Způsob ochrany dat, uložených na paměťových médiích výpočetních systémů, a zařízení k provádění tohoto způsobu

Oblast techniky

Vynález se týká způsobu ochrany dat, uložených na paměťových médiích výpočetních systémů, připojených k rozhraní SCSI, před neoprávněným přístupem, a zařízení k provádění tohoto způsobu.

Dosavadní stav techniky

Ochrana dat, uchovávaných ve výpočetním systému před neoprávněnou změnou nebo vymazáním, patří k důležitým opatřením při navrhování a provádění strategie zabezpečení informačních systémů. Problém ochrany je v současné době řešen jednak prostředky operačního systému, jednak použitím paměťových médií typu WORM (Write Once Read Many, například vypalovací CD-ROM) a jednak použitím médií s možností mechanické blokace zápisu (například disketa, páska, MOD a podobně). Běžné operační systémy chrání data přidělováním oprávnění pro zápis, čtení a spouštění pro každý soubor Tato oprávnění jsou přidělována pouze vlastníkovi, skupině vlastníků nebo ostatním uživatelům výpočetního systému, což při tisících až desetitisících souborů, které tyto systémy obsahují, značně ztěžuje účinné zabezpečení udělování těchto oprávnění. Navíc tato oprávnění platí jen pro běžného uživatele počítačového systému. Vždy existuje skupina osob, které individuálně nebo jako skupina mají možnost neomezeného přístupu ke všem souborům, ať již k tomu mají nebo nemají v daném okamžiku pověření své organizace nebo vlastníka souboru. Touto skupinou s neomezenými právy ke všem souborům jsou systémoví administrátoři. Avšak neomezený přístup má také každý vlastník k vlastním souborům, což například v případě souboru databáze může mít dalekosáhlé důsledky. Použití paměťových médií typu WORM výrazně omezuje možnosti systémového administrátora v případě modifikace nebo smazání jednotlivých souborů. Jestliže pomineme nevýhody, spočívající v nízké kapacitě a přenosové rychlosti, je zřejmé, že toto řešení nezaručuje pravost dat a je nevhodné pro uchovávání dat se střední dobou trvanlivosti, protože při každé změně je nutno vytvořit a vyměnit celé médium. Použití médií s možností mechanické blokace je komplikované jejich nízkou kapacitou (například diskety), rychlostí přístupu k datům (například páska typu DAT), případně rychlostí zápisu (například MOD). Žádné z těchto médií také nezaručuje pravost dat. Při řešení uvedeného problému je proto zapotřebí vycházet z následujících předpokladů. Chráněná data musí být spolehlivě ochráněna proti změně a vymazání. Právo zapisovat (mazat) chráněná data může mít jen malá a přesně definovaná skupina uživatelů. Je třeba zabezpečit spolehlivé a důvěryhodné určení identity uživatelů a zajistit účinný způsob jednoznačné kontroly oprávněných uživatelů.

V patentové literatuře je nesnadné zjistit nejbližší technické řešení, týkající se dané problematiky. Tak například v českém užitném vzoru č. 831 je popisováno zařízení pro ochranu počítačů před infiltrací nežádoucích programů a před nežádoucím poškozením dat. Je zde popisováno technické řešení, ve kterém je využívána vnitřní sběrnice osobního počítače ke komunikaci mezi elektrickým obvodem a softwarovou částí. Popisovaný elektrický obvod je tvořen paměťovým obvodem, připojeným přes komparátor k budiči. Ochrana před infiltrací nežádoucích programů zde spočívá v tom, že programem je vysílána sekvence bitů po vnitřní sběrnici počítače, tyto bity jsou uloženy v paměťovém obvodu, pomocí komparátoru dojde k vyhodnocení shodnosti zaslaných bitů v elektrickém obvodu a podle výsledku se provádí nebo neprovádí zápis na pevný disk. Popisované uspořádání je omezeno svým rozsahem pouze na osobní počítače, vybavené příslušnou vnitřní sběrnicí a je tedy úzce závislé na konkrétním typu počítače.

