поиск по сайту

Если у вас возникли вопросы, или вам что-то не нравится, вы можете пожаловаться

Доверенная загрузка ОС на сервере

Сервер – критичный с точки зрения безопасности ресурс, и защищаться он, конечно, должен очень тщательно. Это значит, что должна обеспечиваться доверенная загрузка операционной системы и разграничение доступа пользователей к его ресурсам. 

«Доверенная загрузка» – это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и аппаратной идентификации / аутентификации пользователя.

Иными словами, это загрузка строго определенной, не измененной ОС и только в том случае, если подтверждено, что в компьютере не произошло никаких несанкционированных изменений (на аппаратном уровне и в критичной части приложений) и что включает его именно тот пользователь, который имеет право на нем работать именно в это время. 

Производится доверенная загрузка ОС с помощью аппаратного модуля доверенной загрузки – СЗИ НСД Аккорд-АМДЗ. 

Подробнее об этом читайте в подразделе «ПАК СЗИ НСД Аккорд» раздела «Продукты».

Очень важным фактором является то, что непосредственно процессором контроллера производятся не только те или иные процедуры, но и решения на основе результатов выполнения этих функций принимаются тоже процессором устройства, а не ПК. Такое устройство мы называем активным, в отличие от пассивных устройств – лишь проводящих какие-либо процедуры, но не сохраняющие и не обрабатывающие их результатов, а передающие их ПК, который впоследствии и принимает решения. В последнем случае решения принимаются вне доверенной среды, поскольку ПО, работающее на процессоре ПК может подвергаться несанкционированным изменениям. Соответственно, возможна как подмена результата переданного СЗИ и принятие решения на основе сфальсифицированного результата, так и подмена механизма принятия решения, и т. п.

Это можно наглядно проиллюстрировать на примере попытки обхода правил разграничения доступа. Мы имеем 2 устройства, имеющих критический по безопасности ресурс – память с базой пользователей. Одно устройство пассивное, то есть работа с этой памятью возможна из ОС при успешной идентификации в соответствующем ПО. Второе – активное, то есть работа с этой памятью возможна только через firmware микроконтроллера.

Предположим, что некто, не обладающий правами администратора, но обладающий правами пользователя (то есть ОС по его ТМ и паролю будет загружена), попытался получить полномочия администратора, изменив программное обеспечение работы с контроллером таким образом, чтобы ПК в любом случае получал «положительный результат» идентификации. Тогда в первом случае – после такой подмены пользователь получит желаемые полномочия (доступ к базам пользователей). А во втором – не получит, поскольку для того, чтобы внести изменения в базу пользователей, администратору необходимо, чтобы администратором его признал именно микроконтроллер. Обход системы разграничения доступа на уровне ПО в ОС ничего не даст, поскольку решение о признании пользователя администратором контроллер не принимал, а от «обманутого» ПК это решение не зависит. В первом же случае контроллер не может помешать злоумышленнику, потому что решение принимает не он, а «обманутый» ПК.  

Доступ к внутренним данным контроллера разрешается только пользователю с правами администратора. Все остальные, даже легальные пользователи системы, к работе с этими базами не допускаются (рис. 1).

Рис. 1. Процедура обращения к внутренним данным контроллера

 

Разграничение доступа пользователей к ресурсам сервера производится также с опорой на аппаратную базу – Аккорд-АМДЗ, читайте об этом в также в подразделе «ПАК СЗИ НСД Аккорд» раздела «Продукты».


ЦеныЦены
Прайс-лист
ЗаказатьЗаказать
Купить наши изделия
ФорумФорум
Форум на сайте ОКБ САПР
программирование и верстка сайта - shs