Аппаратно-программные средства защиты информации

 

ФЕДЕРАЛЬНАЯ СЛУЖБА ИСПОЛНЕНИЯ НАКАЗАНИЙ 

ФЕДЕРАЛЬНОЕ КАЗЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ 

ВЫСШЕГО ОБРАЗОВАНИЯ 

ВОРОНЕЖСКИЙ ИНСТИТУТ ФСИН РОССИИ 
 
 

КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ  
 
 
 
 
 
 
АППАРАТНО-ПРОГРАММНЫЕ СРЕДСТВА  
ЗАЩИТЫ ИНФОРМАЦИИ 

 
 
 
 
 
 
Практикум 
 
 
 
 
 
 
 
 
 
 
Воронеж 
2017

УДК 004.056.53 
ББК 32.988-5  

Утверждено методическим советом Воронежского института ФСИН

России 13 апреля 2016 г., протокол № 4. 

Рецензенты:

доктор технических наук В.К. Джоган; 

доктор технических наук, профессор А.И. Шашкин

Аппаратно-программные средства защиты информации: практи
кум 
/ 
[сост. 
А.В. 
Душкин, 
А.С. 
Дубровин, 
В.В. 
Здольник, 

В.И. Новосельцев, 
А.С. Кольцов, 
А.С. Кравченко, 
С.Л. Сахаров, 

В.И. Сумин] ; ФКОУ ВО Воронежский институт ФСИН России. – Воронеж :
2017. – 1
с.

ISBN 978-5-4446-1043-5

Практикум направлен на отработку основных подходов к применению

аппаратно-программных средств защиты информации. Приведены подходы
аппаратно-программной защиты информации в аспектах организации идентификации/аутентификации пользователей информационных систем, и применения средств и методов защиты информационных систем от несанкционированного доступа к ресурсам, подходы к защите данных криптографическими методами с использованием специализированных аппаратных средств. 

Работы, выполнение которых предусмотрено практикумом основаны

на аппаратно-программных комплексах защиты ресурсов информационной
системы от несанкционированного доступа «Аккорд™» и «ШИПКА™». 

Практикум предназначен для обучающихся по специальности 10.05.02 – 

Информационная безопасность телекоммуникационных систем, а также для
обучающихся других специальностей и направлений подготовки при изучении
дисциплин, связанных с обеспечением информационной безопасности. 

УДК 004.056.53 
ББК 32.988-5  

Издано в авторской редакции

© Составление. Душкин А. В., 
Дубровин А. С., Здольник В. В., 
Новосельцев В. И., Кольцов А. С., 
Кравченко А. С., Сахаров С. Л., 
Сумин В. И., 2017 
© ФКОУ ВО Воронежский
институт ФСИН России, 2017 

Издательско-полиграфический центр «Научная книга», 

ISBN 978-5-4446-1043-5

© Издательско-полиграфический
центр «Научная книга», 2017

98

ОГЛАВЛЕНИЕ  
 
Введение...............................................................................................................4 
Подготовительный этап настройки системы  защиты информации..............7 
1. Идентификация пользователей компьютерных  систем  
как субъектов доступа к данным .....................................................................10 
1.1. Установка, настройка аппаратной части комплекса  
СЗИ НСД АККОРД-Win64.................................................................10 
1.2. Инсталляция и настройка программной части  
комплекса СЗИ НСД АККОРД-Win64..............................................21 
2. Средства и методы ограничения доступа  к ресурсам  
вычислительной системы .................................................................................47 
2.1. Дискреционный механизм разграничения доступа  
к ресурсам  вычислительной системы на базе СЗИ НСД  
Аккорд-Win64....................................................................................477 
2.2. Мандатный механизм разграничения доступа  
к ресурсам  вычислительной системы на базе СЗИ НСД  
Аккорд-Win64....................................................................................677 
2.3. Мандатный механизм разграничения доступа  
с контролем процессов и подсистемы контроля целостности  
СЗИ НСД Аккорд-Win64..................................................................877 
2.4. Изолированная программная среда на основе  
СЗИ НСД  Аккорд-Win64.................................................................113 
3. Аппаратно-программные средства  криптографической  
защиты информации. Комплекс  защиты сведений  
конфиденциального характера  ПСКЗИ ШИПКА...................................12828 
4. Управление криптографическими ключами.  Средство создания  
сертификатов электронной  подписи и шифрования ПСКЗИ ШИПКА..1622 
Вопросы для самоконтроля..........................................................................1800 
Заключение ....................................................................................................1900 
Список использованных источников ..........................................................1911 
Используемые сокращения ..........................................................................1933 
Основные используемые понятия ...............................................................1944 
 

