Основные принципы функционирования программно-аппаратного комплекса «Соболь»
Программно-аппаратный комплекс (ПАК) «Соболь»– это аппаратно-программное средство защиты компьютера от несанкционированного доступа. Действия комплекса «Соболь» состоит в проверке полномочий пользователя на вход в систему. Если предъявлены необходимые атрибуты пользователь получает право на вход. При отсутствии вход в систему данного пользователя запрещается.
Регистрация администратора осуществляется при инициализации комплекса.
Комплекс включает в себя:
*механизм идентификации и аутентификации пользователей;
*подсистему контроля целостности;
*подсистему запрета загрузки ОС со съемных носителей;
*механизм сторожевого таймера;
*механизм регистрации событий, имеющих отношение к безопасности системы.
Механизм идентификации и аутентификации обеспечивает проверку полномочий пользователя на вход при попытке входа в систему. Идентификация (используются уникальные номера аппаратных устройств) и аутентификация(проверка правильности пароля с использованием аутентификатора пользователя) пользователей осуществляется при каждом входе пользователя в систему. После включения компьютера «Соболь» запрашивает у пользователя его персональный идентификатор и пароль. Осуществляется проверка наличия в списке пользователей в комплексе «Соболь» пользователя, которому принадлежит предъявленный персональный идентификатор.
Если предъявлен профессиональный идентификатор, не зарегистрированный в системе, то:
*вход пользователя в систему запрещается;
*в журнале регистраций событий фиксируется попытка несанкционированного доступа к компьютеру.
Если указан пароль, не соответствующий предъявленному идентификатору:
*вход пользователя в систему запрещается;
*счетчик неудачных попыток входа пользователя в систему увеличивается на единицу;
*в журнале регистраций событий фиксируется попытка несанкционированного доступа к компьютеру.
Служебная информация о регистрации пользователя хранится в энергонезависимой памяти комплекса «Соболь». Комплекс «Соболь» предоставляет администратору следующие дополнительных возможности по управлению процедурой идентификации и аутентификации и процедурами смены пароля и аутентификатора пользователя:*ограничение времени, отводящегося пользователя при входе в систему для предъявления персонального идентификатора и ввода пароля; *ограничения времени действия пароля и аутентификатора пользователя, при истечении которого пользователь будет вынужден сменить свой пароль и аутетификатор; *режим использования случайных паролей для процедур смены пароля пользователя и администратора и процедур регистрации нового пользователя; * ограничение минимальной допустимо длины пароля пользователя.
Защита от разрушающих программных воздействий (РПВ). Перечислите общие и специализированные методы борьбы с РПВ.
Защита от РПВ: -Межсетевое экранирование; -Анализ защищенности (сканирование уязвимостей); -Внесение неопределенности в работу объектов и средств защиты; -Создание ложных объектов атаки; -Стегоанализ; -Сигнатурный анализ; -Эвристический анализ; -Эмуляция процессора; -Мониторинг потенциально опасных действий; - Контроль хода выполнения программ; - Аудит; -Обнаружение несанкционированных изменений с использованием контрольных кодов целостности; -Обнаружение вторжений (IDS).
Общие методы защиты программного обеспечения от РПВ:
1. Контроль целостности системных областей, запускаемых прикладных программ и используемых данных. Контроль целостности информации может быть обойден злоумышленником путем:
- навязывания конечного результата проверок;
- влияния на процесс считывания информации;
- изменения хеш-значений, хранящихся в общедоступных файлах.
2. Контроль цепочек прерываний и фильтрация вызовов критических для безопасности системы прерываний.
Данные методы действенны лишь тогда, когда контрольные элементы не подвержены воздействию закладок и разрушающее воздействие входит в контролируемый класс.
3. Создание безопасной и изолированной операционной среды.
4. Предотвращение результирующего воздействия вируса или закладки.
Например, запись на диск должна вестись только в зашифрованном виде на уровне контроллера, либо должен быть реализован запрет записи на диск на аппаратном уровне.
Специализированные методы борьбы с РПВ:
- Поиск фрагментов кода по характерным последовательностям (сигнатурам), свойственным РПВ, либо наоборот, разрешение на выполнение или внедрение в цепочку прерываний только программ с известными сигнатурами.
- Поиск критических участков кода методом семантического анализа фрагментов кода на выполняемые ими функции, часто сопряженный с дизассемблированием или эмуляцией выполнения.
В качестве одной из возможных эвристических методик выявления РПВ в BIOS, ассоциированных с существенно важными прерываниями, следует рассмотреть эвристическую методику выявления РПВ в BIOS.