Zenith VEGA 2 počítač s bezpečnostní kartou

Bezpečné ukládání dat v počítači a jejich zajištění před neoprávněným použitím může být pro mnohé uživat...


Bezpečné ukládání dat v počítači a jejich zajištění před neoprávněným použitím
může být pro mnohé uživatele jedním z nejdůležitějších požadavků. Řešení, která
se nabízejí, závisí především na použitém operačním systému a každé z nich má
samozřejmě své klady i zápory. Jak ale postupovat v případech, kdy operační
systém nenabízí vůbec žádný způsob zajištění před neoprávněným přístupem?
Velmi častým řešením pak bývají různé způsoby zadávání hesel u souborů,
kódování dat, hardwarové klíče apod. Mezi moderní a velice praktické způsoby
patří využití bezdotykových klíčů, klíčů v podobě kreditních čipových karet
atd. Příkladem standardního nasazení takového zabezpečení může být i počítač
VEGA 2 od společnosti Zenith Data Systems.
Do testovaného počítače totiž výrobce zcela sériově montuje zabezpečovací
zařízení CP8Log, jehož srdcem je čtečka čipových karet, integrovaná do skříně
počítače. Vstupní otvor pro zasunutí karty se nachází na pravé čelní straně
počítače (obr. 1). Čtečka je spojena komunikačním kabelem se speciální sériovou
kartou, která zabírá jeden z rozšiřujících ISA slotů počítače. Že se jedná o
řešení připravené na míru tomuto počítači, o tom svědčí mimo jiné i připájení
komunikačního kabelu k ISA kartě.
Zprovoznění celého zabezpe-čovacího systému je velice snadné a spočívá v jeho
instalaci
po zavedení operačního systému.
Ačkoli byl bezpečnostní systém předinstalován v anglických Windows 95,
spolehlivě pracoval i s českou verzí. Je ale vhodné
ještě poznamenat, že dle dostupných informací jsou mimo to
podporovány i systémy Windows 3.x a NT. Protože testovaná verze softwaru byla
určena výhradně pro Windows 95, bude nadále řeč pouze o jejich vlastnostech.
Důležitou podmínkou před instalací tohoto zabezpečovacího systému je, aby v
nastavení parametrů sítě figuroval jako ověřovatel hesla systém MS Windows, i
když je k dispozici nainstalovaná síťová podpora. Jinak totiž nedojde
ke správnému zápisu do registrů a vůbec není na počátku spouštěn servis,
potřebný k ověření přístupového kódu, a do prostředí se pak lze dostat zcela
bez omezení. Pokud instalace proběhne správně, převezme automaticky ověření
hesla od Windows zabudovaná čtečka a k ní patřící software.
I s touto verzí lze sice pracovat v síťovém prostředí, ale pokud jsou hesla v
síti odlišná od PINu na kartě, pak jsou vyžadována samostatně v běžných
dialogových oknech Windows 95. Pro úplnost je ještě nutné uvést, že instalačním
procesem je zcela potlačena funkce volby režimu "F8" při startu počítače a
nelze jej spouštět v jiném než standardním režimu.
Po korektní instalaci a následném restartu systému se jako
první objeví okno s požadavkem na vložení karty a následně pak
výzva k zadání bezpečnostního PINu (obr. 2). Od tohoto okamžiku se práce v
podstatě nijak neliší, až na přítomnost dvou malých ikon v pravém dolním rohu,
které slouží k nastavení základních parametrů. Pomocí jedné z nich lze určovat
parametry pro uživatele, reprezentovaného bezpečnostní kartou.
Pomocí dialogového okna (obr. 3) je možné určit, zda jsou bezpečnostní funkce
aktivovány či je nutná přítomnost karty ve čtečce, a konečně zda může dojít ke
změně uživatele bez předchozího korektního odhlášení se. Pokud totiž změna není
povolena a karta musí být přítomna, pak se po jejím vyjmutí ze čtečky počítač
přepne do stavu, jako těsně po startu a čeká na vložení karty, respektive na
zadání PINu. Opětovné zasunutí karty vrátí celý systém přesně do stavu, v jakém
byl před jejím vyjmutím. Zasunutí karty
jiného uživatele vyvolá hlášení o neukončení předchozí "session" a není
povolena další činnost. Pokud však je změna uživatele povolena, hrozí jedno
vážné nebezpečí. Vyjmutí karty sice vyvolá očekávání jejího vložení, ovšem
pokud přijde k počítači někdo
jiný, je pouze upozorněn na
neukončenou předchozí činnost, ovšem jedinou volbou je restart počítače. Přitom
rozpracovaná data nejsou uložena a může dojít k jejich ztrátě.
Další část dialogového okna pro uživatele umožňuje modifikovat seznam
oprávněných uživatelů a jejich možnosti. A protože jako každá bezpečnostní
karta mají i tyto omezený počet chybných zadání PINu, je možné zablokovanou
kartu v poslední části dialogového okna pro uživatele odblokovat.
Druhá část, která standardně pracuje, souvisí se zabezpečením na úrovni
souborů. V rámci konfigurace je totiž možné zadat desetiznakové klíče jak pro
uživatele, tak pro stanici; pomocí nich pak může být požadovaný soubor nebo
celý adresář zakódován. Tento postup dovoluje vázat některé datové soubory
pouze na daný počítač nebo v případě více uživatelů i na jedince, respektive
jeho čipovou kartu. Samozřejmě lze zakódování i odstranit a uvolnit tak soubor
k běžnému použití, což se týká i přenášení na disketách.
K dalšímu omezení neoprávněného přístupu slouží i další funkce, tentokrát
zajištěná prostřednictvím DOSové utility. Ta je schopna modifikovat zaváděcí
sektor pevného disku a znemožnit přístup na logické disky při nabootování z
diskety, či přemístění pevného disku k dešifraci do jiného počítače. Tento
nástroj samozřejmě opět umožňuje odblokování tabulky disků, což má význam
zvláště při přechodu na souborový systém FAT32, neboť ten není podporován, což
může v případě nasazení moderních disků s kapacitami nad 2 GB vyvolat užití
velkého počtu písmen pro jejich značení.
Protože karty CP8Log nejsou jen běžnými magnetickými médii, ale jedná se o tzv.
SmartCard, vybavené vlastní inteligencí a operační pamětí, lze očekávat, že
jejich využitelnost a rozšíření možností jak v rámci zabezpečení
počítačových dat, tak i při jiných příležitostech má před sebou zajímavou
budoucnost.
8 1593 / or









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.