От ”красной точки” до Dallas Lock 4.0
Ассоциация защиты информации “Конфидент” получила сертификат Государственной технической комиссии при Президенте РФ на новую версию программно-аппаратного комплекса защиты от несанкционированного доступа к ПК и локальным сетям Dallas Lock 4.0, предназначенного для работы в среде Windows 95. Мы предлагаем вашему вниманию интервью с разработчиком первых версий Dallas Lock, а ныне начальником технического управления ассоциации “Конфидент” Игорем Ивановым.
PC Week: Этот сертификат уже третий по счету. Проще или сложнее было его получить?
Игорь Иванов: Трудно однозначно ответить на этот вопрос. С одной стороны, конечно же, накоплен значительный опыт во время получения предыдущих сертификатов. Теперь мы знаем, чему стоит уделять особое внимание, к чему надо быть готовым, дабы избежать накладок. С другой стороны, система сертификации в России тоже не стоит на месте: более жестким стал подход к тестированию представленных продуктов, значительно возросли требования к сопроводительной документации и т. д. В отличие от предыдущих сертификационных испытаний, которые проходили в С.-Петербурге, нынешние состоялись в Москве, что исключало возможность каких-либо доработок по ходу испытаний, если бы таковые потребовались.
PC Week: Как долго вы работаете над созданием и модификацией системы Dallas Lock?
И. И.: Система существует уже четыре года. Срок не слишком большой, но тем не менее история ее создания уже обросла легендами.
Одна из них гласит, что в первые месяцы существования ассоциации “Конфидент” была написана программа, которая при запуске выводила в правом верхнем углу монитора красную точку. Когда пользователь касался считывателя электронной картой Touch Memory, точка исчезала, а программа завершала свою работу. Затем вызов программы вставили в файл автозапуска autoexec.bat, и при включении ПЭВМ создавалось впечатление защищенного доступа к компьютеру. Далее эту псевдозащиту показывали клиентам. Они проявили заинтересованность, что и подтолкнуло “Конфидент” к созданию комплекса Dallas Lock.
На самом деле “красная точка” появилась позднее самого комплекса. Она была выведена на монитор после первых продаж, когда (кстати, по предложению заказчиков) в целях повышения безопасности ею была заменена надпись “Коснитесь считывателя вашей электронной картой”. Легенда эта, как и любая другая, в основе своей тоже имела факты: но вот какие именно, никто уже за давностью лет, как водится, не помнит.
PC Week: А как в действительности родилась идея создания Dallas Lock?
И. И.: Вряд ли было какое-то конкретное событие, которое вызвало к жизни эту идею. Существовало множество программных заготовок, каждая из которых в отдельности не представляла большого интереса, и была уже упоминавшаяся электронная карта Touch Memory, лежавшая, как говорится, в дальнем ящике стола. В результате появилась мысль совместить Touch Memory с программными средствами защиты.
Как мы знаем, множество светлых мыслей гибнет, так и не воплотившись в жизнь. Dallas Lock в этом смысле повезло: из массы идей, предлагаемых сотрудниками ассоциации, была выделена именно эта, и, как показало дальнейшее развитие событий, решение оказалось правильным. Руководство поддержало ее еще тогда, когда никто не мог уверенно сказать, насколько она верна. Нашлись рядовые исполнители, готовые пожертвовать свободным временем и личными интересами для ее осуществления. Эти составляющие, объединившись во времени и пространстве, дали толчок к появлению первой, а затем и всех последующих версий продукта.
PC Week: Как развивалась система?
И. И.: Первая версия Dallas Lock включала в себя лишь необходимый минимум защитных средств: вход в компьютер по индивидуальному идентификатору, разграничение доступа к ресурсам ПЭВМ, кратковременная блокировка и некоторые другие функции. С течением времени в состав комплекса вошло уже семь его версий, вводились новые программные модули и совершенствовалась аппаратная часть системы. Так, на плату, с помощью которой происходит взаимодействие с идентификатором Touch Memory, была возложена функция хранения и блокировки матрицы доступа, а идентификация доступа стала производиться до загрузки ОС.
Случались и казусы. Однажды, запустив на компьютере защитную программу, мы обнаружили отсутствие средств ее преодоления только тогда, когда доступ к машине стал невозможен.
PC Week: Что же конкретно отличает последнюю версию Dallas Lock?
И. И.: Последняя версия отличается от своих предшественниц более удобной установкой и настройкой, так как она самостоятельно выдает их рекомендуемые параметры.
Dallas Lock 4.0 позволяет ограничить круг доступных для пользователя объектов компьютера (даже если они расположены в сети), для чего используются два принципа контроля доступа: мандатный и дискреционный.
