Зима В.М., Молдовян А.А. - Схемы защиты информации на основе системы Кобра - 1997

В.М.ЗИМА, А.А.
МОЛДОВЯН
СХЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ОСНОВЕ

СИСТЕМЫ «КОБРА»
Утверждено в качестве учебного пособия
ВОЕННАЯ ИНЖЕНЕРНО-КОСМИЧЕСКАЯ КРАСНОЗНАМЕННАЯ

АКАДЕМИЯ имени А.Ф.МОЖАЙСКОГО
Санкт-Петербург - 1997
2
УДК [681.324+681.3.067] (075.8)
Приводятся основные требования к современной сис-

теме защиты ЭВМ. Как один из важнейших выделен принцип
прозрачности, предполагающий шифрование в масштабе ре-
ального времени, совместимость с наибольшим числом при-
кладных и системных программ, а также автоматическое
функционирование и потребление минимума вычислительных
ресурсов. Рассматривается технология построения двухэтап-
ных программно-ориентированных криптосистем. Приводятся
алгоритмы, обеспечивающие высокую скорость шифрования.
Описывается комплексная система компьютерной безопасно-
сти «Кобра», являющаяся практической реализацией совре-
менной технологии прозрачной защиты. Приводится класси-
фикация схем и уровней защиты, реализуемых системой
«Кобра». Рассматриваются особенности построения типовых
схем защиты на базе этой системы.
Для курсантов и слушателей академии, специализи-
рующихся в областях, связанных с защитой информационно-
программного обеспечения, а также всех пользователей ком-
пьютерных систем, заинтересованных в безопасности хране-
ния и обработки данных.
Рецензент: В.Н.КУСТОВ, доктор технических наук, профессор
Подписано в печать 20.03.97 Формат 60х84 1/16. Печать офсетная.

Печ. л. 6.5 Уч.-изд. л. 6.25 Тираж 150 экз. Зак. N
Ротапринт МГП "Поликом"
197376, Санкт-Петербург, ул.Проф.Попова,5.
3
СОДЕРЖАНИЕ
ВВЕДЕНИЕ ....................................................................................................... 5
1. ОБЩЕЕ ОПИСАНИЕ СИСТЕМЫ ЗАЩИТЫ.............................................. 8

1.1. Основы программной реализации ........................................................ 8
1.1.1. Обеспечение высокой скорости криптографических
преобразований ................................................................................ 9
1.1.2. Повышение криптостойкости .................................................... 20
1.1.3. Организация прозрачного режима защиты ............................... 22
1.2. Структура системы и назначение основных компонентов................ 24
1.2.1. Подсистема санкционирования доступа.................................... 27
1.2.2. Подсистема разграничения доступа к файлам ........................ 29
1.2.3. Подсистема закрытия ................................................................. 29
1.2.4. Подсистема обеспечения эталонного состояния рабочей
среды ............................................................................................... 31
1.2.5. Подсистема файлового шифрования "SAFE" ............................ 32
1.2.6. Специальная оболочка пользователя "US" ................................ 33
1.2.7. Подсистема регистрации и учета работы
пользователей ............................................................................... 34
1.3. Стратегия формирования схемы защиты .......................................... 34
2. КЛАССИФИКАЦИЯ СХЕМ И УРОВНЕЙ ЗАЩИТЫ ............................... 38
2.1. Уровни подтверждения подлинности ................................................. 38
2.2. Уровни разграничения доступа........................................................... 39
2.3. Влияние объема защищаемой информации ..................................... 40
2.4. Уровни криптографического закрытия защищаемых данных........... 41
2.5. Уровни защиты от обхода системы "Кобра" ...................................... 42
2.6. Уровни защиты от компьютерных вирусов ........................................ 43
2.7. Уровни защиты от модификации информации.................................. 45
2.8. Уровни защиты от несанкционированного доступа к информации
при оставлении компьютера без завершении сеанса работы ......... 46
2.9. Уровни ограничения доступа пользователей к дискетам ................. 47
2.10. Уровни защиты от доступа к остаточной информации ................... 47
2.11. Уровни защиты от несанкционированных действий
санкционированных пользователей ................................................... 48
2.12. Уровни защиты от потери информации ........................................... 49
4
3. ТИПОВЫЕ СХЕМЫ ЗАЩИТЫ.................................................................. 51

3.1. Уровень реализации минимальных требований к безопасности
информации ......................................................................................... 52
3.1.1. Требования к информационной безопасности........................... 52
3.1.2. Функции защиты по реализации предъявленных
требований..................................................................................... 53
3.1.3. Схема защиты............................................................................... 55
3.2. Уровень пониженной защищенности.................................................. 57
требований..................................................................................... 59
3.2.3. Схема защиты............................................................................... 63
3.3. Уровень средней защищенности ........................................................ 66
требований..................................................................................... 67
3.3.3. Схема защиты............................................................................... 70
3.4. Уровень повышенной защищенности................................................. 73
требований..................................................................................... 75
3.4.3. Схема защиты............................................................................... 78
3.5. Уровень максимальной защищенности.............................................. 82
требований..................................................................................... 82
3.5.3. Схема защиты............................................................................... 84
ЛИТЕРАТУРА ................................................................................................. 91
ПРИЛОЖЕНИЕ ............................................................................................... 92
5
ВВЕДЕНИЕ
Интенсивное использование компьютерных технологий для обра-

ботки конфиденциальной и секретной информации сделало проблему
обеспечения защищенности данных одной из важнейших.
В наиболее надежных системах компьютерной безопасности ос-
новным способом защиты информации от несанкционированного исполь-
зования являются криптографические преобразования. Такие известные
криптоалгоритмы как Американский федеральный стандарт DES [1],
шифр японской телеграфной компании FEAL-N [2], новая криптосистема
REDOC II [3] и стандарт СССР ГОСТ 28147-89 являются ориентирован-
ными на аппаратную реализацию. Созданные на их основе программные
криптомодули обладают низкой скоростью преобразования данных, что
для многих применений является критическим. Использование дополни-
тельных электронных схем для выполнения процедуры шифрования су-
щественно увеличивает стоимость таких систем защиты и не позволяет
обеспечить достаточную гибкость при перенесении системы на различ-
ные типы компьютерного оборудования. Поэтому в программных систе-
мах информационной безопасности должны использоваться алгоритмы
криптографических преобразований, разработанные изначально для
обеспечения высокой скорости шифрования при их программной реали-
зации.
К другой важной задаче обеспечения безопасности обработки ин-
формации относится задача гарантированной защиты от программных
закладок, с помощью которых опытный злоумышленник мог бы получить
доступ к ключевым данным, а затем - к секретной информации и даже к
возможности воспользоваться чужой электронной подписью.
6
Актуальной является также задача контроля целостности данных и

эталонного состояния программ, реализующих некоторую информацион-
ную технологию. Решение данной задачи позволяет своевременно обна-
ружить факт несанкционированного вторжения в компьютерную систему и
устранить причины, а также последствия этого вторжения.
Таким образом, на практике в самых разнообразных ситуациях воз-
никают свои специфические требования к режимам безопасной обработки
данных. Поэтому система защиты, ориентированная на массовое приме-
нение, должна удовлетворять наиболее широкому спектру потребностей.
С точки зрения потребителей современная система информационной
безопасности должна удовлетворять следующим требованиям:
♦ не уменьшать скорость обработки данных, характерную конкрет-
ной информационной технологии;
♦ гарантировать высокую стойкость к криптоанализу на основе по-
лученных фрагментов исходного и зашифрованного текста;
♦ предоставлять возможность установки режима гарантированной
защиты от программных закладок;
♦ обеспечивать контроль эталонного состояния системных и при-
кладных программ, а также наборов данных;
♦ иметь достаточно низкую стоимость и быть удобной в эксплуата-
ции, т. е. сохранять привычную технологию работы пользователя;
♦ обладать большой гибкостью при переносе системы на различ-
ные типы аппаратуры;
♦ не ограничивать пользователей в используемом программном ин-
струментарии.
Исходя из этих требований, можно сформулировать основные прин-
ципы, которых необходимо придерживаться при создании современной
системы компьютерной безопасности:
♦ отсутствие дополнительных электронных устройств;
Введение 7
♦ автоматическое функционирование;
♦ комплексность;
♦ совместимость со всеми другими программами;
♦ шифрование в режиме реального времени;
♦ минимальное потребление вычислительных ресурсов.
Это основные требования технологии прозрачной защиты ЭВМ.
Поскольку в реальных условиях функционирования информацион-
но-вычислительных систем высокой степени защиты информации невоз-
можно достигнуть без использования криптографических методов, цен-
тральным звеном при реализации современной технологии защиты явля-
ется разработка скоростных программно-ориентированных криптоалго-
ритмов. Достаточно высокую скорость (4 - 8 Мбит/с для SUN 4/260) обес-
печивают криптографические функции, предложенные в работе [5] специ-
ально для программной реализации. Другое решение этой проблемы мо-
жет быть найдено на основе двухэтапной схемы построения программных
криптомодулей [4, 6, 7], дальнейшее развитие которой позволило разра-
ботать скоростные алгоритмы, обеспечивающие высокий уровень стойко-
сти ко всем видам криптоанализа. На основе этих криптоалгоритмов по-
строен программный комплекс компьютерной безопасности «Кобра», ко-
торый удовлетворяет всем основным принципам современной технологии
прозрачной защиты информации в компьютерных системах. Концепту-
альному рассмотрению этого комплекса и посвящено данное пособие.
8
1. ОБЩЕЕ ОПИСАНИЕ СИСТЕМЫ ЗАЩИТЫ
1.1. Основы программной реализации

Система «Кобра» является одной из наиболее распространенных и
эффективных отечественных специализированных систем защиты ин-
формации для операционных сред MS-DOS/ Windows 3.1 и 3.11. К глав-
ному достоинству системы относятся реализованные в ней эффективные
методы защиты данных, обеспечивающие наиболее высокую безопас-
ность хранения о обработки информации.
Программная реализация данной системы основана на технологии
прозрачной защиты, согласно которой для пользователя не меняется при-
вычная среда его работы и он не испытывает неудобств, вызванных
функционированием защитных средств. Другими словами, система защи-
ты при функционировании является для пользователя невидимой.
Базисом технологии прозрачной защиты, реализованной в системе
«Кобра», является метод динамического шифрования конфиденциальной
информации, с которой работает пользователь. Конфиденциальная ин-
формация, записываемая на внешние устройства, подвергается автома-
тическому зашифровыванию по ключу, зависящему от пароля пользова-
теля. При считывании санкционированным пользователем эта информа-
ция автоматически расшифровывается. Такое динамическое шифрование
информации, по причине того, что его пользователь не замечает, назы-
вают прозрачным шифрованием или прозрачным криптографическим
преобразованием.
В системе «Кобра» реализована технология криптозащиты, обеспе-
чивающая повышение как скорости шифрования, так и криптостойкости
зашифрованных сообщений.
О бщее описание системы защиты 9
1.1.1. Обеспечение высокой скорости криптографических

преобразований
Неэффективность программной реализации аппаратно-
ориентированных алгоритмов является очевидной. Вместо моделирова-
ния электронных устройств с нетипичным для микропроцессора форма-
том обработки данных более целесообразно разработать криптосистему,
ориентированную на программную реализацию. Для решения этой задачи
предложена двухэтапная схема осуществления криптографических пре-
образований [6]. Суть этого подхода заключается в выделении в виде са-
мостоятельного модуля процедур настройки резидентной части шифра.
Структура программно-ориентированной криптосистемы может быть
представлена схемой на рис. 1.
Входные данные
Пароль
Резидентный Промежуточные
Модуль настройки криптограммы
модуль
Выходные данные
Рис. 1. Обобщенная структура программно-ориентированной

криптосистемы
Двухэтапная организация процесса криптографических преобразо-

ваний предполагает следующие две стадии шифрования:
1) настройка криптосистемы под конкретные параметры, зависящие
от исходного ключа (пароля) пользователя;
10
2) непосредственное шифрование.
На этапе настройки криптографической системы выполняются сле-
дующие действия:
♦ формирование рабочих ключей, используемых при непосредст-
венном шифровании;
♦ настройка криптографических функций непосредственного
шифрования;
♦ настройка алгоритмов шифрования, в которых используются
криптографические функции.
Таким образом, в процессе настройки криптосистемы на конкретный
ключ пользователя (пароль), вырабатываются рабочие ключи и деталь-
ный алгоритм шифрования.
Одним из вариантов получения качественных рабочих ключей явля-
ется следующая схема:
1) простое расширение пароля до необходимой длины;
2) рассеивание влияния символов пароля на конечную ключевую
последовательность с помощью шифрования одних частей этой
последовательности ключами, задаваемыми другими частями;
3) наложение порожденного шифра на некоторую случайную после-
довательность, сгенерированную от порождающего значения и
параметров, задаваемых исходным паролем;
4) разбиение полученной ключевой последовательности на рабочие
ключи.
Настройка криптографических функций непосредственного шифро-
вания основана как на выборе конкретных функций, так и на определении
для каждой выбранной функции используемых элементарных операций:
сложения, вычитания и поразрядного суммирования по модулю 2 (опера-
ция, обозначаемая как ⊕ или XOR).
Настройка алгоритмов шифрования заключается в выборе из биб-

лиотеки криптосистемы в зависимости от исходного пароля конкретных
алгоритмов и очередности их использования.
Стадия настройки криптосистемы на конкретный исходный ключ вы-
полняется один раз для всего сеанса шифрования информации по этому
ключу (для всего сеанса работы пользователя). Программный компонент
для реализации этой стадии вызывается только в начале сеанса шифро-
вания. Этот компонент формирует все необходимые параметры настрой-
ки в области оперативной памяти и, далее, в соответствии с этими пара-
метрами передает управление компоненту непосредственного шифрова-
ния, который в свою очередь для увеличения количества доступных ре-
сурсов освобождает область оперативной памяти, занимаемую компонен-
том настройки.
Компонент непосредственного шифрования в процессе всего сеан-
са работы пользователя находится резидентно в оперативной памяти,
вызывая компонент настройки только для изменения текущих параметров
криптографической системы при смене текущего ключа шифрования.
Алгоритмическая реализация двухэтапной схемы криптогра-

фических преобразований
Описанная организация построения криптосистемы делает шифр
очень гибким. Это позволяет воспользоваться схемой шифрования, при
которой пользователям достаточно выбирать пароли сравнительно малой
длины, а подпрограмма настройки, независимо от длины первичного клю-
ча, будет осуществлять управляемую паролем генерацию ключевой по-
следовательности достаточно большого размера.
Формируемые на этапе настройки криптосистемы ключевые эле-
менты в общем случае можно разделить на три группы:
12
1) ключевую область (один или несколько рабочих криптографиче-

ских ключей), которая управляет криптографическими преобразо-
ваниями, выполняемыми резидентным модулем;
2) непосредственные ключевые константы, записываемые по опре-
деленным адресам машинного кода резидентной подпрограммы;
3) ключевые элементы, управляющие процедурами построения ал-
горитма резидентного модуля.
Третья группа используется на этапе настройки в криптосистемах с
неопределенным алгоритмом преобразований, построение которых явля-
ется одним из перспективных направлений развития двухэтапного прин-
ципа построения программно-ориентированных криптосистем [8, 9].
Для подавляющего большинства применений являются приемле-
мыми двухэтапные криптосистемы, построенные в классическом стиле,
когда резидентная подпрограмма осуществляет заранее заданные крип-
тографические процедуры под управлением ключевого поля. В этой схе-
ме появляется специфическая возможность атаки двухэтапного шифра, а
именно - поиск возможности использования корреляции между исходным
ключом (паролем) и элементами ключевой области. Однако, эффектив-
ное противодействие таким попыткам обеспечивается на стадии разра-
ботки шифра. Это достигается путем построения алгоритма этапа на-
стройки в виде односторонней функции, генерирующей на выходе псев-
дослучайную последовательность, все биты которой зависят от каждого
бита пароля.
Подготовительный этап некритичен с точки зрения экономии ма-
шинного времени и объема соответствующей части программы, поскольку
он выполняется только при входе в систему. Более того, в определенных
рамках увеличение длительности отработки этапа настройки (например
до 0.3 с) является позитивным, поскольку его наличие является сущест-
венным барьером, противодействующим атаке путем подбора пароля, так
как для проверки каждого пробного варианта пароля злоумышленнику не-

