WO2022225416A1 - Способ защиты компьютерной системы от несанкционированного доступа - Google Patents
Способ защиты компьютерной системы от несанкционированного доступа Download PDFInfo
- Publication number
- WO2022225416A1 WO2022225416A1 PCT/RU2021/000319 RU2021000319W WO2022225416A1 WO 2022225416 A1 WO2022225416 A1 WO 2022225416A1 RU 2021000319 W RU2021000319 W RU 2021000319W WO 2022225416 A1 WO2022225416 A1 WO 2022225416A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- computer system
- access
- information
- hardware
- parameters
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 230000003287 optical effect Effects 0.000 claims abstract description 4
- 239000007787 solid Substances 0.000 claims abstract description 3
- 238000007726 management method Methods 0.000 claims description 49
- 230000000903 blocking effect Effects 0.000 claims description 27
- 238000012545 processing Methods 0.000 claims description 24
- 239000011159 matrix material Substances 0.000 claims description 20
- 238000011068 loading method Methods 0.000 claims description 19
- 230000003993 interaction Effects 0.000 claims description 16
- 238000004458 analytical method Methods 0.000 claims description 15
- 238000012795 verification Methods 0.000 claims description 15
- 238000001914 filtration Methods 0.000 claims description 12
- 230000007246 mechanism Effects 0.000 claims description 12
- 238000012550 audit Methods 0.000 claims description 10
- 238000012546 transfer Methods 0.000 claims description 10
- 238000012544 monitoring process Methods 0.000 claims description 9
- 230000008030 elimination Effects 0.000 claims description 8
- 238000003379 elimination reaction Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 7
- 230000008859 change Effects 0.000 claims description 7
- 230000004069 differentiation Effects 0.000 claims description 6
- 238000002955 isolation Methods 0.000 claims description 6
- 238000004140 cleaning Methods 0.000 claims description 5
- 230000000737 periodic effect Effects 0.000 claims description 5
- 230000002093 peripheral effect Effects 0.000 claims description 5
- 238000012360 testing method Methods 0.000 claims description 5
- 238000012986 modification Methods 0.000 claims description 4
- 230000004048 modification Effects 0.000 claims description 4
- 238000006386 neutralization reaction Methods 0.000 claims description 4
- 238000002360 preparation method Methods 0.000 claims description 3
- 230000015572 biosynthetic process Effects 0.000 claims description 2
- APTZNLHMIGJTEW-UHFFFAOYSA-N pyraflufen-ethyl Chemical compound C1=C(Cl)C(OCC(=O)OCC)=CC(C=2C(=C(OC(F)F)N(C)N=2)Cl)=C1F APTZNLHMIGJTEW-UHFFFAOYSA-N 0.000 claims description 2
- 238000013461 design Methods 0.000 claims 1
- 238000012423 maintenance Methods 0.000 description 16
- 238000005192 partition Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 6
- 238000012790 confirmation Methods 0.000 description 5
- 238000001514 detection method Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 208000032538 Depersonalisation Diseases 0.000 description 3
- 230000001010 compromised effect Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 239000000969 carrier Substances 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000011049 filling Methods 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 244000309464 bull Species 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003472 neutralizing effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012956 testing procedure Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
Definitions
- This invention relates to the field of computer security, in particular, it is used to create secure computer systems designed to transmit, process and store confidential information, including those used as part of secure local networks of enterprises and organizations.
- a computer system can be single-user and multi-user computing equipment (hereinafter referred to as SVT), workstations (hereinafter referred to as AWS), network routers, etc.
- SVT single-user and multi-user computing equipment
- AWS workstations
- a routers etc.
- a computer system hardware platform is understood as a set of embedded firmware based on central processors (for example, Intel, AMD, ARM, etc.) and commercially available hardware components that determine the architecture of a computer system.
- the method of protecting a computer system from unauthorized access (hereinafter - UA) to information, implemented at the level of a hardware platform, is applicable to computer systems regardless of the operating systems installed in them.
- the boundary conditions for applying the method of protecting a computer system from unauthorized access to information implemented at the hardware platform level are determined only by the presence of support for virtualization technology in hardware devices that are part of the computer system (for example, defining the x86 / x64 architecture, etc.).
- a device for implementing a method for protecting a computer system from unauthorized access to information implemented at the level of the computer system hardware platform, provides only a wired connection of peripheral devices.
- peripheral devices using USB, VGA interfaces, etc.
- the prior art method of trusted boot in virtualized environments RU 2581552 C2 [IPC G06F 21/31, G06F 21/41, G06F 21/64. Application N°2014136615/08, 09/10/2014; published on 20.04.2016 in Bull. N2 11], which includes creating a partition on the hard disk of a virtualized environment with a bootloader that provides trusted boot of virtual machines, adding a trusted boot firmware module to the virtual BIOS, starting the virtual machine, and configuring the bootloader. With the subsequent restart of the virtual machine, authentication of the user of the virtual machine, control of the integrity of the files of the virtual machine.
- the disadvantage of this method is that it is intended for virtual machines, and not for physical CVTs.
- Any virtual machine without a trusted CVT boot can be compromised.
- Components that are launched before the start of virtual environments for example, a type 1 hypervisor that controls the operation of virtual machines, a virtual environment loader, etc.
- an unprotected environment unprotected hard drive, real BIOS, etc.
- the proposed technical solution provides for the location of the components of the protection system in a hardware device, including protected execution, provides trusted boot of both CVT and virtual environments, and, accordingly, cannot be compromised.
- the purpose of the proposed technical solution is to improve computer security, namely:
- the technical result of the invention is:
- the IPS information security system
- the information protection system processes by the information protection system of virtual machine requests for access to physical hardware devices of the computer system in the following order: the virtual machine requests access to physical hardware devices based on the virtual resources provided, the information protection system collects data or parameters contained in the virtual machine request , the information protection system, based on the collected data or parameters and in accordance with the rules for restricting access of access subjects to access objects, checks the eligibility of the request, if the verification result is positive, the information protection system converts the data or parameters of virtual computing resources into data or parameters of physical computing resources and transmits the converted request to the corresponding physical hardware device, and if the check fails, the request is rejected;
- the physical hardware devices of the computer system make a request for access to virtual computing resources based on the parameters of physical computing resources
- the information protection system collects data or parameters, in requests from physical hardware devices
- the information protection system based on the collected data and in accordance with the rules for distributing access of access subjects to access objects, checks the eligibility of the request, if the result of the check is positive, the information protection system converts the data or parameters of the physical computing resources of the computer system into data or parameters of virtual computing resources and transmits the converted request from the physical the hardware device of the computer system to the virtual machine, and if the check fails, the request is rejected;
- - management of the hardware configuration of the computer system when the computer system is operating in the maintenance mode which implements: the implementation of continuous monitoring by the information protection system of the operation parameters of all hardware devices of the computer system, as well as checking the compliance of the parameters of physical devices with the allowed parameters set by the information protection system for a specific type of device, support in the control data of the information security system, a list of hardware devices permitted for use as part of a computer system, support in the control data of the information security system of a list of hardware devices of the computer system permitted for each role provided by the information security system, the ability to change the list of hardware devices permitted for use as part of a computer system and a list of hardware devices allowed for each role provided by the information security system;
- - managing the hardware configuration of the computer system when the computer system is operating in the audit mode implementing: the implementation by the information security system of continuous monitoring of the parameters of the operation of all hardware devices of the computer system, as well as checking the compliance of the parameters of physical devices with the permitted parameters set by the information security system for a particular type of device, maintaining in the management data of the information security system a list of hardware devices allowed for use as part of a computer system, support in the control data of the information security system of the list of hardware devices of the computer system allowed for each role provided by the information security system, disabling hardware devices and blocking the operation of the computer system when connecting a hardware device that is not in the list of hardware devices allowed for use in the computer system, blocking the operation of the computer system by the information security system when changing the parameters of the functioning of hardware devices;
- - protection of the RAM of the computer system from direct access from the hardware devices of the computer system provided by the information security system and including: generation of requests for direct access to the RAM from the physical hardware devices of the computer system; collection by the information protection system of data or parameters contained in requests for direct access to RAM from hardware devices; verification by the information security system of the collected request parameters in accordance with the access matrix, if the parameters contained in the request correspond to the parameters of direct memory access from devices allowed for use in the computer system, the execution of the request permission, otherwise the blocking of the request, registration by the system protecting request blocking event information in the event log;
- - differentiation of access to external storage media or from external storage media including: allowing only one virtual machine to interact with an external storage device, while the external storage device becomes unavailable for interaction with other virtual machines, sequential use of an external storage drive by virtual machines when exchanging information between virtual machines, providing access for several virtual machines to a shared storage drive in read-only mode;
- the information security system of filtering network traffic for each network interaction protocol in accordance with access matrices both for requests coming from a virtual machine and for requests coming from a physical network card, taking into account checking the type of request received from the virtual machine on its compliance with the access control rules established for the levels of the OSI model or for the protocols corresponding to them, as well as taking into account the verification of the data contained in the request of the virtual machine for their compliance with the access attributes established by the information protection system,
- the following information is stored on the date and time of the event, the subject of access that caused the registered event, the type of event (when registering an event associated with access, information is also stored about the object and type of access), the success of the event.
- the device that implements the proposed method includes an information security system containing a controller, memory, including a protected version, connected to a computer bus, a first-type hypervisor with a startup subsystem, an access control subsystem, an administration subsystem and an event registration subsystem, implemented on the basis of one or multiple CPUs, as well as chipset, memory, computer buses, hard disk drive, solid state drive, USB flash drive, keyboard, mouse, CD/DVD/Blu-ray optical disc, network card, video card, monitor, printer, scanner, multifunction device.
- an information security system containing a controller, memory, including a protected version, connected to a computer bus, a first-type hypervisor with a startup subsystem, an access control subsystem, an administration subsystem and an event registration subsystem, implemented on the basis of one or multiple CPUs, as well as chipset, memory, computer buses, hard disk drive, solid state drive, USB flash drive, keyboard, mouse, CD/DVD/Blu-ray optical disc, network card, video card, monitor, printer, scanner
- PCI, PCIExpress, SMBus USB, ATA, SATA, PS/2, SCSI, SAS, Fiber Channel, InfiniBand, I2C, SPI, FireWire, DMI, HyperTransport, Thunderbolt can be used as computer buses.
- Disabling (neutralizing) devices of the hardware platform of a computer system that are not involved in the processing, storage and transmission of information or that pose a threat to the security of information includes the implementation of the following measures:
- wireless communication channels for example, WiFi, 3G, Bluetooth, NFC, etc.
- - devices that allow tracking user actions for example, webcam, microphone, positioning modules, sensors, etc.
- - devices for remote control of the hardware platform of the computer system for example, webcam, microphone, positioning modules, sensors, etc.
- Redundant executable code for various stages of initialization/operation of the firmware code has been removed from the composition of the firmware code of the hardware platform of the computer system.
- the executable code of the components for updating the firmware code of the computer system hardware platform has been removed from the composition of the executable code of the privileged modes of functioning of the hardware platform of the computer system;
- IPS provides trusted loading of the computer system hardware platform with sequential confirmation of the integrity of the firmware components of the computer system hardware platform participating in the trusted loading chain.
- the information security system ensures the authenticity of the firmware code of the hardware platform of a computer system (for example, the basic input-output system) used during trusted boot.
- firmware code of a computer system hardware platform (for example, a basic input/output system) used in trusted booting of a computer system is protected from unauthorized modification by implementing the following measures:
- the firmware code of the hardware platform of the computer system transfers control only to the firmware of the information security facility.
- the SZI blocks the loading of the hardware platform of the computer system.
- the firmware code of the hardware platform excludes the possibility for the software of the computer system to use the power consumption modes of the hardware platform that violate the trusted boot chain.
- Trusted loading of the IPS is provided by building a chain of trusted loading, in which each component of the IPS participating in the chain of trusted loading of the IPS confirms the integrity of the next component upon completion of its initialization before transferring control to it. If there is no confirmation of the integrity of any component of the information security system participating in the trusted download chain, further loading of the information security system and the operation of the computer system are terminated.
- UEFI BIOS protection from parsing is provided by:
- firmware update components were removed from the firmware code, including those in privileged modes of operation of the hardware platform (for example, UEFI BIOS update components, including in SMM mode),
- the immutability of the firmware code of the hardware platform of the computer system is ensured (for example, by completely blocking changes in the contents of the flash memory by means of a flash memory chip).
- Restoration of the firmware code of the hardware platform, including in case of failures of the hardware platform of the computer system, is provided only as part of the procedures for restoring the safe state of the hardware platform of the computer system.
- a protected environment for the functioning of a virtual machine is ensured - as a combination of an isolated execution environment of a virtual machine and emulated hardware resources by:
- the IPS Before allocating/reusing the RAM areas of the hardware platform of the computer system for the IPS and virtual machines, the IPS cleans these areas, for example, by filling them with random values or "zeros".
- Virtual machines are allocated a unique set of resources. SZI provides allocation of the following quotas for their use by virtual machines:
- the transfer of information between virtual machines is carried out in the operational mode of the information security system only through virtual devices (virtual network adapters, virtual removable storage media, etc.). Any other operations leading to direct transfer of information between virtual machines are prohibited.
- SZI provides software emulation of hardware resources of a computer system.
- An example of the composition of computing resources computer system taking into account the virtual computing resources created by the information security facility) and the parameters characterizing each computing resource of the computer system are given in Table 1.
- SZI provides software emulation of the used firmware code (for example, the basic input-output system).
- the information security system of work provides registration of the following events:
- the information security system ensures the restoration of a safe state with the following operations and procedures:
- the IPS supports the maintenance mode, in which the performance of any actions is allowed only to the user of the “Security Administrator” category, who can perform:
- the integrity of the control data and the executable code of the IPS is checked.
- a secure computer system uses a hardware platform that includes:
- microprogram code basic input-output system, etc.
- the immutability of the modified or removed firmware code (the firmware code of the basic I/O system, the firmware code of the chipset, etc.).
- a hardware-firmware information security system is used, which is an integral part of the hardware platform.
- the hardware part of the information security system is represented by a device, including a protected version, that provides non-volatile storage:
- firmware code of the hardware platform for example, the basic input-output system
- DRP - access control rules
- the firmware part of the information security system can have both monolithic and modular architecture and consists of several subsystems.
- Figure 1 shows a simplified basic diagram of the functioning of the information security platform built into the typical architecture of the hardware platform, which ensures the protection of a computer system from unauthorized access to information, in where 1 - virtual machine, 2 - IPS, 3 - computer system hardware, i.e. physical hardware devices (devices/buses).
- Figure 1 shows only one virtual machine, but there can be multiple virtual machines.
- the basis of the SZI 2 is a hypervisor of the 1st type, using hardware virtualization of RAM and a system of commands for firmware operating at the level of hardware virtualization provided by the central processor of a computer system.
- the IPS provides a virtual machine with interfaces for interaction only with virtual computing resources created by the IPS.
- the virtual machine perceives the virtual computing resources created by the information security facility as physical computing resources of the computer system.
- the virtual machine does not have specialized interfaces for interaction with other subsystems of the information security system, including the hypervisor of the 1st type.
- Figure 2 shows a simplified architecture of the information security system, which is a combination of the main subsystems, as well as the relationship between subsystems, where 4 is the subsystem for launching the information security system (includes support for the hardware device of the information security system), 5 is the access control subsystem, 6 is the administration subsystem (working with the user ), 7 - event registration subsystem (event registration log).