Podstata vynálezu

Uvedené cíle vynálezu jsou dosaženy způsobem ochrany dat, uložených na paměťových médiích výpočetních systémů, připojených k rozhraní SCSI, před neoprávněným přístupem, kde komunikace mezi výpočetním systémem a paměťovým médiem se sleduje na rozhraní SCSI. Podstata vynálezu spočívá v tom, že v závislosti na autorizačním požadavku, který je identifikací oprávněného uživatele, se přístup výpočetního systému k paměťovému médiu, ve formě blokování jakékoli operace s paměťovým médiem, nebo povolení přístupu pouze ke čtení dat z paměťového média, nebo povolení čtení i zápisu dat na paměťové médium, případně pouze zápisu dat na paměťové médium, povolí nebo zamítne.

Přístupem výpočetního systému k paměťovému médiu je blokování jakékoli operace s paměťovým médiem, nebo povolení přístupu pouze ke čtení dat z paměťového média, nebo povolení čtení i zápisu dat na paměťové médium, případně pouze zápisu dat na paměťové médium.

Zařízení k provádění uvedeného způsobu ochrany dat obsahuje paměťové médium, připojené sběrnicí SCSI k hostitelskému výpočetnímu systému. Mezi tímto paměťovým médiem a hostitelským výpočetním systémem je do sběrnice SCSI zařazena přídavná řídicí jednotka s autorizační jednotkou. Výhodou je jednoznačná kontrola oprávněných uživatelů, přidělení práv k nastavení řídicí jednotky přesně určenému jednotlivci nebo skupině oprávněných uživatelů. Na rozdíl od stávající ochrany dat se zde jedná o zabezpečení ochrany dat technickými prostředky, které nelze žádnými softwarovými prostředky obejít. Identifikaci oprávněného uživatele lze prakticky provádět na základě velmi přesného předchozího určení, například kombinací několika předem stanovených požadavků (uživatel sám může volit stupeň zabezpečení ochrany dat). Uživatelé přitom mohou být rozděleni do různých skupin s oprávněním pouze ke čtení dat nebo i zápisu dat, případně mohou blokovat veškeré operace.

Paměťovým médiem může být pevný disk, případně diskový subsystém, optický disk, pásková jednotka, přepisovací kompaktní disk nebo elektronická paměť. Přídavná řídicí jednotka může být tvořena elektronickou řídicí jednotkou, obsahující mikroprocesory, případně řadiče SCSI s ovládacím software. Autorizační jednotka může být tvořena zámkem s mechanickým klíčem s kontakty, případně konektorem s vkládanou pamětí typu EEPROM, EPROM nebo ROM, konektorem pro vložení touch-memoiy, snímačem čipových karet nebo magnetické karty, případně snímačem identifikace uživatele. Zařízení k provádění způsobu ochrany s paměťovým médiem, připojeným sběrnicí SCSI k hostitelskému výpočetnímu systému, může být v alternativním provedení vytvořeno tak, že k paměťovému médiu je přímo připojena přídavná řídicí jednotka, která je současně spojena se sběrnicí SCSI. Na základě výstupu z autorizační jednotky ovládá elektronická jednotka v přídavné řídicí jednotce přímo paměťové médium přes specifické rozhraní tohoto paměťového média (disk může být od výrobce vybaven dodatečným elektronickým ovládáním, například blokací zápisu nebo přístupu) a zároveň sleduje a ovládá některé řídicí signály sběrnice SCSI.

Datová část sběrnice SCSI v jiném provedení vynálezu může být napojena přímo na paměťové médium, zatímco povelová část sběrnice SCSI je přerušeno vloženou přídavnou řídicí jednotkou, propojenou s paměťovým médiem. Tím, že není přerušena datová část sběrnice SCSI mezi hostitelským výpočetním systémem a paměťovým médiem, nedochází ke zpomalení datového toku do paměťového média a je ovládána pouze povelová část sběrnice SCSI.

