ABOUT THE DEVELOPING OF EDUCATIONAL AND LABORATORY BENCH FOR STUDY OF HARDWARE MODULE TRUSTED BOOT «ACCORD»

Abstract


It was formulated the actual problem of quality improvement of practical training to specialists in information security. It was exposed the features of development study and la-boratory facilities for their study. The problem of studying facilities to protect information from unauthorized access was analyzed, necessity of practical preparing qualificated special-ists was caused. It was analyzed the competence of graduates, which forms with accordance to GEF FPO towards training «Information Security». Shown the main requirements for pro-tection automated system with using hardware module of trusted boot «Accord» from unau-thorized access in accordance to established classification. It was listed a brief description of functional facilities of hardware module of trusted boot «Accord». Consistency of software and hardware complex, rules of its function and interact in various stages of loading and fur-ther work were listed. It was shown a scheme of placing educational and laboratory bench, which base on hardware and software complex «Accord», equipped with workstations which are necessary to perform the tasks. List the main tasks solving students during the execution of task using the hardware module of trusted boot «Accord». Show the sequence working out by students the algorithm creating a new user, assigning the ID and access rights. Step by step algorithm of running tasks is accompanied the necessary explanations and pictures. Identified the prospects of further development of teaching and laboratory bench and using it in the learning process. The effectiveness evaluation of using educational and laboratory bench based on the students competencies control.