- 4 is the subsystem for launching the information security system (includes support for the hardware device of the information security system)
- 5 is the access control subsystem
- 6 is the administration subsystem (working with the user )
- 7 - event registration subsystem event registration log
- the launch subsystem of the information security system provides the following main functions:
- the access control subsystem provides the following main functions:
- the subsystem of administration (work with the user) provides the following main functions:
- event log provides the primary function of event logging.
- the information security system provides processing of virtual machine requests for access to physical hardware devices of a computer system in the following order:
- the virtual machine makes a request for access to physical hardware devices based on the provided virtual resources.
- the IPS collects (intercepts) the data/parameters contained in the virtual machine request.
- the information security system Based on the collected (intercepted) data/parameters and in accordance with the PRD of the subjects of access to the access objects, the information security system checks the eligibility of the request.
- the IPS converts data/parameters of virtual computing resources into data/parameters of physical computing resources and transmits the converted request to the corresponding physical hardware device.
- ARP access control rules
- the information security facility ensures that devices strictly follow the instructions defined by the specifications for these devices by monitoring the lists of allowed instructions and rejecting any instructions that do not correspond to the list of allowed instructions);
- the information security system provides processing of requests from physical hardware devices of a computer system for access to a virtual machine in the following order:
- Physical hardware devices (buses and devices) of a computer system make a request for access to virtual computing resources based on the parameters of physical computing resources.
- IPS collects (intercepts) data/parameters in requests from physical hardware devices.
- the information security system Based on the collected (intercepted) data/parameters and in accordance with the PRD of the subjects of access to the access objects, the information security system checks the eligibility of the request.
- the information security system converts the data/parameters of the physical computing resources of the computer system into data/parameters of virtual computing resources and transmits the converted request from
- the physical hardware device of a computer system is a virtual machine.
- the information security system ensures that the hardware platform devices strictly follow the instructions defined by the specifications for these devices by monitoring the lists of allowed instructions and rejecting any instructions that do not correspond to the list of allowed instructions);
- the method of protecting a computer system from unauthorized access to information provides for the following functions:
- IPS provides hardware configuration management at computer system startup and in computer system operating modes established by IPS, including:
- - in maintenance mode continuous monitoring of the parameters of functioning of all hardware devices of the computer system, as well as checking the compliance of the parameters of physical devices with the security attributes (allowed parameters) set by the information security system for a specific type of device; support in the information security information management data of a list of hardware devices allowed for use as part of a computer system (white list); support in the information protection information management data of the list of hardware devices of the computer system allowed for each role provided by the information protection system; the ability to change the list of hardware devices allowed for use as part of a computer system (white list) and the list of hardware devices allowed for each role provided by the information security facility;
- Access control includes:
- access control of access subjects to access objects including: basic access control of access subjects to access objects; access control of access subjects to information storage devices; access control of access subjects (hardware devices of a computer system) to RAM.
- Role-based access control in a computer system is the basis for access control, since the creation of virtual machines and the provision of virtual machines with access to physical hardware devices of a computer system is carried out in accordance with the role-based access model.
- the access control in a computer system based on roles is characterized by the key feature is that access to the resources of the computer system is provided only through roles.
- the role is understood as a set of opportunities provided to the user in the session of the computer system, depending on the duties performed by the user (for example, processing and storing information).
- a role is characterized by a role profile and is associated with a unique role identifier assigned based on the results of user identification and authentication.
- Controlling access to hardware resources of a computer system and/or to virtual machines is not based on ownership of the resource, but on the fulfillment by the corresponding user of his duties (for example, processing and storing information).
- Role-based access control in a computer system is more related to access control to operations on access objects in a computer system, and not to access control directly to access objects.
- the role is performed in a specific user session and is based on a static division of responsibilities between user categories.
- the basic access control of access subjects to access objects is implemented in accordance with the operation scheme of the information security system built into the typical architecture of the hardware platform of the computer system, which ensures the protection of the computer system from unauthorized access to the information shown in Figure 2.
- Basic access control of access subjects to access objects in a computer system provides for the mandatory implementation of the following rules:
- a request for access by any unidentified access subject to any access objects is expressly prohibited.
- the basic control of access subjects to access objects in a computer system is the basic conceptual framework for ensuring the isolation of computer system control data used by the IPS and data processed by the software installed in the computer system from the hardware devices/buses of the computer system.
- the information security system creates a secure operating environment for each virtual machine using the basic access control of access subjects to access objects in a computer system.
- the basic management of access subjects to access objects in a computer system is directly related to the management of the hardware configuration of the computer system based on the list of hardware devices allowed to be used as part of the computer system.
- Access control of access subjects to information storage devices in a computer system provides for:
- the access control of subjects of access to information storage devices in a computer system is based on the basic scheme of functioning of the information security platform built into the typical architecture of the hardware platform, which ensures the protection of the computer system from unauthorized access to information, taking into account the fact that:
- a physical storage device acts as a physical hardware device
- - DRP also take into account ⁇ include checking additional DRPs of access subjects to access objects (for example, when accessing information storage devices, sections of information storage devices).
- Access control of access subjects (hardware devices of a computer system) to RAM is based on the protection algorithm RAM from direct access from the hardware devices of the computer system.
- the information security system provides configuration of the protection of RAM from direct access from the hardware devices of the computer system in accordance with the algorithm:
- IPS requests and receives from the IPS hardware device a list and parameters of permitted devices of the computer system.
- IPS forms a "white” list of devices with the possibility of direct memory access.
- IPS receives direct memory access parameters from devices from the "white” list.
- the information security system configures protection using the received parameters for direct access to RAM from the computer system devices from the "white" list.
- the protection of the RAM of a computer system from direct access from the hardware devices of the computer system is provided by the information security system in accordance with the algorithm:
- the physical hardware devices of a computer system (devices/buses) generate direct memory access requests.
- IPS collects (intercepts) data (parameters) contained in requests for direct access to RAM from hardware devices.
- the information security system checks the collected (intercepted) request parameters in accordance with the access matrix (an example of the access matrix is given in the table. If the parameters contained in the request correspond to the parameters of direct memory access from devices from the "white" list, the request is allowed. Otherwise case, the request is blocked. 4. The information security system registers a request blocking event in the event log.
- Each virtual machine has its own secure runtime environment (virtual machines are isolated from each other). The exchange of information between virtual machines is possible only through external storage media and network interaction.
- virtual machines can use shared access of virtual machines to an information storage device with a partition (for example, HDD (HDD partition), etc.).
- a partition for example, HDD (HDD partition), etc.
- Information flow management when sharing an information storage device (for example, HDD, etc.) by several virtual machines is based on the SZI mechanisms that provide the ability to use an information storage device (for example, HDD, etc.) by several virtual machines simultaneously (for example, a system partition with installed OS).
- SZI ensures the immutability of the shared storage of information (for example, HDD (HDD partition), etc.) by giving virtual machines access to the shared storage drive in read-only mode.
- the exchange of information between virtual machines by means of external storage media is carried out in the mode of sequential use of the external storage media by virtual machines. Only one virtual machine can interact with an external storage device. In the case when an external storage device is already used by a virtual machine, it becomes unavailable for interaction with other virtual machines. To interact with an external storage device with another virtual machine, it must be extracted from the first one (for example, the first virtual machine must be turned off). Access control to / from external storage media refers to access control to devices and was discussed above.
- the management of information flows during network interaction of a computer system is based on the mechanisms of the information security system that provide filtering of network traffic.
- the IMS performs network traffic filtering for each network interaction protocol both for requests coming from a virtual machine (outgoing requests) and for requests coming from a physical network card (incoming requests).
- Information flow management during network interaction of a computer system is based on the basic operation scheme of the information security tool (ISF) built into the typical architecture of the hardware platform, which ensures the protection of the computer system from unauthorized access to information, taking into account the fact that: - a physical network card acts as a physical hardware device;
- ISF information security tool
- ⁇ include checking: the type of request received from the virtual machine for its compliance with the access control rules established for the OSI model levels (for example, channel, network and transport) and / or for their corresponding protocols (for example , Ethernet, IPv4, ICMP, TCP, UDP); data contained in the request of the virtual machine, for their compliance with the access attributes (application of filtering rules) established by the information security facility; etc.
- the IMS filters network traffic for each network interaction protocol in accordance with access matrices both for requests coming from a virtual machine (outgoing requests) and for requests coming from a physical network card (incoming requests).
- the IPS provides filtering of network traffic between virtual machines.
- Table 1 shows an example of the composition of the computing resources of a computer system (taking into account the virtual computing resources created by the information security system) and the parameters that characterize each computing resource of the computer system.
- composition and parameters of virtual resources created by the information security facility differ from the composition and parameters of the physical hardware devices of the computer system in order to: - guaranteed detection of unauthorized requests from a virtual machine for access to physical hardware devices of a computer system, including hardware platform devices (buses and devices);
- the information security system provides hardware configuration management in the following sequence: the collection of data on the actual composition of all hardware devices of the computer system, as well as the parameters of their functioning, is carried out by means of requests to buses (for example, PCI / PCI Express, USB, SATA, etc. .). Based on the collected data, a list of connected devices and their parameters is compiled. Device operation parameters are selected based on the type of devices.
- buses for example, PCI / PCI Express, USB, SATA, etc. .
- the IPS compares the collected data with similar data previously stored in the IPS control data and performing (in terms of device operation parameters) the role of security attributes. If a discrepancy is found between the composition of hardware devices and / or the parameters of the functioning of devices with the control data of the information protection system, the loading of the information protection system is provided only in the maintenance mode.
- the control of the composition and functioning parameters of the hardware devices of the computer system is carried out for each type of device and each parameter of the functioning of devices (an example of a list for a computer system is given earlier in Table 2, and in accordance with the matrix that establishes the rules for checking the compliance of the actual composition of all identified hardware devices of the computer system, the list of hardware devices allowed for use as part of a computer system, as well as the compliance of the parameters of detected physical hardware devices with the security attributes (allowed parameters) set for a given set of hardware devices
- An example of a matrix for devices connected to the PCI/PCI Express bus is given in the table 3.
- the IPS initiates the installation for each role provided by the IPS of a list (list) of physical hardware devices allowed for use within this role.
- the IPS receives data that authenticates the user and characterizes his role in the current session of the computer system (from the IPS hardware device) and determines the mode of operation (maintenance mode, operational mode or audit mode).
- the IPS when determining the IPS service mode, the IPS will allow the user authenticated as a security administrator to view the event log or configure the IPS;
- the IPS when determining the IPS audit mode, the IPS will allow the user authenticated as a security administrator to work with the event log;
- the IPS when determining the IPS operating mode, the IPS operates in accordance with the data that authenticates the user and characterizes his role in the current session of the computer system. Further, in order to ensure the functioning of the computer system in the operational mode, based on the received data, the information security facility creates virtual resources of the computer system in accordance with the list of virtual devices inherent in this user role. Further, the IPS provides support for the physical hardware devices of the computer system that strictly correspond to the list of virtual resources inherent in this user role. After creating virtual resources of the computer system for the user role in the current session and providing support for physical hardware devices, the IPS creates a virtual machine in a configuration corresponding to this user role in the current session of the operating mode of operation.
- the information security system provides control of the hardware configuration of the computer system according to two different schemes: - according to a scheme based on the mechanisms for periodic verification of the composition of the hardware of a computer system and the parameters of their functioning;
- the information security system When conducting a periodic check of the composition of the hardware of a computer system and the parameters of their functioning, the information security system performs:
- buses for example, PCI/PCI Express, USB, SATA, etc.
- the IPS In the maintenance mode, when a device is detected that is connected in a “hot” mode and is not included in the list of allowed devices for a given session of work, or provided for in the list of allowed devices for a given session, but has other operating parameters, the IPS provides the ability to configure TX to the discovered device and save configuration changes. When the configuration is saved, a new list of devices allowed by the IPS is generated and stored in the IPS configuration data.
- the IPS In the audit mode and operational mode, when a device is detected that is connected in a "hot" mode and is not included in the list of devices allowed by the IPS for a given work session, or provided for in the list of devices allowed by the IPS for a given work session, but which has other operating parameters, the IPS:
- the SZI In the audit mode, when a device is detected that is connected in a “hot” mode and is included in the list of devices allowed by the SIS for a given session, as well as having operating parameters allowed by the SZI, the SZI provides work with the event log.
- the SIS In the operational mode, when a device is detected that is connected in a “hot” mode and is included in the list of devices allowed by the SIS for a given session of work, as well as having operating parameters allowed by the SZI, the SIS continues to function within the current session of the computer system in accordance with the user role. Since support for virtual and physical devices was implemented when the computer system was started in the current session operating mode, the IPS creates the corresponding virtual device in the form of a virtual resource and provides control over the functioning of the virtual machine in the prescribed manner.
- the information security system collects (intercepts) data (parameters) contained in requests from physical hardware devices of a computer system.
- the information security system Based on the collected (intercepted) data, the information security system identifies the physical hardware device of the computer system, incl. the computer system hardware platform device (bus or device) from which the request was made, and the eligibility of the request from that physical computer system hardware device.
- the IPS In maintenance mode, if the IPS cannot identify the physical hardware device of the computer system and/or it is impossible for the IPS to confirm the eligibility of a request from this physical hardware device of the computer system, this request is rejected.
- the IPS provides the ability to configure the TX for the detected device and save configuration changes. When the configuration is saved, a new list of devices allowed by the IPS is generated and stored in the IPS configuration data.
- the audit mode and operational mode if the IPS cannot identify the physical hardware device of the computer system and/or the IPS cannot confirm the eligibility of the request from this physical hardware device of the computer system, this request is rejected.
- SZI SZI:
- the information security facility In the audit mode, in case of successful identification of the physical hardware device of the computer system and confirmation of the eligibility of the request from this physical hardware device of the computer system, the information security facility provides work with the event log.
- the IPS In the operational mode, in case of successful identification of the physical hardware device of the computer system and confirmation of the eligibility of the request from this physical hardware device of the computer system, the IPS, using the data/parameters of the physical computing resources contained in the IPS:
- Simultaneous implementation in the information security system of two configuration management schemes provides layered protection against unauthorized changes in the hardware configuration of a computer system, from the creation of covert channels of unauthorized access, both to the computing resources of the computer system and to the software environment of the virtual machine and to user processed data subject to protection from NSD for information.
- the role profile for the "User” category is understood as a set of characteristics of a virtual machine and the rights set for the role to access the physical hardware devices of a computer systems, and their correspondence to the virtual resources available to the virtual machine.
- the role profile for the "Protection Administrator” category is understood as a set of access rights for programs for setting up a role profile for the "User” category and for processing data from the IPS event log.
- the role profile for the "Security administrator” category is understood as a set of access rights for the program for processing the data of the information security event log.
- the Security Administrator role by default, is denied access to any virtual machines.
- the "Security Administrator” role by default, is denied the launch of any virtual machines and access to their settings.
- Additional DRPs specified in the Access Matrix, in accordance with which access differentiation of access subjects to objects is provided access when implementing basic access control apply only to storage media and network adapters.
- Access control of access subjects to information storage devices with partitions, sections of information storage devices is carried out in accordance with the access matrix (an example of an access matrix is presented in Table 9).
- Access control of access subjects to information storage devices without partitions is carried out in accordance with the access matrix (an example of an access matrix is presented in Table 10).
- the management of information flows during network interaction of a computer system is based on the mechanisms of the information security system that provide filtering of network traffic.
- An example of the levels of the OSI model, at which the IPS provides network traffic filtering, is shown in Table 12.