Přehled obrázků na výkresu

Vynález bude blíže vysvětlen pomocí výkresu ve spojení s následným popisem konkrétních příkladů provedení. Na obrázku 1 je vyobrazeno blokové schéma uspořádání zařízení k provádění způsobu ochrany dat, kde mezi paměťovým médiem a hostitelským výpočetním systémem je do

-2CZ 295455 B6 sběrnice SCSI zařazena přídavná řídicí jednotka, ke které je připojena, resp. je její součástí autorizační jednotka. Na obrázku 2 je k paměťovému médiu přímo připojena přídavná řídicí jednotka, která je současně spojena se sběrnicí SCSI. Na obrázku 3 je další modifikace zařízení k provádění způsobu ochrany dat podle tohoto vynálezu, kde datová část sběrnice SCSI je napojena přímo na paměťové médium, zatímco povelová část sběrnice SCSI je přerušena vloženou přídavnou řídicí jednotkou, propojenou s paměťovým médiem.

Příklady provedení vynálezu

Na obrázku 1 je vyobrazeno blokové uspořádání jednoho z možných provedení zařízení k provádění způsobu ochrany dat, uložených na paměťových médiích výpočetních systémů, připojených k rozhraní SCSI, před neoprávněným přístupem. Zařízení obsahuje paměťové médium DS, připojené sběrnicí SCSI k hostitelskému výpočetnímu systému US. Mezi paměťovým médiem DS a hostitelským výpočetním systémem US je do sběrnice SCSI zařazena přídavná řídicí jednotka RJ, obsahující elektronickou jednotku EJ, ke které je připojena autorizační jednotka OV. Přídavná řídicí jednotka RJ monitoruje průběh povelů z hostitelského výpočetního systému US po sběrnici SCSI a podle stavu autorizační jednotky OV tyto povely buďto propustí do paměťového média DS nebo jejich průchod blokuje. Na výstupu autorizační jednotky OV je přítomen signál, kterým se definuje úroveň přístupu hostitelského výpočetního systému US přes řídicí jednotku RJ k paměťovému médiu DS. Tak například přiložením elektronického klíče (touch memory) na kontakt autorizační jednotky OV je podle váhy tohoto klíče vydán z autorizační jednotky OV signál k provedení příslušného nastavení elektronické jednotky EJ v řídicí jednotce RJ, které ovlivňuje průchodnost komunikace přístupu hostitelského výpočetního systému US řídicí jednotkou RJ do paměťového média DS. Namísto elektronického klíče je možno použít i jiné identifikační zařízení podle požadavků uživatele, například zámek s mechanickým klíčem a kontakty, snímač otisků prstů, snímač oční rohovky, klávesnici a podobně. Elektronická jednotka EJ interpretuje (například mikroprocesor v elektronické jednotce EJ) povely na sběrnici SCSI. Reaguje na výstup z autorizační jednotky OV tak, že některé povely na sběrnici SCSI propustí do paměťového média DS nebo je modifikuje (například sleduje, zda se komunikace na sběrnici SCSI týká konkrétního chráněného paměťového média DS nebo jiného paměťového média), případně zablokuje směrem do chráněného paměťového média DS. V případě modifikace zařízení, které je vyobrazeno na obrázku 2, ovládá elektronická jednotka EJ v přídavné řídicí jednotce RJ přímo paměťové médium DS (například disk je od výrobce vybaven dodatečným elektronickým ovládáním blokování zápisu nebo přístupu) a zároveň sleduje a ovládá některé řídicí signály sběrnice SCSI. Na základě výstupu z autorizační jednotky OV přídavná řídicí jednotka RJ ovládá paměťové médium DS prostřednictvím specifického rozhraní a některých řídicích signálů ze sběrnice SCSI.

