Аппаратные средства защиты

Для обеспечения требуемого уровня безопасности информации в ЛВС помимо использования встроенных в ОС средств защиты и дополнительного ПО необходимо применять и аппаратные средства защиты. Иначе имея физический доступ к компьютеру, нарушитель может без труда преодолеть систему защиты. Аппаратными средствами защиты называются различные электронные и электронно-механические устройства, которые включаются в состав технических средств ЛВС и выполняют самостоятельно или в комплексе с другими средствами некоторые функции защиты. Сегодня применяется много различных аппаратных средств включающихся практически во все устройства ЛВС: терминалы пользователей, центральные процессоры, устройства ввода-вывода данных, внешние запоминающие устройства, другое периферийное оборудование. В терминалах пользователей часто используются различного рода замки и блокираторы, схемы генерирования идентифицирующего кода, магнитные индивидуальные карточки, дактилоскопические и акустические устройства опознавания и т.п. Для выполнения функций защиты в состав процессора обычно включаются программно-читаемые часы, средства контроля регистров, устанавливающих границы памяти и многое другое. Память обычно защищается следующими средствами и механизмами:

регистры границ памяти (устанавливают нижний и верхний адрес оперативной памяти для программы);

"замки" защиты блоков памяти фиксированного размера в оперативной памяти (выполняемая программа заносит свой "ключ" в специальный регистр, каждая выборка и запись в оперативную память контролируется аппаратными средствами на подтверждение того, что ключ соответствует замку);

сегментация памяти (использование дескрипторов для описания единиц данных в оперативной памяти. Каждый дескриптор содержит начальный адрес сегмента, его длину и указатели, определяющие вид доступа к данным этого сегмента);

страничная организация памяти (каждой программе пользователя ставится в соответствие таблица страниц, отображающая виртуальные и физические адреса. Обычно защита страничной организации памяти реализуется через сегментацию).

В устройствах ввода-вывода для защиты обычно используют регистры адресов и идентификаторов, регистры границ выделенной устройству памяти, регистры контроля уровня секретности канала связи, схемы контроля номера канала и т.д. Аппаратные средства защиты включают и вспомогательные устройства уничтожения информации на магнитных носителях, устройства сигнализации о нарушении регистров границ памяти.

Простым примером необходимости применения аппаратных средств защиты являются недостатки использования встроенных программных средств управления защитой компьютера - BIOS. Это следующие недостатки:

1. в ряде программ BIOS возможно применение встроенных (инженерных) паролей, ввод которых, вне зависимости от установленного пароля, позволяет получить доступ к настройкам способа загрузки ОС;

2. с помощью специальных приёмов (отсоединение батарейки) настройки BIOS могут быть сброшены в исходное состояние, в котором по умолчанию задана критичная с точки зрения защиты системы очередность загрузки: в первую очередь загрузка производится с дисковода.

Поэтому для преодоления недостатков встроенных средств защиты BIOS необходимо использование аппаратных компонент (в частности, "Электронных замков и ключей"). Эти компоненты выполнены в виде специальных плат, устанавливаемых в свободный слот или порт компьютера в состав которых входит программно-аппаратное средство расширения функций BIOS. В большинстве "Электронных замков" реализуется отключение внешних устройств на аппаратном уровне. Таким образом дисковод, CD-ROM и иные устройства ввода отключаются аппаратно. На них либо не подается питание, либо физически разорвана шина данных. Подключаются устройства внешним сигналом после завершения авторизации пользователя.

При построении ЛВС военных организаций необходимо использовать специальные электронные ключи, дающие возможность контроля жестких дисков и сетевых плат рабочих станций, входящих в состав сети. Данные ключи вставляются в свободный COM или LPT. При помощи специальной программы с установочной дискеты в соответствие с ключом генерируется специальный код, который присваивается конкретной сетевой карте и жесткому диску данного компьютера и записывается в загрузочный сектор жесткого диска.