- Table 1 An example of the composition of the computing resources of a computer system and parameters characterizing each computing resource of a computer system
- Table 2 An example of a list of detected hardware devices of a computer system and their parameters Continuation of table 2
- Table 3 An example of the form of a matrix that establishes the rules for checking the compliance of the actual composition of all detected hardware devices connected to the PCI / PCI Express bus with the list of hardware devices allowed for use in a computer system, as well as the compliance of the parameters of detected physical hardware devices with the security attributes established for a given composition of hardware devices Table 3 continued
- Table 4 An example of the characteristics of a virtual machine associated with a unique role identifier for the "User" category Table 5 - An example of the rights set for a role to access the physical hardware devices of a computer system, and their correspondence to the virtual resources available to the virtual machine Table 5 continued
- Table 6 An example of access rights for the program for setting up the role profile for the categories "User” and the program for processing the data of the IPS event log, characterizing the role profile for the category "Protection Administrator”
- Table 7 An example of access rights for the program for processing data of the IPS event log, characterizing the role profile for the "Security Administrator" category
- Table 8 An example of an access matrix, according to which access differentiation of access subjects to access objects is provided when implementing basic access control Table 8 continued
- Table 9 An example of an access matrix characterizing access control to sections of information storage devices Table 9 continued
- Table 10 An example of an access matrix characterizing access control to storage media without partitions
- Table 11 An example of an access matrix, in accordance with which access control of access subjects (hardware devices of a computer system) to RAM is provided Table 11 continued
- Table 12 An example of the levels of the OSI model, at which the IPS provides filtering of network traffic
- Table 13 An example of an access matrix, according to which network traffic is filtered at the data link layer of the OSI model for the Ethernet protocol
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении безопасности компьютерной системы путем обеспечения доверенной загрузки аппаратной платформы; создания защищенной среды функционирования для виртуальной машины. Устройство, реализующее способ защиты компьютерной системы от несанкционированного доступа, включает систему защиты информации, включающую контроллер и память, подключенные к компьютерной шине, гипервизор первого типа с подсистемой запуска, подсистемой разграничения доступа, подсистемой администрирования и подсистемой регистрации событий, реализуемыми на базе одного или нескольких центральных процессоров, а также чипсет, память, компьютерные шины, накопитель на жестком магнитном диске, твердотельный накопитель, USB-флэш накопитель, клавиатуру, мышь, оптический диск, сетевую карту, видеокарту, монитор, принтер, сканер, многофункциональное устройство.
Description
СПОСОБ ЗАЩИТЫ КОМПЬЮТЕРНОЙ СИСТЕМЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
Данное изобретение относится к области компьютерной безопасности, в частности, используется при создании защищенных компьютерных систем, предназначенных для передачи, обработки и хранения конфиденциальной информации, и в том числе, используемых в составе защищенных локальных сетей предприятий и организаций.
В качестве компьютерной системы могут выступать однопользовательские и многопользовательские средства вычислительной техники (далее - СВТ), автоматизированные рабочие места (далее - АРМ), сетевые маршрутизаторы и т.д.
Под аппаратной платформой компьютерной системы понимается совокупность встроенного микропрограммного обеспечения на базе центральных процессоров (например, Intel, AMD, ARM и т.п.) и серийно выпускаемых аппаратных компонентов, определяющая архитектуру компьютерной системы.
Способ защиты компьютерной системы от несанкционированного доступа (далее - НСД) к информации, реализуемый на уровне аппаратной платформы, применим к компьютерным системам независимо от устанавливаемых в них операционных систем.
Граничные условия применения способа защиты компьютерной системы от НСД к информации, реализуемой на уровне аппаратной платформы, определяются только наличием поддержки технологии виртуализации в аппаратных устройствах, входящих в состав компьютерной системы (например, определяющих архитектуру х86/х64 и т.д.).
Устройство для осуществления способа защиты компьютерной системы от НСД к информации, реализуемое на уровне аппаратной платформы компьютерной системы, предусматривает только проводное подключение периферийных устройств. Например, периферийных устройств с использованием интерфейсов USB, VGA и т.д.
Из уровня техники известен способ доверенной загрузки в виртуализированных средах RU 2581552 С2 [МПК G06F 21/31, G06F 21/41, G06F 21/64. Заявка N°2014136615/08, 10.09.2014; опубликовано 20.04.2016 в Бюл. N2 11], включающий в себя создание раздела на жестком диске виртуализированной среды с загрузчиком, обеспечивающим доверенную загрузку виртуальных машин, добавление модуля микропрограммы доверенной загрузки в виртуальный BIOS, осуществление запуска виртуальной машины, осуществление конфигурации загрузчика. С последующим перезапуском виртуальной машины, проведением аутентификации пользователя виртуальной машины, проведением контроля целостности файлов виртуальной машины. Минусом данного способа является то, что он предназначен для виртуальных машин, а не для физических СВТ. Любая виртуальная машина без доверенной загрузки СВТ может быть скомпроментрирована. Компоненты, запускаемые до начала работы виртуальных сред (например, гипервизор первого типа, контролирующий работу виртуальных машин, загрузчик виртуальной среды и т.д.), располагаются в не защищенной среде (незащищенный жесткий диск, реальный BIOS и т.д.), соответственно могут быть скомпрометированы.
Предлагаемое техническое решение предусматривает расположение компонентов системы защиты в аппаратном устройстве, в том числе в
защищенном исполнении, обеспечивает доверенную загрузку как СВТ, так и виртуальных сред, и, соответственно, не может быть скомпрометировано.
Целью предлагаемого технического решения является повышение безопасности компьютера, а именно:
- предотвращение создания в компьютерной системе скрытых каналов несанкционированной передачи защищаемой информации со стороны аппаратных устройств и микропрограммного обеспечения, встроенного в устройства аппаратной платформы компьютерной системы;
- изоляция данных управления и программного обеспечения компьютерной системы от аппаратных устройств (шин и устройств) и микропрограммного обеспечения, встроенного в устройства аппаратной платформы компьютерной системы;
- управление информационными потоками между виртуальными машинами и физическими аппаратными устройствами (шины и устройства) компьютерной системы.
Технический результат предлагаемого изобретения заключается в:
- обеспечении доверенной загрузки аппаратной платформы;
- создании защищенной среды функционирования для виртуальной машины;
- эмуляции аппаратных устройств компьютерной системы, включая вычислительные ресурсы компьютерной системы;
- эмуляции микропрограммного кода (в частности, базовой системы ввода-вывода и т.д.), необходимого для функционирования виртуальной машины;
- запрете предоставления виртуальным машинам информации о реальном составе аппаратных ресурсов компьютерной системы;
- запрете предоставления прямого доступа виртуальной машины к аппаратным устройствам компьютерной системы, кроме устройств, сертифицированных по требованиям защиты информации государственными органами страны для применения в компьютерной системе;
- запрете соответствия эмулируемых аппаратных устройств аппаратным устройствам компьютерной системы с целью обеспечения невозможности эксплуатации уязвимостей устройств аппаратной платформы для любого программного обеспечения, выполняющегося внутри виртуальной машины;
- управлении доступом субъектов доступа к объектам доступа (виртуальных машин к аппаратным устройствам компьютерной системы и аппаратных устройств компьютерной системы к вычислительным ресурсам компьютерной системы, связанным с функционированием виртуальной машины);
- управлении доступом субъектов доступа к памяти, участвующей в обработке информации (в частности, оперативной памяти);
- управлении доступом субъектов доступа к памяти, участвующей в хранении информации (в частности, разграничении доступа к носителям информации, в том числе к разделам носителей информации);
- управлении аппаратной конфигурацией компьютерной системы с целью контроля неизменности аппаратной конфигурации;
- управлении информационными потоками между виртуальными машинами при сетевом взаимодействии посредством межсетевого экрана;
- применении обратимого преобразования информации для соблюдения конфиденциальности;
- защите хранения исполняемого кода и данных системы защиты информации (далее - СЗИ);
- защите хранения параметров микропрограммного кода аппаратной платформы (в частности, базовой системы ввода-вывода).
Заявленный технический результат достигается:
- предварительной подготовкой аппаратной платформы, состоящей из: нейтрализации устройств аппаратной платформы компьютерной системы, не участвующих в обработке, хранении и передаче информации или представляющих угрозу безопасности информации,
устранения избыточности исполняемого кода микропрограммного кода аппаратной платформы, устранения избыточности исполняемого кода привилегированных режимов функционирования аппаратной платформы компьютерной системы и его защита от модификации;
- обеспечением доверенной загрузки аппаратной платформы компьютерной системы;
- обеспечением доверенной загрузки системы защиты информации;
- обеспечением защиты микропрограммного кода аппаратной платформы от анализа;
- обеспечением защиты исполняемого кода системы защиты информации от анализа;
- запретом обновления микропрограммного кода аппаратной платформы, в том числе удаленного;
- очисткой областей памяти, содержащих данные системы защиты информации и виртуальных машин в устройствах хранения, перед их выделением или повторном использовании;
- очисткой областей оперативной памяти аппаратной платформы компьютерной системы перед их выделением или повторным использованием;
- реализацией особенностей архитектуры СЗИ;
- изоляцией виртуальных машин;
- реализацией особенностей передачи информации между виртуальными машинами в компьютерной системе;
- эмуляцией аппаратных устройств компьютерной системы;
- самотестированием механизмов защиты системы защиты информации;
- восстановлением безопасного состояния компьютерной системы;
- определением субъектов и объектов доступа на уровне аппаратной платформы;
- обработкой системой защиты информации запросов виртуальной машины на доступ к физическим аппаратным устройствам компьютерной системы в следующем порядке: виртуальная машина осуществляет запрос на доступ к физическим аппаратным устройствам на основе предоставляемых виртуальных ресурсов, система защиты информации осуществляет сбор данных или параметров, содержащихся в запросе виртуальной машины, система защиты информации на основании собранных данных или параметров и в соответствии с правилами разграничения доступа субъектов доступа к объектам доступа осуществляет проверку правомочности запроса, при положительном результате проверки система защиты информации преобразует данные или параметры виртуальных вычислительных ресурсов в данные или параметры физических вычислительных ресурсов и передает преобразованный запрос соответствующему физическому аппаратному устройству, а при отрицательном результате проверки запрос отклоняется;
- обработкой системой защиты информации запросов от физических аппаратных устройств компьютерной системы на доступ к виртуальной машине в следующем порядке: физические аппаратные устройства компьютерной системы осуществляют запрос на доступ к виртуальным вычислительным ресурсам на основе параметров физических вычислительных ресурсов, система защиты информации осуществляет сбор данных или параметров, в запросах от физических аппаратных устройств, система защиты информации на основании собранных данных и в соответствии с правилами распределения доступа субъектов доступа к объектам доступа осуществляет проверку правомочности запроса, при положительном результате проверки система защиты информации преобразует данные или параметры физических вычислительных ресурсов компьютерной системы в данных или параметров виртуальных вычислительных ресурсов и передает преобразованный запрос от физического
аппаратного устройства компьютерной системы виртуальной машине, а при отрицательном результате проверки запрос отклоняется;
- управлением конфигурацией аппаратных средств компьютерной системы при запуске компьютерной системы реализующим: определение системой защиты информации фактического состава всех аппаратных устройств, а также параметров их функционирования, первичную проверку соответствия фактического состава всех аппаратных устройств компьютерной системы, включая периферийные устройства, списку аппаратных устройств, разрешенных системой защиты информации для использования в составе компьютерной системы, а также соответствия параметров выявленных в компьютерной системе физических аппаратных устройств, разрешенным параметрам, установленным системой защиты информации для данного состава аппаратных устройств, установление для каждой роли, предусматриваемой системой защиты информации, списка разрешенных для использования в рамках данной роли физических аппаратных устройств, блокирование компьютерной системы при выявлении аппаратного устройства, не находящегося в списке аппаратных устройств, разрешенных системой защиты информации к использованию в составе компьютерной системы для ролей пользователей и администраторов, блокирование компьютерной системы при несоответствии параметров выявленных физических аппаратных устройств разрешенным параметрам, установленным системой защиты информации для данного состава аппаратных устройств компьютерной системы для ролей пользователей и администраторов;
- управлением конфигурацией аппаратных средств компьютерной системы при работе компьютерной системы, обеспечивающим эшелонированную защиту от несанкционированного изменения конфигурации аппаратных средств компьютерной системы, от создания скрытых каналов несанкционированного доступа, как к вычислительным ресурсам
компьютерной системы, так и к программной среде виртуальной машины и к пользовательским обрабатываемым данным, подлежащим защите от НСД к информации, и основанным на: периодической проверке состава аппаратных средств компьютерной системы и параметров их функционирования, непрерывном анализе запросов от физических аппаратных устройств компьютерной системы на доступ к вычислительным ресурсам компьютерной системы (в том числе связанным с функционированием виртуальной машины);
- управлением конфигурацией аппаратных средств компьютерной системы при работе компьютерной системы в режиме обслуживания реализующим: осуществление непрерывного контроля системой защиты информации параметров функционирования всех аппаратных устройств компьютерной системы, а также проверку соответствия параметров физических устройств разрешенным параметрам, установленным системой защиты информации для конкретного типа устройств, поддержку в данных управления системы защиты информации списка аппаратных устройств, разрешенных к использованию в составе компьютерной системы, поддержку в данных управления системы защиты информации списка аппаратных устройств компьютерной системы, разрешенных для каждой роли, предусматриваемой системой защиты информации, возможность изменения списка аппаратных устройств, разрешенных к использованию в составе компьютерной системы и списка аппаратных устройств, разрешенных для каждой роли, предусматриваемой системой защиты информации;
- управлением конфигурацией аппаратных средств компьютерной системы при работе компьютерной системы в режиме аудита реализующим:
осуществление системой защиты информации непрерывного контроля параметров функционирования всех аппаратных устройств компьютерной системы, а также проверку соответствия параметров физических устройств разрешенным параметрам, установленным системой защиты информации для конкретного типа устройств, поддержку в данных управления системы защиты информации списка аппаратных устройств, разрешенных к использованию в составе компьютерной системы, поддержку в данных управления системы защиты информации списка аппаратных устройств компьютерной системы, разрешенных для каждой роли, предусматриваемой системой защиты информации, отключение аппаратных устройств и блокирование работы компьютерной системы при подключении аппаратного устройства, не находящегося в списке аппаратных устройств, разрешенных к использованию в составе компьютерной системы, блокирование работы компьютерной системы со стороны системы защиты информации при изменении параметров функционирования аппаратных устройств;
- управлением конфигурацией аппаратных средств компьютерной системы при работе компьютерной системы в эксплуатационном режиме реализующим: осуществление системой защиты информации непрерывного контроля параметров функционирования всех аппаратных устройств компьютерной системы, а также проверку соответствия параметров физических устройств разрешенным параметрам, установленным системой защиты информации для конкретного типа устройств, поддержку в данных управления системы защиты информации списка аппаратных устройств, разрешенных к использованию в составе компьютерной системы,
поддержку в данных управления системы защиты информации списка аппаратных устройств компьютерной системы, разрешенных для каждой роли, предусматриваемой системой защиты информации, отключение аппаратных устройств и блокирование работы компьютерной системы при подключении аппаратного устройства, не находящегося в списке аппаратных устройств, разрешенных к использованию в составе компьютерной системы, блокирование работы компьютерной системы со стороны системы защиты информации при изменении параметров функционирования аппаратных устройств;
- предоставлением доступа пользователям к ресурсам компьютерной системы или к виртуальным машинам только через роли с уникальными идентификаторами, присваиваемыми по результатам идентификации и аутентификации пользователя;
- однозначным запретом на запрос доступа любого не идентифицированного субъекта доступа к любым объектам доступа,
- запретом на любые запросы на прямой доступ между физическими аппаратными устройствами или шинами компьютерной системы, кроме устройств, сертифицированных по требованиям защиты информации государственными органами страны применения компьютерной системы, и виртуальными машинами;
- конфигурированием защиты оперативной памяти с помощью системы защиты информации от прямого доступа со стороны аппаратных устройств компьютерной системы, а именно: получением из аппаратного устройства системой защиты информации списка и параметров разрешенных устройств компьютерной системы, формированием системой защиты информации списка разрешенных к использованию в составе компьютерной системы устройств с возможностью прямого доступа к памяти,
получением системой защиты информации параметров прямого доступа к памяти от устройств, разрешенных к использованию в составе компьютерной системы, конфигурированием системой защиты информации защиты с помощью полученных параметров прямого доступа к оперативной памяти от устройств, разрешенных к использованию в составе компьютерной системы;
- защитой оперативной памяти компьютерной системы от прямого доступа со стороны аппаратных устройств компьютерной системы, обеспечиваемая системой защиты информации и включающей: генерацию запросов прямого доступа к оперативной памяти от физических аппаратных устройств компьютерной системы; сбор системой защиты информации данных или параметров, содержащихся в запросах прямого доступа к оперативной памяти от аппаратных устройств; осуществление проверки системой защиты информации собранных параметров запроса в соответствие с матрицей доступа при соответствии параметров, содержащихся в запросе, параметрам прямого доступа к памяти от устройств, разрешенных к использованию в составе компьютерной системы, выполнение разрешения запроса, в противном случае осуществление блокировки запроса, регистрацию системой защиты информации события блокировки запроса в журнале регистрации событий;
- разграничением доступа к внешним носителям информации или от внешних носителей информации, включающее: разрешением взаимодействия с внешним накопителем информации только одной виртуальной машине, при этом внешний накопитель информации становится недоступен для взаимодействия с другими виртуальными машинами,
последовательное использование внешнего накопителя информации виртуальными машинами при обмене информацией между виртуальными машинами, обеспечение доступа нескольких виртуальных машин к совместно используемому накопителю информации в режиме только чтение;
- осуществлением системой защиты информации фильтрации сетевого трафика по каждому протоколу сетевого взаимодействия в соответствии с матрицами доступа как при запросах, исходящих от виртуальной машины, так и при запросах, исходящих от физической сетевой карты, с учетом проверки типа запроса, поступившего от виртуальной машины, на его соответствие правилам разграничения доступа, установленным для уровней модели OSI или для соответствующих им протоколов, а также с учетом проверки данных, содержащихся в запросе виртуальной машины, на их соответствие атрибутам доступа, установленным системой защиты информации,
- осуществлением системой защиты информации регистрации событий во всех режимах работы, для каждого регистрируемого события в журнале регистрации событий сохраняется следующая информация о дате и времени события, субъекте доступа, вызывавшем регистрируемое событие, типе события (при регистрации события, связанного с доступом, также сохраняется информация об объекте и типе доступа), успешности осуществления события.