Первый предусматривает присвоение каждому пользователю классификационной метки, в соответствии с которой он будет иметь доступ к объектам, второй - создание индивидуальных списков разрешенных и запрещенных для доступа объектов. Программа позволяет одновременно использовать оба принципа.
Расширены возможности модуля контроля целостности объектов компьютера. Он автоматически контролирует изменения, происходящие в файлах системы защиты, информации пользователя, CMOS-памяти компьютера и энергонезависимой памяти платы защиты, а также обнаруживает создание новых файлов.
Сетевые возможности комплекса теперь позволяют создавать план размещения рабочих станций, осуществлять удаленный просмотр экранов ПК и удаленное изменение полномочий.
PC Week: Чем в основном отличается комплекс Dallas Lock от аналогичных продуктов?
И. И.: Рассматривая системы, подобные Dallas Lock, всегда можно без труда определить специализацию людей, стоящих у истоков их создания. Одни системы основаны на криптографической защите данных, другие строятся вокруг написания драйверов под определенные системы серверов и т. д.
Однобокий подход к организации системы защиты неизбежно оставляет возможность, обойдя ее сильные стороны, атаковать наиболее уязвимые. Например, если у вас установлена система с мощной криптографической защитой, то получить секретную информацию практически невозможно. Однако можно уничтожить ее и нанести тем самым не меньший ущерб, чем в случае, если бы информация была похищена.
Несколько лет назад можно было успешно продавать продукты, поддерживающие ограниченный набор защитных функций. Те потребители, которые впоследствии стали дополнять существующие средства новыми модулями, столкнулись с проблемами стыковки и взаимодействия нескольких систем защиты на одной ПЭВМ. Поскольку взаимодействие этих систем с компьютером происходит на уровне драйверов, портов, прерываний, это обусловливает очень жесткие требования к конфигурации системы с ПО, установленным на компьютере.
В состав Dallas Lock входят модули антивирусной защиты и помехоустойчивого кодирования, организации рабочих мест конфиденциального делопроизводства и администратора безопасности и др.
PC Week: Расскажите, пожалуйста, об этапах, которые проходит изделие от зарождения идеи до ее воплощения в жизнь.
И. И.: В случае с Dallas Lock правильнее будет говорить о разработке отдельных модулей, нежели об изделии в целом, поскольку, как правило, у заказчика возникают те или иные пожелания, касающиеся расширения функциональных возможностей продукта.
Вначале определяется целесообразность каждого предложения, затем выполняются исследовательские работы, составляется техническое задание и начинается его непосредственная разработка. Этим занимаются разработчики программных средств и электроники.
В работе участвуют специалисты из группы оформления, готовящие документацию и внешнюю атрибутику (упаковочные коробки, наклейки на дискеты и прочее).
Затем проводится тестирование продукта, причем первичное происходит в стенах нашей организации, а для дальнейшего, так называемого бета-тестирования, продукт передается заказчикам.
Производственный процесс осуществляется специальным отделом производства монтажной продукции с обязательной последующей проверкой изделий в отделе технологии качества.
PC Week: Каким образом выявляется потребность в расширении существующих функциональных возможностей комплекса Dallas Lock?
И. И.: В процессе эксплуатации. Сейчас, например, руководители некоторых организаций хотят контролировать время, затрачиваемое их сотрудниками на работу в Internet, так как обеспокоены тем, насколько оправданны те затраты, которые они несут, оплачивая это время. Мы разработали модуль, позволяющий установить, кто, когда и сколько времени провел в глобальной сети. Кроме того, модуль фиксирует IP-адреса серверов, на которых побывал тот или иной сотрудник.
PC Week: А бывали случаи, когда после начала серийного производства в продукте находили недоработки?
И. И.: Не буду скрывать, такие случаи были. Особенно это касается версии 3.0. Погрешности, обнаруженные в ранних модификациях Dallas Lock, объяснялись тем, что в ту пору не хватало разработчиков. В результате уровень тестирования был недостаточно высок.
Сейчас, когда готовилась последняя версия, ситуация в корне изменилась. Вообще, Dallas Lock 4.0 пришел на рынок весьма нетрадиционным путем...
PC Week: Не могли бы вы рассказать об этом подробнее?
И. И.: Во время создания первых версий Dallas Lock перед ассоциацией “Конфидент” стояла задача захватить формировавшийся тогда рынок средств защиты информации. Посему сроки на разработку и практическую реализацию продукции были минимальными.
Сегодня мы можем себе позволить прямо противоположный подход к делу. На этот раз наши конкуренты выпустили аналогичные комплексы для работы в среде Windows 95 раньше нас. Мы же затратили полгода на всеобъемлющее тестирование.
Игорь Иванов
К Игорю Иванову можно обратиться по телефону: (812) 325-1037.
