Hackeri și viruși pe AS/400? Este imposibil. Ei piratează doar pe Unix și PC.

Îmi amintesc de filmul „Jurassic Park”, la finalul căruia fata se apropie de computerul pe care s-a comis sabotaj, care a dus la eliberarea dinozaurilor. "Este Unix!" - exclamă ea, deschizându-i apărările și remediandu-i imediat problema. Apoi mi-am spus: „Desigur, ce ai vrut de la Unix.” Și în filmul „Ziua Independenței” a fost lansat un virus în computerul unei nave spațiale extraterestre. Majoritatea telespectatorilor habar n-aveau că extratereștrii foloseau computere Apple Macintosh. Dar, slavă Domnului, acesta s-a dovedit a fi exact cazul, virusul a funcționat și lumea noastră a fost salvată.

În general, în filme, răufăcătorii pătrund adesea în computerele altor persoane sau un angajat nemulțumit introduce un virus în rețeaua de calculatoare a companiei. Este plăcut să știi că nimic ca asta nu se poate întâmpla pe AS/400. Sau poate până la urmă?

La fel ca multe alte caracteristici, AS/400, spre deosebire de majoritatea celorlalte sisteme, a avut securitate integrată de la început, mai degrabă decât adăugată după ce a fost construit. Cu toate acestea, nicio măsură de securitate nu vă va ajuta dacă nu le utilizați și mulți utilizatori AS/400 fac exact asta. De exemplu, într-un mediu client/server, trebuie luate măsuri de precauție speciale pentru a proteja datele AS/400 de clienții nesecurizat, cum ar fi Windows 95 și Windows NT. Mai mult, în lumea de astăzi în rețea, multe AS/400 sunt conectate la Internet, caz în care ar trebui aplicate și anumite măsuri de securitate. resurse informaționale. Din fericire, caracteristicile de securitate integrate ale AS/400 oferă o bază solidă pentru securitatea întregului sistem. În această prelegere, vom analiza caracteristicile de securitate ale AS/400 și vom discuta despre cum să le folosim cel mai bine.

Protecție integrată

În trecut pentru a proteja sistem informatic a fost relativ ușor. În mod obișnuit, era suficient să introduceți un încuietor în ușa sălii computerului și să forțați utilizatorii finali să introducă o parolă atunci când se conectează la sistem. Lumea modernă nu mai este atât de simplu. AS/400-urile care sunt conectate la o rețea de computere sunt cele mai expuse riscului: pe o rețea LAN din interiorul companiei sau pe retea globala, de exemplu pe Internet. În orice caz, AS/400 oferă mijloacele pentru a minimiza sau elimina riscul accesului neautorizat. Provocările protejării unui sistem informatic sunt foarte asemănătoare cu cele care apar atunci când protejați o casă sau o mașină: trebuie să calculați corect costul versus toleranța la risc.

Evident, în diferite situații este nevoie de AS/400 nivel diferit protecţie. Utilizatorul ar trebui să poată selecta în mod independent acest nivel. Un sistem de securitate bun este conceput astfel încât computerul să poată funcționa fără nicio protecție, cu protecţie limitată sau cu protectie totala, dar in toate cazurile sistemul de protectie trebuie sa fie activ.

Și acum există sisteme blocate în camere unde accesul este strict limitat. Este clar că nu au nevoie de același nivel de protecție ca un computer conectat la Internet. Dar, în timp, cerințele de protecție pentru aceste sisteme pot crește. Securitatea integrată AS/400 este suficient de flexibilă pentru a se adapta pe măsură ce nevoile dumneavoastră se schimbă.

Securitatea AS/400 este o combinație de securitate în OS/400 și SLIC. OS/400 implementează niveluri generale protectia sistemului, în timp ce OS/400 se bazează pe funcții de protecție a obiectelor la nivel MI. De exemplu, așa cum este menționat în Obiecte, MI efectuează o verificare a permisiunii de acces de fiecare dată când este accesat un obiect. SLIC este responsabil pentru activitățile MI de protejare a obiectelor. Tipul de protecție pe care îl implementează se numește autorizare și are scopul de a proteja un obiect de accesul sau modificarea neautorizată.