Устройство, реализующее предлагаемый способ, включает систему защиты информации, содержащую контроллер, память, в том числе в защищенном исполнении, подключенные к компьютерной шине, гипервизор первого типа с подсистемой запуска, подсистемой разграничения доступа, подсистемой администрирования и подсистемой регистрации событий, реализуемые на базе одного или нескольких центральных процессоров, а также чипсет, память, компьютерные шины, накопитель на жестком магнитном диске, твердотельный накопитель, USB-флэш накопитель,
клавиатуру, мышь, CD/DVD/Blu-ray оптический диск, сетевую карту, видеокарту, монитор, принтер, сканер, многофункциональное устройство.
В качестве компьютерных шин могут быть использованы PCI, PCIExpress, SMBus, USB, АТА, SATA, PS/2, SCSI, SAS, Fibre Channel, InfiniBand, I2C, SPI, FireWire, DMI, HyperTransport, Thunderbolt.
Пример реализации предлагаемого способа и устройства.
Рассмотрим поэтапно предварительную подготовку аппаратной платформы: а) отключение (нейтрализация) устройств аппаратной платформы компьютерной системы, не участвующих в обработке, хранении и передаче информации или представляющих угрозу безопасности информации.
Отключение (нейтрализация) устройств аппаратной платформы компьютерной системы, не участвующих в обработке, хранении и передаче информации или представляющих угрозу безопасности информации включает реализацию следующих мер:
• физическое отключение в аппаратной платформе компьютерной системы, по возможности, электропитания хост-контроллеров шин, не участвующих в обработке и передаче информации или представляющих угрозу безопасности информации. При отсутствии возможности физического отключения электропитания хост-контроллеров шин, должна быть произведена нейтрализация их работы путем блокировки неиспользуемых аппаратных интерфейсов (портов, разъемов, слотов);
• физическое отключение в аппаратной платформе компьютерной системы, по возможности, электропитания устройств, не участвующих в обработке, хранении и передаче информации или представляющих угрозу безопасности информации:
- устройств, использующих беспроводные каналы связи (например, WiFi, 3G, Bluetooth, NFC и т.д.);
- устройств, позволяющих отслеживать действия пользователя (например, веб-камера, микрофон, модули позиционирования, сенсоры и т.д.);
- устройств удаленного управления аппаратной платформой компьютерной системы;
- устройств управления электропитанием аппаратной платформы компьютерной системы.
• при отсутствии возможности отключения электропитания указанных устройств произведена их нейтрализация путем удаления встроенного в них микропрограммного кода, создающего угрозы безопасности информации.
• если часть встроенного микропрограммного кода не создает угрозы безопасности информации в аппаратной платформе компьютерной системы и не может быть удалена без прекращения функционирования соответствующего устройства, представлено убедительное доказательство невозможности возникновения угроз безопасности информации в аппаратной платформе компьютерной системы при использовании указанного кода;
• в аппаратной платформе компьютерной системы блокированы неиспользуемые аппаратные интерфейсы (порты) следующих устройств: видеоадаптера, проводного сетевого адаптера, аудио-контроллера, устройств (плат) расширения и т.д.; б) устранение избыточности микропрограммного кода, размещенного в коммерческих аппаратных платформах.
Из состава микропрограммного кода аппаратной платформы компьютерной системы удален избыточный исполняемый код для различных стадий инициализации/работы микропрограммного кода.
Например, в базовой системе ввода-вывода удалены:
• компоненты, реализующие драйверы сетевых карт и стек сетевых протоколов;
• компоненты, реализующие стандартные файловые системы (FAT, NTFS, exFAT и т.д.);
• компоненты, реализующие программное обеспечение Computrace;
• компоненты поддержки Intel Management Engine;
• компоненты, реализующие EFI-оболочки (Shell), из-под которых можно запускать различные EFI-приложения;
• компоненты, реализующие EFI-приложения;
• и т.д.; в) устранение избыточности исполняемого кода привилегированных режимов функционирования аппаратной платформы компьютерной системы и его защита от модификации.
Из состава исполняемого кода привилегированных режимов функционирования аппаратной платформы компьютерной системы удален исполняемый код компонентов обновления микропрограммного кода аппаратной платформы компьютерной системы (например, UEFI BIOS в режиме SMM);
Рассмотрим обеспечение доверенной загрузки аппаратной платформы компьютерной системы.
СЗИ обеспечивает доверенную загрузку аппаратной платформы компьютерной системы с последовательным подтверждением целостности микропрограммных компонентов аппаратной платформы компьютерной системы, участвующих в цепочке доверенной загрузки.
При этом передача функций управления следующему микропрограммному компоненту аппаратной платформы компьютерной системы, участвующему в цепочке доверенной загрузки, производится от предыдущего микропрограммного компонента аппаратной платформы компьютерной системы только при подтверждении целостности этого компонента.
При отсутствии подтверждения целостности любого из микропрограммных компонентов аппаратной платформы компьютерной системы, участвующих в цепочке доверенной загрузки, дальнейшая загрузка компьютерной системы запрещается.
Перед началом доверенной загрузки СЗИ обеспечивает проверку аутентичности микропрограммного кода аппаратной платформы компьютерной системы (например, базовой системы ввода-вывода) используемого при доверенной загрузке.
Микропрограммный код аппаратной платформы компьютерной системы (например, базовая система ввода-вывода), используемый при доверенной загрузке компьютерной системы, защищен от несанкционированной модификации путем реализации следующих мер:
- удаления из состава микропрограммного кода компонентов обновления микропрограммного кода, в том числе в привилегированных режимах функционирования аппаратной платформы,
- обеспечения неизменности микропрограммного кода аппаратной платформы компьютерной системы (например, полной блокировки изменения содержимого флэш-памяти средствами микросхемы флэш-памяти).
Микропрограммный код аппаратной платформы компьютерной системы передает управление только микропрограммному обеспечению СЗИ.
При попытке загрузки нештатного программного обеспечения СЗИ блокирует загрузку аппаратной платформы компьютерной системы.
Микропрограммный код аппаратной платформы исключает возможность использования программным обеспечением компьютерной системы режимов энергопотребления аппаратной платформы, нарушающих цепочку доверенной загрузки.
Рассмотрим обеспечение доверенной загрузки СЗИ.
Доверенная загрузка СЗИ обеспечивается путем построения цепочки доверенной загрузки, при которой каждый компонент СЗИ, участвующий в цепочке доверенной загрузки СЗИ, по завершению своей инициализации подтверждает целостность следующего компонента перед передачей ему управления.
При отсутствии подтверждения целостности какого - либо компонента СЗИ, участвующего в цепочке доверенной загрузки, дальнейшая загрузка СЗИ и функционирование компьютерной системы прекращаются.
Рассмотрим обеспечение защиты микропрограммного кода аппаратной платформы и исполняемого кода СЗИ от анализа.
Защита микропрограммного кода аппаратной платформы от анализа обеспечивается специальными методами. Например, защита UEFI BIOS от анализа обеспечивается путем:
• обфускации программного кода,
• обезличивания стадии инициализации,
• обезличивания хранилища компонентов,
• обезличивания формата представления компонентов в составе UEFI
BIOS,
• и т.д.
Обеспечение защиты исполняемого кода СЗИ от анализа осуществляется путем обфускации исполняемого кода СЗИ.
Рассмотрим обеспечение запрета обновления микропрограммного кода аппаратной платформы, в том числе удаленного.
В аппаратной платформе компьютерной системы реализованы следующие меры по запрету обновления микропрограммного кода, используемого при доверенной загрузке аппаратной платформы компьютерной системы, в том числе удаленного:
- из состава микропрограммного кода удалены компоненты обновления микропрограммного кода, в том числе в привилегированных режимах функционирования аппаратной платформы (например, компонентов обновления UEFI BIOS в том числе в режиме SMM),
- обеспечена неизменность микропрограммного кода аппаратной платформы компьютерной системы (например, полной блокировкой изменения содержимого флэш-памяти средствами микросхемы флэш-памяти).
Восстановление микропрограммного кода аппаратной платформы, в том числе при сбоях аппаратной платформы компьютерной системы, обеспечивается только в рамках процедур восстановления безопасного состояния аппаратной платформы компьютерной системы.
Рассмотрим реализацию особенностей архитектуры СЗИ.
В компьютерной системе с помощью СЗИ обеспечивается создание защищенной среды функционирования виртуальной машины - как совокупности изолированной среды выполнения виртуальной машины и эмулированных аппаратных ресурсов путем:
• изоляции исполняемого кода СЗИ, от программного обеспечения компьютерной системы путем установки для него более высоких полномочий (системных привилегий),
• установления запрета поддержки файловых систем используемых в компьютерной системе операционных систем со стороны исполняемого кода СЗИ,
• энергонезависимого хранения и поддержки аппаратным устройством СЗИ контроля целостности с использованием контрольных сумм/хешей/криптографических значений, хранящихся в аппаратной устройстве СЗИ:
- параметров микропрограммного кода аппаратной платформы (например, базовой системы ввода - вывода),
- ПРД, связанных с ролями пользователей,
- исполняемого кода СЗИ,
- контрольных сумм/хэшей/криптографических значений,
- списка состава аппаратных ресурсов компьютерной системы используемого для контроля аппаратной конфигурации,
- журналов регистрации событий.
Рассмотрим обеспечение очистки областей памяти, содержащих данные СЗИ и виртуальных машин в устройствах хранения, перед их выделением/повторным использованием.
Перед выделением/повторным использованием областей памяти в устройствах хранения, содержащих данные СЗИ и виртуальных машин, СЗИ обеспечивает очистку этих областей, например, путем заполнения их случайными значениями или "нулями".
Рассмотрим обеспечение очистки областей оперативной памяти аппаратной платформы компьютерной системы перед их выделением/повторным использованием.
Перед выделением/повторным использованием областей оперативной памяти аппаратной платформы компьютерной системы для СЗИ и виртуальных машин, СЗИ обеспечивает очистку этих областей, например, путем их заполнения случайными значениями или "нулями".
Рассмотрим обеспечение изоляции виртуальных машин.
Виртуальным машинам выделяется уникальный набор ресурсов. СЗИ обеспечивает выделение следующих квот для использования их виртуальными машинами:
- квот вычислительных ресурсов компьютерной системы (количество ядер центрального процессора, модель процессора и т.д.),
- квот на использование ресурсов памяти,
- квот на использование ресурсов хранения данных (устройства хранения данных/разделы устройств хранения данных).
Рассмотрим реализацию особенностей передачи информации между виртуальными машинами в компьютерной системе.
Передача информации между виртуальными машинами осуществляется в эксплуатационном режиме работы СЗИ только через виртуальные устройства (виртуальные сетевые адаптеры, виртуальные съемные носители информации и т.п.). Любые другие операции, приводящие к прямой передаче информации между виртуальными машинами - запрещены.
Рассмотрим эмуляцию аппаратных устройств компьютерной системы.
СЗИ обеспечивает программную эмуляцию аппаратных ресурсов компьютерной системы. Пример состава вычислительных ресурсов
компьютерной системы (с учетом виртуальных вычислительных ресурсов, создаваемых СЗИ) и параметры, характеризующие каждый вычислительный ресурс компьютерной системы, приведен в таблице 1.
СЗИ обеспечивает программную эмуляцию используемого микропрограммного кода (например, базовой системы ввода-вывода).
При эмуляции накопителя информации (например, НЖМД и т.д.) в СЗИ существует возможность обеспечения программной обфускации сохраняемых данных с целью существенного затруднения их анализа.
Рассмотрим регистрацию событий в компьютерной системе.