Na obrázku 3 je vyobrazeno další možné alternativní provedení zařízení k provádění způsobu ochrany dat podle tohoto vynálezu. Datová část D sběrnice SCSI je zde napojena přímo na paměťové médium DS, zatímco povelová část D+C sběrnice SCSI je přerušena vloženou přídavnou řídicí jednotkou RJ, propojenou s paměťovým médiem DS. Tím, že není přerušena datová část sběrnice SCSI mezí hostitelským výpočetním systémem US a paměťovým médiem DS, nedochází ke zpomalení datového toku do paměťového média DS a je ovládána pouze povelová část sběrnice SCSI. Datová část je připojena z důvodu rychlosti přenosu dat z hostitelského výpočetního systému US do paměťového média DS přímo k paměťovému médiu DS a zároveň je připojena k řídicí jednotce RJ k zajištění čtení povelů sběrnice SCSI. Konkrétní užití některé ze tří popisovaných základních variant zařízení záleží na vlastnostech připojovaného paměťového média DS, případně na použitém typu sběrnice SCSI. Tak například přídavná řídicí jednotka RJ včetně paměťového média DS mohou být umístěny uvnitř hostitelského výpočetního systému US (interní provedení), mohou být rovněž umístěny vně tohoto hostitelského výpočetního systému US. Výhodou je, že je lze připojit k libovolnému hostitelskému výpočetnímu systému US se sběrnicí SCSI. Přídavná řídicí jednotka RJ může obsahovat šifrovací jednotku pro kódování ukládaných

-3 CZ 295455 B6 dat na paměťové médium DS. Hostitelským výpočetním systémem US může být jakýkoliv počítač s rozhraním SCSI.

Technické řešení podle tohoto vynálezu, tak jak bylo popsáno, zajišťuje ochranu diskových subsystémů proti neoprávněnému zápisu. V konkrétním příkladu provedení umožňuje pomocí kontaktních pamětí přepínat režim Read-Write (povolený zápis) a režim Read-Only (zakázaný zápis) na diskových subsystémech, případně i režim zakázaného čtení i zápisu. Může se v takovém případě skládat z upraveného diskového subsystému, programátoru elektronických klíčů, programového vybavení a sady elektronických klíčů. Pro zabezpečení účinné kontroly mohou být operace se změnou údajů povoleny pouze za přítomnosti nejméně dvou osob.

Řešení může být zcela integrováno do diskového subsystému, ve kterém je umístěna blokovací jednotka (přídavná řídicí jednotka), která kontroluje komunikaci na sběrnici SCSI mezi řadičem a diskovou jednotkou. Blokovací jednotka zároveň komunikuje se snímači identifikačních čipů kontaktních pamětí (jsou součástí autorizační jednotky O V).

Na krytu diskového subsystému jsou umístěny tři snímače - otvory, do kterých se zasouvají konektory kolíkového typu jack. V těchto konektorech jsou umístěny kontaktní paměti. Snímače - otvory jsou navíc umístěny v uzamykatelné skříni, na které je indikátor stavu režimu diskového subsystému resp. přítomnosti kontaktních pamětí. Reaktivaci z režimu Read-Only na režim Read-Write lze realizovat jen současným vložením tří, dvou nebo jednoho konektoru ze skupiny čtyř, pěti nebo šesti, které budou po celou dobu režimu Read-Write zasunuty do otvorů a uzamknuty ve skříni. Stav režimu výměnného diskového subsystému je indikován na skříni umístěnou LED diodou např. červené barvy v případě režimu Read-Write a LED diodou např. zelené barvy v případě režimu Read-Only. Diskový subsystém je v režimu Read-Only zablokován proti zápisu v celém rozsahu své kapacity. Při pokusu o zápis na diskový subsystém v režimu Read-Only je na úrovni diskového subsystému a řadiče SCSI odmítnut povel zápisu a zároveň je zasláno SCSI chybové hlášení, které vyvolá odpovídající systémovou reakci na úrovni operačního systému, tak i na úrovni aplikační (např. databázový systém). Operační systém detekuje diskový subsystém přepnutý v režimu Read-Only při připojení disku jako zařízení Write-Protected (funkce operačního systému), a tak už na úrovni operačního systému je znemožněný zápis na diskový subsystém. Při případném proniknutí přes ochranu operačního systému fyzicky znemožňuje blokovací jednotka v režimu Read-Only zápis na diskovou jednotku. Vyřazení blokovací jednotky z činnosti je možné jen vyjmutím diskového modulu z počítače a jeho následným rozebráním. Ochrana proti neoprávněným změnám na disku je tedy závislá na nemožnosti manipulace uvnitř modulu.