обходимо выполнить подпрограмму настройки и только затем контроль-
ное дешифрование. Сам же алгоритм настройки составляется таким об-
разом, что его нельзя упростить и тем самым уменьшить время отработки
процедур настройки. Силовая атака путем подбора пароля является уни-
версальной в том смысле, что она применима ко всем типам криптоси-
стем. Однако, использование в качестве пароля случайно выбранной по-
следовательности длиной 10 байт практически полностью нейтрализует
эту возможность несанкционированного доступа к информации, поскольку
последнее связано с необходимостью перебора более 1027 вариантов.
Алгоритм 1 удовлетворяет условиям, накладываемым на процедуру на-
стройки, и может быть практически использован в программном крипто-
модуле.
Алгоритм 1: генерация ключевой области
В этом алгоритме используются две исходные псевдослучайные по-

следовательности {Zj} = {(z1z2)j} и {Qj} = {(q1q2)j}, j = 0, 1, 2 ... 255, состав-
ленные из 16-битовых двоичных чисел. Эти последовательности являют-
ся составной частью алгоритма. Предполагается, что они известны крип-
тоаналитику противника также как и сам алгоритм. Данные последова-
тельности могут быть получены путем обработки замеров некоторого слу-
чайно изменяющегося параметра в некотором физическом процессе или
сгенерированы датчиком псевдослучайных чисел.
ВХОД: Пароль (исходный ключ) произвольной длины (например, от

5 до 62 байт).
14
1. Повторить пароль требуемое число раз для получения 512-

байтной последовательности {Pj} = {(p1p2)j}, где Pj есть 16-битовое
представление соответствующих пар символов пароля.
2. Используя операцию поразрядного сложения по модулю два ⊕,

получить управляющую 512-байтовую последовательность
{Hj} = {Zj ⊕ Pj}.
3. Установить счетчик i = 1 и вычислить начальные значения пере-

менных (c1c2), y и u:
(c1c2)-1 = (p1p2)7 - (p1p2)9 ⊕ (p1p2)31 mod 2562,
y0 = (p1p2)47 ⊕ (p1p2)5 + (p1p2)19 mod 256,
u0 = (p1p2)50 +(p1p2)98 ⊕ (p1p2)15 mod 256.
4. Вычислить текущие значения параметров преобразования Y и U:

Yi = [yi-1 + (p1)i-1] ⊕ F(ui-1) mod 2562,
Ui = [ui-1 ⊕ (p2)i-1] + F(yi-1) mod 2562,
где F(ui-1) и F(yi-1) являются значениями элементов последователь-
ности {Hj} с номерами ui-1 и yi-1, соответственно.
5. Выполнить преобразование
(c1c2)i-1 = {[(p1p2)i-1 ⊕ Yi ] + (c1c2)i-2 + Ui} mod 2562
и вычислить следующие значения ui = Ui mod 256, yi = Yi mod 256.
6. Если i < 256, то прирастить i и перейти к пункту 4.
7. Построить вторую управляющую последовательность

{Dj} = {Qj + Pj mod 2562}.
8. Установить значение счетчика i=1 и вычислить начальные значе-

ния (k1k2)-1 = (p1p2)31, y0 = (p1)13 и u0 = (p2)13.
9. Вычислить текущие значения параметров преобразования

Yi = [yi-1 - (c1)256-i] ⊕ F(ui-1) mod 2562,
Ui = [u i-1 + (c2)256-i] - F(yi-1) mod 2562,
где F(ui-1) и F(yi-1) - соответствующие элементы последовательности
{Dj}.
10. Выполнить преобразование

(k1k2)i-1 = {[(c1c2)256-i + Yi] ⊕ Ui} + (k1k2)i-2 mod 2562
и установить следующие значения номеров
ui = Ui mod 256, yi = Yi mod 256.
11. Если i < 256, то прирастить i и перейти к шагу 9.
12. Вычислить значения непосредственных ключевых констант

T1 = (c1c2)3 + (c1c2)18 ⊕ (k1k2)7 и T2 = (k1k2)51 ⊕ (k1k2)109 + (c1c2)97.
13. Стоп.
ВЫХОД: 512-байтовая ключевая область {Kj} = {(k1k2)j}, j = 0, 1, 2 ...

255, и две непосредственные ключевые константы T1 и T2.
Приведенный выше алгоритм настройки задает определенную по-

следовательность элементарных шагов преобразований, на каждом из
которых используются параметры, зависящие от предыдущих вычисле-
ний. Изменение направления обработки входной последовательности
обусловливает влияние всех битов пароля на все биты выходной после-
16
довательности {Kj}. Для оценки качества Алгоритма 1 были проведены

многочисленные эксперименты, которые показали, что любой бит пароля
влияет на все биты конечной ключевой последовательности {Kj}, которая
используется как управляющая ключевая область при осуществлении
процедур шифрования и дешифрования (зашифровывания и расшифро-
вывания).
Алгоритм 2: криптографические процедуры резидентного крип-

томодуля
Алгоритм резидентного криптомодуля определяет все основные ха-

рактеристики программно-ориентированной криптосистемы, поэтому он
должен иметь сравнительно малый размер, обеспечивать высокую ско-
рость шифрования и требуемую криптостойкость. Этим требованиям
удовлетворяет следующий алгоритм.
ВХОД: 512-байтовый блок данных {(t1t2)j}, j = 0, 1, 2 ... 255.
1. Задать режим преобразований E = 1 (шифрование) или E = 0

(дешифрование) и установить счетчик r = 1 и параметр s = 3.
2. Установить счетчик i = 1 и начальные значения

(g1g2)0 = (k1k2)8 + (k1k2)211, y0 = (k1)91, u0 = (k2)72.
3. Вычислить параметры
Yi = [yi-1 + (g1)i-1] ⊕ F(ui-1) mod 2562,
Ui = [ui-1 + F(yi-1)] ⊕ (g2)i-1 mod 2562,
F(x) = (k1k2)x, x = 0, 1, 2 ... 255.
4. Если E = 0, то перейти к п. 6.
5. Выполнить текущий шаг шифрования

(g1g2)i = {[(t1t2)i-1 ⊕ T1 ] + Ui} ⊕ (g1g2)i-1 mod 2562,
(c1c2)i-1 = [(g1g2)i + T2] ⊕ Yi mod 2562 и перейти к п. 7.
6. Выполнить текущий шаг дешифрования

(g1g2)i = [(t1t2)i-1 ⊕ Yi] - T2 mod 2562,
(c1c2)i-1 = {[(g1g2)i ⊕ (g1g2)i-1] - Ui} ⊕ T1 mod 2562.
7. Вычислить очередные значения номеров

yi = Yi mod 256 и ui = Ui mod 256.
8. Если i < 256, то прирастить i и перейти к п. 3.
9. Если r < s, то прирастить r, задать новый входной блок данных

(t1t2)j = (c1c2)255-j и перейти к п. 2, в противном случае - СТОП.
ВЫХОД: 512-байтный блок данных {(c1c2)j}, j = 0, 1, 2 ... 255.
Криптосистема, характеризуемая Алгоритмами 1 и 2 обрабатывает

блоки данных размером 512 байт, но при минимальном модифицирова-
нии она может быть настроена на обработку блоков любого другого раз-
мера. На основе Алгоритма 2 составлен программный модуль обладаю-
щий скоростью шифрования около 10, 15 и 30 Мбит/с для микропроцессо-
ра Intel 486/50, соответственно для значений параметра s = 3, 2 и 1. Этот
алгоритм задает выполнение базового преобразования, определяемого
пунктами 2 - 8, от одного до трех раз.
18
Оценка криптостойкости классической двухэтапной криптоси-

стемы
Рассмотрим криптостойкость приведенной классической двухэтап-
ной криптосистемы, в которой не используются ключевые элементы,
управляющие процедурами построения алгоритма резидентного модуля.
Очевидно, что в криптосистеме с неопределенным алгоритмом, где эти
ключевые элементы используются, обеспечивается более высокая сте-
пень устойчивости к криптоанализу.
Тестирование рассмотренного алгоритма шифрования показало,
что он обладает высокой криптостойкостью к основным видам криптоана-
лиза. Стойкость трехпроходного режима (s = 3) к наиболее опасному типу
атаки - криптоанализу на основе выбранных текстов - определяется тем,
что практически невозможно подобрать тексты, при шифровании или де-
шифровании которых некоторые пары байтов преобразовывались бы с
помощью одинаковых пар значений (Y, U). Двухпроходная (s = 2) схема
шифрования также является надежной против любых криптоаналитиче-
ских атак, однако численные оценки даже для этого случая весьма слож-
ны. Рассмотрим более простой для криптоанализа случай атаки однопро-
ходного режима (s = 1) на основе известного исходного текста.
Формализованное описание всех известных одноключевых шифров
связано со значительными трудностями. Для всех известных и надежных
криптосистем оценка уровня их стойкости носит экспертный характер. По-
добная ситуация имеет место и при рассмотрении Алгоритма 2. Для полу-
чения возможности выполнения численных оценок рассмотрим заведомо
ослабленную модификацию данного алгоритма и сделаем при этом ряд
допущений в пользу криптоаналитика. Оценки, полученные с помощью
такого подхода, приемлемы, поскольку реальная криптостойкость будет
превосходить вычисленное таким путем минимальное значение.
Сделаем достаточно сильное допущение в пользу криптоаналитика.

Будем считать, что ключевые элементы F(y) и F(u) непосредственно вхо-
дят в формулу преобразования (t1t2)i → (c1c2)i. Такая упрощенная модифи-
кация однопроходного режима ранее рассмотрена в [7], где для малых
значений объема известного исходного текста получено значение мини-
мальной переборной стойкости W = 256R. Здесь параметр R зависит от
размера ключевой области, а под величиной W понимается число, не пре-
восходящее количества вариантов, которые необходимо перебрать для
восстановления ключа. Очевидно, что при возрастании объема известно-
го текста V величина W будет уменьшаться. Можно показать, что если
криптоаналитику известно N ключевых элементов, то W = 256R-N. Из по-
следней формулы видно, что при N = Nc = R значение W очень мало и,
следовательно, шифр в этом случае легко раскрывается. Используя ре-
зультаты работы [7], можно установить, что для упрощенной модифика-
ции однопроходного режима критическое значение Nc составляет при-
мерно 44.
Для вычисления ключевых элементов необходимо воспользоваться
повторами (на некоторых шагах шифрующих преобразований) в исполь-
зовании одних и тех же пар ключевых элементов [F(y), F(u)], число кото-
рых составляет 2562. Сделаем еще одно существенное допущение в
пользу криптоаналитика. Будем считать, что ему удастся установить шаги
шифрования (t1t2)i → (c1c2)i, использующие одинаковые пары [F(y), F(u)] и
вычислить элементы F(y) и F(u). Отсюда следует, что существует некото-
рое критическое значение V = Vc, которому соответствует число повто-
ряющихся пар ключевых элементов равное Nc. Если аналитик знает ис-
ходный текст критического объема, то рабочий ключ, соответствующий
данному паролю, может быть вычислен. Экспериментально установлено,
что для упрощенной модификации однопроходного режима величина Vс
составляет около 3 КБайт. В реальном однопроходном режиме в преоб-
20
разованиях (t1t2)i → (c1c2)i участвуют параметры Y и U, генерируемые на

основе ключевого поля. Эти параметры принимают псевдослучайные
значения от 0 до (2562 - 1). Число различных пар (Y,U) составляет 2564,
поэтому их повторы значительно реже, чем повторы пар [F(y), F(u)], и со-
ответственно критическое значение Vс >> 3 КБайт. Из приведенных оце-
нок видно, что однопроходный режим при определенных условиях может
применяться. Однако, его никак нельзя использовать в случаях когда
криптоаналитик противника имеет возможность применить атаку на осно-
ве выбранного текста, поскольку легко подобрать тексты, задающие по-
вторы пар (Y,U) на заведомо известных шагах шифрования. В таких слу-
чаях необходимо использовать двух- или трехпроходный режим.
1.1.2. Повышение криптостойкости

В системе «Кобра» повышение криптостойкости зашифрованных
сообщений реализуется путем внесения неопределенностей в алгоритмы
шифрования.
Идея внесения неопределенностей в процесс шифрования заклю-
чается в том, чтобы в подпрограмме настройки предусмотреть управляе-
мые паролем процедуры генерирования алгоритма резидентной подпро-
граммы. Такие криптосистемы представляются весьма перспективными
для специальных применений, поскольку потенциально обеспечивают
повышенную криптостойкость. Действительно, в отличие от случая крип-
тоанализа систем, построенных по классическому принципу, криптоана-
литику неизвестен конкретный алгоритм преобразований. Можно постро-
ить схемы [9], для которых на этапе настройки осуществляется псевдо-
случайный выбор одного из 10 возможных алгоритмов резидентного крип-
томодуля, при этом каждый из этого множества алгоритмов по крипто-
стойкости сопоставим с рассмотренной классической двухэтапной крипто-
системой.
Внесение неопределенностей в алгоритм и процесс непосредствен-

ного шифрования осуществляется на основе зависимости параметров
криптографических преобразований от так называемых параметров неоп-
ределенности.
В качестве параметров неопределенности могут использоваться:
1) значение текущего ключевого элемента, выбранного из рабочей
ключевой последовательности;
2) значение предыдущего ключевого элемента;
3) номера битов текущего ключевого элемента в общей
последовательности битов рабочего ключа;
4) номера битов предыдущего ключевого элемента;
5) значение текущего или предыдущего блока исходного сообщения;
6) значение текущего или предыдущего блока зашифрованного
сообщения;
7) значения отдельных частей текущего или предыдущего блоков
исходного (зашифрованного) сообщения;
8) результаты любого преобразования предыдущего шага зашифро-
вывания.
В качестве параметров криптографических преобразований исполь-
зуются следующие характеристики:
1) элементарные криптографические операции (+, -, ⊕);
2) криптографические функции или процедуры;
3) количество циклов шифрования;
4) направление шифрования каждого блока (от начала, от конца);
5) количество текущих ключевых элементов из общего набора рабо-
чих ключей;
6) очередность и типы перестановок при шифровании текущего бло-
ка;
7) виды текущих или следующих параметров неопределенности.
22
Внесение неопределенностей в процесс криптографических преоб-

разований позволяет достигнуть высокой криптостойкости зашифрован-
ных сообщений и обеспечивает гарантированную защиту конфиденци-
альной информации от использования несанкционированными пользова-
телями.
1.1.3. Организация прозрачного режима защиты