ВВЕДЕНИЕ 

Степень информатизации современного общества позволяет говорить о том, что в вопросах безопасности возрастает актуальность мероприятий по устранению угроз, связанных с нарушением конфиденциальности, целостности и доступности информационных ресурсов. 
Аппаратное и программное обеспечение современных информационных систем представляет собой сложную многоуровневую систему 
взаимодействующих компонентов, которые в разной степени интегрированы в нее. Модульность построения систем порождает множество уязвимостей, связанных как с недоработками, так и с необходимостью организации 
интерфейсов взаимодействия компонентов.  
В современных информационных системах реализованы достаточно 
надежные функции обеспечения безопасности, выполняющие контроль 
доступа к информационным ресурсам, обеспечивающие защиту от несанкционированного доступа. Как правило, такие функции реализованы в 
очень общем виде, не допускающем гибкой настройки. Операционные 
системы массового использования имеют механизмы защиты, функционирующие под управлением ядра системы. Такая ситуация дает возможность 
реализации угроз информационной безопасности по отношению к информационным ресурсам до загрузки ядра операционной системы. 
И если функции контроля доступа принципиально существуют и 
функционируют, то контроля целостности информационных ресурсов 
пользователя в распространенных операционных системах нет как такового, система лишь контролирует наличие и корректную работу собственных 
модулей, что, однако, не препятствует успешной их модификации вредоносным программным обеспечением. 
Также отсутствует контроль за аппаратной конфигурацией системы 
обработки информации. 
Преодоление указанных недостатков возможно путем применения 
комплексной аппаратно-программной системы защиты информационных 
ресурсов вычислительной системы. 
В общем случае, такие комплексы нужны для обеспечения: 
– возможности создания правил разграничения доступа к информационным ресурсам; 

– идентификации и аутентификации пользователей информационной 
системы с применением аппаратных ключей безопасности; 
– аппаратного контроля целостности информационных ресурсов до 
загрузки операционной системы; 
– контроля доступа к ресурсам информационной системы; 
– динамического контроля целостности информационных ресурсов 
самой системы защиты, операционной системы, наборов прикладных программ пользователя; 
– журналирования всех действий пользователя. 
Современные комплексы аппаратно-программной защиты информации в своём составе имеют:  
− аппаратный модуль доверенной загрузки (АМДЗ), обеспечивающий безопасность компонентов информационной системы (аппаратных и 
программных) от несанкционированного доступа до загрузки операционной системы и доверенную загрузку. Работа аппаратной части комплекса 
начинается непосредственно после проведения диагностики системы средствами базовой системы ввода/вывода, что гарантировано не дает возможность загрузить операционную систему с модифицированным кодом или в 
случае модификации контролируемых данных пользователя; 
− специальное программное обеспечение, обеспечивающее расширенные функции защиты информации при запущенной операционной системе. 
Настоящий практикум основан на решении учебных задач которые 
позволяют обучающимся освоить основные функций защиты информационных ресурсов вычислительной системы, средствами программноаппаратного комплекса Аккорд-Win64 и персонального средства криптографической защиты информации ШИПКА. 
Целями настоящего практикума являются:  
1. Ознакомление обучающихся с общими подходами к защите информации от несанкционированного доступа. 
2. Помощь в формировании практических навыков построения системы защиты информации на основе комплекса Аккорд-Win64 и персонального средства криптографической защиты информации ШИПКА. 
Практикум ориентирован на формирование практических навыков 
построения систем защиты информации. Максимальная детализация дей