Unele componente de securitate AS/400 stau în întregime deasupra MI în OS/400, cum ar fi setarea parametrilor de securitate ale sistemului. Altele, cum ar fi controlul accesului la obiect, sunt implementate în întregime sub MI în SLIC. Cele trei componente de protecție sunt implementate parțial deasupra și parțial sub MI. Un exemplu este suportul pentru comenzi privilegiate și drepturi speciale de acces. Să aruncăm o privire mai atentă la componentele aflate atât deasupra cât și sub MI.

Niveluri de protecție

AS/400 sunt destinate unei ample aplicații în diverse domenii ale activității umane. În consecință, cerințele pentru securitatea acestora variază în funcție de nivelul acestuia absență completă până la niveluri de protecție certificate de guvern. Prin setarea parametrilor corespunzători ai sistemului, puteți alege unul dintre cele cinci niveluri: fără protecție, protecție prin parolă, protecție resurse, protecție OS și protecție certificată. La configurarea AS/400, trebuie setati patru parametri de sistem legati de securitate: QAUDJRL, QMAXSIGN, QRETSVRSEC si QSECURITY.

Parametrul de sistem care determină nivelul de protecție este QSECURITY. În System/38 și primul AS/400 au existat doar trei niveluri de protecție a sistemului, în versiunea V1R3 OS/400 a fost adăugat un al patrulea, iar în V2R3 a fost adăugat un al cincilea, cel mai înalt nivel de protecție. Valorile valide QSECURITY sunt 10, 20, 30, 40 și 50.

AS/400 acceptă și o funcție opțională de audit. Când această caracteristică este activată, anumite evenimente legate de securitate sunt înregistrate. Evenimentele specifice care sunt înregistrate în jurnalul de audit de securitate determină valoarea parametrului de sistem QAUDJRL și nivelul de securitate curent. Evenimente precum încercările de acces neautorizat, ștergerea obiectelor, identificarea programelor folosind comenzi privilegiate, etc. pot fi înregistrate. Conținutul jurnalului de securitate este analizat de administratorul de securitate.

Numărul maxim de încercări eșuate de conectare este specificat de parametrul de sistem QMAXSIGN. Dacă numărul de astfel de încercări depășește valoarea acestui parametru, terminalul sau dispozitivul de la care au fost realizate este deconectat de la sistem și conexiunea dintre acesta și sistem este întreruptă. Această metodă împiedică încercările de a ghici parola pentru a vă conecta în sistem. Valoarea parametrului QMAXSIGN pentru fiecare dispozitiv este resetată după conectarea cu succes.

Parametrul de sistem QRETSVRSEC (Retain Server Security Data) determină dacă informațiile necesare de AS/400 pentru autentificarea unui utilizator la alt sistem prin interfețele client/server pot fi reținute de către server. Dacă informațiile sunt reținute, atunci serverul le folosește. Dacă nu, serverul va cere ID-ul de utilizator și parola pentru celălalt sistem. Parametrul de sistem FFQRETSVRSEC este utilizat pentru interfețele client/server TCP/IP, Novell NetWare și Lotus Notes.

Acum să ne uităm la fiecare dintre cele cinci niveluri de protecție, începând cu cel mai scăzut.

Lipsa de protecție (nivel 10)

Nivelul 10 înseamnă cel mai scăzut grad de securitate - niciunul. Pentru a accesa sistemul, nu este necesară nicio parolă și oricărui utilizator i se permite accesul la toate resursele și obiectele sistemului fără restricții. Singura condiție este că nu puteți influența sarcinile altor utilizatori de sistem.