Любая защищенная информационная технология требует того, что-
бы данные, хранимые на магнитных носителях или передаваемые по раз-
личным каналам связи, были предварительно зашифрованы. Основным
принципом прозрачной защиты является осуществление всех дополни-
тельных процедур автоматически и с высокой скоростью, причем средст-
ва поддержания защищенного режима должны быть совместимы с при-
кладными программами данной системы обработки информации. По-
скольку данные используются, как правило, порциями по произвольному
запросу рабочих программ, то каждый соответствующий запрос на запись,
чтение, прием или передачу данных должен быть поддержан высокоско-
ростным шифрованием, т. е. криптографические преобразования должны
осуществляться в динамическом режиме.
Другой проблемой является сохранение произвольного формата
доступа к данным. Достаточно общим решением этой задачи было бы со-
хранение возможности произвольного доступа к любому байту и его из-
менения независимо от других байтов. В процессе разработки системы
«Кобра» это условие пришлось учитывать при проектировании режима
прозрачного шифрования назначаемых каталогов и файлов. Условие не-
зависимого преобразования каждого отдельного байта, продиктованное
системными соображениями, делает рассмотренный Алгоритм 2 непри-
годным для решения этой специфической задачи, которая сохраняет вы-
сокие требования к быстродействию и криптостойкости используемого ал-
горитма. Криптосистема, поддерживающая прозрачное шифрование

файлов, была разработана также на основе идеологии двухэтапной орга-
низации программно-ориентированного шифра. С целью удовлетворения
противоречивым требованиям (независимое преобразование малых пор-
ций данных при высоком уровне криптостойкости и ограниченности клю-
чевого пространства) был использован принцип динамической генерации
криптографических ключей. Более подробное описание принципов по-
строения и криптоанализ этой криптосистемы составляет предмет само-
стоятельного рассмотрения.
Криптосистема на основе Алгоритмов 1 и 2 предназначена для под-
держания режима прозрачного шифрования при работе с дискетами и с
логическими разделами жесткого диска, т. е. резидентный криптомодуль
будет запускаться при каждом обращении к областям магнитной памяти,
указываемым при установке режима безопасности. Данный шифр исполь-
зуется и для поддержания подсистемы файлового шифрования, в которой
файлы шифруются крупными блоками по ключу, указываемому непосред-
ственно перед преобразованием.
Рассматриваемая криптосистема используется также для поддер-
жания и установки режима теоретически гарантированной защиты от про-
граммных закладок, когда вся информация на жестком диске (включая
главную загрузочную запись, загрузочный сектор, системные программы и
т. д.) зашифровывается и всегда находится там в виде криптограммы.
Обычная технология работы пользователя обеспечивается функциониро-
ванием криптомодуля в динамическом режиме. Если установлена защита
от программных закладок (одновременно это и защита от загрузки с сис-
темной дискеты) и один из пользователей устанавливает режим шифро-
вания данных для какого либо логического раздела, то соответственно
предписанию система «Кобра» будет в прозрачном режиме дважды шиф-
ровать информацию при считывании и записи в эту область магнитной
24
памяти, при этом предусматривается возможность использования разных

ключей для этих двух процедур.
Таким образом, использование высокоскоростных программных
криптомодулей позволяет реализовать оптимальное наложение механиз-
мов защиты на некоторую открытую информационную технологию, пре-
вратив последнюю в защищенную при сохранении всех ее важнейших ка-
честв. Технология прозрачной защиты в первую очередь основывается на
высокоскоростной криптографии. Весьма важным требованием является
совместимость используемых средств защиты со всеми прикладными па-
кетами программ. Дополнение такой технологии обеспечения защищенно-
го режима работы системы обработки данных механизмами контроля дос-
тупа к различным ресурсам вычислительной системы, контроля эталонно-
го состояния данных, системных и прикладных программ и подсистемой
регистрации действий пользователей позволяет удовлетворить чрезвы-
чайно широкий спектр практических задач по защите информации.
1.2. Структура системы и назначение основных компонен-

тов
Система «Кобра» предназначена для обеспечения безопасности
хранения и обработки информации в персональных компьютерах, функ-
ционирующих под управлением операционной системы MS-DOS/ Windows
3.XX. «Кобра» доступна не только опытному профессионалу, с ней может
работать любой пользователь ЭВМ. Даже при сложных нарушениях в ра-
боте компьютера данная система защиты поможет пользователю само-
стоятельно и быстро восстановить исходную рабочую среду. Все широко
используемые системы и программы корректно взаимодействуют с сис-
темой «Кобра», не приводя к нарушениям в работе. Функционирование
системы является прозрачным. При установке всех режимов защиты в
полном объеме уменьшение скорости обработки данных не превышает 3
%. Комплекс «Кобра» включает в себя семь базовых подсистем защиты, а

также вспомогательные подсистемы (см. рис. 2).
К вспомогательным относятся следующие подсистемы:
♦ подсистема затирания, предназначенная для гарантированного
уничтожения остаточных данных в областях дисковой памяти;
♦ подсистема блокировки клавиатуры и монитора, обеспечивающая
блокировку устройств доступа к компьютеру по тайм-ауту при ос-
тавлении компьютера без присмотра;
♦ подсистема окончания работы на компьютере, предназначенная
для корректного завершения сеанса пользователя, в процессе ко-
торого выполняется проверка соответствия состояния операцион-
ной среды эталонному и занесение соответствующей записи в
журнал учета работ;
♦ подсистема создания дополнительных логических дисков, позво-
ляющая создать дополнительные логические диски на винчестере
с сохранением на нем информации и без его переразбиения ути-
литой FDISK.
26
Аутентификация и Защита от несанк- Контроль целос-

Прозрачное шиф-
разграничение ционированной тности программ и
рование файлов и
полномочий загрузки с систем- данных
каталогов
пользователей ной дискеты Восстановление
Установка режима Расширение рабочего состоя-
прозрачного шиф- событий, регис- Защита от ния компьютера в
рования для логи- трируемых в сис- программных аварийных
ческих дисков и темном журнале закладок ситуациях
дискет
Подсистема
Подсистема Подсистема обеспечения
разграничения Подсистема
санкционирова- эталонного сос-
доступа к закрытия тояния рабочей
ния доступа
файлам среды
Максимально
потребляемые
Вспомогательные Система ресурсы ЭВМ:
подсистемы «Кобра» ♦ 10 Кбайт ОП;
♦400 Кбайт дис-
ковой памяти.
Подсистема Специальная
Подсистема
файлового оболочка
регистрации
шифрования пользователя
Шифрование фай- Отображение и Регистрация и учет

лов, каталогов и предоставление обобщенных данных
дисков пользователям
только тех воз- Регистрация и учет
Автоматизация можностей, кото- детальных операций
обработки секрет- рые соответству-
ной информации ют их полномочи-
ям
Рис. 2. Структура системы «Кобра» и назначение основных ком-

понентов
Базовые и вспомогательные подсистемы защиты позволяют уста-

новить требуемый режим защищенной обработки данных. Каждому за-
конному пользователю могут быть назначены индивидуальные права дос-
тупа к вычислительным ресурсам и обрабатываемой информации. В рам-

ках предоставленных полномочий пользователи не будут испытывать ни-
каких неудобств. В указанных пределах функционирование системы
«Кобра» будет прозрачным, однако все несанкционированные действия
будут заблокированы. «Кобра» автоматически контролирует работы, вы-
полняемые на ЭВМ, и ведет их учет. Интегрированный комплекс «Кобра»
является мощным инструментом для решения широкого круга практиче-
ских проблем компьютерной безопасности.
1.2.1. Подсистема санкционирования доступа

Подсистема (ПС) санкционирования доступа обеспечивает защиту
информации на уровне логических дисков. ПС поддерживает требуемый
режим работы пользователей, разделенных по статусу на четыре группы:
Суперпользователь, Администратор, программист, коллега. Общее число
пользователей не должно превышать 48. Каждому законному пользова-
телю ЭВМ Суперпользователь или Администратор может установить ин-
дивидуальные полномочия по доступу к дискам А,B,C,D,...,Z, а именно:
запрет доступа, только чтение, полный доступ, СуперЗащита.
Наиболее надежным способом обеспечения конфиденциальности
является установка режима S - СуперЗащиты для любых логических дис-
ков, включая и диск С (порядок установки Суперзащиты на этот диск не-
сколько отличается от порядка установки режима S на остальные диски).
Работа с использованием режима S гарантирует секретность информа-
ции даже если дискеты, винчестер или даже сам компьютер будут похи-
щены злоумышленником. Установка режима S приводит к включению ме-
ханизма динамической криптографии. Помимо санкционирования доступа
к логическим дискам, Суперпользователь или Администратор ЭВМ уста-
навливает каждому законному пользователю и полномочия доступа к по-
следовательным и параллельным портам: есть доступ, нет доступа.
28
Секретность данных в системе «Кобра» обеспечена использовани-

ем динамической криптографии, метод которой реализуется модулем
СOBRA.SYS. Этот модуль выполняет операцию шифрова-
ния/дешифрования по прерыванию 13H. Следовательно, могут существо-
вать программы, которые грубо нарушают соглашения о порядке обработ-
ки прерываний и некорректно используя это прерывание, могут нарушить
данные на дисках с режимом S, которые открыты в момент запуска таких
программ. Перед запуском подобных программ нужно перейти на диск,
где отсутствует опция S.
«Кобра» позволяет устанавливать режим S на диски динамических
архиваторов SuperStor и Stacker, но только в том случае, если при созда-
нии этих дисков их внутренняя структура оказалась "правильной" и они
будут занимать дисковую область заканчивающуюся на границе конца
раздела диска. Однако, в ряде случаев (например при наличии BAD-
кластеров на диске) может оказаться, что структура логического диска ди-
намического архиватора окажется неприемлемой. Поэтому перед уста-
новкой режима S на такой диск, необходимо проверить его структуру на
правильность с помощью специальной программы СНЕСКLD.EXE, по-
ставляемой в составе комплекса «Кобра». Если эта программа диагно-
стирует прерываемость основного файла динамического архиватора, на
базе которого создается его логический диск, то этот логический диск не-
обходимо пересоздать.
«Кобра» дает возможность защищать не только разделы жесткого
диска, но и дискеты. СуперЗащита дискеты имеет тот же смысл, что и для
диска: данные и программы на дискете будут видимы только по паролю
пользователя, которым зашифрована эта дискета. Пользователю с дру-
гим паролем эти данные будут недоступны, поскольку данные зашифро-
ваны (шифруется полностью вся дискета вне зависимости от ее формата,
в том числе даже и такие области, как FAT Area - таблица размещения
файлов, и Directory - каталог). Дискеты можно похитить, но нельзя прочи-

тать, не зная пароль. С другой стороны пользователь, которому установ-
лен режим S для дисководов A и B, не сможет воспользоваться при рабо-
те на своем рабочем месте никакими другими дискетами, кроме специ-
ально подготовленных для него.
1.2.2. Подсистема разграничения доступа к файлам

Подсистема разграничения доступа к файлам, названная как под-
система LOCK, предназначена для расширения возможностей разграни-
чения доступа пользователей к файлам данных и программ, находящимся
на одном компьютере, и для специального назначения действий пользо-
вателя, подлежащих регистрации в системном журнале. LOCK поддержи-
вает режим динамического шифрования заданных каталогов и файлов.
ПС реализована в виде резидентной программы, следящей за действия-
ми пользователя и отклоняющей те запросы к операционной системе, ко-
торые не соответствуют данным ему правам. Ее предназначение в пер-
вую очередь - предотвратить запуск опасных программ неопытными поль-
зователями, так как их неумелое использование может привести к плохим
последствиям, вплоть до уничтожения всех данных на жестком диске.
Программа LOCK имеет конфигурационный файл, в котором зада-
ются для всех пользователей права доступа к различным каталогам,
файлам, дискам и т. д. В этом файле можно указать имена файлов и ди-
ректорий, для которых LOCK будет поддерживать режим прозрачного
шифрования независимо от места записи в дисковой памяти.
1.2.3. Подсистема закрытия

Подсистема закрытия предназначена для гарантированной защиты
от программных закладок и несанкционированной загрузки с дискеты.
Данная подсистема доступна только Суперпользователю.
30
Смысл установки режима гарантированной защиты от программных

закладок и несанкционированной загрузки с дискеты заключается в шиф-
ровании всех разделов диска C, включая Главную загрузочную запись, за-
грузочный сектор, системные программы и т. д. Во время установки такого
режима подготавливается специальная ключевая дискета, с помощью ко-
торой в дальнейшем осуществляется загрузка компьютера. Стандартны-
ми средствами MS-DOS может быть приготовлено требуемое число копий
этой дискеты. При знании пароля, по которому была установлена защита
от программных закладок, ключевая дискета может быть создана на дру-
гой ЭВМ с установленной системой «Кобра». Без наличия ключевой дис-
кеты в дисководе А: загрузка с жесткого диска будет невозможна, а при
загрузке с дискеты жесткий диск будет недоступен. При физическом чте-
нии жесткого диска злоумышленнику доступна только криптограмма. Про-
граммная закладка в этом случае теоретически может быть установлена
только при условии раскрытия злоумышленником шифра, что практически
нереализуемо ввиду высокой криптостойкости использованных алгорит-
мов.
Предусмотрена возможность перенесения ключа на жесткий диск. В
этом случае диск С: зашифрован, и в то же время с него можно загрузить-
ся без использования ключевой дискеты, но при условии знания пароля
начала загрузки (общего для всех зарегистрированных пользователей).
Таким образом, при этом каждый зарегистрированный пользователь дол-
жен для входа в систему знать и вводить два пароля: пароль загрузки
(общий для всех пользователей) и свой личный (основной или дополни-
тельный) пароль.
1.2.4. Подсистема обеспечения эталонного состояния

рабочей среды
Подсистема обеспечения эталонного состояния рабочей среды
предназначена для выполнения следующих функций:
♦ обнаружение несанкционированных изменений в рабочей среде
компьютера со стороны лиц, получивших доступ к ПЭВМ;
♦ обнаружение несанкционированных изменений, вызванных ком-
пьютерными вирусами и программами-вредителями;
♦ обнаружение искажений в программах и ключевой информации,
возникших в результате машинных сбоев или износа магнитного
носителя.
Подсистема обеспечения эталонного состояния рабочей среды реа-
гирует на появление разных типов существующих компьютерных вирусов,
а также предусматривает возможность появления их новых модификаций
и типов. Кроме того, данная подсистема выполняет автоматическое вос-
становление основных компонентов рабочей среды ПЭВМ, а в случае не-
возможности автоматического восстановления сигнализирует об этом
пользователю, выдавая данные о поврежденных областях рабочей среды
для проведения ручного восстановления. Подсистема контролирует со-
стояние оперативной памяти ЭВМ, содержание главной корневой записи
диска и загрузочного сектора, состояние батарейной памяти CMOS, фай-
лы конфигурирования и автозапуска CONFIG.SYS и AUTOEXEC.BAT, сис-
темные и прикладные программы, а также заданные информационные
файлы.
При необходимости можно (в процессе работы программы) сохра-
нить эту эталонную среду на дискете. Такая дискета может пригодиться
для автоматического восстановления эталонной среды в случае аварий-
ной ситуации. Для этого необходимо:
1) загрузиться с системной дискеты;
32
2) вставить в дисковод дискету с эталонной средой и запустить с нее

программу COBRATST.EXE, а затем ответить соответствующим
образом на ее вопросы.
При этом автоматически будут восстановлены: главная загрузочная
запись, загрузчик DOS, CONFIG.SYS, AUTOEXEC.BAT. Также будет пред-
принята попытка восстановления взятых под контроль и измененных по-
сле этого файлов с расширением EXE, причем по каждому из таких фай-
лов будет выведено сообщение об итогах такой попытки (удачном вос-
становлении или же, напротив, об отсутствии восстановления).
1.2.5. Подсистема файлового шифрования "SAFE"