СЗИ работы обеспечивает регистрацию следующих событий:
• событий запуска, функционирования и остановки работы гипервизора и виртуальных машин: событий запуска и остановки работы гипервизора, событий запуска и остановки работы виртуальных машин;
• событий аутентификации пользователей;
• событий, связанных с микропрограммным кодом аппаратной платформы (например, базовой системы ввода-вывода):
- событий проверки аутентичности микропрограммного кода аппаратной платформы (например, базовой системы ввода- вывода), используемого при доверенной загрузке,
- событий, связанных с передачей управления от микропрограммного кода аппаратной платформы (например, базовой системы ввода-вывода) программному обеспечению, размещенному на соответствующих устройствах хранения данных;
• событий, связанных с изменением состава и параметров функционирования аппаратных устройств компьютерной системы;
- событий, связанных с изменением состава аппаратных устройств компьютерной системы,
- событий, связанных с изменением параметров функционирования аппаратных устройств компьютерной системы;
• событий, связанных с нарушениями целостности:
- событий, связанных с нарушениями целостности микропрограммных компонентов аппаратной платформы компьютерной системы, участвующих в цепочке доверенной загрузки,
- событий, связанных с нарушением целостности исполняемых кодов и данных управления СЗИ, как во время запуска СЗИ, так и в процессе его функционирования,
- событий, связанных с действиями, осуществляемыми механизмом автоматического восстановления безопасного состояния аппаратной платформы компьютерной системы;
• событий, связанных с попытками нарушения правил разграничения доступа:
- событий, связанных с неудачными попытками идентификации и аутентификации пользователя,
- событий, связанных с несанкционированным запуском средств конфигурирования СЗИ,
- событий, связанных с попытками доступа к аппаратным ресурсам компьютерной системы;
• событий, связанных с несанкционированным изменением установленных квот:
- событий, связанных с несанкционированным превышением установленных квот вычислительных ресурсов компьютерной системы для виртуальных машин,
- событий, связанных с несанкционированным превышением установленных квот ресурсов памяти для виртуальных машин,
- событий, связанных с несанкционированным превышением установленных квот по использованию ресурсов хранения данных виртуальными машинами.
Для каждого регистрируемого события в журнале регистрации событий сохраняется следующая информация:
- дата и время события,
- субъект доступа, вызывающий регистрируемое событие,
- тип события (при регистрации события, связанного с доступом, также сохраняется информация об объекте и типе доступа),
- успешность осуществления события.
Рассмотрим восстановление безопасного состояния компьютерной системы.
СЗИ обеспечивает восстановление безопасного состояния с осуществлением следующих операций и процедур:
• операции остановки выполнения виртуальных машин до восстановления безопасного состояния компьютерной системы;
• операции перевода СЗИ в режим обслуживания;
• процедур регистрации в журнале событий сведений о нарушении безопасного состояния компьютерной системы, а также действий СЗИ.
СЗИ поддерживает режим обслуживания, в котором выполнение каких- либо действий разрешено только пользователю категории «Администратор защиты», который может выполнять:
• выявление причин нарушения безопасного состояния аппаратной платформы компьютерной системы;
• анализ причин перехода СЗИ в режим обслуживания;
• восстановление безопасного состояния аппаратной платформы компьютерной системы в соответствии с процедурами, приведенными в эксплуатационной документации.
Рассмотрим самотестирование механизмов защиты СЗИ.
Для поддержки безопасного состояния компьютерной системы СЗИ выполняет набор процедур самотестирования:
• в процессе загрузки СЗИ;
• периодически в процессе функционирования СЗИ;
• в процессе изменения данных управления СЗИ в режиме обслуживания.
Во время самотестирования механизмов защиты СЗИ обеспечивается проверка целостности данных управления и исполняемого кода СЗИ.
В способе защиты компьютерной системы от несанкционированного доступа к информации, реализуемой на уровне аппаратной платформы, в качестве субъектов доступа рассматриваются:
- виртуальные машины, как особые процессы, создаваемые СЗИ для реализации изолированной виртуальной вычислительной системы, в которой функционирует общесистемное и прикладное программное обеспечение (ПО);
- физические аппаратные устройства (шины и устройства) компьютерной системы.
В качестве объектов доступа, подлежащих защите от НСД к информации, реализуемой на уровне аппаратной платформы, рассматриваются:
- виртуальные машины;
- физические аппаратные устройства (шины и устройства) компьютерной системы.
В защищенной компьютерной системе используется аппаратная платформа, в которой предусмотрены:
- устранение функциональной избыточности нереконфигурируемых устройств аппаратной платформы и функциональной избыточности микропрограммного кода реконфигурируемых устройств аппаратной платформы, участвующих (в том числе и косвенно) в процессе обработки информации;
- отключение или нейтрализация устройств, входящих в состав системной (материнской) платы и не участвующих в процессе обработки информации или представляющих угрозу безопасности информации;
- устранение функциональной избыточности микропрограммного кода, размещенного в аппаратных платформах (микропрограммного кода базовой системы ввода-вывода, микропрограммного кода чипсета и т.п.);
- защита микропрограммного кода (базовой системы ввода-вывода и т.п.) от анализа;
- неизменность модифицированного или удаленного микропрограммного кода (микропрограммного кода базовой системы ввода- вывода, микропрограммного кода чипсета и т.п.).
Для защиты компьютерной системы от НСД к информации на уровне аппаратной платформы применяется аппаратно-микропрограммное СЗИ, которое является неотъемлемой частью аппаратной платформы.
Аппаратная часть СЗИ представлена устройством, в том числе в защищенном исполнении, обеспечивающим энергонезависимое хранение:
- параметров микропрограммного кода аппаратной платформы (например, базовой системы ввода-вывода);
- правил разграничения доступа (далее - ПРД);
- исполняемого кода СЗИ;
- контрольных сумм/хэшей/значений обратимого преобразования информации;
- данных управления, используемых СЗИ для реализации управления и функций безопасности компьютерной системы;
- журналов регистрации событий.
Микропрограммная часть СЗИ может иметь как монолитную, так и модульную архитектуру и состоит из нескольких подсистем.
На Фигуре 1 приведена упрощенная базовая схема функционирования встроенного в типовую архитектуру аппаратной платформы СЗИ, обеспечивающего защиту компьютерной системы от НСД к информации, в
которой 1 - виртуальная машина, 2 - СЗИ, 3 - аппаратное обеспечение компьютерной системы, т.е. физические аппаратные устройства (устройства/шины). На Фигуре 1 приведена только одна виртуальная машина, однако виртуальных машин может быть несколько.
В соответствии со схемой, приведенной на Фигуре 1, общесистемное и прикладное ПО компьютерной системы устанавливается и функционирует на уровне виртуальной машины 1.
Основой СЗИ 2 является гипервизор 1-го типа, использующий аппаратные средства виртуализации оперативной памяти и системы команд микропрограммного обеспечения, функционирующего на уровне аппаратной виртуализации, предоставляемом центральным процессором компьютерной системы.
СЗИ предоставляет виртуальной машине интерфейсы взаимодействия только с виртуальными вычислительными ресурсами, созданными СЗИ. При этом виртуальная машина воспринимает виртуальные вычислительные ресурсы, созданные СЗИ, как физические вычислительные ресурсы компьютерной системы. Специализированных интерфейсов взаимодействия с другими подсистемами СЗИ, в том числе с гипервизором 1-го типа, виртуальная машина не имеет.
На Фигуре 2 представлена упрощенная архитектура СЗИ, представляющая собой совокупность основных подсистем, а также взаимосвязи между подсистемами, где 4 - подсистема запуска СЗИ (включает в себя поддержку аппаратного устройства СЗИ), 5 - подсистема разграничения доступа, 6 - подсистема администрирования (работы с пользователем), 7 - подсистема регистрации событий (журнал регистрации событий).
Подсистема запуска СЗИ предоставляет следующие основные функции:
- поддержку аппаратного устройства СЗИ в составе микропрограммного кода аппаратной платформы (например, базовой системы ввода-вывода);
- доверенную загрузку;
- контроль целостности микропрограммного кода аппаратной платформы;
- хранение параметров микропрограммного кода аппаратной платформы.
Подсистема разграничения доступа предоставляет следующие основные функции:
- управление памятью (выделение, освобождение и отображение физической памяти в адресное пространство виртуальной машины);
- управление приоритетом выполнения исполняемого кода;
- управление программными интерфейсами СЗИ;
- управление временем и таймером;
- аутентификацию пользователя;
- управление режимами работы СЗИ;
- контроль состава аппаратных средств компьютерной системы;
- защиту оперативной памяти от аппаратных средств компьютерной системы;
- самотестирование механизмов защиты СЗИ;
- контроль и разграничение доступа между виртуальными устройствами и аппаратными средствами компьютерной системы;
- управление носителями информации;
- преобразование данных носителей информации;
- фильтрация сетевого трафика;
- поддержку виртуальных устройств и аппаратных средств компьютерной системы;
- гипервизор.
Подсистема администрирования (работы с пользователем) предоставляет следующие основные функции:
- установку параметров работы СЗИ, а также виртуальной машины;
- работу (например, просмотр) с журналом регистрации событий.
Подсистема регистрации событий (журнал регистрации событий) предоставляет основную функцию ведения журнала регистрации событий.
Базовая схема функционирования СЗИ, встроенного в типовую архитектуру аппаратной платформы и обеспечивающего защиту компьютерной системы от НСД к информации основана:
- на обработке запросов от виртуальной машины на доступ к физическим аппаратным устройствам (шинам и устройствам);
- на обработке запросов от физических аппаратных устройств, включая устройства аппаратной платформы (шины и устройства), на доступ к виртуальной машине.
СЗИ обеспечивает обработку запросов виртуальной машины на доступ к физическим аппаратным устройствам компьютерной системы в следующем порядке:
1. Виртуальная машина осуществляет запрос на доступ к физическим аппаратным устройствам на основе предоставляемых виртуальных ресурсов.
2. СЗИ осуществляет сбор (перехват) данных/параметров, содержащихся в запросе виртуальной машины.
3. СЗИ на основании собранных (перехваченных) данных/параметров и в соответствии с ПРД субъектов доступа к объектам доступа осуществляет проверку правомочности запроса.
4. При положительном результате проверки СЗИ преобразует данные/параметры виртуальных вычислительных ресурсов в данные/параметры физических вычислительных ресурсов и передает преобразованный запрос соответствующему физическому аппаратному устройству.
5. При отрицательном результате проверки запрос отклоняется.
В этом случае надо понимать, что правила разграничения доступа (ПРД) учитывают\включают проверку:
- идентификационных данных виртуальной машины, содержащихся в запросе, с данными СЗИ, а также типа виртуального ресурса и типа запроса, осуществленного виртуальной машиной.
- соответствие данных/параметров, содержащихся в запросе виртуальной машины спецификации (например, СЗИ обеспечивает строгое выполнение устройствами инструкций, определенных спецификациями на данные устройства, путем контроля списков разрешенных инструкций и отклонения любых инструкций не соответствующих списку разрешенных инструкций);
- дополнительные ПРД субъектов доступа к объектам доступа (например, при доступе к накопителям информации, разделам накопителей информации, сетевой карте);
- и т.д.
СЗИ обеспечивает обработку запросов от физических аппаратных устройств компьютерной системы на доступ к виртуальной машине в следующем порядке:
1. Физические аппаратные устройства (шины и устройства) компьютерной системы осуществляют запрос на доступ к виртуальным вычислительным ресурсам на основе параметров физических вычислительных ресурсов.
2. СЗИ осуществляет сбор (перехват) данных/параметров, в запросах от физических аппаратных устройств.
3. СЗИ на основании собранных (перехваченных) данных/параметров и в соответствии с ПРД субъектов доступа к объектам доступа осуществляет проверку правомочности запроса.
4. При положительном результате проверки СЗИ преобразует данные/параметры физических вычислительных ресурсов компьютерной системы в данные/параметры виртуальных вычислительных ресурсов и передает преобразованный запрос от
физического аппаратного устройства компьютерной системы виртуальной машине.
5. При отрицательном результате проверки запрос отклоняется.
В этом случае надо понимать, что ПРД учитывают\включают проверку:
- идентификационных данных физического аппаратного устройства компьютерной системы и/или определение типа аппаратного устройства и типа запроса;
- данных/параметров, содержащихся в запросе от физических аппаратных устройств компьютерной системы, на их соответствие спецификации (например, СЗИ обеспечивает строгое выполнение устройствами аппаратной платформы инструкций, определенных спецификациями на данные устройства, посредством контроля списков разрешенных инструкций и отклонения любых инструкций не соответствующих списку разрешенных инструкций);
- дополнительных ПРД субъектов доступа к объектам доступа (например, при доступе к накопителям информации, разделам накопителей информации, сетевой карте);
- и т.д.
Способ защиты компьютерной системы от НСД к информации, реализуемый на уровне аппаратной платформы, предусматривает выполнение следующих функций:
- управление конфигурацией аппаратных средств компьютерной системы;
- управление доступом;
- управление информационными потоками.
Рассмотрим управление конфигурацией аппаратных средств.
СЗИ обеспечивает управление конфигурацией аппаратных средств, при запуске компьютерной системы и в режимах функционирования компьютерной системы, устанавливаемых СЗИ, в том числе:
- при запуске компьютерной системы:
определение фактического состава всех аппаратных устройств, а также параметров их функционирования; первичную проверку соответствия фактического состава всех аппаратных устройств компьютерной системы, включая периферийные устройства, списку аппаратных устройств, разрешенных СЗИ для использования в составе компьютерной системы, а также соответствия параметров выявленных в компьютерной системе физических аппаратных устройств атрибутам безопасности (разрешенным параметрам), установленным СЗИ для данного состава аппаратных устройств; установление для каждой роли, предусматриваемой СЗИ, перечня (списка) разрешенных для использования в рамках данной роли физических аппаратных устройств; блокирование компьютерной системы при выявлении какого-либо аппаратного устройства, не находящегося в список аппаратных устройств, разрешенных СЗИ к использованию в составе компьютерной системы для ролей пользователей и администраторов; блокирование компьютерной системы при несоответствии параметров выявленных физических аппаратных устройств атрибутам безопасности (разрешенным параметрам), установленным СЗИ для данного состава аппаратных устройств компьютерной системы для ролей пользователей и администратора безопасности;
- в режиме обслуживания: непрерывный контроль параметров функционирования всех аппаратных устройств компьютерной системы, а также проверки соответствия параметров физических устройств атрибутам безопасности, (разрешенным параметрам), установленным СЗИ для конкретного типа устройств; поддержку в данных управления СЗИ списка аппаратных устройств, разрешенных к использованию в составе компьютерной системы (белого списка);
поддержку в данных управления СЗИ списка аппаратных устройств компьютерной системы, разрешенных для каждой роли, предусматриваемой СЗИ; возможность изменения списка аппаратных устройств, разрешенных к использованию в составе компьютерной системы (белого списка) и списка аппаратных устройств, разрешенных для каждой роли, предусматриваемой СЗИ;
- в режиме аудита: непрерывный контроль параметров функционирования всех аппаратных устройств компьютерной системы, а также проверки соответствия параметров физических устройств атрибутам безопасности, (разрешенным параметрам), установленным СЗИ для конкретного типа устройств; поддержку в данных управления СЗИ списка аппаратных устройств, разрешенных к использованию в составе компьютерной системы (белого списка); поддержку в данных управления СЗИ списка аппаратных устройств компьютерной системы, разрешенных для каждой роли, предусматриваемой СЗИ; отключение аппаратных устройств и/или блокирование работы компьютерной системы при подключении какого - либо аппаратного устройства, не находящегося в списке аппаратных устройств, разрешенных к использованию в составе компьютерной системы; блокирование работы компьютерной системы со стороны СЗИ при изменении параметров функционирования аппаратных устройств;
- в эксплуатационном режиме: непрерывный контроль параметров функционирования всех аппаратных устройств компьютерной системы, а также проверки соответствия параметров физических устройств атрибутам безопасности, (разрешенным параметрам), установленным СЗИ для конкретного типа устройств;
поддержку в данных управления СЗИ списка аппаратных устройств, разрешенных к использованию в составе компьютерной системы (белого списка); поддержку в данных управления СЗИ списка аппаратных устройств компьютерной системы, разрешенных для каждой роли, предусматриваемой СЗИ; отключение аппаратных устройств и/или блокирование работы компьютерной системы при подключении какого-либо аппаратного устройства, не находящегося в списке аппаратных устройств, разрешенных к использованию в составе компьютерной системы; блокирование работы компьютерной системы со стороны СЗИ при изменении параметров функционирования аппаратных устройств.