Nivelul de protecție a sistemului 10 este de obicei utilizat numai atunci când protectie fizica sisteme, de exemplu, o încuietoare pe ușa camerei mașinilor. Orice utilizator care are acces fizic la mașină, se poate conecta. Cu toate acestea, el nu este obligat Inregistreaza-te. Înregistrarea utilizatorului presupune prezența unui profil de utilizator undeva în sistem. Un astfel de profil este creat automat atunci când se utilizează nivelul de securitate 10, dacă nu există deja.

Protecție prin parolă (nivel 20)

Dacă aveți nevoie doar de securitate de conectare, utilizați nivelul 20. Acest nivel de securitate necesită ca utilizatorul AS/400 să fie conectat și să cunoască parola corecta. Odată obținută permisiunea de a se conecta la sistem, utilizatorul are acces la toate resursele sale fără restricții. După cum puteți vedea, diferența față de nivelul 10 este nesemnificativă.

Există un singur caz special în care accesul unui utilizator la sistem la nivelul 20 este limitat: dacă acest lucru este specificat în mod specific în profilul utilizatorului. Utilizator cu dizabilități poate selecta doar elemente de meniu. Majoritatea meniurilor de sistem au o linie de comandă, iar această caracteristică limitează utilizarea comenzilor de sistem.

Să presupunem că o organizație are un grup de angajați ale căror responsabilități includ preluarea comenzilor pentru bunuri și introducerea datelor relevante în sistem. Pentru astfel de utilizatori este recomandabil să creeze meniu specialși să le permită să acționeze numai în aceste limite înregistrându-i ca utilizatori cu dizabilități și setând în profilurile lor meniurile la care li se permite accesul.

Dar chiar și unui utilizator cu dizabilități i se permite să execute patru comenzi necesare: să trimită mesaje, să afișeze mesaje, să afișeze starea jobului și să se deconecteze. Exact ce comenzi sunt deschise unui utilizator cu dizabilități pot fi setate individual. Restricțiile de capacitate controlează, de asemenea, ce câmpuri poate modifica un utilizator atunci când se conectează.

Nivelurile 20 și 10 nu asigură securitatea sistemului, deoarece după ce utilizatorul se înregistrează în sistem, acesta poate efectua orice operațiuni acolo. Nu aș recomanda să vă limitați la niveluri atât de scăzute de protecție decât în ​​cazuri speciale când sistemul în sine este practic inaccesibil din exterior.

Protecția resurselor (Nivel 30)

Nivelul minim de securitate recomandat este nivelul 30. La acest nivel, precum și la nivelul 20, utilizatorul trebuie să fie înregistrat și să cunoască parola corectă pentru a se conecta la sistem. După autentificare, se verifică dacă utilizatorul are drepturi de acces la resursele sistemului; accesul neautorizat nu este permis. La nivelul 30, un utilizator poate fi înregistrat și cu dizabilități.

Utilizatorilor individuali li se pot acorda drepturi de acces la obiecte de sistem, cum ar fi fișiere, programe și dispozitive. Profilurile de utilizator oferă această capacitate și vom vorbi mai multe despre cum fac acest lucru în curând. De asemenea, vom analiza și alte opțiuni pentru acordarea drepturilor de acces utilizator la obiectele de sistem: utilizarea drepturilor de grup sau generale.

Nivelul de securitate 30 a fost cel mai ridicat din System/38. Dar nu face distincție între obiectele utilizator și obiectele utilizate numai de sistemul de operare. Datorită disponibilității asamblatorului MI pe System/38 și disponibilității anumitor informații despre structura internă a obiectelor, a apărut o problemă serioasă. ISV a început să scrie pachete de aplicații care depindeau de structura internă a obiectelor, ceea ce a încălcat independența tehnologică a MI.

Primele modele AS/400 au folosit aceleași niveluri de protecție. Deși AS/400 nu avea un asamblator MI și nu am publicat informații despre structurile interne, experții și-au dat seama curând că AS/400 era un System/38. Prin urmare, programele care depindeau de structura internă a obiectelor rulau pe AS/400.