Подсистема файлового шифрования SAFE представляет собой ав-
томатизированное рабочее место (например шифровальщика, админист-
ратора или оператора компьютерной сети, администратора или операто-
ра базы данных, криптографа, да и вообще любого пользователя компью-
тера, нуждающегося в надежном засекречивании своей информации) и
служит мощным и удобным инструментом для надежного и быстрого за-
шифровывания и расшифровывания компьютерной информации, начиная
с уровня файла и выше (т.е. файл, любая заданная группа файлов, груп-
па файлов в соответствии с заданными масками, каталог, каталог с под-
каталогами любого допускаемого DOS уровня вложенности, группа ката-
логов с подкаталогами, логический раздел диска или дискета).
Подсистема имеет простой, наглядный и удобный интерфейс, не
доставляющий трудностей в общении с ней даже начинающему пользо-
вателю и легко изучаемый за один сеанс работы. Пользователю же, зна-
комому с работой оболочки Norton Commander и ей аналогичных, система
будет близка и понятна уже с первых минут общения.
Подсистема SAFE обладает встроенным интерпретатором команд,
язык которого позволяет автоматизировать часто выполняемые последо-
вательности действий по шифровке/дешифровке файлов оформляя их в

виде отдельных поименованных заданий, которые будут отображаться в
виде меню для их выбора и запуска. Тогда оператору ПЭВМ потребуется
минимум усилий для выполнения необходимых работ.
1.2.6. Специальная оболочка пользователя "US"

Подсистема US (user`s shell) представляет собой специальную обо-
лочку пользователя, нуждающегося в простом и надежном средстве ото-
бражения состояния файловой системы MS-DOS и выполнения необхо-
димых задач по обработке информации на данной ЭВМ в рамках уста-
новленных ему полномочий. Главное отличие настоящей оболочки от хо-
рошо известных (Norton Commander, Dos Navigator, PC Shell) состоит в
том, что она предоставляет пользователю только те возможности по ма-
нипулированию командами операционной системы и запуску программ и
показывает только те директории и файлы, которые соответствуют его
полномочиям.
Подсистема обладает встроенной системой многоуровневых меню,
которая позволяет автоматизировать часто выполняемые последова-
тельности действий по выполнению задач обработки информации,
оформляя их в виде отдельных поименованных заданий, которые будут
отображаться в виде меню для их выбора и запуска.
Подсистема US имеет довольно большие возможности по ограни-
чению доступа к ресурсам компьютера. Прямым следствием этого явля-
ется довольно сложный процесс настройки. Перед тем, как приступить к
составлению конфигурационного файла для программы US, в качестве
исходной заготовки может послужить входящий в комплект поставки файл
US.CFG. US позволяет разграничивать доступ к следующим категориям
ресурсов:
♦ функциональные клавиши US (F1..F10),
34
♦ файлы,
♦ каталоги,
♦ командная строка DOS.
Конфигурационный файл представляет собой обыкновенный тек-
стовый файл и его можно создать в любом доступном редакторе.
1.2.7. Подсистема регистрации и учета работы пользо-

вателей
Подсистема регистрации и учета работы пользователей предназна-
чена для:
♦ определения длительности сеанса работы каждого пользователя
ПЭВМ;
♦ регистрации нарушений пользователем инструкций по работе с
системой "КОБРА";
♦ накопления сведений о работе каждого пользователя на ПЭВМ за
отчетный период;
♦ выдачи по запросу (только Суперпользователя или Администра-
тора) справки о работе пользователей за текущий период.
1.3. Стратегия формирования схемы защиты

Основополагающим требованием к реализации защиты информа-
ции в вычислительных системах является необходимость комплексного
подхода, учитывающего всю совокупность требований к защите и влияю-
щих на защиту факторов.
На уровень защиты информации, реализуемый системой “Кобра”,
непосредственное влияние оказывают ее используемые компоненты, а
также параметры их настройки и режимы функционирования, задаваемые
администратором службы безопасности.
Поэтому, основной задачей администратора со статусом супер-

пользователя перед настройкой и использованием системы “Кобра” явля-
ется определение для каждого компьютера схемы защиты, соответст-
вующей выдвинутым к защите требованиям. Под схемой защиты при этом
понимается совокупность используемых компонентов системы “Кобра”, а
также параметры их настройки и устанавливаемые режимы функциониро-
вания.
Схемы, а также уровни защиты, реализуемые системой “Кобра”,
можно классифицировать по следующим базовым признакам:
1) уровень подтверждения подлинности, характеризующий стой-
кость используемого способа аутентификации;
2) уровень разграничения доступа, отражающий степень возмож-
ной детализации полномочий пользователей;
3) объем защищаемой информации, для которого могут опреде-
ляться наиболее эффективные схемы и уровни защиты;
4) уровень криптографического закрытия защищаемых данных,
характеризующий криптостойкость используемых способов шиф-
рования;
5) уровень защиты от обхода системы “Кобра”, отражающий
степень защиты от программных закладок, а также несанкциони-
рованного изменения настроек системы защиты и операционной
среды;
6) уровень защиты от компьютерных вирусов, характеризующий
степень защищенности от несанкционированных программ;
7) уровень защиты от модификации информации, характери-
зующий возможности по определению фактов несанкционирован-
ной модификации системных и несистемных данных винчестера;
36
8) уровень ограничения доступа пользователей к дискетам, от-

ражающий возможности по ограничению для каждого пользовате-
ля числа дискет, которые можно использовать на компьютере;
9) уровень защиты от несанкционированного доступа к инфор-
мации при оставлении компьютера без завершения сеанса
работы, отражающий возможности блокировки клавиатуры, мы-
ши и экрана по тайм-ауту;
10)уровень защиты от доступа к остаточной информации, харак-
теризующий степень защищенности от хищения остаточной ин-
формации на винчестере;
11)уровень защиты от несанкционированных действий санк-
ционированных пользователей, отражающий возможности по
предотвращению таких несанкционированных действий;
12)уровень защиты от потери информации, отражающий возмож-
ности по резервированию данных.
В соответствии с каждым из данных признаков могут быть установ-
лены разные схемы защиты. Для формирования конкретной схемы адми-
нистратор службы безопасности должен выполнить следующие этапы.
1. Изучение положений законодательных актов по защите информа-
ции (см. Приложение), а также назначения компонентов системы
“Кобра”.
2. Определение и уяснение требований к защите на основе выявле-
ния и анализа угроз информации в компьютерной системе, для
которой приобретена система “Кобра”.
3. Определение требуемых уровней защиты на основе анализа из-
ложенной далее классификации возможностей системы “Кобра”
по каждому из выше перечисленных признаков.
4. Систематизация полученной информации и окончательное фор-
мирование схемы защиты.
При выполнении третьего и четвертого этапов необходимо учиты-

вать, что эффективная защита должна удовлетворять двум противоречи-
вым требованиям:
♦ обеспечение надежной защиты информации в компьютерной сис-
теме;
♦ обеспечение удобства работы пользователей на компьютере (от-
сутствие назойливости со стороны системы защиты, а также дру-
гих недостатков, мешающих нормальной работе пользователей).
Только в этом случае будет достигнут максимальный эффект от ис-
пользования компьютерной системы.
После определения схемы защиты администратор службы безопас-
ности может приступить к установке и настройке всех необходимых ком-
понентов системы “Кобра” на основе документации, поставляемой вместе
с системой.
38
2. КЛАССИФИКАЦИЯ СХЕМ И УРОВНЕЙ ЗАЩИТЫ
2.1. Уровни подтверждения подлинности

Уровень подтверждения подлинности характеризует стойкость ис-
пользуемого способа аутентификации пользователя при его входе в ком-
пьютерную систему.
Система “Кобра” для каждого пользователя позволяет реализовать
один из следующих уровней подтверждения подлинности:
♦ ввод пароля с клавиатуры;
♦ ввод пароля с дискеты;
♦ вход в систему при условии раздельного ввода независимыми
субъектами двух разных паролей.
Каждый следующий уровень из перечисленных является мощнее
предыдущего. Первые два реализуются подсистемой санкционирования
доступа. Для реализации третьего уровня необходимо использовать еще
и подсистему закрытия.
При вводе пароля с клавиатуры его длина может достигать 64 сим-
вола, набор которых возможен на трех регистрах, переключаемых с по-
мощью клавиш F1, F2 и F3 (по умолчанию - F1).
Для высокой надежности аутентификации пароли должны быть
длинными и нетривиальными. Но чем длиннее и нетривиальнее пароль,
тем сложнее его запомнить. Поэтому, при формировании трудно запоми-
наемого пароля большой длины система “Кобра” позволяет записать его
на дискету и в дальнейшем использовать эту дискету в качестве элек-
тронного аутентификатора для подтверждения подлинности пользовате-
ля. При использовании такого способа аутентификации администратору
службы безопасности необходимо обратить особое внимание на разъяс-
Классифик ация схем и уровней защиты 39
нительную работу среди пользователей о необходимости тщательной со-

хранности дискет с их паролями от похищения.
Кроме возможности использования электронного аутентификатора
“Кобра” позволяет создать ключевую дискету, без которой загрузка опе-
рационной системы на компьютере станет невозможной. В этом случае
появляется возможность организации входа в компьютерную систему
только при условии раздельного ввода двух разных паролей - пароля,
хранящегося на ключевой дискете, и пароля, используемого для подтвер-
ждения подлинности.
2.2. Уровни разграничения доступа

Уровень разграничения доступа характеризует степень возможной
детализации полномочий пользователей по использованию ресурсов ком-
пьютерной системы (областей дисковой памяти, портов ввода-вывода).
Система “Кобра” предоставляет следующие возможности по раз-

граничению доступа пользователей к компьютерным ресурсам:
♦ разграничение на уровне логических дисков и портов ввода-
вывода, реализуемое подсистемой санкционирования доступа;
♦ разграничение на уровне файлов и каталогов, реализуемое под-
системой разграничения доступа к файлам.
Для организации разграничения на уровне логических дисков значи-
тельную помощь может оказать подсистема создания дополнительных
логических дисков. При наличии свободного пространства на жестком
диске данная подсистема позволяет создать дополнительные логические
диски без переразбиения винчестера. Созданные таким образом вирту-
альные логические диски могут использоваться администраторами для
детализации разграничения доступа пользователей к дисковому про-
странству.
40
2.3. Влияние объема защищаемой информации

Для достижения высокой эффективности использования системы
“Кобра” при определении конкретной схемы защиты необходимо учиты-
вать и объемы защищаемых пользователями данных.
Рассмотрим наиболее удобные возможности системы защиты для
малых и больших объемов конфиденциальной информации.
Если объем защищаемых данных конкретного пользователя со-
ставляет небольшое количество файлов (например, до 10), или эти фай-
лы легко специфицируются по шаблону (например, *.sec), то для защиты
этой информации целесообразно использовать подсистему разграниче-
ния доступа к файлам или подсистему файлового шифрования.
При использовании подсистемы разграничения доступа к файлам
для защищаемых файлов необходимо установить режим суперзащиты
(режим S), обеспечивающий прозрачное для пользователя шифрование
информации при обращении к этим файлам.
При использовании же подсистемы файлового шифрования пользо-
вателю самому следует в начале своего сеанса работы расшифровать, а
перед окончанием - зашифровать конфиденциальные данные. Для авто-
матизации этого процесса можно воспользоваться макроязыком подсис-
темы файлового шифрования. Перед окончанием сеанса работы необхо-
димо также позаботиться об уничтожении остаточной информации в от-
веденных пользователю областях жесткого диска с помощью подсистемы
затирания.
Если объем защищаемых данных составляет большое количество
файлов, размещенных в разных каталогах, то для защиты секретных дан-
ных целесообразно использовать возможности подсистемы санкциониро-
вания доступа. В этом случае для логического диска с защищаемыми
данными необходимо установить режим суперзащиты (режим S), обеспе-
чивающий прозрачное для пользователя шифрование информации при

обращении к этому диску.
2.4. Уровни криптографического закрытия защищаемых

данных
Уровень криптографического закрытия защищаемых данных харак-
теризует криптостойкость используемых способов шифрования.
Система “Кобра” поддерживает одинарный, двойной и тройной
уровни криптографического закрытия информации. Каждый следующий из
этих уровней дополняет функции предыдущего.
Одинарный уровень криптографического закрытия реализуется од-
ним из следующих способов:
♦ прозрачным шифрованием информации подсистемой санкциони-
рования доступа или подсистемой разграничения доступа к фай-
лам после задания для логических дисков или файлов с секрет-
ными данными режима суперзащиты (режима S);
♦ использованием подсистемы файлового шифрования для шиф-
рования файлов с конфиденциальными данными.
Двойной уровень криптографического закрытия реализуется сле-
дующими путями:
♦ совместным использованием для одних и тех же данных двух пе-
речисленных способов шифрования;
♦ усилением одинарного уровня использованием подсистемы за-
крытия для прозрачного шифрования всего пространства жестко-
го диска.
Тройной уровень криптографической защиты реализуется совмест-
ным использованием всех перечисленных способов шифрования.
Необходимо учитывать, что эффективность многоуровневого крип-
тографического закрытия информации будет высокой только в том слу-
42
чае, если для разных уровней заданы разные ключи шифрования (паро-
ли).
Следует также отметить, что в системе “Кобра” поддерживается ре-
жим гарантированного шифрования информации при ее записи на диске-
ты, реализуемый подсистемой санкционирования доступа. Установка та-
кого режима выполняется администратором путем задания в полномочи-
ях пользователя режима суперзащиты для дискет. При установке режима
гарантированного шифрования записываемой на дискеты информации
администратору следует позаботиться о подготовке требуемого количест-
ва дискет для пользователя, так как другими дискетами он воспользо-
ваться уже не сможет.
2.5. Уровни защиты от обхода системы "Кобра"

Уровень защиты от обхода системы "Кобра" отражает степень за-
щиты от программных закладок, а также несанкционированного измене-
ния настроек операционной среды и самой системы защиты, возможных
при загрузке с системной дискеты.
Система "Кобра" предоставляет четыре усиливающихся варианта
защиты от несанкционированной загрузки с системной дискеты, реали-
зуемые подсистемой закрытия:
первый вариант - с прозрачным шифрованием только загрузочного
раздела жесткого диска (MBR);
следующие три варианта - с прозрачным шифрованием первично-
го, а при необходимости - расширенного раздела винчестера.
Первый вариант в документации назван защитой без использова-
ния, а следующие три - с использованием ключевого диска.
При установке защиты без использования ключевого диска (с
шифрованием MBR) после загрузки с системной дискеты жесткий диск
будет доступен только в том случае, если загрузка осуществлялась с дис-
кеты, специально подготовленной администратором службы безопасно-

сти. Однако, данный вариант не обеспечивает защиту от профессиона-
лов, так как после загрузки с обычной системной дискеты доступ к неза-
шифрованной информации винчестера все-таки возможен, но с помощью
низкоуровневых редакторов, и на системном уровне.
Более высокие уровни защиты от несанкционированной загрузки с
системной дискеты реализуются защитой с использованием ключевого
диска, при которой шифруется не только MBR, но и первичный, а при не-
обходимости расширенный разделы винчестера. В этом случае загру-
зиться с системной дискеты для доступа к винчестеру будет возможно
только при наличии сформированного ключа загрузки.
Предусмотрены следующие три усиливающихся варианта защиты с
использованием ключевого диска:
♦ с переносом ключа загрузки с ключевой дискеты на жесткий диск
без задания дополнительного пароля загрузки;
♦ с переносом ключа загрузки с ключевой дискеты на жесткий диск с
заданием дополнительного пароля загрузки;
♦ без переноса ключа загрузки с ключевой дискеты на жесткий диск.
В первом случае для загрузки операционной системы с винчестера,
кроме ввода пароля аутентификации, не нужно выполнять каких-либо до-
полнительных действий, во втором - необходимо ввести дополнительный
пароль загрузки, а в третьем - необходимо наличие ключевой дискеты.
При установке последнего варианта защиты загрузиться с винче-
стера без ключевой дискеты будет невозможно.
2.6. Уровни защиты от компьютерных вирусов

