84 до 107 кПа.

2.2 Подготовка ПАК "Барьер" к использованию

2.2.1 Перед началом работы необходимо внимательно ознакомиться с технической документацией на ПАК "Барьер".

2.2.2 ПАК "Барьер" обеспечивает электрическую, механическую и пожарную безопасность персонала в соответствии с требованиями ГОСТ и ГОСТ (МЭК 950-86).

2.2.3 ПАК "Барьер" по способу защиты от поражения электрическим током относится к устройству III класса опасности по ГОСТ (МЭК 950-86).

2.2.4 Материалы, применяемые для изготовления ПАК "Барьер", а также меры обеспечения пожарной безопасности соответствуют требованиям ГОСТ 12.1.004-91, ГОСТ 12.2.006-87 и ГОСТ В 20.39.308-76.

2.2.5 Подключать и отключать любые внешние устройства допускается только в выключенном состоянии.

2.2.6 Перед началом эксплуатации ПАК "Барьер" необходимо убедиться в отсутствии механических повреждений платы адаптера.

2.2.7 Подготовку ПАК "Барьер" к использованию проводить при отключенной сети питания.

2.2.8 Установку платы адаптера ПАК "Барьер" в ПЭВМ производить в соответствии с рисунком 1 (для платы адаптера, имеющей ISA-разъем) или рисунком 2 (для платы адаптера, имеющей PCI-разъем) в следующем порядке:

– отключить ПЭВМ от сети питающего напряжения;

– снять кожух системного блока ПЭВМ;

– установить плату ПАК "Барьер" в свободный ISA- или PCI-разъем на материнской плате ПЭВМ;

– к разъему X1 платы адаптера подключить шлейф блокировки клавиатуры;

– к разъёму X2 платы адаптера подключить шлейф датчика вскрытия корпуса;

– установить перемычку X3 на плате ПАК "Барьер";

– к разъёму X4 платы адаптера подключить считыватель ТМ-карт;

– закрыть кожух системного блока ПЭВМ;

– провести инсталляцию ПАК "Барьер" в соответствии с документом "Руководство оператора" СЮИК. 34 01.

Рисунок 1

Рисунок 2

2.3 Использование ПАК "Барьер"

2.3.1 Ограничение прав доступа

2.3.1.1 Организация ограничения прав доступа осуществляется путем:

– классификации пользователей;

– закрепления за каждым классом пользователей определенных прав;

– формирования и закрепления за каждым пользователем пароля для входа в систему (аутентификации) и конфигурации CMOS;

– идентификации и аутентификации пользователей, при регистрации во время входа в систему до загрузки ОС;

– предоставления пользователю только доступных логических дисков.

2.3.1.2 В системе допустимы три вида пользователей:

– администратор безопасности;

– администратор ключей;

– пользователь.

2.3.1.3 Администратор безопасности – самостоятельный пользователь системы, который имеет доступ ко всем логическим дискам ПЭВМ, права чтения ключей всех пользователей, выполнения всех функций тестирования и администрирования без права изменения ключевой информации (изменение паролей пользователей, изменение сроков полномочий, списков контролируемых файлов и т. д.).

2.3.1.4 Администратор ключей – самостоятельный пользователь системы, имеет такие же права, как и администратор безопасности. Необходим для осуществления двойного входа в систему (вход осуществляется после администратора безопасности) для повышения прав администраторов на изменение ключевой информации.

2.3.1.5 Пользователь – самостоятельный пользователь, который работает только с определенными при инсталляции доступными ресурсами и конфигурацией, имеет доступ на чтение только личных и общих ключей.

2.3.1.6 Ограничение прав доступа к ресурсам ПАК "Барьер" организовано при помощи системы контроля за допустимостью исполнения команд, которая анализирует статус текущего пользователя (администратора безопасности, администратор ключей и пользователя), момент времени исполнения команды (работает расширение BIOS ПАК "Барьер" или работает ОС), установлена защита или нет.

2.3.2 Разделение ресурсов

2.3.2.1 Разделение ресурсов между пользователями осуществляется на уровне логических дисков. За каждым из пользователей закрепляются один или несколько логических дисков. Причем некоторые из них или все могут шифроваться.

2.3.3 Контроль целостности

2.3.3.1 При проведении самотестирования по включению питания, адаптер проверяет собственную систему контроля вскрытия корпуса. Данная система регистрирует факт вскрытия корпуса и время, и время последнего закрытия.

2.3.3.2 За всеми пользователями закрепляется список контролируемых файлов, которые расположены на доступных пользователям логических дисках. Для этих файлов высчитывается функция хэширования, значение которой сохраняется в зашифрованной служебной области НЖМД. В последствии, при каждом входе в систему, происходит процесс автоматического вычисления значения функции хэширования и сравнения его с эталонным значением. Реакция на нарушение целостности зависит от статуса пользователя. Для администраторов вход разрешен (с выдачей предупредительного сообщения). При входе в систему любого из администраторов проверяется целостность файлов всех пользователей. Для пользователей вход в систему блокируется с возможностью зашифровывания логических дисков.

2.3.3.3 При начальной загрузке вычисляется значение функции хэширования технических средств ПЭВМ и сравнивается с эталонными значениями, сохраненными в ППЗУ ПАК "Барьер" при инсталляции. При обнаружении нарушения целостности вход в систему доступен только администратору без расшифровывания логических дисков.

2.3.4 Датчик случайной числовой последовательности

2.3.4.1 Реализованный в адаптере датчик случайной числовой последовательности служит для получения случайной последовательности байт, которые используются в качестве:

Из за большого объема этот материал размещен на нескольких страницах: 1 2 3