Рассмотрим управление доступом.
В состав управления доступом входят:
- управление доступом на основе ролей.
- управление доступом субъектов доступа к объектам доступа, в том числе: базовое управление доступом субъектов доступа к объектам доступа; управление доступом субъектов доступа к накопителям информации; управление доступом субъектов доступа (аппаратных устройств компьютерной системы) к оперативной памяти.
Рассмотрим управление доступом на основе ролей.
Управление доступом в компьютерной системе на основе ролей, рассматриваемое в настоящем техническом решении, является основой для управления доступом, поскольку создание виртуальных машин и предоставление виртуальным машинам доступа к физическим аппаратным устройствам компьютерной системы осуществляется в соответствии с ролевой моделью доступа.
Управление доступом в компьютерной системе на основе ролей, рассматриваемое в настоящем техническом решении, характеризуется
ключевой особенностью, состоящей в том, что доступ к ресурсам компьютерной системы предоставляется только через роли.
При этом под ролью понимается совокупность возможностей, предоставляемых пользователю в сеансе работы компьютерной системы, в зависимости от обязанностей, выполняемых пользователем (например, обработка и хранение информации).
Роль характеризуется профилем роли и ассоциируется с уникальным идентификатором роли, присваиваемым по результатам идентификации и аутентификации пользователя.
При управлении доступом в компьютерной системе на основе ролей пользователи получают доступ к аппаратным ресурсам компьютерной системы и/или к виртуальным машинам только через присвоенные им роли.
Управление доступом к аппаратным ресурсам компьютерной системы и/или к виртуальным машинам основывается не на принадлежности ресурса, а на выполнении соответствующим пользователем своих обязанностей (например, обработка и хранение информации).
Управление доступом в компьютерной системе на основе ролей, рассматриваемое в настоящем техническом решении, больше связано с управлением доступом к операциям над объектами доступа в компьютерной системе, а не с управлением доступом непосредственно к объектам доступа.
Роль выполняется в конкретном сеансе работы пользователя и основана на статическом разделении обязанностей между категориями пользователей.
Рассмотрим базовое управление доступом субъектов доступа к объектам доступа в компьютерной системе.
Базовое управление доступом субъектов доступа к объектам доступа реализуется в соответствии со схемой функционирования встроенного в типовую архитектуру аппаратной платформы компьютерной системы СЗИ, обеспечивающего защиту компьютерной системы от НСД к информации, приведенной на Фигуре 2.
Базовое управление доступом субъектов доступа к объектам доступа в компьютерной системе предусматривает обязательную реализацию следующих правил:
1. Запрос на доступ любого неидентифицированного субъекта доступа к любым объектам доступа однозначно запрещается.
2. Любые запросы на прямой доступ между физическими аппаратными устройствами/шинами компьютерной системы, кроме устройств, сертифицированных по требованиям защиты информации государственными органами страны применения компьютерной системы, и виртуальными машинами должны быть запрещены.
3. Любым субъектам доступа должен быть запрещен доступ:
- к данным управления СЗИ;
- к образам виртуальных машин;
- к параметрам виртуальных машин;
- к списку аппаратных устройств/шин компьютерной системы, участвующих в обработке информации;
- к списку состава аппаратных устройств/шин компьютерной системы, используемому для контроля целостности аппаратных ресурсов компьютерной системы;
- к данным, характеризующим виртуальные машины и их состояние;
- к журналам регистрации событий.
Базовое управление субъектов доступа к объектам доступа в компьютерной системе является базовой концептуальной основой для обеспечения изоляции данных управления компьютерной системы, используемых СЗИ, и данных, обрабатываемых программным обеспечением, установленным в компьютерной системе, от аппаратных устройств/шин компьютерной системы.
СЗИ создает защищенную среду функционирования для каждой виртуальной машины с помощью базового управления доступом субъектов доступа к объектам доступа в компьютерной системе.
Базовое управление субъектов доступа к объектам доступа в компьютерной системе непосредственно связано с управлением конфигурацией аппаратных средств компьютерной системы, основанной на списке аппаратных устройств, разрешенных к использованию в составе компьютерной системы.
Рассмотрим управление доступом субъектов доступа к накопителям информации.
Управление доступом субъектов доступа к накопителям информации в компьютерной системе предусматривает:
- управление доступом субъектов доступа к накопителям информации с разделами, разделам накопителей информации;
- управление доступом субъектов доступа к накопителям информации без разделов.
Управление доступом субъектов доступа к накопителям информации в компьютерной системе основано на базовой схеме функционирования встроенного в типовую архитектуру аппаратной платформы СЗИ, обеспечивающего защиту компьютерной системы от НСД к информации с учетом того, что:
- в качестве физического аппаратного устройства выступает физический накопитель информации;
- ПРД в том числе учитывают\включают проверку дополнительных ПРД субъектов доступа к объектам доступа (например, при доступе к накопителям информации, разделам накопителей информации).
Рассмотрим управление доступом субъектов доступа (аппаратных устройств компьютерной системы) к оперативной памяти.
Управление доступом субъектов доступа (аппаратных устройств компьютерной системы) к оперативной памяти основано на алгоритме защиты
оперативной памяти от прямого доступа со стороны аппаратных устройств компьютерной системы.
СЗИ обеспечивает конфигурирование защиты оперативной памяти от прямого доступа со стороны аппаратных устройств компьютерной системы в соответствии с алгоритмом:
1. СЗИ запрашивает и получает из аппаратного устройства СЗИ список и параметры разрешенных устройств компьютерной системы.
2. СЗИ формирует «белый» список устройств с возможностью прямого доступа к памяти.
3. СЗИ получает параметры прямого доступа к памяти от устройств из «белого» списка.
4. СЗИ производит конфигурирование защиты с помощью полученных параметров прямого доступа к оперативной памяти от устройств компьютерной системы из «белого» списка.
Защита оперативной памяти компьютерной системы от прямого доступа со стороны аппаратных устройств компьютерной системы обеспечивается СЗИ в соответствии с алгоритмом:
1. Физические аппаратные устройства компьютерной системы (устройства/шины) генерируют запросы прямого доступа к оперативной памяти.
2. СЗИ осуществляет сбор (перехват) данных (параметров), содержащихся в запросах прямого доступа к оперативной памяти от аппаратных устройств.
3. СЗИ осуществляет проверку собранных (перехваченных) параметров запроса в соответствие с матрицей доступа (пример матрицы доступа приведен в таблице . При соответствии параметров, содержащихся в запросе, параметрам прямого доступа к памяти от устройств из «белого» списка, запрос разрешается. В противном случае осуществляется блокировка запроса.
4. СЗИ регистрирует событие блокировки запроса в журнале регистрации событий.
Рассмотрим управление информационными потоками.
Для каждой виртуальной машины создается своя защищенная среда выполнения (виртуальные машины изолированы друг от друга). Обмен информации между виртуальными машинами возможен только посредством внешних накопителей информации и сетевого взаимодействия.
Для сокращения объема НЖМД в компьютерной системе виртуальными машинами может быть использован совместный доступ виртуальных машин к накопителю информации с разделом (например, НЖМД (разделу НЖМД) и т.д.).
В настоящем техническом решении компьютерной системы от НСД к информации, реализуемой на уровне аппаратной платформы компьютерной системы, предусмотрены следующие виды управления информационными потоками:
- управление информационными потоками при совместном использовании накопителя информации, раздела накопителя информации несколькими виртуальными машинами;
- управление информационными потоками при сетевом взаимодействии компьютерной системы.
Рассмотрим управление информационными потоками при совместном использовании накопителя информации несколькими виртуальными машинами.
Управление информационными потоками при совместном использовании накопителя информации (например, НЖМД и т.д.) несколькими виртуальными машинами основана на механизмах СЗИ, обеспечивающих возможность использования накопителя информации (например, НЖМД и т.д.) несколькими виртуальными машинами одновременно (например, системного раздела с установленной ОС). СЗИ обеспечивает неизменность совместно используемого накопителя информации
(например, НЖМД (раздела НЖМД) и т.д.) предоставляя доступ виртуальных машин к совместно используемому накопителю информации в режиме только чтение.
Обмен информации между виртуальными машинами посредством внешних накопителей информации осуществляется в режиме последовательного использования внешнего накопителя информации виртуальными машинами. С внешним накопителем информации может взаимодействовать только одна виртуальная машина. В случае, когда внешний накопитель информации уже используется виртуальной машиной, он становится недоступным для взаимодействия другим виртуальным машинам. Для взаимодействия внешнего накопителя информации с другой виртуальной машиной из первой он должен быть извлечен (например, первую виртуальную машину необходимо выключить). Разграничение доступа к\от внешних носителей информации относится к разграничению доступа к устройствам и было рассмотрено выше.
Рассмотрим управление информационными потоками при сетевом взаимодействии компьютерной системы.
Управление информационными потоками при сетевом взаимодействии компьютерной системы основано на механизмах СЗИ, обеспечивающих фильтрацию сетевого трафика.
СЗИ осуществляет фильтрацию сетевого трафика по каждому протоколу сетевого взаимодействия как при запросах, исходящих от виртуальной машины (исходящие запросы), так и при запросах, исходящих от физической сетевой карты (входящие запросы).
Управление информационными потоками при сетевом взаимодействии компьютерной системы основано на базовой схеме функционирования встроенного в типовую архитектуру аппаратной платформы средства защиты информации (СЗИ), обеспечивающего защиту компьютерной системы от НСД к информации с учетом того, что:
- в качестве физического аппаратного устройства выступает физическая сетевая карта;
- правила разграничения доступа в том числе учитывают\включают проверку: типа запроса, поступившего от виртуальной машины, на его соответствие правилам разграничения доступа, установленным для уровней модели OSI (например, канального, сетевого и транспортного) и\или для соответствующих им протоколов (например, Ethernet, IPv4, ICMP, TCP, UDP); данных, содержащихся в запросе виртуальной машины, на их соответствие атрибутам доступа (применение правил фильтрации), установленным СЗИ; и т.д.
СЗИ осуществляет фильтрацию сетевого трафика по каждому протоколу сетевого взаимодействия в соответствии с матрицами доступа как при запросах, исходящих от виртуальной машины (исходящие запросы), так и при запросах, исходящих от физической сетевой карты (входящие запросы).
При наличии в компьютерной системе одной виртуальной машины допускается отключение фильтрации сетевого трафика в СЗИ, если фильтрацию сетевого трафика обеспечивает установленный за компьютерной системой аппаратный маршрутизатор и/или межсетевой экран.
При наличии в компьютерной системе нескольких виртуальных машин, СЗИ обеспечивает фильтрацию сетевого трафика между виртуальными машинами.
В таблице 1 приведен пример состава вычислительных ресурсов компьютерной системы (с учетом виртуальных вычислительных ресурсов, создаваемых СЗИ) и параметры, характеризующие каждый вычислительный ресурс компьютерной системы.
При этом состав и параметры виртуальных ресурсов, созданных СЗИ, отличаются от состава и параметров физических аппаратных устройств компьютерной системы с целью:
- гарантированного выявления несанкционированных запросов виртуальной машины на доступ к физическим аппаратным устройствам компьютерной системы, включая устройства аппаратной платформы (шины и устройства);
- обеспечения невозможности эксплуатации уязвимостей устройств компьютерной системы для любого ПО, выполняющегося внутри виртуальной машины.
Управление конфигурацией
Рассмотрим управление конфигурацией аппаратных средств компьютерной системы при запуске компьютерной системы.
При запуске компьютерной системы СЗИ обеспечивает управление конфигурацией аппаратных средств в следующей последовательности: сбор данных о фактическом составе всех аппаратных устройств компьютерной системы, а также параметров их функционирования осуществляется посредством запросов к шинам (например, PCI/PCI Express, USB, SATA и т.д.). На основе собранных данных составляется список подключенных устройств и их параметров. Параметры функционирования устройств выбираются исходя из типа устройств.
Пример списка выявляемых аппаратных устройств компьютерной системы и их параметры приведен в таблице 2.
Сбор данных о фактическом составе всех аппаратных устройств компьютерной системы, а также параметров их функционирования, осуществляется при каждом запуске компьютерной системы.
СЗИ сравнивает собранные данные с аналогичными данными, сохраненными ранее в данных управления СЗИ и выполняющими (в части параметров функционирования устройств) роль атрибутов безопасности. В случае обнаружения несоответствия между составом аппаратных устройств и/или параметров функционирования устройств с данными управления СЗИ загрузка СЗИ обеспечивается только в режиме обслуживания.
Контроль состава и параметров функционирования аппаратных устройств компьютерной системы производится для каждого типа устройств и каждого параметра функционирования устройств (пример списка для компьютерной системы приведен ранее в таблице 2, и в соответствии с матрицей, устанавливающей правила проверки соответствия фактического состава всех выявленных аппаратных устройств компьютерной системы, списку аппаратных устройств, разрешенных для использования в составе компьютерной системы, а также соответствия параметров выявленных физических аппаратных устройств атрибутам безопасности (разрешенным параметрам), установленным для данного состава аппаратных устройств. Пример матрицы для устройств, подключаемых к шине PCI/PCI Express, приведен в таблице 3.
СЗИ инициирует установку для каждой роли, предусматриваемой СЗИ, перечня (списка) разрешенных для использования в рамках данной роли физических аппаратных устройств.
СЗИ получает данные, аутентифицирующие пользователя и характеризующих его роль в текущем сеансе работы компьютерной системы (из аппаратного устройства СЗИ) и определяет режим функционирования (режим обслуживания, эксплуатационный режим или режим аудита).
В случае обеспечения загрузки СЗИ только в режиме обслуживания и определении эксплуатационного режима или режима аудита осуществляется запись данных о событии, связанном с выявлением неизвестного устройства, в журнал регистрации событий СЗИ с дальнейшей блокировкой работы компьютерной системы.
В случае обеспечения загрузки СЗИ только в режиме обслуживания и определении режима обслуживания СЗИ позволит пользователю, аутентифицированному в качестве администратора защиты осуществить просмотр журнала регистрации событий или выполнить настройки и конфигурирование СЗИ.
В случае отсутствия обеспечения загрузки СЗИ только в режиме обслуживания:
- при определении СЗИ режима обслуживания СЗИ позволит пользователю, аутентифицированному в качестве администратора защиты осуществить просмотр журнала регистрации событий или выполнить настройки и конфигурирование СЗИ;
- при определении СЗИ режима аудита СЗИ позволит пользователю, аутентифицированному в качестве администратора безопасности осуществить работу с журналом регистрации событий;
- при определении СЗИ эксплуатационного режима СЗИ функционирует в соответствии с данными, аутентифицирующими пользователя и характеризующими его роль в текущем сеансе работы компьютерной системы. Далее для обеспечения функционирования компьютерной системы в эксплуатационном режиме на основании полученных данных СЗИ создает виртуальные ресурсы компьютерной системы в соответствии со списком виртуальных устройств, присущим данной роли пользователя. Далее СЗИ осуществляет поддержку физических аппаратных устройств компьютерной системы, строго соответствующих списку виртуальных ресурсов, присущих данной роли пользователя. После создания виртуальных ресурсов компьютерной системы для роли пользователя в текущем сеансе работы и осуществления поддержки физических аппаратных устройств, СЗИ создает виртуальную машину в конфигурации, соответствующей данной роли пользователя в текущем сеансе эксплуатационного режима функционирования.