Данный признак классификации схем защиты характеризует сте-
пень защищенности компьютерной системы от несанкционированных са-
морепродуцирующихся программ.
44
Использование системы "Кобра" совместно с общесистемными про-

граммными средствами позволяет реализовать следующие взаимодопол-
няющие уровни защиты от компьютерных вирусов:
1) уровень обнаружения факта заражения вирусом и восстановле-
ния рабочей среды, реализуемый с помощью подсистемы обес-
печения эталонного состояния рабочей среды ПЭВМ;
2) уровень анализа на наличие вирусов и восстановления посту-
пающих извне программных средств, реализуемый с помощью
доступного детектора-дезинфектора, например, DrWeb или
AidsTest;
3) уровень защиты от деструктивных действий компьютерных виру-
сов, реализуемый с помощью доступного фильтра, например,
Vsafe, входящего в состав MS-DOS начиная с 6-й версии.
При поддержке первых двух уровней обеспечивается высокая, но не
максимальная степень защиты. Максимальной степени защиты от компь-
ютерных вирусов можно достигнуть только при одновременной поддержке
всех трех перечисленных уровней.
На первом уровне обеспечивается:
♦ периодическая (при каждой загрузке компьютера и каждом кор-
ректном завершении сеанса работы) проверка соответствия те-
кущего состояния рабочей среды эталонному состоянию, сфор-
мированному администратором;
♦ восстановление эталонного состояния рабочей среды при обна-
ружении несоответствий.
Для данного уровня защиты следует особое внимание обратить на
то, чтобы запоминание эталонного состояния рабочей среды выполня-
лось только после тщательной проверки компьютера детектором-
дезинфектором и восстановления его нормального состояния при обна-
ружении признаков заражения вирусами.
На втором уровне защиты администратор должен организовать

проверку детектором всех поступающих извне программных средств. За-
раженные программы должны быть восстановлены дезинфектором или
уничтожены при невозможности восстановления.
В качестве обязательных деструктивных действий, контролируемых
фильтром на третьем уровне защиты, администратор должен опреде-
лить следующие:
♦ низкоуровневое форматирование диска;
♦ размещение в памяти резидентной программы;
♦ модификация исполняемого файла (следует учитывать, что неко-
торые программы могут сами модифицировать содержимое сво-
его исполняемого файла для изменения каких-либо параметров
настройки);
♦ модификация загрузочных секторов винчестера и дискет.
2.7. Уровни защиты от модификации информации

Уровень защиты от модификации информации характеризует воз-
можность по определению фактов несанкционированной модификации
системных и несистемных данных винчестера. Этот вид защиты реали-
зуется подсистемой обеспечения эталонного состояния рабочей среды, с
помощью которой обеспечивается периодическая (при каждой загрузке
компьютера и каждом корректном завершении сеанса работы), а также
специально инициируемая проверка заданной текущей информации вин-
честера на соответствие эталонной. Для несистемной информации в ка-
честве эталонных данных используются контрольные суммы.
Предусмотрены следующие функции по определению фактов не-
санкционированной модификации информации:
♦ проверка системных данных (содержимого CMOS-памяти, MBR,
Config.sys, Autoexec.bat, системных файлов DOS);
46
♦ проверка заданных исполняемых файлов;

♦ проверка заданных файлов данных.
Первые две функции подсистемы обеспечения эталонного состоя-
ния рабочей среды используются также для защиты от компьютерных ви-
русов с целью обнаружения фактов изменения вирусами системных дан-
ных и заданных исполняемых файлов.
При организации проверки заданных информационных файлов не-
обходимо учитывать, что после каждого санкционированного изменения
этих файлов необходимо обновлять и соответствующую им эталонную
информацию (эталонные контрольные суммы).
2.8. Уровни защиты от несанкционированного доступа к

информации при оставлении компьютера без завер-
шении сеанса работы
В системе "Кобра" предусмотрена возможность блокировки клавиа-
туры, мыши и экрана компьютера по тайм-ауту при отсутствии признаков
активности пользователя. Кроме того, пользователь может принудитель-
но заблокировать клавиатуру, мышь и экран на время оставления компь-
ютера без присмотра.
После любого способа блокировки вход в систему возможен только
после ввода пароля, специально заданного для разблокирования.
Все перечисленные функции реализуются с помощью подсистемы
блокировки.
Без использования подсистемы блокировки перед каждым оставле-
нием компьютера необходимо корректно завершить сеанс работы путем
активизации подсистемы окончания работ.
2.9. Уровни ограничения доступа пользователей к диске-

там
Данный уровень отражает возможности по ограничению для каждо-
го пользователя числа дискет, которые можно использовать на компьюте-
ре.
Предусмотрены два варианта по ограничению доступа каждого
пользователя к дискетам, реализуемые подсистемой санкционирования
доступа:
♦ режим ограничения отключен;
♦ режим ограничения включен.
Включение режима ограничения осуществляется заданием админи-
стратором в полномочиях пользователя режима суперзащиты (режима S)
для накопителей дискет. В этом случае будет осуществляться прозрачное
шифрование как системной, так и несистемной информации при обраще-
нии к дискетам. В результате станет возможна работа только с теми дис-
кетами, которые специально подготовлены администратором.
2.10. Уровни защиты от доступа к остаточной информации

Уровень защиты от доступа к остаточной информации характеризу-
ет степень защищенности от хищения секретной остаточной информации
на винчестере.
Общеизвестно, что после удаления файлов средствами
MS DOS/Windows обновляется только информация в FAT и соответст-
вующих каталогах. Область данных же на диске остается без изменения
до ее затирания другой информацией. Оставшиеся на диске данные по-
сле удаления файлов и каталогов называют остаточной информацией.
В системе "Кобра" предусмотрены следующие возможности по за-
щите от доступа к остаточной информации, реализуемые подсистемой
затирания:
48
♦ полное удаление файловой информации на физическом уровне;

♦ очистка свободного пространства на диске от остаточной инфор-
мации.
Администратору службы безопасности необходимо уделить особое
внимание на разъяснительную работу среди пользователей о строгом
выполнении одного из следующих правил:
♦ удаление файлов с секретными данными необходимо выполнять
только с помощью подсистемы затирания;
♦ перед окончанием сеанса работы необходимо активизировать
подсистему затирания для уничтожения остаточной информации
на задействованных в процессе работы логических дисках.
Следует заметить, что если доступ к конфиденциальной информа-
ции реализуется в режиме суперзащиты, то открытая остаточная инфор-
мация не появляется. Поэтому, в этом случае защита от доступа к оста-
точной информации не нужна.
2.11. Уровни защиты от несанкционированных действий

санкционированных пользователей
Данный уровень характеризует возможности системы "Кобра" по
недопущению и обнаружению несанкционированных действий санкциони-
рованных пользователей. Предоставляются следующие взаимодопол-
няющие функции по поддержке данного уровня защиты:
♦ регистрация и учет всех заданных действий пользователей раз-
личных категорий, реализуемые подсистемой регистрации;
♦ использование оболочки пользователя, отображающей и предос-
тавляющей пользователям различных категорий только те воз-
можности, которые соответствуют их полномочиям.
Сам факт регистрации является мощным психологическим препят-
ствием для попыток совершения пользователями несанкционированных
действий, так как они понимают, что эти действия будут обнаружены.
Кроме того, регистрируемые данные значительно облегчают процесс
анализа причин случившегося несанкционированного доступа к инфор-
мации и позволяют оптимизировать используемую политику безопасно-
сти, а также схему защиты.
При организации регистрации и учета работ администратор должен
обязать всех пользователей корректно завершать свои сеансы работы
путем активизации подсистемы окончания работ, так как данная подсис-
тема, кроме запуска процесса проверки текущего состояния рабочей сре-
ды компьютера на соответствие эталонному, активизирует процесс от-
метки в журнале регистрации времени окончания сеанса работы соответ-
ствующего пользователя.
Использование специальной оболочки, отображающей и предос-
тавляющей пользователям компьютерные ресурсы, соответствующие
пользовательским полномочиям, позволяет скрыть сам факт наличия ре-
сурсов, доступ к которым запрещен, что также оказывает положительное
влияние на снижение попыток несанкционированного доступа.
2.12. Уровни защиты от потери информации

Уровень защиты от потери информации отражает возможности по
резервированию данных, хранимых и обрабатываемых в компьютере.
Для эффективной защиты от потери информации необходимо обес-
печить выполнение следующих функций по резервированию данных:
♦ резервирование системной информации (содержимого CMOS-
памяти, MBR, Config.sys, Autoexec.bat, системных файлов DOS),
реализуемое подсистемой обеспечения эталонного состояния ра-
бочей среды;
♦ резервирование несистемных данных (файлов с документами,
файлов баз данных, файлов с электронными таблицами и т.д.),
50
реализуемое доступными архиваторами (ARJ, RAR и др.) или

встроенными средствами DOS/Windows, например, обычным ко-
пированием.
Резервные копии системных данных необходимо сбросить на дис-
кету с помощью подсистемы обеспечения эталонного состояния рабочей
среды. С помощью данной подсистемы выполняется и восстановление
соответствующей системной информации. На дискете с резервными сис-
темными данными обычным копированием необходимо разместить также
резервные копии файлов настройки Windows, имеющих расширение .INI,
а также .GRP. Файлы Config.sys, Autoexec.bat, *.ini, и *.grp необходимо
резервировать после каждого изменения настроек операционной среды с
пометкой даты, времени, а также причин их обновления. Старые версии
аналогичных файлов в архивах резерва удалять не следует. Такая такти-
ка позволяет значительно ускорить процесс восстановления работоспо-
собности компьютера или ранее используемых параметров его настроек.
Файлы с несистемной информацией можно резервировать как на
дискеты, так и на стример.
Администратору службы безопасности необходимо постоянно на-
поминать пользователям о необходимости резервирования своих данных
и обновления архивов после модификации информации перед окончани-
ем сеанса работы. Необходимо также обратить внимание на то, чтобы
конфиденциальная информация резервировалась только в закрытом
(зашифрованном) виде.
51
3. ТИПОВЫЕ СХЕМЫ ЗАЩИТЫ
Приведенная в предыдущем разделе классификация схем и уров-

ней защиты, реализуемых системой "Кобра", позволяет администратору
службы безопасности выбрать для каждого компьютера уровни защиты,
соответствующие выдвинутым к защите требованиям, и тем самым
сформировать конкретную схему защиты компьютерной информации.
Рассмотрим наиболее распространенные схемы защиты информа-
ции на основе системы "Кобра", соответствующие следующим возрас-
тающим уровням информационной безопасности:
♦ уровень реализации минимальных требований к безопасности
информации;
♦ уровень пониженной защищенности;
♦ уровень средней защищенности;
♦ уровень повышенной защищенности;
♦ уровень максимальной защищенности.
В основу разграничения перечисленных уровней положены сле-
дующие признаки:
♦ количество пользователей, имеющих доступ к компьютеру;
♦ степень различия прав пользователей,
♦ наличие халатных пользователей, которые могут записать конфи-
денциальную информацию на дискеты в открытом виде;
♦ возможность доступа к компьютеру посторонних лиц;
♦ степень конфиденциальности защищаемой информации;
♦ объем защищаемых данных;
♦ частота поступления программ извне.
Характеристики каждого уровня информационной безопасности в
соответствии с данными признаками будут приведены при рассмотрении
52
выдвинутых для этого уровня требований по защите компьютерной ин-

формации.
Перед раскрытием конкретной схемы защиты для каждого из вве-
денных уровней, кроме описания выдвинутых к защите требований, будут
приведены функции системы "Кобра" по их реализации. Для отражения
процесса выбора функций по изложенной в предыдущем разделе клас-
сификации уровней защиты, эти функции будут разграничены по базовым
признакам классификации, введенным в первом разделе.
При непосредственном раскрытии схемы защиты будут указаны
требуемые компоненты системы "Кобра" и приведены необходимые ре-
жимы их функционирования.
3.1. Уровень реализации минимальных требований к безо-

пасности информации
3.1.1. Требования к информационной безопасности

На данном уровне необходимо обеспечить безопасность информа-
ции при следующих условиях использования компьютера:
♦ к компьютеру имеют доступ один или более одного пользовате-
лей, но с одинаковыми правами;
♦ халатные пользователи, которые могут записать конфиденциаль-
ную информацию на дискеты в открытом виде, отсутствуют;
♦ доступ посторонних лиц к компьютеру маловероятен;
♦ в компьютере хранится и обрабатывается информация низкой
степени конфиденциальности;
♦ программы извне в компьютерную систему поступают редко.
Перечисленные условия приводят к выводу, что наиболее явными
угрозами, от реализации которых необходимо обеспечить защиту на рас-
сматриваемом уровне, являются следующие:
Т ипо вые схемы защиты 53
♦ угрозы несанкционированного доступа к конфиденциальной ин-

формации со стороны посторонних лиц, которым несмотря на
препятствия, удалось получить доступ к компьютеру;
♦ угрозы использования посторонними лицами остаточной инфор-
мации после несанкционированного доступа к компьютеру;
♦ угрозы хищения информационных носителей с конфиденциаль-
ными данными;
♦ угрозы поступления извне в компьютер программ, зараженных
вирусами;
♦ угрозы потери работоспособности ПЭВМ из-за заражения компь-
ютерным вирусом;
♦ угрозы потери информации по причине некорректных или несанк-
ционированных действий.