Știam că, pe măsură ce ne îndreptam către computerul client/server, AS/400 avea nevoie de mai mult protecţie fiabilă, care blochează accesul la majoritatea obiectelor interne. În legătură cu trecerea la procesoarele RISC, structura internă a suferit și ea modificări. Dar dacă am implementa pur și simplu un nou nivel de protecție crescut, atunci programele care depind de structura internă a obiectelor ar înceta să funcționeze, ceea ce ar provoca nemulțumiri clienților.

Am anunțat că vom construi un nou nivel de securitate în V1R3 și că la acest nivel nu va exista acces la obiectele interne. De asemenea, am început să căutăm acei ISV-uri care foloseau obiecte interne pentru a le oferi API-uri standard de sistem cu informațiile necesare programelor lor.

Majoritatea acestor programe erau utilitare care foloseau informații din anumite câmpuri dintr-un obiect de sistem. De exemplu, un sistem de gestionare a benzilor poate avea nevoie de câteva informații despre antetul benzii. Astfel de informații ar putea fi obținute în singurul mod - prin pătrunderea obiectului sistem. Am creat sute de API-uri pentru a furniza acest tip de informații prin MI (aceste API-uri erau în esență comenzi MI noi) și ne-am asigurat că vor funcționa în toate versiunile viitoare ale sistemului de operare. Astfel, ne-am eliberat mâinile și am început să facem modificări structurilor interne.

Există un alt subiect important legat de securitate: deschiderea AS/400. Pentru o lungă perioadă de timp, mulți ISV nu numai că au folosit obiecte interne, dar au insistat și că IBM va face organizare internă Sistemul de operare este deschis și astfel a dat undă verde dezvoltatorilor de software. Ca răspuns, IBM a susținut că, dacă comenzile MI au fost utilizate incorect, exista o probabilitate mare de defecțiuni software pentru care nu ar putea fi considerat responsabil. S-a ajuns la un compromis (deschidere gestionată prin API), parțial ca urmare a unei serii de întâlniri de grup COMUNE inițiate de ISV și alți utilizatori. Lucrarea cu ISV și definirea noilor API-uri a fost condusă de Ron Fess, unul dintre principalii dezvoltatori de software cu experiență vastă în CPF și OS/400. Rezultatul acestei lucrări este implementarea specificației AS/400 Single UNIX și a altor API-uri standard. AS/400 a devenit mai deschis pentru utilizatori.

Protecție OS (nivel 40)

Nivelul 40 a fost introdus în V1R3 OS/400. Astăzi, toate noile AS/400 sunt livrate cu acest nivel de protecție, nu 10 ca anterior. Dar versiunile mai vechi de OS/400, chiar și atunci când sunt actualizate, păstrează nivelul actual stabilit de client. Acum parola șefului de securitate (utilizatorul cu cel mai înalt nivel de drepturi de acces) devine invalidă după prima conectare și trebuie să o schimbe. Anterior, clienții AS/400 de multe ori nu se deranjau să schimbe parola implicită a sistemului, ceea ce crea o gaură flagrantă de securitate.

La nivelul 40, utilizatorul AS/400 trebuie, de asemenea, să fie conectat, să aibă parola de autentificare corectă și să aibă drepturi de acces la resursele sistemului. Cu toate acestea, utilizatorii cu dizabilități sunt sprijiniți și la acest nivel de protecție.

Spre deosebire de nivelurile 10–30, la nivelul de securitate 40 accesul la interfețele non-standard este blocat. Nu toate comenzile MI sunt acum disponibile pentru utilizator, ci doar setul lor permis, inclusiv sute de API-uri dezvoltate pentru ISV. Comenzile rămase sunt blocate, adică sistemul nu le va executa în programul utilizatorului.

Cu toate acestea, comenzile din setul blocat sunt încă disponibile pentru OS/400. Pentru a distinge între OS/400 și programele utilizator, conceptele au fost introduse sistemicăȘi starea utilizatorului, care poate include orice proces pe AS/400. Utilizarea comenzilor blocate și accesul la unele obiecte de sistem sunt, prin urmare, permise numai în starea sistemului.