Рассмотрим управление конфигурацией аппаратных средств компьютерной системы при работе компьютерной системы.
При работе компьютерной системы СЗИ обеспечивает управление конфигурацией аппаратных средств компьютерной системы по двум различным схемам:
- по схеме, основанной на механизмах периодической проверки состава аппаратных средств компьютерной системы и параметров их функционирования ;
- по схеме, основанной на непрерывном анализе запросов от физических аппаратных устройств компьютерной системы на доступ к вычислительным ресурсам компьютерной системы (в том числе связанным с функционированием виртуальной машины).
Рассмотрим схему, основанную на механизмах периодической проверки состава аппаратных средств компьютерной системы и параметров их функционирования.
При проведении периодической проверки состава аппаратных средств компьютерной системы и параметров их функционирования СЗИ осуществляет:
- запросы к шинам (например, PCI/PCI Express, USB, SATA и т.д.) с целью выявления устройств, подключенных к данным шинам, и их параметров;
- определение состава выявленных устройств и их параметров;
- получение списка подключенных к компьютерной системе устройств в данном сеансе работы компьютерной системы и списка устройств, разрешенных к использованию в составе компьютерной системы (белого списка);
- определение наличия изменений в составе выявленных устройств и/или их параметров путем сравнения соответствующих данных, в том числе определение выявленного устройства, подключенного в «горячем» режиме, и его параметров.
В режиме обслуживания при выявлении устройства, подключенного в «горячем» режиме и не предусмотренного в списке разрешенных СЗИ устройств для данного сеанса работы, или предусмотренного в списке разрешенных устройств для данного сеанса работы, но имеющего другие параметры функционирования, СЗИ обеспечивает возможность настройки
ПРД для обнаруженного устройства и сохранения изменений конфигурации. При сохранении конфигурации происходит формирование нового списка разрешенных СЗИ устройств и сохранение его в конфигурационных данных СЗИ.
В режиме аудита и эксплуатационном режиме при выявлении устройства, подключенного в «горячем» режиме и не предусмотренного в списке разрешенных СЗИ устройств для данного сеанса работы, или предусмотренного в списке разрешенных СЗИ устройств для данного сеанса работы, но имеющего другие параметры функционирования, СЗИ:
- отражает событие и данные о событии, связанном с выявлением устройства, подключенном в «горячем» режиме, в журнале регистрации событий;
- обеспечивает последующее включение компьютерной системы только в режиме обслуживания компьютерной системы;
- отражает событие и данные о событии, связанном с переводом СЗИ в режим обслуживания компьютерной системы, в журнале регистрации событий;
- блокирует работу компьютерной системы.
В режиме аудита при выявлении устройства, подключенного в «горячем» режиме, и предусмотренного в списке разрешенных СЗИ устройств для данного сеанса работы, а также имеющего разрешенные СЗИ параметры функционирования, СЗИ обеспечивает работу с журналом регистрации событий.
В эксплуатационном режиме при выявлении устройства, подключенного в «горячем» режиме, и предусмотренного в списке разрешенных СЗИ устройств для данного сеанса работы, а также имеющего разрешенные СЗИ параметры функционирования СЗИ продолжает функционирование в рамках текущего сеанса работы компьютерной системы в соответствии с ролью пользователя. Поскольку поддержка виртуальных и физических устройств была осуществлена при запуске компьютерной системы в текущем сеансе
эксплуатационного режима, СЗИ создает соответствующее виртуальное устройство в виде виртуального ресурса и обеспечивает управление функционированием виртуальной машины в установленном порядке.
Рассмотрим схему, основанную на непрерывном анализе запросов от физических аппаратных устройств компьютерной системы на доступ к вычислительным ресурсам компьютерной системы (в том числе связанным с функционированием виртуальной машины).
При проведении непрерывного анализа запросов от физических аппаратных устройств компьютерной системы на доступ к вычислительным ресурсам компьютерной системы, СЗИ осуществляет сбор (перехват) данных (параметров), содержащихся в запросах от физических аппаратных устройств компьютерной системы.
Пример общеизвестных параметров физических вычислительных ресурсов компьютерной системы, содержащихся в запросах на доступ от физических аппаратных устройств компьютерной системы, ранее был приведен в таблице 1.
На основании собранных (перехваченных) данных СЗИ осуществляет идентификацию физического аппаратного устройства компьютерной системы, в т.ч. устройства аппаратной платформы компьютерной системы (шины или устройства), от которого был произведен запрос, и правомочность запроса от данного физического аппаратного устройства компьютерной системы.
В режиме обслуживания при невозможности СЗИ идентифицировать физическое аппаратное устройство компьютерной системы и/или невозможности подтверждения СЗИ правомочности запроса от данного физического аппаратного устройства компьютерной системы - данный запрос отклоняется. При этом СЗИ обеспечивает возможность настройки ПРД для обнаруженного устройства и сохранения изменений конфигурации. При сохранении конфигурации происходит формирование нового списка разрешенных СЗИ устройств и сохранение его в конфигурационных данных СЗИ.
В режиме аудита и эксплуатационном режиме при невозможности СЗИ идентифицировать физическое аппаратное устройство компьютерной системы и/или невозможности подтверждения СЗИ правомочности запроса от данного физического аппаратного устройства компьютерной системы - данный запрос отклоняется. При этом СЗИ:
- отражает событие и данные о событии, связанном с выявлением неизвестного устройства в журнале регистрации событий;
- обеспечивает последующее включение компьютерной системы только в режиме обслуживания компьютерной системы;
- отражает событие и данные о событии, связанном с переводом СЗИ в режим обслуживания компьютерной системы, в журнале регистрации событий;
- блокирует работу компьютерной системы.
В режиме аудита в случае успешной идентификации физического аппаратного устройства компьютерной системы и подтверждения правомочности запроса от данного физического аппаратного устройства компьютерной системы, СЗИ обеспечивает работу с журналом регистрации событий.
В эксплуатационном режиме в случае успешной идентификации физического аппаратного устройства компьютерной системы и подтверждения правомочности запроса от данного физического аппаратного устройства компьютерной системы, СЗИ, используя данные/параметры физических вычислительных ресурсов, содержащихся в СЗИ:
- осуществляет проверку данных, содержащихся в запросе физического аппаратного устройства компьютерной системы, на соответствие спецификации разрешаемых СЗИ;
- осуществляет преобразование данных, содержащихся в запросе физического аппаратного устройства компьютерной системы, в данные виртуального устройства;
- создает соответствующее виртуальное устройство в виде виртуального ресурса и обеспечивает управление функционированием виртуальной машины в установленном порядке (поддержка виртуальных и физических устройств была осуществлена при запуске компьютерной системы в текущем сеансе эксплуатационного режима);
- транслирует данные/параметры виртуальных вычислительных ресурсов виртуальной машине.
Одновременная реализация в СЗИ двух схем управления конфигурацией обеспечивает эшелонированную защиту от несанкционированного изменения конфигурации аппаратных средств компьютерной системы, от создания скрытых каналов несанкционированного доступа, как к вычислительным ресурсам компьютерной системы, так и к программной среде виртуальной машины и к пользовательским обрабатываемым данным, подлежащим защите от НСД к информации.
Управление доступом
В настоящем техническом решении компьютерной системы от НСД к информации, реализуемой на уровне аппаратной платформы, предусмотрены следующие категории пользователей:
- категория «Пользователь» - пользователь, выполняющий обязанности по созданию, обработке и хранению информации, составляющей государственную тайну;
- категория «Администратор защиты» - пользователь, выполняющий конфигурирование СЗИ;
- категория «Администратор безопасности» - пользователь, выполняющий работу с журналом регистрации событий СЗИ.
Роли назначаются только для вышеуказанных категорий пользователей.
При этом под профилем роли для категории «Пользователь» понимается совокупность характеристик виртуальной машины и прав, устанавливаемых для роли по доступу к физическим аппаратным устройствам компьютерной
системы, и их соответствие виртуальным ресурсам, доступных виртуальной машине.
При этом под профилем роли для категории «Администратор защиты» понимается совокупность прав доступа для программ по настройке профиля роли для категории «Пользователь» и по обработке данных журнала регистрации событий СЗИ.
При этом под профилем роли для категории «Администратор безопасности» понимается совокупность прав доступа для программы по обработке данных журнала регистрации событий СЗИ.
Пример профиля роли для категории «Пользователь» приведен в таблицах 4, 5.
При назначении характеристик виртуальной машины, ассоциированной с уникальным идентификатором роли для категории «Пользователь», их значения, в последующем предоставляемые по запросу виртуальной машины, должны в обязательном порядке отличаться от реальных характеристик системных ресурсов компьютерной системы.
Пример прав доступа для программ, характеризующих профиль роли для категории «Администратор защиты» приведен в таблице 6.
Роли «Администратор защиты» по умолчанию запрещается доступ к любым виртуальным машинам.
Пример прав доступа для программы по обработке данных журнала регистрации событий СЗИ, характеризующие профиль роли для категории «Администратор безопасности» приведен в таблице 7.
Роли «Администратор безопасности» по умолчанию запрещается запуск любых виртуальных машин и доступ к их настройкам.
Пример матрицы доступа, в соответствии с которой обеспечивается разграничение доступа субъектов доступа к объектам доступа при реализации базового управления доступом, приведен в таблице 8.
Дополнительные ПРД, указанные в Матрице доступа, в соответствии с которой обеспечивается разграничение доступа субъектов доступа к объектам
доступа при реализации базового управления доступом, применяются только по отношению к накопителям информации и сетевым адаптерам.
Управление доступом субъектов доступа к накопителям информации с разделами, разделам накопителей информации осуществляется в соответствии с матрицей доступа (пример матрицы доступа представлен в таблице 9).
Управление доступом субъектов доступа к накопителям информации без разделов осуществляется в соответствии с матрицей доступа (пример матрицы доступа представлен в таблице 10).
Пример матрицы доступа, в соответствии с которой обеспечивается управление доступом субъектов доступа (аппаратных устройств компьютерной системы) к оперативной памяти, приведен в таблице 11).
Управление информационными потоками
Управление информационными потоками при сетевом взаимодействии компьютерной системы основано на механизмах СЗИ, обеспечивающих фильтрацию сетевого трафика. Пример уровней модели OSI, на которых СЗИ обеспечивает фильтрацию сетевого трафика приведен в таблице 12.
Пример матрицы доступа, в соответствии с которой осуществляется фильтрация сетевого трафика на канальном уровне модели OSI для протокола Ethernet, приведен в таблице 13.
Таблица 1 - Пример состава вычислительных ресурсов компьютерной системы и параметров, характеризующих каждый вычислительный ресурс компьютерной системы
Таблица 2 - Пример списка выявляемых аппаратных устройств компьютерной системы и их параметров
Продолжение таблицы 2
Таблица 3 - Пример формы матрицы, устанавливающей правила проверки соответствия фактического состава всех выявленных аппаратных устройств, подключаемых к шине PCI/PCI Express, списку аппаратных устройств, разрешенных для использования в составе компьютерной системы, а также соответствия параметров выявленных физических аппаратных устройств атрибутам безопасности, установленным для данного состава аппаратных устройств
Продолжение таблицы 3
Таблица 4 - Пример характеристик виртуальной машины, ассоциированной с уникальным идентификатором роли для категории «Пользователь»
Таблица 5 - Пример прав, устанавливаемых для роли по доступу к физическим аппаратным устройствам компьютерной системы, и их соответствие виртуальным ресурсам, доступных виртуальной машине
Продолжение таблицы 5
Таблица 6 - Пример прав доступа для программы по настройке профиля роли для категорий «Пользователь» и программы по обработке данных журнала регистрации событий СЗИ, характеризующих профиль роли для категории «Администратор защиты»
Таблица 7 - Пример прав доступа для программы по обработке данных журнала регистрации событий СЗИ, характеризующие профиль роли для категории «Администратор безопасности»
Таблица 8 - Пример матрицы доступа, в соответствии с которой обеспечивается разграничение доступа субъектов доступа к объектам доступа при реализации базового управления доступом
Продолжение таблицы 8
Таблица 9 - Пример матрицы доступа, характеризующая управление доступом к разделам накопителей информации
Продолжение таблицы 9
Таблица 10 - Пример матрицы доступа, характеризующая управление доступом к накопителям информации без разделов
Таблица 11 - Пример матрицы доступа, в соответствии с которой обеспечивается управление доступом субъектов доступа (аппаратных устройств компьютерной системы) к оперативной памяти
Продолжение таблицы 11
Таблица 12 - Пример уровней модели OSI, на которых СЗИ обеспечивает фильтрацию сетевого трафика
Таблица 13 - Пример матрицы доступа, в соответствии с которой осуществляется фильтрация сетевого трафика на канальном уровне модели OSI для протокола Ethernet
Claims
1. Способ защиты компьютерной системы от несанкционированного доступа к информации, реализуемый на уровне аппаратной платформы посредством механизмов виртуализации, включающий: предварительную подготовку аппаратной платформы, состоящую из: нейтрализации устройств аппаратной платформы компьютерной системы, не участвующих в обработке, хранении и передаче информации или представляющих угрозу безопасности информации, устранения избыточности исполняемого кода микропрограммного кода аппаратной платформы, устранения избыточности исполняемого кода привилегированных режимов функционирования аппаратной платформы компьютерной системы и его защита от модификации; доверенную загрузку аппаратной платформы компьютерной системы; доверенную загрузку системы защиты информации; обеспечение защиты микропрограммного кода аппаратной платформы от анализа; обеспечение защиты исполняемого кода системы защиты информации от анализа; запрет обновления микропрограммного кода аппаратной платформы, в том числе удаленного; очистку областей памяти, содержащих данные системы защиты информации и виртуальных машин в устройствах хранения, перед их выделением или повторном использовании;
59
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26)
очистку областей оперативной памяти аппаратной платформы компьютерной системы перед их выделением или повторным использованием; реализацию особенностей архитектуры СЗИ; изоляцию виртуальных машин; реализацию особенностей передачи информации между виртуальными машинами в компьютерной системе; эмуляцию аппаратных устройств компьютерной системы; самотестирование механизмов защиты системы защиты информации; восстановление безопасного состояния компьютерной системы; определение субъектов и объектов доступа на уровне аппаратной платформы; обработку системой защиты информации запросов виртуальной машины на доступ к физическим аппаратным устройствам компьютерной системы в следующем порядке: виртуальная машина осуществляет запрос на доступ к физическим аппаратным устройствам на основе предоставляемых виртуальных ресурсов, система защиты информации осуществляет сбор данных или параметров, содержащихся в запросе виртуальной машины, система защиты информации на основании собранных данных или параметров и в соответствии с правилами разграничения доступа субъектов доступа к объектам доступа осуществляет проверку правомочности запроса, при положительном результате проверки система защиты информации преобразует данные или параметры виртуальных вычислительных ресурсов в данные или параметры физических вычислительных ресурсов и передает преобразованный запрос соответствующему физическому аппаратному устройству, а при отрицательном результате проверки запрос отклоняется; обработку системой защиты информации запросов от физических аппаратных устройств компьютерной системы на доступ к виртуальной машине в следующем порядке:
60
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26)