требований
Для реализации предъявленных к информационной безопасности
требований должны быть предусмотрены следующие уровни защиты ин-
формации на основе системы "Кобра".
Уровень подтверждения подлинности

Для всех пользователей с помощью подсистемы санкционирования
доступа целесообразно задать один нетривиальный пароль, вводимый с
клавиатуры, длина которого должна быть не менее шести символов.
Уровень разграничения доступа

Установить режим суперзащиты (режим S) для логических дисков с
конфиденциальными данными, реализуемый подсистемой санкциониро-
вания доступа. Конфиденциальную информацию все пользователи долж-
54
ны хранить только на этих логических дисках. При необходимости для

конфиденциальной информации можно создать дополнительные логиче-
ские диски с помощью подсистемы создания дополнительных логических
дисков.
Уровень криптографического закрытия защищаемых данных

Использовать одинарный уровень криптографического закрытия -
режим суперзащиты для логических дисков с конфиденциальной инфор-
мацией (реализуется подсистемой санкционирования доступа).
В случае необходимости гарантированного шифрования информа-
ции при ее записи на дискеты, следует для накопителей гибких дискет с
помощью подсистемы санкционирования доступа установить режим су-
перзащиты. Однако, в этом случае необходимо позаботиться о предвари-
тельной подготовке дискет для этого режима.
Для шифрования записываемых на дискеты файлов, инициируемого
пользователем, следует воспользоваться подсистемой файлового шиф-
рования.
Уровень защиты от компьютерных вирусов

Должны быть предусмотрены следующие функции:
♦ функции обнаружения факта заражения вирусом и восстановле-
ния рабочей среды, реализуемые с помощью подсистемы обес-
печения эталонного состояния рабочей среды;
♦ функции анализа на наличие вирусов и восстановления посту-
пающих извне программных средств, реализуемые с помощью
AidsTest.
Уровень защиты от доступа к остаточной информации

Защита от доступа к остаточной информации не нужна, так как ра-
бота с конфиденциальными данными выполняется в режиме суперзащи-
ты.
Уровень защиты от потери информации

Необходимо обеспечить:
Конфиденциальные данные должны резервироваться только в за-
шифрованном виде (см. уровень криптографического закрытия информа-
ции).
3.1.3. Схема защиты

Схема защиты представлена в таблице 1.
56
Таблица 1.
Названия компо-
нентов системы
Режимы функционирования
"Кобра" и других ис-
пользуемых про-
граммных средств.
Подсистема санк- Аутентификация: использование пароля, вводимого с
ционирования доступа клавиатуры, длиной не менее 6 символов.
Разграничение доступа
Режим суперзащиты для логических дисков с конфиден-
циальными данными.
В случае необходимости гарантированного шифрования
информации при ее записи на дискеты:
- установка режима суперзащиты для накопителей гиб-
ких дискет;
- подготовка дискет для режима суперзащиты.
Подсистема созда- Используется при необходимости создания дополнитель-
ния дополнительных ных логических дисков для хранения конфиденциальной
логических дисков информации пользователей
Подсистема файло- Шифрование записываемых на дискеты файлов с конфи-

вого шифрования денциальной информацией при отсутствии режима супер-
защиты для дискет
Подсистема обеспе- Формирование администратором эталонного состояния
чения эталонного со- рабочей среды ПЭВМ (содержимого CMOS-памяти, MBR,
стояния рабочей сре- Config.sys, Autoexec.bat, системных файлов DOS).
ды
Резервирование на дискету системной информации (со-
держимого CMOS-памяти, MBR, Config.sys, Autoexec.bat).
Периодическая (при каждой загрузке компьютера и каж-
дом корректном завершении сеанса работы), а также ини-
циируемая пользователем проверка соответствия текущего
состояния рабочей среды эталонному состоянию, сформи-
рованному администратором.
Восстановление эталонного состояния рабочей среды
(содержимого CMOS-памяти, MBR, Config.sys, Autoexec.bat,
системных файлов DOS).
Доступный детектор- Анализ на наличие вирусов и восстановление поступаю-
дезинфектор, напри- щих извне программных средств
мер, DrWeb или
AidsTest
Доступный архиватор Резервирование несистемных данных (файлов с доку-

(например, ARJ, RAR) ментами, файлов баз данных, файлов с электронными
или встроенные сред- таблицами и т.д.).
ства DOS/Windows для
Обновление архивов модифицированными и новыми
копирования и резер-
файлами данных.
вирования данных
Резервирование файлов настройки Windows с
расширениями .INI и .GRP.
3.2. Уровень пониженной защищенности

♦ к компьютеру имеют доступ более одного пользователей с
разными правами;
♦ халатные пользователи, которые могут записать конфиденциаль-
ную информацию на дискеты в открытом виде, отсутствуют;
♦ в компьютере хранится и обрабатывается информация низкой
степени конфиденциальности;
♦ разные пользователи работают с различными объемами кон-
фиденциальной информации;
Новые по отношению к предыдущему уровню безопасности условия
выделены курсивом.
Для поддержки информационной безопасности в данных условиях
должна обеспечиваться защита от следующих угроз:
58

формации со стороны санкционированных пользователей;
♦ угрозы маскировки под санкционированного пользователя;
♦ угрозы несанкционированного доступа к остаточной информа-
ции;
♦ угрозы хищения информации с помощью программных закладок
или компьютерных вирусов;
♦ угрозы несанкционированного изменения настроек системы
защиты с целью несанкционированного доступа к конфиденци-
альной информации;
вирусами;
♦ угрозы несанкционированной модификации системных и несис-
темных данных;
♦ угрозы несанкционированной модификации программ;
формации по причине оставления компьютера без завершения
сеанса работы;
ционированных действий.
Новые угрозы также выделены курсивом.


Для каждого пользователя с помощью подсистемы санкционирова-
ния доступа необходимо задать индивидуальный нетривиальный пароль,
вводимый с клавиатуры, длина которого должна быть не менее шести
символов.

Каждому пользователю установить режим суперзащиты (режим S)
для логических дисков или файлов с конфиденциальными данными, реа-
лизуемый подсистемами санкционирования доступа и разграничения дос-
тупа к файлам. Конфиденциальную информацию все пользователи долж-
ны хранить только на логических дисках или в файлах, для которых уста-
новлен режим суперзащиты.
В случае, если нужно организовать независимый совместный дос-
туп нескольких пользователей к одному логическому диску в режиме су-
перзащиты, необходимо с помощью подсистемы обеспечения санкциони-
рованного доступа задать для этих пользователей дополнительные паро-
ли.
С помощью подсистем санкционирования доступа и разграничения
доступа к файлам организовать разграничение к другим информацион-
ным структурам винчестера и портам ввода-вывода.
60
Для организации разграничения на уровне логических дисков значи-

тельную помощь может оказать подсистема создания дополнительных
логических дисков.
Влияние объема защищаемой информации

Если объем защищаемых данных конкретного пользователя со-
ставляет небольшое количество файлов (например, до 10), или эти фай-
лы легко специфицируются по шаблону (например, *.sec), то для защиты
этой информации целесообразно использовать подсистему разграниче-
ния доступа к файлам или подсистему файлового шифрования.
Если объем защищаемых данных составляет большое количество
файлов, размещенных в разных каталогах, то для защиты секретных дан-
ных целесообразно использовать возможности подсистемы санкциониро-
вания доступа. В этом случае для логического диска с защищаемыми
данными необходимо установить режим суперзащиты (режим S), обеспе-
чивающий прозрачное для пользователя шифрование информации при
обращении к этому диску.

Использовать одинарный уровень криптографического закрытия пу-
тем реализации одного из следующих способов:
♦ прозрачным шифрованием информации подсистемой санкциони-
рования доступа или подсистемой разграничения доступа к фай-
лам после задания для логических дисков или файлов с секрет-
ными данными режима суперзащиты (режима S);
♦ использованием подсистемы файлового шифрования для шиф-
рования файлов с конфиденциальными данными.
Ключи шифрования (пароли) должны быть длиной не менее 6 сим-
волов.
В случае необходимости гарантированного шифрования информа-

ции при ее записи на дискеты, следует для накопителей гибких дискет с
помощью подсистемы санкционирования доступа установить режим су-
перзащиты. Однако, в этом случае необходимо позаботиться о предвари-
тельной подготовке дискет для этого режима.
Для шифрования записываемых на дискеты файлов, инициируемого
пользователем, следует воспользоваться подсистемой файлового закры-
тия информации.
Уровень защиты от обхода системы "Кобра"

С помощью подсистемы закрытия установить первый вариант защи-
ты от несанкционированной загрузки с системной дискеты - без использо-
вания ключевого диска (с прозрачным шифрованием только загрузочного
раздела жесткого диска - MBR). В этом случае после загрузки с системной
дискеты жесткий диск будет доступен только в том случае, если загрузка
осуществлялась с дискеты, специально подготовленной администратором
службы безопасности.

Должны быть предусмотрены следующие функции:
♦ функции обнаружения факта заражения вирусом и восстановле-
ния рабочей среды, реализуемые с помощью подсистемы обес-
печения эталонного состояния рабочей среды;
♦ функции анализа на наличие вирусов и восстановления посту-
пающих извне программных средств, реализуемые с помощью
AidsTest.
62
Уровень защиты от модификации информации

С помощью подсистемы обеспечения эталонного состояния рабо-
чей среды обеспечить периодическую (при каждой загрузке компьютера и
каждом корректном завершении сеанса работы), а также специально ини-
циируемую проверку системных данных (содержимого CMOS-памяти,
MBR, Config.sys, Autoexec.bat, системных файлов DOS) на соответствие
эталону, создаваемому администратором.
Уровень защиты от несанкционированного доступа к информа-

ции при оставлении компьютера без завершении сеанса рабо-
ты
С помощью подсистемы блокировки установить режим принуди-
тельной блокировки пользователем клавиатуры, мыши и экрана компью-
тера перед оставлением его без завершения сеанса работы, а также бло-
кировки этих же устройств по тайм-ауту при отсутствии признаков актив-
ности пользователя. Пароль разблокирования должен содержать не ме-
нее 6 символов.

Каждому пользователю должна быть доступна подсистема затира-
ния для возможности выполнения следующих функций:
♦ полное удаление файловой информации на физическом уровне;
♦ очистка свободного пространства на диске от остаточной инфор-
мации.
Уровень защиты от несанкционированных действий санкцио-

нированных пользователей
Целесообразно использование специальной оболочки, отображаю-
щей и предоставляющей пользователям различных категорий только те
возможности, которые соответствуют их полномочиям.

Конфиденциальные данные должны резервироваться только в за-
шифрованном виде (см. уровень криптографического закрытия информа-
ции).

В таблице выделены курсивом:
♦ новые по отношению к предыдущему уровню информационной
безопасности средства и режимы их функционирования;
♦ средства, режимы использования которых изменены или допол-
нены, а также новые и измененные режимы их функционирова-
ния.
64
Таблица 2.
Подсистема санк- Аутентификация: использование индивидуальных паро-
ционирования досту- лей, вводимых с клавиатуры, длиной не менее 6 символов.
па
Разграничение доступа пользователей на уровне
логических дисков и портов ввода-вывода.
Установка режима суперзащиты для логических дисков
пользователей с конфиденциальными данными.
Задание дополнительных паролей пользователям для
организации их независимого совместного доступа к ло-
гическому диску в режиме суперзащиты.
Подсистема разгра- Разграничение доступа пользователей на уровне фай-

ничения доступа к лов и каталогов.
файлам
Установка режима суперзащиты для файлов с конфи-
денциальными данными.
Подсистема созда- Используется при необходимости создания дополни-
ния дополнительных тельных логических дисков винчестера для детализации
логических дисков разграничения доступа пользователей на уровне логиче-
ских дисков
защиты для дискет.
При отсутствии у какого-либо пользователя режима
суперзащиты для областей винчестера он должен в на-
чале своего сеанса работы расшифровать, а перед окон-
чанием - зашифровать конфиденциальные данные.
Ключи шифрования (пароли) должны быть длиной не
менее 6 символов.
Подсистема закры- Установка защиты от несанкционированной загрузки с

тия системной дискеты без использования ключевого диска
(с прозрачным шифрованием только загрузочного разде-
ла жесткого диска - MBR).
Подсистема блоки- Установка режима принудительной блокировки пользо-
ровки вателем клавиатуры, мыши и экрана компьютера перед
оставлением его без завершения сеанса работы, а так-
же блокировки этих же устройств по тайм-ауту при от-
сутствии признаков активности пользователя. Пароль
разблокирования должен содержать не менее 6 символов.
Подсистема обеспе- Формирование администратором эталонного состояния
чения эталонного со- рабочей среды ПЭВМ (содержимого CMOS-памяти, MBR,
стояния рабочей сре- Config.sys, Autoexec.bat, системных файлов DOS).
ды
AidsTest
Подсистема зати- Должна быть доступна каждому пользователю для
рания возможности выполнения следующих функций:
- полное удаление файловой информации на физическом
уровне;
- очистка свободного пространства на диске от оста-
точной информации.
Специальная обо- Целесообразно использование как командной оболочки,
лочка пользователя отображающей и предоставляющей пользователям раз-
личных категорий только те возможности, которые со-
ответствуют их полномочиям
66
3.3. Уровень средней защищенности

♦ к компьютеру имеют доступ более одного пользователей с раз-
ными правами;
♦ имеются халатные пользователи, которые могут записать
конфиденциальную информацию на дискеты в открытом виде;
♦ в компьютере хранится и обрабатывается информация сред-
ней степени конфиденциальности;
♦ разные пользователи работают с различными объемами конфи-
денциальной информации;
Перечисленные условия приводят к выводу, что явными угрозами,
от реализации которых необходимо обеспечить защиту на рассматривае-
мом уровне, являются те же угрозы, которые характерны для предыдуще-
го уровня информационной безопасности. Однако, вероятность проявле-
ния этих угроз является более высокой, и кроме того, учитывая, что среди
пользователей предполагается наличие халатных, которые могут запи-
сать конфиденциальную информацию на дискеты в открытом виде, явной
стала угроза выполнения такой записи, что в свою очередь может привес-
ти к хищению конфиденциальной информации.


вводимый с клавиатуры, длина которого должна быть не менее девяти
символов.

Использовать те же функции, которые указаны для этого же уровня
в п. 3.2.2.

Те же особенности, которые указаны для этого же признака класси-
фикации в п. 3.2.2.

в п. 3.2.2, за исключением того, что ключи шифрования (пароли) должны
быть длиной не менее 9 символов. Кроме того, с помощью подсистемы
санкционирования доступа следует обязательно задать в полномочиях
халатных пользователей, которые могут записать конфиденциальную
информацию на дискеты в открытом виде, режим суперзащиты (режим S)
для накопителей дискет.
68

С помощью подсистемы закрытия установить второй вариант защи-
ты от несанкционированной загрузки с системной дискеты - с использова-
нием ключевого диска и переносом ключа загрузки с ключевой дискеты на
жесткий диск без задания дополнительного пароля загрузки. В качестве
области шифрования необходимо задать весь первичный раздел винче-
стера. Длина ключа прозрачного шифрования должна быть не менее 9
символов.
После загрузки с системной дискеты жесткий диск будет доступен
только в том случае, если загрузка осуществлялась при наличии ключе-
вой дискеты, специально подготовленной администратором службы безо-
пасности.

в п. 3.2.2.

MBR, Config.sys, Autoexec.bat, системных файлов DOS), а также необхо-
димых файлов на соответствие предварительно создаваемому эталону.

ты
в п. 3.2.2, за исключением того, что пароль разблокирования должен со-
держать не менее 9 символов.
Уровень ограничения доступа пользователей к дискетам

Необходимо с помощью подсистемы санкционирования доступа
задать в полномочиях халатных пользователей, которые могут записать
конфиденциальную информацию на дискеты в открытом виде, режим су-
перзащиты (режим S) для накопителей дискет.

в п. 3.2.2.

♦ регистрацию и учет действий ненадежных и подозреваемых поль-
зователей различных категорий с помощью подсистемы регист-
рации и учета;
♦ использование специальной оболочки, отображающей и предос-
тавляющей пользователям различных категорий только те воз-
можности, которые соответствуют их полномочиям.
70

в п. 3.2.2.

ния.
Таблица 3.
ционирования досту- лей, вводимых с клавиатуры, длиной не менее 9 символов.
па
Разграничение доступа пользователей на уровне логиче-
ских дисков и портов ввода-вывода.
Задание дополнительных паролей пользователям для ор-
ганизации их независимого совместного доступа к логиче-
скому диску в режиме суперзащиты.
Обязательно задать режим суперзащиты (режим S) для
накопителей дискет в полномочиях халатных пользова-
телей, которые могут записать конфиденциальную ин-
формацию на дискеты в открытом виде.
Подсистема разгра- Разграничение доступа пользователей на уровне файлов
ничения доступа к и каталогов.
файлам
Установка режима суперзащиты для файлов с конфиден-
ния дополнительных ных логических дисков винчестера для детализации раз-
логических дисков граничения доступа пользователей на уровне логических
дисков
При отсутствии у какого-либо пользователя режима су-
перзащиты для областей винчестера он должен в начале
своего сеанса работы расшифровать, а перед окончанием -
зашифровать конфиденциальные данные.
72

тия системной дискеты с использованием ключевого диска и
переносом ключа загрузки с ключевой дискеты на жест-
кий диск без задания дополнительного пароля загрузки. В
качестве области шифрования необходимо задать весь
первичный раздел винчестера. Ключ шифрования (пароль)
должен быть длиной не менее 9 символов.
Подсистема блоки- Установка режима принудительной блокировки пользова-
ровки телем клавиатуры, мыши и экрана компьютера перед ос-
тавлением его без завершения сеанса работы, а также
блокировки этих же устройств по тайм-ауту при отсутствии
признаков активности пользователя.
Пароль разблокирования должен содержать не менее 9
символов.
Подсистема обеспе- Формирование эталонного состояния рабочей среды
чения эталонного со- ПЭВМ (содержимого CMOS-памяти, MBR, Config.sys,
стояния рабочей сре- Autoexec.bat, системных файлов DOS, а также состояния
ды заданных файлов).
AidsTest
Подсистема затира- Должна быть доступна каждому пользователю для воз-
ния можности выполнения следующих функций:
уровне;
- очистка свободного пространства на диске от остаточ-
ной информации.
Следует учесть, что открытая конфиденциальная инфор-
мация не будет появляться, если все конфиденциальные
данные будут обрабатываться только в режиме суперзащи-
ты.