Pentru o mai mare securitate, V1R3 a eliminat, de asemenea, adresarea bazată pe capabilități și a eliminat toate drepturile de acces de la pointerii de sistem furnizați utilizatorilor.

Apărare C2 (nivel 50)

Nivelul 40 oferă sistemului un grad suficient de securitate în majoritatea cazurilor. Cu toate acestea, unii contractori guvernamentali necesită un nivel de protecție certificat de guvernul SUA. Există mai multe astfel de certificate, inclusiv așa-numitul nivel C2. Acestea includ prevederi precum protejarea resurselor unui utilizator de alți utilizatori și împiedicarea unui utilizator să preia toate resurse de sistem, de exemplu, memoria. Apropo, cerințe similare sunt acum aplicate în multe organizații neguvernamentale.

Pentru clienții care necesită certificări guvernamentale, am extins nivelul de securitate 40 pe AS/400 pentru a se potrivi cu nivelul C2 menționat mai sus. Deci în versiunea V2R3 a apărut nivelul de protecție 50.

Dar înainte ca un sistem să fie considerat compatibil cu standardul C2, acesta trebuie să fie supus unui test cuprinzător. O astfel de verificare este în curs de desfășurare.

Guvernul SUA a definit niveluri de protecție de la A la D, unde A este cel mai înalt nivel de protecție și D este cel mai scăzut. Clasele B și C au mai multe subniveluri. Nivelul de securitate C2 este cel mai înalt nivel utilizat în mod obișnuit în afaceri. În viitor, dacă va fi nevoie, vom putea include suport pentru mai multe în AS/400 niveluri înalte protecţie.

Acces neautorizat – citirea, actualizarea sau distrugerea informațiilor fără autoritatea corespunzătoare pentru a face acest lucru.

Accesul neautorizat se realizează, de regulă, prin folosirea numelui altcuiva, modificarea adreselor fizice ale dispozitivelor, utilizarea informațiilor rămase după rezolvarea problemelor, modificarea software-ului și suport informativ, furtul suporturilor de stocare, instalarea aparaturii de înregistrare.

Pentru a vă proteja cu succes informațiile, utilizatorul trebuie să aibă o înțelegere absolut clară a posibilului modalități de acces neautorizat. Enumerăm principalele modalități tipice de obținere a informațiilor fără permisiune:

· furtul de medii de stocare și deșeuri de producție;

· copierea mediilor de stocare prin depășirea măsurilor de securitate;

· deghizarea în utilizator înregistrat;

· farsă (deghizată în cereri de sistem);

· exploatarea deficiențelor sistemelor de operare și ale limbajelor de programare;

· utilizarea marcajelor software și a blocurilor software de tip „Cal Troian”;

· interceptarea radiaţiilor electronice;

· interceptarea radiaţiilor acustice;

· fotografierea la distanță;

· utilizarea dispozitivelor de ascultare;

· dezactivarea intenționată a mecanismelor de protecție etc.

Pentru a proteja informațiile împotriva accesului neautorizat, se folosesc următoarele:

1) evenimente organizatorice;

2) mijloace tehnice;

3) software;

4) criptare.

Evenimente organizatorice include:

· mod de acces;

· stocarea media și a dispozitivelor într-un seif (dischete, monitor, tastatură etc.);

· restricționarea accesului persoanelor la sălile de calculatoare etc.

Mijloace tehnice include:

· filtre, ecrane pentru echipamente;

· tasta pentru blocarea tastaturii;

· dispozitive de autentificare – pentru citirea amprentelor, forma mâinii, irisul, viteza și tehnicile de tastare etc.;

· chei electronice pe microcircuite etc.

Software include:

· acces prin parolă – setarea permisiunilor utilizatorului;

· blocați ecranul și tastatura folosind o combinație de taste din utilitarul Diskreet din pachetul Norton Utilites;

· utilizarea fondurilor protecție cu parolă BIOS – pentru BIOS-ul în sine și pentru PC în ansamblu etc.