ствий и большое количество иллюстраций позволяют наглядно представить процесс решения практических задач даже в ситуации отсутствия непосредственного доступа к вычислительной системе и аппаратнопрограммным средствам защиты информации. Структура практикума построена таким образом, что перед решением каждой практической задачи 
необходимо выполнить последовательность действий, приведенную в разделе «Подготовительный этап настройки системы защиты информации», 
который содержит все необходимые сведения для перевода системы защиты информации в рабочее состояние. 
Поэтапное усложнение учебных задач, представленных в практикуме, позволяет обучающимся научиться проводить полный комплекс мероприятий по защите информации от несанкционированного доступа. Такой 
подход формирует целостное представление о защите информационных 
систем с применением аппаратно-программных средств. 
Практикум предназначен для обучающихся по специальности 
10.05.02 Информационная безопасность телекоммуникационных систем. 
Также практикум может использоваться обучающимися по другим специальностям и направлениям подготовки при изучении дисциплин, связанных с обеспечением информационной безопасности. 
 

ПОДГОТОВИТЕЛЬНЫЙ ЭТАП НАСТРОЙКИ СИСТЕМЫ  
ЗАЩИТЫ ИНФОРМАЦИИ 

Далее приведен ход выполнения подготовительных действий, присущих решению учебных задач каждой последующей темы, здесь не содержится специфических операций настройки системы защиты информации, а лишь те, которые необходимы для ввода информационной системы 
с установленным ПАК Аккорд-Win64 в работу. 
На начальном этапе настройки нужно: 
1. Установить на защищаемый компьютер аппаратную часть комплекса СЗИ НСД Аккорд-АДМЗ. 
2. Зарегистрировать в энергонезависимой памяти контроллера администратора безопасности информации, назначить ему ТМ-идентификатор 
и пароль (пустой). 
3. Зарегистрировать в энергонезависимой памяти контроллера пользователя User (группа «Обычные») и назначить ему собственный ТМидентификатор (отличный от ТМ-идентификатора администратора БИ). 
Установить для пользователя User пустой пароль с нулевой длиной (аналогично регистрации администратора БИ). 
4. Снять с контроля системную BIOS и дополнительную BIOS. 
5. Установить в составе ОС драйвер для устройства Аккорд-АДМЗ. 
6. Установить на жесткий диск ПЭВМ СПО разграничения доступа 
Аккорд-Win64 с дистрибутивного носителя. 
7. Установить для администратора безопасности информации и 
пользователя User параметры идентификации-аутентификации, передаваемые в ОС (первые пять флагов в разделе «Результаты И/А»): 

Рис. 1. Окно «Результаты Идентификации/Аутентификации» 
Выставление первых пяти флагов означает, что при загрузке ОС контроллер комплекса Аккорд-АДМЗ будет передавать системе идентификационные-аутентификационные параметры пользователей. Ввода имени 
пользователя и пароля с клавиатуры не потребуется. 
8. Сохранить сделанные изменения и произвести синхронизацию 
файла ПРД подсистемы разграничения доступа комплекса Аккорд-Win64 
со списком пользователей, который находится в контроллере комплекса 
Аккорд-АДМЗ. Для этого достаточно выйти из программы «Редактор прав 
доступа» и сохранить изменения в базе пользователей: 

 
Рис. 0.2 Диалоговое окно подтверждения сохранения базы пользователей. 
9. Запустить программу «Настройка комплекса Аккорд» из меню 
«Пуск»: 

Рис. 0.3. Запуск программы «Настройка комплекса Аккорд» 
10. Установить автоматическую загрузку драйвера ACRUN.SYS при 
старте ОС (без выдачи соответствующего запроса). Для этого снять галочку с пункта «Спрашивать разрешение»: 

 
Рис. 0.4 Окно программы «Настройка комплекса Аккорд»  
11. Перевести систему в основной режим функционирования, для 
этого включить флаг «Перезагрузка при ошибках». 

1. ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ КОМПЬЮТЕРНЫХ  
СИСТЕМ КАК СУБЪЕКТОВ ДОСТУПА К ДАННЫМ 
 
1.1. Установка, настройка аппаратной части комплекса  
СЗИ НСД АККОРД-Win64 
Аппаратное устройство из комплекта СЗИ НСД Аккорд-Win64 представляет собой модуль доверенной загрузки (АМДЗ) для IBM совместимых ПК (серверов и рабочих станций локальной сети), обеспечивающий 
защиту устройств и информационных ресурсов от НСД, идентификацию, 
аутентификацию пользователей, регистрацию их действий, контроль целостности ресурсов информационной системы в многопользовательском режиме их эксплуатации. 
Комплекс начинает работу сразу после выполнения кода системного 
BIOS компьютера - до загрузки операционной системы, и обеспечивает 
доверенную загрузку ОС, использующих одну из поддерживаемых файловых систем. 
Все модификации комплекса поддерживают файловые системы FAT, 
NTFS, HPFS, Ext2, 3, 4, ReiserFS, MINIX, QNX. 
Комплекс представляет собой совокупность технических и программных средств, предназначенных для выполнения основных функций 
защиты от НСД ПЭВМ  на основе: 
− 
применения персональных идентификаторов пользователей; 
− 
парольного механизма; 
− 
блокировки загрузки операционной системы со съемных носителей информации; 
− 
контроля целостности технических средств и программных 
средств (файлов общего, прикладного ПО и данных) ПЭВМ ; 
− 
обеспечения режима доверенной загрузки установленных на 
ПЭВМ  операционных систем, использующих любую из поддерживаемых 
комплексом файловых систем. 
Комплекс СЗИ НСД для ПЭВМ Аккорд-АМДЗ обеспечивает: 
− 
защиту ресурсов ПЭВМ от лиц, не допущенных к работе на 
ней, на основе идентификации пользователей ПЭВМ по персональным 
идентификаторам до загрузки операционной системы (ОС); 

− 
аутентификацию пользователей ПЭВМ по паролю длиной до 
12 символов, вводимому с клавиатуры с защитой от раскрытия пароля - до 
загрузки операционной системы (ОС); 
− 
блокировку 
загрузки 
с 
отчуждаемых 
носителей 
(FDD, 
CD/DVD-ROM, ZIP, USB-накопителей и др.); 
− 
контроль целостности технических, программных средств, условно – постоянной информации ПЭВМ до загрузки ОС, с реализацией 
пошагового алгоритма контроля; 
− 
доверенную загрузку системного и прикладного ПО при одновременной установке на дисках или в логических разделах диска ПЭВМ 
нескольких ОС; 
− 
регистрацию на ПЭВМ до 126 пользователей (для моделей на 
базе специализированных контроллеров Аккорд-5.5(e) и до 1022 пользователей на одной ПЭВМ (для моделей на базе специализированных контроллеров семейства «Аккорд-LE/GX»); 
− 
регистрацию контролируемых событий в системном журнале, 
− 
размещенном в энергонезависимой памяти контроллера; 
− 
возможность физической коммутации управляющих сигналов 
− 
периферийных устройств, в зависимости от уровня полномочий пользователя, позволяющей управлять вводом/выводом информации 
на отчуждаемые физические носители и устройства обработки данных (для 
моделей на базе специализированных контроллеров Аккорд- 5.5(e)); 
− 
администрирование встроенного ПО комплекса (регистрацию 
пользователей и персональных идентификаторов, назначение файлов для 
контроля целостности, контроль аппаратной части ПЭВМ, просмотр системного журнала); 
− 
регистрацию, сбор, хранение и выдачу данных о событиях, 
− 
происходящих в ПЭВМ в части системы защиты от несанкционированного доступа [1-7, 9]. 
Идентификация и аутентификация пользователей, контроль целостности технических и программных средств ПЭВМ выполняются контроллером комплекса до загрузки операционной системы, установленной в 
ПЭВМ. 
Комплекс обеспечивает выполнение основных функций защиты от 
НСД как в составе локальной ПЭВМ, так и на рабочих станциях ЛВС в со