личных категорий только те возможности, которые соответ-
ствуют их полномочиям
Подсистема реги- Установить режим регистрации и учета действий не-
страции и учета надежных и подозреваемых пользователей различных
категорий
3.4. Уровень повышенной защищенности

♦ к компьютеру имеют доступ более одного пользователей с раз-
ными правами;
♦ имеются халатные пользователи, которые могут записать конфи-
денциальную информацию на дискеты в открытом виде;
♦ к компьютеру имеют доступ лица, не причастные к непосред-
ственной обработке информации и не входящие в состав поль-
зователей;
♦ в компьютере хранится и обрабатывается информация повы-
шенной степени конфиденциальности;
♦ разные пользователи работают с различными объемами конфи-
денциальной информации;
♦ программы извне в компьютерную систему поступают часто.
74

Для поддержки информационной безопасности в данных условиях
должна обеспечиваться защита от следующих угроз:
формации со стороны санкционированных пользователей;
♦ угрозы маскировки под санкционированного пользователя;
♦ угрозы несанкционированного доступа к остаточной информации;
♦ угрозы хищения информации с помощью программных закладок
или компьютерных вирусов;
♦ угрозы несанкционированного изменения настроек системы защи-
ты с целью несанкционированного доступа к конфиденциальной
информации;
вирусами;
♦ угрозы несанкционированной модификации системных и несис-
темных данных;
♦ угрозы несанкционированной модификации программ;
формации по причине оставления компьютера без завершения
сеанса работы;

ционированных действий;
♦ угроза записи халатными пользователями конфиденциальной
информации на дискеты в открытом виде.
Данный перечень угроз совпадает угрозами, характерными для
предыдущего уровня информационной безопасности. Однако, учитывая
новые условия обработки и хранения информации, можно сделать вывод,
что вероятность проявления этих угроз является более высокой.


вводимый с клавиатуры, длина которого должна быть не менее двена-
дцати символов.

в п. 3.2.2.

Те же особенности, которые указаны для этого же признака класси-
фикации в п. 3.2.2.
76

Использовать двойной уровень криптографического закрытия кон-
фиденциальных данных. Для этого следует дополнить одинарный уро-
вень шифрования, описанный в п. 3.2.2, прозрачным шифрованием всего
пространства жесткого диска с помощью подсистемы закрытия.
Для разных уровней шифрования следует задать разные пароли,
длина каждого из которых должна быть не менее 12 символов.
Для пользователей, работающих с конфиденциальной информаци-
ей повышенного уровня секретности, целесообразно задать режим гаран-
тированного шифрования информации при ее записи на дискеты. Такой
режим задается с помощью подсистемы санкционирования доступа путем
установки в полномочиях данных пользователей режима суперзащиты
для накопителей гибких дискет. В этом случае следует также позаботить-
ся о предварительной подготовке дискет для этого режима.

С помощью подсистемы закрытия установить третий вариант защи-
ты от несанкционированной загрузки с системной дискеты - с использова-
нием ключевого диска, переносом ключа загрузки с ключевой дискеты на
жесткий диск и заданием дополнительного пароля загрузки. В качестве
области шифрования необходимо задать весь винчестер. Длина ключа
прозрачного шифрования должна быть не менее 12 символов и ключ не
должен совпадать ни с одним текущим паролем. Длина дополнительного
пароля загрузки должна быть не менее 9 символов.
Для загрузки ОС с винчестера, кроме пароля аутентификации необ-
ходимо будет еще ввести дополнительный пароль загрузки.
После загрузки с системной дискеты жесткий диск будет доступен
только в том случае, если загрузка ОС осуществлялась при наличии клю-
чевой дискеты, специально подготовленной администратором службы

безопасности.

Усилить функции защиты от компьютерных вирусов, используемые
в предыдущих уровнях информационной безопасности (см. п. 3.2.2), при-
менением доступного фильтра для защиты от деструктивных действий
вирусов, например, фильтра Vsafe, входящего в состав MS-DOS начиная
с 6-й версии.
В качестве обязательных деструктивных действий, контролируемых
фильтром, администратор должен определить следующие:
♦ низкоуровневое форматирование диска;
♦ размещение в памяти резидентной программы;
♦ модификация исполняемого файла;
♦ модификация загрузочных секторов винчестера и дискет.

MBR, Config.sys, Autoexec.bat, системных файлов DOS), а также необхо-
димых файлов на соответствие эталону, создаваемому администратором.
В качестве обязательных файлов данных, подлежащих проверке, необхо-
димо задать файлы с информацией повышенной степени конфиденци-
альности. В случае модификации такой информации пользователи долж-
ны перед окончанием своих сеансов работы создать для нее новые эта-
лонные данные (контрольные суммы).
78

ты
Уровень ограничения доступа пользователей к дискетам

в п. 3.3.2.

в п. 3.2.2. Следует учесть, что открытая конфиденциальная информация
не будет появляться, если все конфиденциальные данные будут обраба-
тываться только в режиме суперзащиты.

в п. 3.3.2, за исключением того, что необходимо обеспечить регистрацию
действий всех пользователей.

в п. 3.2.2.


ния.
Таблица 4.
ционирования досту- лей, вводимых с клавиатуры, длиной не менее 12 симво-
па лов.
накопителей дискет в полномочиях халатных пользовате-
лей, которые могут записать конфиденциальную информа-
цию на дискеты в открытом виде.
Режим суперзащиты для дискет должен быть обяза-
тельно установлен также для пользователей, рабо-
тающих с конфиденциальной информацией повышенного
уровня секретности.
80

файлам
дисков
тия системной дискеты с использованием ключевого диска,
переносом ключа загрузки с ключевой дискеты на жест-
кий диск и заданием дополнительного пароля загрузки. В
качестве области шифрования необходимо задать весь
винчестер.
Длина дополнительного пароля загрузки должна быть
не менее 9 символов.
Пароль, задаваемый для прозрачного шифрования вин-
честера не должен совпадать ни с одним из текущих ис-
пользуемых паролей и иметь длину не менее 12 символов.
чения эталонного со- ПЭВМ (содержимого CMOS-памяти, MBR, Config.sys, Auto-
стояния рабочей сре- exec.bat, системных файлов DOS, а также состояния за-
ды данных файлов).
В качестве обязательных файлов данных, подлежащих
проверке, необходимо задать файлы с информацией по-
вышенной степени конфиденциальности. В случае моди-
фикации такой информации пользователи должны перед
окончанием своих сеансов работы создать для нее новые
эталонные данные (контрольные суммы).

AidsTest
Доступный фильтр, Защита от деструктивных действий вирусов.
например, Vsafe, вхо-
В качестве обязательных деструктивных действий,
дящий в состав MS-
контролируемых фильтром, администратор должен оп-
DOS начиная с 6-й
ределить следующие:
версии
- низкоуровневое форматирование диска;
- размещение в памяти резидентной программы;
- модификация исполняемого файла;
- модификация загрузочных секторов винчестера и дис-
кет.
символов.
уровне;
ты.
Подсистема реги- Установить режим регистрации действий всех пользо-
страции и учета вателей.
82

3.5. Уровень максимальной защищенности

Условия обработки и хранения информации для данного уровня
совпадают с условиями, характерными для предыдущего, за исключением
того, что в компьютере хранится и обрабатывается информация
наиболее высокой степени конфиденциальности. Соответственно,
угрозы, от реализации которых необходимо обеспечить защиту на уровне
максимальной защищенности те же, что и для уровня повышенной защи-
щенности. Однако, вероятность проявления этих угроз стала более высо-
кой.

Большинство функций защиты для реализации предъявленных тре-
бований совпадают с функциями предыдущего уровня информационной
безопасности. Поэтому рассмотрим лишь новые функции, указывая толь-
ко те уровни защиты на основе системы "Кобра", которым данные функ-
ции соответствуют.

ния доступа установить режим ввода пароля с дискеты. Длина пароля
должна быть не менее 40 символов. Пароль каждого пользователя адми-
нистратору целесообразно перенести на созданную для пользователя
ключевую дискету (см. далее описание уровня защиты от обхода системы
"Кобра").
Администратору службы безопасности необходимо обратить особое
внимание на разъяснительную работу среди пользователей о необходи-
мости тщательной сохранности дискет с их паролями от похищения.

Особенности криптографического закрытия те же, что и для уровня
повышенной информационной безопасности (см. П. 3.4.2), за исключени-
ем того, что для шифрования информации максимальной степени конфи-
денциальности дополнительно к двойному уровню криптографического
закрытия (см. этот же уровень в п. 3.4.2) необходимо использовать тре-
тий, реализуемый подсистемой файлового шифрования. При этом пароль
для криптографического закрытия файлов должен быть длиной не менее
15 символов.

С помощью подсистемы закрытия установить четвертый наиболее
стойкий вариант защиты от несанкционированной загрузки с системной
дискеты - с использованием ключевого диска и без переноса ключа за-
грузки на винчестер. В качестве области шифрования необходимо задать
весь винчестер. Длина ключа прозрачного шифрования должна быть не
менее 40 символов и ключ не должен совпадать ни с одним из текущих
паролей.
84
Доступ к винчестеру будет открыт только в том случае, если загруз-

ка ОС осуществлялась при наличии ключевой дискеты.
Для каждого пользователя администратору следует создать ключе-
вую дискету. Кроме того, администратору службы безопасности необхо-
димо обратить особое внимание на разъяснительную работу среди поль-
зователей о необходимости тщательной сохранности ключевых дискет от
похищения.

ты

ния.
Таблица 5.
Подсистема санк- Аутентификация: установить для каждого пользова-
ционирования досту- теля режим ввода пароля с дискеты. Длина пароля долж-
па на быть не менее 30 символов.
Администратору службы БИ необходимо обратить
особое внимание на разъяснительную работу среди поль-
зователей о необходимости тщательной сохранности
дискет с их паролями от похищения.
Пароль каждого пользователя администратору целе-
сообразно перенести на созданную для пользователя
ключевую дискету (см. далее режимы работы подсисте-
мы закрытия).
накопителей дискет в полномочиях халатных пользовате-
лей, которые могут записать конфиденциальную информа-
цию на дискеты в открытом виде.
Режим суперзащиты для дискет должен быть обязатель-
но установлен также для пользователей, работающих с
конфиденциальной информацией повышенного уровня
секретности.
файлам
86

дисков
вого закрытия ин- денциальной информацией при отсутствии режима супер-
формации защиты для дискет.
Дополнительное шифрование информации максималь-
ной степени конфиденциальности.
тия системной дискеты с использованием ключевого диска и
без переноса ключа загрузки на винчестер. В качестве
области шифрования необходимо задать весь жесткий
диск.
Пароль, задаваемый для прозрачного шифрования вин-
честера не должен совпадать ни с одним из текущих ис-
пользуемых паролей и иметь длину не менее 40 символов.
Для каждого пользователя администратору следует
создать ключевую дискету. Кроме того, администрато-
ру службы БИ необходимо обратить особое внимание на
разъяснительную работу среди пользователей о необхо-
димости тщательной сохранности ключевых дискет от
похищения.
символов.
AidsTest
Доступный фильтр, Защита от деструктивных действий вирусов.

например, Vsafe, вхо-
В качестве обязательных деструктивных действий, кон-
дящий в состав MS-
тролируемых фильтром, администратор должен опреде-
DOS начиная с 6-й
лить следующие:
версии
- низкоуровневое форматирование диска;
- размещение в памяти резидентной программы;
- модификация исполняемого файла;
- модификация загрузочных секторов винчестера и дис-
кет.
чения эталонного со- ПЭВМ (содержимого CMOS-памяти, MBR, Config.sys, Auto-
стояния рабочей сре- exec.bat, системных файлов DOS, а также состояния за-
ды данных файлов).
В качестве обязательных файлов данных, подлежащих
проверке, необходимо задать файлы с информацией высо-
кой степени конфиденциальности. В случае модификации
такой информации пользователи должны перед окончани-
ем своих сеансов работы создать для нее новые эталон-
ные данные (контрольные суммы).
уровне;
ты.
88
Подсистема регист- Установить режим регистрации действий всех пользова-

рации и учета телей.
89
Литература
1. Garon G., Outerbridge R. DES watch: an examination of the sufficiency of

the Data Encryption Standard for financial institution in the 1990's/
Cryptologia. - 1991. - Vol. 15. - N 3. - P. 177 - 193.
2. Miyaguchi Sh. The FEAL cipher family//Lect. Notes Comput. Sci. -1991. -
Vol. 537. - P. 627 - 638.
3. Cusick T.W., Wood M.C. The REDOC II cryptosystem// Lect. Notes
Comput. Sci. - 1991. - Vol. 537. - P. 545 - 563.
4. Молдовян А.А. Организация комплексной защиты ПЭВМ от несанкцио-
нированного доступа. В сб.: Информатика. Сер. Проблемы вычисли-
тельной техники и информатизации. - М. - 1992. - вып. 3 - 4. - С. 64 - 69.
5. Merkle R.C. Fast software encryption functions// Lect. Notes Comput. Sci. -
1991. - Vol. 537. - P. 545 - 563.
6. Молдовян А.А., Молдовян Н.А., Молдовян П.А. Новый метод крипто-
графических преобразований для современных систем защиты ПЭВМ//
УСиМ. - 1992. - N 9/10. - С. 44 - 50.
7. Молдовян А.А., Молдовян Н.А. Новый принцип построения криптогра-
фических модулей в системах защиты ЭВМ// Кибернетика и системный
анализ. - 1993. - N 5. - С. 42 - 50.
8. Молдовян А.А., Молдовян Н.А. Способ построения эффективного про-
граммного криптомодуля малого объема// УСиМ. - 1993. - N 3. - С. 844 -
50.
9. Молдовян А.А., Молдовян Н.А., Молдовян П.А. Принципы построения
программно-ориентированных криптосистем с неопределенным
алгоритмом// УСиМ. - 1995. - N 1/2. - С. 49 - 56.
90
ПРИЛОЖЕНИЕ
ОБЩИЕ ПОЛОЖЕНИЯ ЗАКОНОДАТЕЛЬНЫХ АКТОВ О ЗАЩИТЕ

ИНФОРМАЦИИ
Информационные ресурсы по категориям доступа
Федеральным законом Российской Федерации "Об информации,

