этапы допуска в компьютерную систему. Оглавление введение 2 Основные этапы допуска в компьютерную систему 4
 Скачать 279.13 Kb.
|
Реализация криптографического закрытия конфиденциальных данных в «Secret Net 5.1»Для обеспечения надежного контроля доступа к ресурсам компьютера необходимо такое построение ОС, чтобы доступ со стороны прикладных программ к этим ресурсам был возможен только через доступ к функциям операционной системы. При этом любой запрос со стороны прикладной программы на доступ к какому-либо ресурсу КС должен удовлетворяться системой защиты только при наличии у пользователя, от имени которого выполняется данная прикладная программа, соответствующих полномочий. К сожалению, не все ОС ограничивают возможность доступа к ресурсам КС только доступом через обращение к функциям операционной системы. Операционные системы Windows позволяют осуществить доступ к компьютерным ресурсам в обход предоставляемого ими программного интерфейса. При этом для прикладных программ возможны следующие пути обхода контролируемых функций этих операционных систем: использование прерываний базовой системы ввода-вывода (BIOS); непосредственное использование функций BIOS по их адресам во внутренней памяти компьютера; доступ к ресурсу на уровне контроллера внешнего устройства. Учитывая наличие путей обхода можно сделать вывод, что для обеспечения высокого уровня информационной безопасности подсистема разграничения в этих ОС должна иметь возможность криптографического закрытия конфиденциальных данных. В этом случае, даже при условии блокирования или обхода злоумышленником уровня контроля установленных полномочий, получить конфиденциальную информацию будет невозможно по причине того, что она зашифрована. Именно такая стратегия разграничения доступа реализована, например, в системе защиты «Secret Net 5.1». В данной системе управление шифрованием файлов и доступом к ним осуществляется на уровне каталога. Поэтому каталог, в котором размещаются зашифрованные файлы, называют «шифрованный каталог» или «шифрованный ресурс». Пользователь, создавший шифрованный ресурс, является его владельцем и может предоставлять доступ к ресурсу другим пользователям, а также делегировать им полномочия на управление шифрованным ресурсом. Пользователь ресурса может создавать новые зашифрованные файлы, удалять их, выполнять с ними любые операции чтения и записи. Управляющая структура шифрованного каталога сохраняется в отдельном скрытом файле !Res.key, который помещается в этот каталог. Это позволяет шифровать ресурсы на различных файловых системах (FAT, NTFS). Генерация ключей пользователей осуществляется в соответствии с требованиями ГОСТ Р34.10-2001. Для пользователя создается ключевая пара, состоящая из закрытого и открытого ключей. Открытый ключ пользователя хранится в локальной базе данных «Secret Net 5.1», закрытый ключ – в персональном идентификаторе пользователя. После смены ключей пользователя в системе хранятся две ключевые пары – текущая и предыдущая. Предыдущая ключевая пара необходима для перешифрования на новом ключе управляющей информации шифрованных ресурсов пользователя. Процесс перешифрования управляющей информации запускается автоматически после смены ключей. Для обеспечения своевременной замены ключей можно установить минимальное и максимальное время жизни ключевой пары. При смене ключей пользователя заново зашифровывается только управляющая информация шифрованных ресурсов. Сами данные (шифрованные файлы) не перешифровываются. При необходимости перешифрования файлов шифрованного ресурса следует создать новый шифрованный ресурс. |