При загрузке системы вначале запрашивается пароль электронного ключа, и только потом управление загрузкой передается BIOS и ОС (кроме этого в BIOS можно тоже поставить пароль на загрузку системы, что в совокупности с ключом и ОС дает трехуровневую систему авторизации). Применение таких ключей предотвращает возможность подмены жесткого диска и сетевой платы конкретного компьютера с целью НСД, т.к генерируемый программой код является уникальным для ключа, платы и диска каждого компьютера и не дает загрузится системе в случае подмены диска, платы или ключа. Так аппаратными средствами достигается наиболее эффективная защита.

Но установкой только дополнительных плат защита не ограничивается. Ведь их можно так же легко удалить, имея физический доступ к компьютеру. А сделать это можно, только сняв предварительно крышку корпуса с системного блока компьютера. Противодействовать таким действиям можно используя опечатывание корпуса или реализацию объектовой защиты - пропускной режим.

Применение организационных мероприятий существенно повышает защищенность объекта, но важнее защитить аппаратуру от несанкционированного вскрытия с целью удаления. Необходимо использовать метод защиты, основанный на использовании датчиков несанкционированного вскрытия корпусов защищаемых компьютеров в качестве дополнительного средства защиты системы. Вся сеть должна состоять из датчиков вскрытия аппаратуры, цепи сбора сигналов и рабочего места центрального контроля (сервера безопасности). В качестве датчиков можно использовать контактные датчики, фиксирующие открывание корпусов системных блоков.

Известно, что при использовании витой пары для прокладки вычислительной сети (например, в стандарте 10 BASE-T) используются четыре из восьми линий связи для обмена информацией. Еще четыре провода остаются свободными и их надо использованы для построения системы контроля вскрытия аппаратуры.

Идея рассматриваемого механизма защиты состоит в следующем. К концентратору подключается дополнительное устройство, подающее напряжение в контур, замыкаемый через выключатель контура, который помещается в защищаемом компьютере. В случае снятии крышки компьютера (либо выдергивании витой пары канала связи из розетки компьютера) размыкается контур и устройство отключает компьютер от ресурсов ЛВС. Использование незадействованных в передаче данных проводов также не создает помехи передачи данных, что не уменьшает производительности сети в целом. Пример такой сети представлен на рисунке.

Рис.2. Схема контроля вскрытия аппаратуры

Кроме всего необходимо при построении сети по возможности использовать маршрутизаторы, мосты, коммутаторы и концентраторы. Особенно если ЛВС состоит из отдельных сегментов, или необходимо организовать выход во внешнюю сеть. Все в зависимости от размеров и требований к степени защищенности сети.

Использование этих устройств дает возможность элементарной защиты передаваемой информации: блокировки некоторых портов без применения межсетевого экран, осуществления фильтрации трафика по различным условиям, в том числе и задаваемым пользователем, изолирования трафика одного сегмента сети от другого и т.п. Все эти устройства снижают коэффициент загрузки сегментов сети но и уменьшают возможности несанкционированного доступа благодаря исключению возможности прослушивания пакетов данных.

Примером такой защиты сети может служить наиболее простой способ защиты в разделяемых средах, заложенный в концентратор. Нарушителю для прослушивания сети достаточно подключить свой компьютер к свободному разъему концентратора или вместо какого-либо другого компьютера. Для защиты от таких действий концентратор имеет возможность назначения разрешенных MAC-адресов конкретным своим портам. При попытке злоумышленника с незнакомым MAC-адресом подключить свой компьютер к концентратору производится фильтрация кадров, отключение порта и фиксация факта нарушения прав доступа. Т.о. этот способ может служить "ещё одним кирпичиком в крепкой стене безопасности ЛВС".

Таким образом, перед решением задач обеспечения безопасности в сети необходимо разобраться в вопросе защиты информации. Для защиты с помощью дополнительного ПО очень важно прежде проанализировать возможные программные и аппаратные способы НСД и в соответствие с ними выработать предложение по защите теми или иными программными средствами. Кроме программных средств необходимо не забывать и аппаратные. Использование тех и других средств вместе повышает степень защищенности ЛВС.