информатизации и защите информации" предусмотрен порядок создания
информационных ресурсов с ограниченным доступом.
В указанном Законе введены следующие термины, применение
которых необходимо при оценке ввода в эксплуатацию средств вычисли-
тельной техники (СВТ) с внедренной Системой "Кобра".
Информация - сведения о лицах, предметах, фактах, событиях, яв-
лениях и процессах независимо от формы их представления.
Информатизация - организационный социально - экономический и
научно-технический процесс создания оптимальных условий для удов-
летворения информационных потребностей и реализации прав граждан,
органов государственной власти, органов местного самоуправления, ор-
ганизаций, общественных объединений на основе формирования и ис-
пользования информационных ресурсов.
Информационные процессы - процессы сбора, обработки, накоп-
ления, хранения, поиска и распространения информации.
Информационная система - организационно упорядоченная сово-
купность документов (массивов документов) и информационных техно-
логий, в том числе с использованием средств вычислительной техники и
связи, реализующих информационные процессы.
Прилож ение 91
Информационные ресурсы - отдельные документы и отдельные

массивы документов, документы и массивы документов в информацион-
ных системах (библиотеках, архивах, фондах, банках данных, других ин-
формационных системах).
Персональные данные - сведения о фактах, событиях и обстоятель-
ствах жизни гражданина, позволяющие идентифицировать его личность.
Конфиденциальная информация - документированная информация,
доступ к которой ограничивается в соответствии с законодательством
Российской Федерации.
Средства обеспечения автоматизированных информационных сис-
тем и их технологий - программные, технические, лингвистические, пра-
вовые, организационные средства (программы для электронных вычис-
лительных машин; средства вычислительной техники и связи; словари,
тезаурусы и классификаторы; инструкции и методики; положения, уста-
вы, должностные инструкции; схемы и их описания, другая эксплуатаци-
онная и сопроводительная документация), используемые или создавае-
мые при проектировании информационных систем и обеспечивающие их
эксплуатацию.
Собственник информационных ресурсов, информационных сис-
тем, технологий и средств их обеспечения - субъект, в полном объеме
реализующий полномочия владения, пользования, распоряжения указан-
ными объектами.
Владелец информационных ресурсов, информационных систем,
технологий и средств их обеспечения - субъект, осуществляющий владе-
ние и пользование указанными объектами и реализующий полномочия
распоряжения в пределах, установленных законом.
Пользователь (потребитель) информации - субъект, обращающий-
ся к информационной системе или посреднику за получением необходи-
мой ему информации и пользующийся ею.
92
При обеспечении информационной безопасности на объектах СВТ

администратор службы безопасности информации (ответственное долж-
ностное лицо владельца СВТ) участвует в разработке порядка формиро-
вания информационных ресурсов и введения в эксплуатацию объектов
СВТ. За основу такого порядка берется следующее:
- учитывается государственная политика в сфере формирова-
ния информационных ресурсов и информатизации, направленная на соз-
дание условий для эффективного и качественного информационного
обеспечения решения задач развития владельца СВТ;
- обеспечение условий для развития и защиты информацион-
ных ресурсов;
- формирование и защита информационных ресурсов;
- создание и развитие информационных систем и сетей, обес-
печение их совместимости и взаимодействия в едином информационном
пространстве;
- создание условий для качественного и эффективного инфор-
мационного обеспечения потребителей информационных ресурсов;
- обеспечение безопасности в сфере информатизации;
- содействие формированию рынка информационных ресурсов,
услуг, информационных систем, технологий, средств их обеспечения;
- формирование и осуществление единой научно-технической
и промышленной политики в сфере информатизации с учетом совре-
менного уровня развития информационных технологий;
- разработка проектов и программ информатизации;
- развитие положений законодательных актов в сфере инфор-
мационных процессов, информатизации и защиты информации.
Цели и задачи защиты информации

Федеральным законом Российской Федерации "Об информа-
ции, информатизации и защите информации" определены сле-
дующие цели защиты информации:
- предотвращение утечки, хищения, утраты, искажения, под-
делки информации;
- предотвращение несанкционированных действий по уничто-
жению, модификации, искажению, копированию, блокированию инфор-
мации; предотвращение других форм незаконного вмешательства в ин-
формационные ресурсы и информационные системы, обеспечение пра-
вового режима документированной информации как объекта собствен-
ности;
- защита конституционных прав граждан на сохранение лич-
ной тайны и конфиденциальности персональных данных, имеющихся в
информационных системах;
- сохранение конфиденциальности документированной инфор-
мации в соответствии с законодательством;
- обеспечение прав субъектов в информационных процессах
и при разработке, производстве и применении информационных систем,
технологий и средств их обеспечения.
Согласно положениям ст.21 Федерального закона "Об ин-
формации, информатизации и защите информации":
1. Защите подлежит любая документированная информация,
неправомерное обращение с которой может нанести ущерб ее собствен-
нику, владельцу, пользователю и иному лицу.
Режим защиты информации устанавливается:
а) в отношении конфиденциальной документированной инфор-
мации - собственником информационных ресурсов или уполномоченным
94
лицом на основании Федерального закона "Об информации, информати-

зации и защите информации";
б) в отношении персональных данных - федеральным законом.
2. Органы государственной власти и организации, ответственные
за формирование и использование информационных ресурсов, подле-
жащих защите, а также органы и организации, разрабатывающие и при-
меняющие информационные системы и информационные технологии для
формирования и использования информационных ресурсов с ограни-
ченным доступом, руководствуются в своей деятельности законодатель-
ством Российской Федерации.
3. Контроль за соблюдением требований к защите информации и
эксплуатацией специальных программно - технических средств защиты, а
также обеспечение организационных мер защиты информационных сис-
тем, обрабатывающих информацию с ограниченным доступом в негосу-
дарственных структурах, осуществляются органами государственной вла-
сти. Контроль осуществляется в порядке, определяемом Правительством
Российской Федерации.
4. Организации, обрабатывающие информацию с ограниченным
доступом, которая является собственностью государства, создают спе-
циальные службы, обеспечивающие защиту информации.
5. Собственник информационных ресурсов или уполномоченные
им лица имеют право осуществлять контроль за выполнением требова-
ний по защите информации и запрещать или приостанавливать обработку
информации в случае невыполнения этих требований.
6. Собственник или владелец документированной информации
вправе обращаться в органы государственной власти для оценки пра-
вильности выполнения норм и требований по защите его информации в
информационных системах. Соответствующие органы определяет Пра-
вительство Российской Федерации. Эти органы соблюдают условия кон-

фиденциальности самой информации и результатов проверки.
Запрещено относить к информации с ограниченным досту-
пом:
- законодательные и другие нормативные акты, устанавливаю-
щие правовой статус органов государственной власти, органов местного
самоуправления, организаций, общественных объединений, а также пра-
ва, свободы и обязанности граждан, порядок их реализации;
- документы, содержащие информацию о чрезвычайных ситуа-
циях, экологическую, метеорологическую, демографическую, санитарно-
эпидемиологическую и другую информацию, необходимую для обеспе-
чения безопасного функционирования населенных пунктов, производст-
венных объектов, безопасности граждан и населения в целом;
- документы, накапливаемые в открытых фондах библиотек и
архивов, информационных системах органов государственной власти, ор-
ганов местного самоуправления, общественных объединений, организа-
ций, представляющие общественный интерес или необходимые для реа-
лизации прав, свобод и обязанностей граждан.
Отнесение информации к конфиденциальной осуществляется в
порядке, установленном законодательством Российской Федерации за
исключением случаев, предусмотренных статьей 11 Федерального закона
"Об информации, информатизации и защите информации"..
При разработке требований по информационной безопасности
предприятия (фирмы, офиса, организации, учреждения, банковских
структур и т.п.) общие положения законодательных актов в части созда-
ния и распространения информационных ресурсов с ограниченным дос-
тупом, как правило, учитываются в полном объеме с целью конкретиза-
ции выбора требований нормативных документов (НД) по безопасности
информации.
96
Организация работ по защите информации
Федеральным законом Российской Федерации "Об информации,

информатизации и защите информации" определены следующие поло-
жения, регламентирующих организацию работ по обеспечению информа-
ционной безопасности.
Защита информации достигается путем выполнения комплекса
мероприятий.
Мероприятия по защите информации являются составной частью
управленческой, научной и производственной деятельности предприятия
и осуществляются во взаимосвязи с другими мерами по обеспечению
установленного режима конфиденциальности.
Информационная безопасность конкретизируется:
- определением охраняемых сведений ;
- ценностью информации и ее носителей;
- определением источников угроз безопасности информации,
демаскирующих признаков, технических каналов утечки и несанкциони-
рованного доступа к информации;
- оценкой возможностей источников угроз безопасности ин-
формации;
- разработкой и проведением обоснованных мероприятий по
защите информации;
- контролем эффективности принятых мер защиты.
Мероприятия по защите информации в системах и средствах ин-
форматизации включаются в организационно - распорядительную и
техническую (проектную) документацию на эти системы (средства).
Защита информации в системах и средствах информатизации яв-
ляется составной частью работ по охране сведений, подлежащих защи-
те по Законам РФ.
Средства защиты информации должны иметь СЕРТИФИКАТ, удо-

стоверяющий их соответствие требованиям НД по безопасности инфор-
мации.
Для организации работ по защите информации на предприятии (в
фирме) должна быть создана служба безопасности информации (служ-
ба БИ) или назначены ответственные должностные лица.
Практика организации защиты информации в средств вычисли-
тельной техники (СВТ) должна учитывать следующие принципы обеспе-
чения безопасности информации:
1. Соответствие уровня безопасности информации законодатель-
ным положениям и нормативным требованиям по охране све-
дений, подлежащих защите по Закону РФ.
2. Физическая защита средств СВТ и объектов, на которых установ-
лены СВТ.
3. Наиболее важные решения по защите информации должны при-
ниматься должностными лицами (владельцем) СВТ.
4. Планомерный и оперативный контроль уровня безопасности
защищаемой информации согласно НД по безопасности информации.
5. Установление перечня защищаемых ресурсов в СВТ и его свое-
временная корректировка.
6. Установление личной ответственности пользователей СВТ за
поддержание уровня защищенности СВТ при обработке сведений, подле-
жащих защите по Закону РФ.
7. Оперативное внесение изменений в оргмеры по поддержанию
уровня защищенности СВТ и др. правила и принципы.
Сертификация технических систем защиты информации, тех-

нологий и средств их обеспечения
98
Согласно Федеральному закону "Об информации, информатизации

и защите информации" технические и программные средства ПЭВМ, а
также другие средства вычислительной техники подлежат сертификации
(ст.19 Закона).
Федеральным законом предусмотрено:
1. Информационные системы, базы и банки данных, предназначен-
ные для информационного обслуживания граждан и организаций, подле-
жат сертификации в порядке, установленном Законом Российской Феде-
рации "О сертификации продукции и услуг".
2. Информационные системы, которые обрабатывают документи-
рованную информацию с ограниченным доступом, а также средства за-
щиты этих систем подлежат обязательной сертификации. Порядок сер-
тификации определяется законодательством Российской Федерации.
3. Организации, выполняющие работы в области проектирования,
производства средств защиты информации и обработки персональных
данных, получают лицензии на этот вид деятельности.
Порядок лицензирования определяется законодательством Россий-
ской Федерации.
Гостехкомиссией России разработаны проекты документов Системы
обязательной сертификации и аттестации продукции по требованиям
безопасности информации, применение которых при обработке защи-
щаемой информации является обязательным.
При обработке на объекте информационной системы информации с
ограниченным доступом предусматриваются испытания данного объекта
на соответствие требованиям НД по безопасности информации.
Наличие АТТЕСТАТА соответствия подтверждает, что данный
объект имеет соответствующие класс и категорию защищенности.

Зима В.М., Молдовян А.А. - Схемы защиты информации на основе системы Кобра - 1997

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Зима В.М., Молдовян А.А. - Схемы защиты информации на основе системы Кобра - 1997

Загружено:

Авторское право:

Доступные форматы

В.М.ЗИМА, А.А.

СХЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ОСНОВЕ

Утверждено в качестве учебного пособия

ВОЕННАЯ ИНЖЕНЕРНО-КОСМИЧЕСКАЯ КРАСНОЗНАМЕННАЯ

УДК [681.324+681.3.067] (075.8)

Приводятся основные требования к современной сис-

Рецензент: В.Н.КУСТОВ, доктор технических наук, профессор

Подписано в печать 20.03.97 Формат 60х84 1/16. Печать офсетная.

1. ОБЩЕЕ ОПИСАНИЕ СИСТЕМЫ ЗАЩИТЫ.............................................. 8

3. ТИПОВЫЕ СХЕМЫ ЗАЩИТЫ.................................................................. 51

Интенсивное использование компьютерных технологий для обра-

Актуальной является также задача контроля целостности данных и

1. ОБЩЕЕ ОПИСАНИЕ СИСТЕМЫ ЗАЩИТЫ

1.1. Основы программной реализации

1.1.1. Обеспечение высокой скорости криптографических

Рис. 1. Обобщенная структура программно-ориентированной

Двухэтапная организация процесса криптографических преобразо-

Настройка алгоритмов шифрования заключается в выборе из биб-

Алгоритмическая реализация двухэтапной схемы криптогра-

1) ключевую область (один или несколько рабочих криптографиче-

как для проверки каждого пробного варианта пароля злоумышленнику не-

Алгоритм 1: генерация ключевой области

В этом алгоритме используются две исходные псевдослучайные по-

ВХОД: Пароль (исходный ключ) произвольной длины (например, от

1. Повторить пароль требуемое число раз для получения 512-

2. Используя операцию поразрядного сложения по модулю два ⊕,

3. Установить счетчик i = 1 и вычислить начальные значения пере-

4. Вычислить текущие значения параметров преобразования Y и U:

6. Если i < 256, то прирастить i и перейти к пункту 4.

7. Построить вторую управляющую последовательность

8. Установить значение счетчика i=1 и вычислить начальные значе-

9. Вычислить текущие значения параметров преобразования

10. Выполнить преобразование

11. Если i < 256, то прирастить i и перейти к шагу 9.

12. Вычислить значения непосредственных ключевых констант

ВЫХОД: 512-байтовая ключевая область {Kj} = {(k1k2)j}, j = 0, 1, 2 ...

Приведенный выше алгоритм настройки задает определенную по-

довательности {Kj}. Для оценки качества Алгоритма 1 были проведены

Алгоритм 2: криптографические процедуры резидентного крип-

Алгоритм резидентного криптомодуля определяет все основные ха-

ВХОД: 512-байтовый блок данных {(t1t2)j}, j = 0, 1, 2 ... 255.

1. Задать режим преобразований E = 1 (шифрование) или E = 0

2. Установить счетчик i = 1 и начальные значения

5. Выполнить текущий шаг шифрования

6. Выполнить текущий шаг дешифрования

7. Вычислить очередные значения номеров

8. Если i < 256, то прирастить i и перейти к п. 3.

9. Если r < s, то прирастить r, задать новый входной блок данных

ВЫХОД: 512-байтный блок данных {(c1c2)j}, j = 0, 1, 2 ... 255.

Криптосистема, характеризуемая Алгоритмами 1 и 2 обрабатывает

Оценка криптостойкости классической двухэтапной криптоси-

Сделаем достаточно сильное допущение в пользу криптоаналитика.

разованиях (t1t2)i → (c1c2)i участвуют параметры Y и U, генерируемые на

1.1.2. Повышение криптостойкости

Внесение неопределенностей в алгоритм и процесс непосредствен-

Внесение неопределенностей в процесс криптографических преоб-

1.1.3. Организация прозрачного режима защиты

горитма. Криптосистема, поддерживающая прозрачное шифрование

памяти, при этом предусматривается возможность использования разных

1.2. Структура системы и назначение основных компонен-

%. Комплекс «Кобра» включает в себя семь базовых подсистем защиты, а

Аутентификация и Защита от несанк- Контроль целос-

Шифрование фай- Отображение и Регистрация и учет

Рис. 2. Структура системы «Кобра» и назначение основных ком-