физические аппаратные устройства компьютерной системы осуществляют запрос на доступ к виртуальным вычислительным ресурсам на основе параметров физических вычислительных ресурсов, система защиты информации осуществляет сбор данных или параметров, в запросах от физических аппаратных устройств, система защиты информации на основании собранных данных и в соответствии с правилами распределения доступа субъектов доступа к объектам доступа осуществляет проверку правомочности запроса, при положительном результате проверки система защиты информации преобразует данные или параметры физических вычислительных ресурсов компьютерной системы в данных или параметров виртуальных вычислительных ресурсов и передает преобразованный запрос от физического аппаратного устройства компьютерной системы виртуальной машине, а при отрицательном результате проверки запрос отклоняется; управление конфигурацией аппаратных средств компьютерной системы при запуске компьютерной системы, реализующее: определение системой защиты информации фактического состава всех аппаратных устройств, а также параметров их функционирования, первичную проверку соответствия фактического состава всех аппаратных устройств компьютерной системы, включая периферийные устройства, списку аппаратных устройств, разрешенных системой защиты информации для использования в составе компьютерной системы, а также соответствия параметров, выявленных в компьютерной системе физических аппаратных устройств, разрешенным параметрам, установленным системой защиты информации для данного состава аппаратных устройств, установление для каждой роли, предусматриваемой системой защиты информации, списка разрешенных для использования в рамках данной роли физических аппаратных устройств, блокирование компьютерной системы при выявлении аппаратного устройства, не находящегося в списке аппаратных устройств, разрешенных
61
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26)
системой защиты информации к использованию в составе компьютерной системы для ролей пользователей и администраторов, блокирование компьютерной системы при несоответствии параметров выявленных физических аппаратных устройств разрешенным параметрам, установленным системой защиты информации для данного состава аппаратных устройств компьютерной системы для ролей пользователей и администраторов; управление конфигурацией аппаратных средств компьютерной системы при работе компьютерной системы, обеспечивающее эшелонированную защиту от несанкционированного изменения конфигурации аппаратных средств компьютерной системы, от создания скрытых каналов несанкционированного доступа, как к вычислительным ресурсам компьютерной системы, так и к программной среде виртуальной машины и к пользовательским обрабатываемым данным, подлежащим защите от несанкционированного доступа к информации, и основанное на: периодической проверке состава аппаратных средств компьютерной системы и параметров их функционирования, непрерывном анализе запросов от физических аппаратных устройств компьютерной системы на доступ к вычислительным ресурсам компьютерной системы, в том числе связанным с функционированием виртуальной машины; управление конфигурацией аппаратных средств компьютерной системы при работе компьютерной системы в режиме обслуживания, реализующее: осуществление непрерывного контроля системой защиты информации параметров функционирования всех аппаратных устройств компьютерной системы, а также проверку соответствия параметров физических устройств разрешенным параметрам, установленным системой защиты информации для конкретного типа устройств,
62
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26)
поддержку в данных управления системы защиты информации списка аппаратных устройств, разрешенных к использованию в составе компьютерной системы, поддержку в данных управления системы защиты информации списка аппаратных устройств компьютерной системы, разрешенных для каждой роли, предусматриваемой системой защиты информации, возможность изменения списка аппаратных устройств, разрешенных к использованию в составе компьютерной системы и списка аппаратных устройств, разрешенных для каждой роли, предусматриваемой системой защиты информации; управление конфигурацией аппаратных средств компьютерной системы при работе компьютерной системы в режиме аудита, реализующее: осуществление системой защиты информации непрерывного контроля параметров функционирования всех аппаратных устройств компьютерной системы, а также проверку соответствия параметров физических устройств разрешенным параметрам, установленным системой защиты информации для конкретного типа устройств, поддержку в данных управления системы защиты информации списка аппаратных устройств, разрешенных к использованию в составе компьютерной системы, поддержку в данных управления системы защиты информации списка аппаратных устройств компьютерной системы, разрешенных для каждой роли, предусматриваемой системой защиты информации, отключение аппаратных устройств и блокирование работы компьютерной системы при подключении аппаратного устройства, не находящегося в списке аппаратных устройств, разрешенных к использованию в составе компьютерной системы, блокирование работы компьютерной системы со стороны системы защиты информации при изменении параметров функционирования аппаратных устройств;
63
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26)
управление конфигурацией аппаратных средств компьютерной системы при работе компьютерной системы в эксплуатационном режиме, реализующее: осуществление системой защиты информации непрерывного контроля параметров функционирования всех аппаратных устройств компьютерной системы, а также проверку соответствия параметров физических устройств разрешенным параметрам, установленным системой защиты информации для конкретного типа устройств, поддержку в данных управления системы защиты информации списка аппаратных устройств, разрешенных к использованию в составе компьютерной системы, поддержку в данных управления системы защиты информации списка аппаратных устройств компьютерной системы, разрешенных для каждой роли, предусматриваемой системой защиты информации, отключение аппаратных устройств и блокирование работы компьютерной системы при подключении аппаратного устройства, не находящегося в списке аппаратных устройств, разрешенных к использованию в составе компьютерной системы, блокирование работы компьютерной системы со стороны системы защиты информации при изменении параметров функционирования аппаратных устройств; предоставление доступа пользователям к ресурсам компьютерной системы или к виртуальным машинам только через роли с уникальными идентификаторами, присваиваемыми по результатам идентификации и аутентификации пользователя; однозначный запрет на запрос доступа любого не идентифицированного субъекта доступа к любым объектам доступа, запрет на любые запросы на прямой доступ между физическими аппаратными устройствами или шинами компьютерной системы, кроме устройств, сертифицированных по требованиям защиты информации
64
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26)
государственными органами страны применения компьютерной системы, и виртуальными машинами; конфигурирование защиты оперативной памяти с помощью системы защиты информации от прямого доступа со стороны аппаратных устройств компьютерной системы, а именно: получение из аппаратного устройства системой защиты информации списка и параметров разрешенных устройств компьютерной системы, формирование системой защиты информации списка разрешенных к использованию в составе компьютерной системы устройств с возможностью прямого доступа к памяти, получение системой защиты информации параметров прямого доступа к памяти от устройств, разрешенных к использованию в составе компьютерной системы, конфигурирование системой защиты информации защиты с помощью полученных параметров прямого доступа к оперативной памяти от устройств, разрешенных к использованию в составе компьютерной системы; защиту оперативной памяти компьютерной системы от прямого доступа со стороны аппаратных устройств компьютерной системы, обеспечиваемую системой защиты информации и включающую: генерацию запросов прямого доступа к оперативной памяти от физических аппаратных устройств компьютерной системы, сбор системой защиты информации данных или параметров, содержащихся в запросах прямого доступа к оперативной памяти от аппаратных устройств, осуществление проверки системой защиты информации собранных параметров запроса в соответствие с матрицей доступа при соответствии параметров, содержащихся в запросе, параметрам прямого доступа к памяти от устройств, разрешенных к использованию в составе компьютерной системы,
65
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26)
выполнение разрешения запроса, в противном случае осуществление блокировки запроса, регистрацию системой защиты информации события блокировки запроса в журнале регистрации событий; разграничение доступа к внешним носителям информации или от внешних носителей информации, включающее: разрешение взаимодействия с внешним накопителем информации только одной виртуальной машине, при этом внешний накопитель информации становится недоступен для взаимодействия с другими виртуальными машинами, последовательное использование внешнего накопителя информации виртуальными машинами при обмене информацией между виртуальными машинами, обеспечение доступа нескольких виртуальных машин к совместно используемому накопителю информации в режиме только чтение; осуществление системой защиты информации фильтрации сетевого трафика по каждому протоколу сетевого взаимодействия в соответствии с матрицами доступа как при запросах, исходящих от виртуальной машины, так и при запросах, исходящих от физической сетевой карты, с учетом проверки типа запроса, поступившего от виртуальной машины, на его соответствие правилам разграничения доступа, установленным для уровней модели OSI или для соответствующих им протоколов, а также с учетом проверки данных, содержащихся в запросе виртуальной машины, на их соответствие атрибутам доступа, установленным системой защиты информации, осуществление системой защиты информации регистрации событий во всех режимах работы, для каждого регистрируемого события в журнале регистрации событий сохраняется следующая информация о дате и времени события, субъекте доступа, вызывавшем регистрируемое событие, типе
66
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26)
события при регистрации события, связанного с доступом, также сохраняется информация об объекте и типе доступа, успешности осуществления события.
2. Устройство, реализующее способ защиты компьютерной системы от несанкционированного доступа по п.1, включающее систему защиты информации, включающую контроллер и память, подключенные к компьютерной шине, гипервизор первого типа с подсистемой запуска, подсистемой разграничения доступа, подсистемой администрирования и подсистемой регистрации событий, реализуемыми на базе одного или нескольких центральных процессоров, а также чипсет, память, компьютерные шины, накопитель на жестком магнитном диске, твердотельный накопитель, USB-флэш накопитель, клавиатуру, мышь, оптический диск, сетевую карту, видеокарту, монитор, принтер, сканер, многофункциональное устройство.
3. Устройство по п. 2, отличающееся тем, что оно может быть выполнено в защищенном исполнении.
4. Устройство по п. 2, отличающееся тем, что в качестве компьютерных шин могут быть использованы PCI, PCIExpress, SMBus, USB, АТА, SATA, PS/2, SCSI, SAS, FibreChannel, InfiniBand, I2C, SPI, FireWire, DMI, HyperTransport, Thunderbolt.
5. Устройство no n. 2, отличающееся тем, что в устройстве могут быть использованы CD/DVD/Blu-ray оптические диски.
67
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26)
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2021111440A RU2770136C1 (ru) | 2021-04-22 | 2021-04-22 | Способ защиты компьютерной системы от несанкционированного доступа к информации, реализуемый на уровне аппаратной платформы посредством механизмов виртуализации, и устройство для его осуществления |
| RU2021111440 | 2021-04-22 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2022225416A1 true WO2022225416A1 (ru) | 2022-10-27 |
Family
ID=81255539
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/RU2021/000319 WO2022225416A1 (ru) | 2021-04-22 | 2021-07-28 | Способ защиты компьютерной системы от несанкционированного доступа |
Country Status (2)
| Country | Link |
|---|---|
| RU (1) | RU2770136C1 (ru) |
| WO (1) | WO2022225416A1 (ru) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110167473A1 (en) * | 2009-11-02 | 2011-07-07 | International Business Machines Corporation | Endpoint-Hosted Hypervisor Management |
| RU2446447C2 (ru) * | 2006-05-15 | 2012-03-27 | Майкрософт Корпорейшн | Запуск гипервизора в запущенной операционной системе |
| RU2557476C2 (ru) * | 2013-04-23 | 2015-07-20 | Федеральное Государственное Автономное Образовательное Учреждение Высшего Профессионального Образования "Московский Физико-Технический Институт (Государственный Университет)" | Аппаратно-вычислительный комплекс с повышенными надежностью и безопасностью в среде облачных вычислений |
| RU2581552C2 (ru) * | 2014-09-10 | 2016-04-20 | Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон" (ЗАО "НПО "Эшелон") | Способ доверенной загрузки в виртуализированных средах |
| US20190130106A1 (en) * | 2016-02-12 | 2019-05-02 | Sophos Limited | Virtual machine security |
| RU2691187C1 (ru) * | 2016-01-05 | 2019-06-11 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Система и способы аудита виртуальной машины |
-
2021
- 2021-04-22 RU RU2021111440A patent/RU2770136C1/ru active
- 2021-07-28 WO PCT/RU2021/000319 patent/WO2022225416A1/ru active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2446447C2 (ru) * | 2006-05-15 | 2012-03-27 | Майкрософт Корпорейшн | Запуск гипервизора в запущенной операционной системе |
| US20110167473A1 (en) * | 2009-11-02 | 2011-07-07 | International Business Machines Corporation | Endpoint-Hosted Hypervisor Management |
| RU2557476C2 (ru) * | 2013-04-23 | 2015-07-20 | Федеральное Государственное Автономное Образовательное Учреждение Высшего Профессионального Образования "Московский Физико-Технический Институт (Государственный Университет)" | Аппаратно-вычислительный комплекс с повышенными надежностью и безопасностью в среде облачных вычислений |
| RU2581552C2 (ru) * | 2014-09-10 | 2016-04-20 | Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон" (ЗАО "НПО "Эшелон") | Способ доверенной загрузки в виртуализированных средах |
| RU2691187C1 (ru) * | 2016-01-05 | 2019-06-11 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Система и способы аудита виртуальной машины |
| US20190130106A1 (en) * | 2016-02-12 | 2019-05-02 | Sophos Limited | Virtual machine security |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2770136C1 (ru) | 2022-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9081911B2 (en) | Mediating communication of a universal serial bus device | |
| US7840763B2 (en) | Methods and systems for achieving high assurance computing using low assurance operating systems and processes | |
| US8190778B2 (en) | Method and apparatus for network filtering and firewall protection on a secure partition | |
| EP2909772B1 (en) | Unauthorized access and/or instruction prevention, detection, and/or remediation, at least in part, by storage processor | |
| KR101487865B1 (ko) | 판독전용 영역과 판독/기록 영역, 분리형 매체 구성부품, 시스템 관리 인터페이스, 네트워크 인터페이스를 가진 컴퓨터 기억장치 | |
| US8862803B2 (en) | Mediating communciation of a univeral serial bus device | |
| AU2007252841B2 (en) | Method and system for defending security application in a user's computer | |
| EP2494435B1 (en) | Virtualized migration control | |
| EP2973171B1 (en) | Context based switching to a secure operating system environment | |
| US8146150B2 (en) | Security management in multi-node, multi-processor platforms | |
| US20040025052A1 (en) | Distributive access controller | |
| CN1925926A (zh) | 协作嵌入式代理 | |
| KR20160147993A (ko) | 구내-인식 보안 및 정책 조정 | |
| KR20110051028A (ko) | 보안 기능이 구비된 클라우드 컴퓨팅 시스템 | |
| RU2628925C1 (ru) | Система и способ защищенной передачи аудиоданных от микрофона к процессам | |
| JP7416480B2 (ja) | オープンインターコネクトを介してヘテロジニアスプロセッサ上でリモート認証及び情報分離を備えた信頼できるコンピューティングを実行するためのシステム及び方法 | |
| US20180316662A9 (en) | Embedded trusted network security perimeter in computing systems based on ARM processors | |
| US11438307B2 (en) | Systems and methods for configuring a gateway for protection of automated systems | |
| RU2637433C2 (ru) | Система и способ противодействия несанкционированному доступу к данным микрофона | |
| US11546367B2 (en) | Systems and methods for protecting automated systems using a gateway | |
| RU2770136C1 (ru) | Способ защиты компьютерной системы от несанкционированного доступа к информации, реализуемый на уровне аппаратной платформы посредством механизмов виртуализации, и устройство для его осуществления | |
| EA041757B1 (ru) | Способ защиты компьютерной системы от несанкционированного доступа к информации, реализуемый на уровне аппаратной платформы посредством механизмов виртуализации, и устройство для его осуществления | |
| EP3694174B1 (en) | Systems and methods for protecting automated systems using a gateway | |
| RU2816864C1 (ru) | Система и способ контроля доступа к данным приложений для изоляции данных одного приложения от данных другого приложения | |
| Wan et al. | Remotely controlling TrustZone applications? A study on securely and resiliently receiving remote commands |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 21937209 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 21937209 Country of ref document: EP Kind code of ref document: A1 |