Criptare– aceasta este o conversie (codificare) informații deschise criptate, inaccesibile străinilor. Criptarea este folosită în primul rând pentru transmisie informatie clasificata pe canale de comunicare nesecurizate. Puteți cripta orice informație - texte, imagini, sunet, baze de date etc. Omenirea folosește criptarea din momentul în care existau informații secrete care trebuiau ascunse de inamici. Primul mesaj criptat cunoscut de știință este un text egiptean, în care au fost folosite alte caractere în locul hieroglifelor acceptate atunci. Știința studiază metode de criptare și decriptare a mesajelor. criptologie , a cărui istorie datează de aproximativ patru mii de ani. Este format din două ramuri: criptografie și criptoanaliza.

Criptografie este știința modalităților de criptare a informațiilor. Criptanaliză este știința metodelor și tehnicilor de spargere a cifrurilor.

De obicei, se presupune că algoritmul de criptare în sine este cunoscut de toată lumea, dar cheia sa este necunoscută, fără de care mesajul nu poate fi decriptat. Aceasta este diferența dintre criptare și codificare simplă, în care pentru a restabili un mesaj este suficient să cunoști doar algoritmul de codare.

Cheie- acesta este un parametru al algoritmului de criptare (cifrare), care vă permite să selectați o anumită transformare din toate opțiunile oferite de algoritm. Cunoașterea cheii vă permite să criptați și să decriptați liber mesajele.

Toate cifrurile (sistemele de criptare) sunt împărțite în două grupuri - simetrice și asimetrice (cu cheie publică). Cifru simetric înseamnă că aceeași cheie este folosită atât pentru a cripta, cât și pentru a decripta mesajele. În sistemele cu cheie publică sunt folosite două chei - publică și privată, care sunt legate între ele folosind unele dependențe matematice. Informațiile sunt criptate folosind cheie publică, care este disponibil pentru toată lumea și este decriptat folosind o cheie privată cunoscută numai de destinatarul mesajului.

Puterea cifrului este rezistența unui cifr la decriptare fără a cunoaște cheia. Un algoritm este considerat rezistent dacă, pentru o dezvăluire cu succes, necesită din partea inamicului resurse de calcul de neatins, un volum de mesaje interceptate de neatins sau un timp în care, după expirarea sa, informațiile protejate nu vor mai fi relevante.

Unul dintre cele mai faimoase și mai vechi cifruri este Cifrul Caesar. În acest cifr, fiecare literă este înlocuită cu alta, aflată în alfabetul la număr dat pozițiile k în dreapta acestuia. Alfabetul este închis într-un inel, astfel încât ultimele caractere sunt înlocuite cu primele. Cifrul Caesar se referă la cifruri simple de substituție, deoarece fiecare caracter al mesajului original este înlocuit cu un alt caracter din același alfabet. Astfel de cifruri sunt ușor de rezolvat folosind analiza frecvenței, deoarece în fiecare limbă frecvența de apariție a literelor este aproximativ constantă pentru orice text suficient de mare.

Mult mai greu de spart Cifrul Vigenere, care a devenit o dezvoltare naturală a cifrului Caesar. Pentru a utiliza cifrul Vigenère, se folosește un cuvânt cheie care specifică valoare variabilă schimb Cifrul Vigenère are o putere criptografică semnificativ mai mare decât cifrul Caesar. Aceasta înseamnă că este mai dificil să îl deschideți - să găsiți cuvântul cheie potrivit. Teoretic, dacă lungimea cheii este egală cu lungimea mesajului și fiecare cheie este folosită o singură dată, cifrul Vigenère nu poate fi spart.