Jako bezpečnostní identifikační prvek (autorizační jednotka O V) je použita kontaktní paměť, která je umístěna v tělese miniaturního konektoru kolíkového typu. Připojení z hlediska elektrických signálů včetně napájení je realizováno prostřednictvím dvou vodičů a vlastní komunikace je proti chybám zajištěna cyklickým kódem. Každý čip má od výrobce přiřazen unikátní identifikační kód, takže je zaručena nemožnost jakékoli duplikace. Kontaktní paměti je možné k sobě řadit paralelně, lze tak dosáhnout kombinace výhod jednotlivých typů při současném zachování, ale i zvýšení stupně zabezpečení (díky zvláštnímu algoritmu identifikace paralelně připojených pamětí).

Přídavná řídicí jednotka RJ ovládá disk (paměťové médium DS), který je umístěn v diskovém modulu tak, že umožňuje jeho přepínání mezi stavy Read-Only a Read-Write, případně umožňuje uvedení disku do stavu, ve kterém je nepřístupný. Na přídavné řídicí jednotce RJ je umístěno pouzdro, do kterého se vkládá elektronický klíč jednotky (autorizační jednotka OV). Případná výměna tohoto klíče vyžaduje rozebrání diskového subsystému. Řídicí jednotka bez vloženého klíče blokuje disk a neumožňuje s ním pracovat. Řídicí jednotka má v paměti uloženou informaci o unikátní identifikaci každého klíče, který může být do ní vložen. Změna této informace vyžaduje přeprogramování řídicí jednotky. Jako elektronické klíče jsou používány paměti typu Touch Memory, klíč je zapájen a zalit v konektoru typu cinch. Základem řídicí jednotky je jednočipový

-4CZ 295455 B6 mikroprocesor, který obsahuje a provádí řídicí program jednotky. Jeho paměť (např. typu PEROM) obsahuje seznam povolených klíčů a je uzamknuta tak, že ji nelze žádnými technickými prostředky přečíst ani měnit. Paměť lze pouze smazat a znovu naprogramovat, včetně programu. Klíče obsahují unikátní číslo, každý má svou váhu a identifikační řetězec, informace o váze a řetězci je programovatelná uživatelsky. Přídavná řídicí jednotka RJ v reálném čase nepřetržitě vyhodnocuje přítomnost vložených vnějších klíčů. Proces vyhodnocování probíhá následovně (zjednodušeně): Jednotka kontroluje, zdali identifikační řetězec klíčů je shodný a souhlasí s řetězcem v řídicí jednotce. Kontroluje, zdali unikátní čísla jednotlivých klíčů jsou v seznamu klíčů. Vypočítává váhu jednotlivých klíčů.

Průmyslová využitelnost

Způsob ochrany dat, uložených na paměťových médiích výpočetních systémů připojených k rozhraní SCSI, před neoprávněným přístupem a zařízení k provádění tohoto způsobu podle vynálezu jsou využitelné zvláště pro ochranu prvotních zdrojů údajů (například pro databázové soubory), pro zabezpečení konzistence konfiguračních parametrů (ochrana konfigurací programového vybavení), pro ochranu souborů před viry a trojskými koni a ochranu všech důležitých dat. Způsob ochrany podle vynálezu je vhodný do prostředí, které klade zvýšené nároky na ochranu dat před změnou nebo smazáním, ať již úmyslným (napadení systému zvenčí nebo zevnitř, to je hackery nebo administrátorem) nebo náhodným. Tímto prostředím může být bankovní sektor, peněžnictví, státní správa, armáda a podobně.