Full Text

Требования к подготовке специалистов по защите информации определены на уровне государственных стандартов. В соответствии с данными требованиями выпускник вуза должен обладать обширным перечнем универсальных знаний в разнообразных областях. Это обусловливает ряд проблем качества подготовки кадров в быстро меняющихся современных условиях. Одной из таких проблем является недостаточная укомплектованность лабораторий учебных заведений современным программным обеспечением, средствами защиты информации, методическими материалами. Кроме того, сохраняется актуальность проблемы недостаточной практической подготовки студентов [1]. Развитие учебно-лабораторной базы для подготовки специалистов по информационной безопасности может осуществляться путем внедрения в процесс их подготовки занятий на лабораторных стендах на основе наиболее распространенных средств защиты информации [2] или создания специализированных лабораторий для исследования защищенности различных видов автоматизированных систем от актуальных угроз безопасности информации [3]. Для совершенствования подготовки кадров на базе ПНИПУ разработан и внедрен в учебный процесс учебно-лабораторный стенд для студентов, обучающихся по направлению «Информационная безопасность» и специальности «Информационная безопасность автоматизированных систем». Данный лабораторный стенд функционирует на основе программно-аппаратного комплекса (ПАК) российского производства аппаратного модуля доверенной загрузки (АМДЗ) «Аккорд» и относится к средствам защиты информации (СЗИ) от несанкционированного доступа (НСД). В современных условиях СЗИ данного класса довольно часто используются для защиты информации на объектах информатизации. Например, по результатам аналитического исследования, проведенного компанией «Код безопасности», еще в 2013 г. СЗИ от НСД, а также модули доверенной загрузки вошли в тройку наиболее востребованных продуктов в госведомствах и корпоративных системах (рис. 1), что обусловливает необходимость изучения порядка их установки и настройки при подготовке квалифицированных специалистов [4]. Рис. 1. Структура затрат на информационную безопасность по классам продуктов В процессе использования учебно-лабораторного стенда предполагается формирование у студентов компетенций, определенных на основе современных требований ФГОС ВПО по направлению подготовки «Информационная безопасность». Такими компетенциями являются способность администрировать подсистемы информационной безопасности объекта, а также способность выполнять работы по установке, настройке и обслуживанию технических и аппаратно-программных средств защиты информации [5]. АМДЗ «Аккорд» может быть эффективно применен для построения систем защиты информации от НСД в соответствии с руководящими документами ФСТЭК России. При этом сам комплекс удовлетворяет требованиям по защите информации по классу защищенности «1Д», а в качестве средства идентификации и аутентификации пользователей и контроля целостности программной среды может быть использован при создании автоматизированных систем (АС) до класса «1Б» включительно. При необходимости построения полноценной системы защиты информации дополнительно к комплексу СЗИ от НСД АМДЗ «Аккорд» устанавливается специальное программное обеспечения «Аккорд-Win32» или «Аккорд-Win64», предназначенное для работы в ОС семейства Windows. Комплекс СЗИ от НСД АМДЗ «Аккорд» представляет собой АМДЗ для IBM-совместимых ПК - серверов и рабочих станций, обеспечивающий, в первую очередь, доверенную загрузку операционных систем, а также идентификацию, аутентификацию пользователей, контроль целостности файлов и аппаратного обеспечения ПК при загрузке. Как правило, под термином «доверенная загрузка» понимается загрузка различных операционных систем (ОС) только после проведения контрольных процедур идентификации и аутентификации пользователя, а также проверки целостности технических и программных средств ПЭВМ [6]. В соответствии с методическими рекомендациями ФСТЭК России доверенная загрузка - это загрузка операционной системы средства вычислительной техники с заранее определенных постоянных машинных носителей при обязательном успешном прохождении процедур проверки целостности программной и аппаратной среды и идентификации и аутентификации [7]. Комплекс начинает работу сразу после выполнения системного кода BIOS - до загрузки операционной системы и обеспечивает доверенную загрузку ОС, использующих одну из поддерживаемых файловых систем. Это, в частности, ОС типа MS-DOS, ОС семейства Windows, QNX, OS/2, UNIX, LINUX,BSD и др. [8]. Значительное количество инцидентов информационной безопасности возникает по причине уязвимости сервисов операционной системы и приложений, что обусловливает необходимость поддержки в системе защиты информации дополнительных средств доверенной загрузки. Так, больше половины опрошенных компаний (52 %) столкнулись в 2015 г. с инцидентами в области информационной безопасности [9], существенная часть которых обусловлена данным фактором. Комплекс СЗИ от НСД АМДЗ «Аккорд» включает в себя программные и аппаратные средства. Их функционирование и взаимодействие на различных этапах загрузки/работы представлены на рис. 2. Выполнение микропрограммы BIOS: - проверка целостности BIOS; - проверка целостности и подлинности настроек CMOS; - выбор загрузочного устройства. Передача управления «Аккорд-АМДЗ»: - идентификация/аутентификация пользователей; - контроль целостности программной и аппаратной среды. Выполнение загрузочного сектора ОС: - проверка целостности и достоверности загрузчика, системных файлов ОС; - аутентификация. Рис. 2. Этапы доверенной загрузки комплекса «Аккорд» Учебно-лабораторный стенд на основе ПАК АМДЗ «Аккорд» размещен в лаборатории, оборудованной необходимыми для выполнения учебных задач рабочими станциями. Схема размещения оборудования учебно-лабораторного стенда приведена на рис. 3. В процессе выполнения заданий с использованием АМДЗ «Аккорд» обучаемыми решаются следующие учебные задачи: - изучение особенностей идентификации пользователей при использовании персонального идентификатора в виде электронного ключа; - изучение способов загрузки операционной системы со съемных носителей, а также способов блокировки такой загрузки; - изучение критериев проверки контроля целостности, способов обеспечения контроля целостности технических средств и программных средств; - изучение способов обеспечения доверенного режима загрузки операционных систем с различными типами файловых систем. При этом каждая из перечисленных выше учебных задач может быть детализирована на несколько подзадач. Наиболее часто выполняемыми действиями при администрировании и настройке АМДЗ «Аккорд» являются отработка алгоритма создания нового пользователя и присвоение ему идентификатора. Необходимо учесть, что при первой загрузке в системе не существует зарегистрированных пользователей, поэтому из перечисленных пунктов меню существует возможность выбора только между двумя действиями - это «Администрирование» и «Выход» [10]. Выбор пункта «Администрирование» позволяет загрузить главное меню администратора. Меню предоставляет возможность работы со списком пользователей, создания дополнительных настроек и помощи. Существуют также функции работы со списком целостности и с журналом регистрации, но в связи с отсутствием зарегистрированных пользователей на начальном этапе они не активны. Для отработки учебной задачи по созданию пользователя, назначению ему идентификатора и прав доступа необходимо выполнение следующей последовательности. 1. Выбрать команду «Пользователи» в представленном меню. Открыть список зарезервированных групп с привилегиями (рис. 3). Рис. 3. Список зарезервированных групп и пользователей При этом все привилегии, настроенные для группы, будут наследоваться и каждым участником этой группы, если не будет произведено отдельных настроек. Изначально настраивается учетная запись главного администратора, которому в последующем будут доступны все функции администрирования. 2. Используя стрелки выбрать поле «Главный администратор», нажатием «Enter» отрыть окно настроек. В строках «Идентификатор» и «Пароль» вместо начального значения «нет» присвоить им значения для администратора. 3. Выбрать поле «Идентификатор» и в появившемся свободном окне с информацией об идентификаторе нажать «Новый». 4. Убедиться в появлении окна запроса идентификатора (рис. 4) и приложить к считывателю идентификатор, который присвоен главному администратору. Рис. 4. Окно запроса идентификатора 5. Записать в память идентификатора секретный ключ, уникальный для каждого идентификатора. Поскольку наш идентификатор пустой, то необходимо выбрать опцию «Новый». Для рационального использования ключей учетная запись главного администратора может быть на всех рабочих станциях одинаковой, поэтому при ее настройке на других местах, при назначении секретного ключа администратора, необходимо выбрать опцию «Существующий» (рис. 5). Рис. 5. Процедура добавления секретного ключа 6. Для создания пароля к учетной записи возвратиться к окну настроек и выбрать поле «Пароль». При этом предоставляется возможность выбора генерации пароля автоматически либо создание его пользователем (рис. 6). 7. Параметры учетной записи настроены, для их применения и сохранения необходимо нажать на строку «Запись». Учетная запись главного администратора создана. Для создания учетных записей других администраторов и пользователей можно продолжить работу в данном окне либо перезагрузить рабочую станцию и создать пользователей, используя учетную запись главного администратора. Рис. 6. Процедура установки пароля Дальнейшая работа на учебно-лабораторном стенде АМДЗ «Аккорд» позволила учащимся получить навыки работы с ключами при проведении аутентификации, идентификации пользователей, навыки создания пользователей, групп пользователей в ПАК АМДЗ «Аккорд», а также отработать учебные задания по назначению привилегии в соответствии с необходимым уровнем доступа. По результатам опытной эксплуатации учебно-лабораторного стенда на базе АМДЗ «Аккорд» и в процессе практических занятий была проведена оценка эффективности его работы на основе контроля сформированных компетенций обучаемых. Таким образом, необходимость качественной подготовки специалистов по защите информации и возрастающие требования к их компетентности обусловливает потребность в совершенствовании учебно-лабораторной базы. Внедрение в учебный процесс лабораторного стенда АМДЗ «Аккорд» позволит повысить эффективность подготовки выпускников, что крайне необходимо в настоящие дни. Владение навыками практической работы со средствами защиты от НСД повысит конкурентоспособность выпускников на рынке труда, обеспечит качество защиты корпоративных информационных систем от актуальных угроз безопасности информации.

About the authors

I. V Kapger

Perm National Research Polytechnic University

Email: kapger@mail.ru

E. E Zhurilova

Perm National Research Polytechnic University

Email: ele11485995@yandex.ru

A. A Mironova

Perm National Research Polytechnic University

Email: mir550@yandex.ru

References

  1. Миронова А.А., Шабуров А.С., Модель разработки учебно-лабораторного комплекса для подготовки специалистов по защите информации // Вестник УрФО. Безопасность в информационной сфере. Челябинск: Изд-во ЮУрГУ, 2015. - № 3(17). - С. 54-59.
  2. Шабуров А.С. О разработке учебно-лабораторного стенда для построения систем защиты информации на основе АПКШ «Континент» // Научные исследования и инновации. - Пермь: Изд-во Перм. нац. исслед. политехн. ун-та, 2012. - Т. 6. - № 1-4.
  3. Южаков А.А., Шабуров А.С., Рашевский Р.Б. О разработке учебно-лабораторного комплекса для исследования защищенности критически важных объектов // Вестник УрФО. Безопасность в информационной сфере. - 2012. - С. 54-59.
  4. Затраты госведомств России на информационную безопасность в 2013 году [Электронный ресурс]. - URL: http://www.securitycode.ru/_upload/editor_files/otchet_po_zakupkam_gosorganov_2013.pdf (дата обращения: 28.01.2016).
  5. Приказ от 28 октября 2009 г. N 496 «Об утверждении и введении в действие федерального государственного образовательного стандарта высшего профессионального образования по направлению подготовки 090900 Информационная безопасность (квалификация (степень) «Бакалавр»)» (Ред. от 31.05.2011) / Мин-во образ. и науки РФ. - М., 2009.
  6. Средства защиты от несанкционированного доступа к информации [Электронный ресурс]. - URL: http://www.cnews.ru/reviews/free/ oldcom/security/sapr_products.shtml (дата обращения: 13.02. 2016).
  7. Меры защиты информации в государственных информационных системах. Методический документ (утв. ФСТЭК от 11 февраля 2014 г.). - М., 2014.
  8. Программно-аппаратный комплекс защиты информации от НСД для ПЭВМ (РС) «Аккорд-АМДЗ» (Аппаратный модуль доверенной загрузки). Описание применения. - М., 2014.
  9. Итоги исследований 2015 года в области информационной безопасности [Электронный ресурс]. - URL: http://dlp.searchinform.ru/itogi-goda-infographic/?utm_source=newsletter&utm_medium=email&utm__campaign=itogi_goda_v_oblasti_informacionnoy_bezopasnosti (дата обращения: 13.02.2016).
  10. Программно-аппаратный комплекс защиты информации от НСД для ПЭВМ (РС) «Аккорд-АМДЗ» (Аппаратный модуль доверенной загрузки). Руководство администратора. - М., 2014.

Statistics

Views

Abstract - 23

PDF (Russian) - 9

Refbacks

  • There are currently no refbacks.

Copyright (c) 2016 Kapger I.V., Zhurilova E.E., Mironova A.A.

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.

This website uses cookies

You consent to our cookies if you continue to use our website.

About Cookies