Protecție împotriva accesului neautorizat la date

Accesul neautorizat (UA) al unui atacator la un computer este periculos nu numai din cauza posibilității de citire și/sau modificare a datelor prelucrate. documente electronice, dar și posibilitatea unui atacator controlat marcaj software, ceea ce îi va permite să întreprindă următoarele acțiuni:

2. Interceptați diverse informații cheie utilizate pentru protejarea documentelor electronice.

3. Utilizați computerul capturat ca o trambulină pentru a captura alte computere din rețeaua locală.

4. Distrugeți informațiile stocate pe computer sau dezactivați computerul lansând programe rău intenționate software.

Protejarea computerelor de accesul neautorizat este una dintre principalele probleme ale securității informațiilor, deci majoritatea sistemelor de operare și pachete populare programele au încorporate diferite subsisteme pentru protecție împotriva accesului neautorizat. De exemplu, efectuarea autentificării utilizatorilor atunci când se conectează la sistemele de operare Familia Windows. Cu toate acestea, nu există nicio îndoială că instrumentele încorporate ale sistemelor de operare nu sunt suficiente pentru o protecție serioasă împotriva accesului neautorizat. Din păcate, implementarea subsistemelor de securitate ale majorității sistemelor de operare provoacă destul de des critici din cauza vulnerabilităților descoperite în mod regulat care permit accesul la obiectele protejate prin ocolirea regulilor de control al accesului. Pachetele de actualizare și patch-uri lansate de producătorii de software rămân în mod obiectiv oarecum în urma informațiilor despre vulnerabilitățile detectate. Prin urmare, pe lângă echipamentul de protecție standard, este necesar să se utilizeze mijloace speciale restricții sau restricții de acces.
Aceste fonduri pot fi împărțite în două categorii:

1. Constrângeri acces fizic.

2. Mijloace de protecție împotriva accesului neautorizat prin rețea.

Mijloace de limitare a accesului fizic

Cea mai fiabilă soluție la problema limitării accesului fizic la un computer este utilizarea protecției hardware a informațiilor împotriva accesului neautorizat, efectuată înainte de încărcare. sistem de operare. Dispozitivele de securitate din această categorie sunt numite „încuietori electronice”. Un exemplu de blocare electronică este prezentat în Fig. 5.3.

Figura 5.3 – Încuietoare electronică Pentru Autobuze PCI

Teoretic, orice instrument de control al accesului software poate fi expus unui atacator pentru a distorsiona algoritmul de funcționare al unui astfel de instrument și, ulterior, a obține acces la sistem. Este aproape imposibil să faci acest lucru cu securitatea hardware: încuietoarea electronică efectuează toate acțiunile pentru a controla accesul utilizatorului în propriul său sistem de încredere. mediu software, care nu este supus influente externe.
Pe etapa pregătitoare Când utilizați o încuietoare electronică, aceasta este instalată și configurată. Configurarea include următoarele acțiuni, de obicei efectuate de persoana responsabilă - administratorul de securitate:

1. Crearea unei liste de utilizatori cărora li se permite accesul la computerul protejat. Pentru fiecare utilizator, a purtător de chei(în funcție de interfețele suportate de o anumită lacăt - dischetă, tabletă electronică iButton sau smart card), care va fi folosită pentru autentificarea utilizatorului la intrare. Lista utilizatorilor este salvată în memoria nevolatilă a lacătului.

2. Formarea unei liste de fișiere, a căror integritate este controlată de un blocare înainte de încărcarea sistemului de operare al computerului. Fișierele importante ale sistemului de operare sunt supuse controlului, de exemplu următoarele:

Biblioteci de sistem Windows;

Module executabile ale aplicațiilor utilizate;

Șabloane de documente Microsoft Word etc.

Monitorizarea integrității fișierelor este calculul sumei de control de referință a acestora, de exemplu, hashing conform algoritmului GOST R 34.11-94, stocarea valorilor calculate în memoria nevolatilă a blocării și calculul ulterioar al sumelor de control reale ale dosarele și compararea cu cele de referință. În funcționare normală, încuietoarea electronică primește controlul din BIOS-ul computerului protejat după ce acesta din urmă este pornit. În această etapă sunt efectuate toate acțiunile de control al accesului la computer (vezi diagrama simplificată a algoritmului din Fig. 5.4), și anume:

Figura 5.4 – Diagrama simplificată a algoritmului de funcționare a blocării electronice

1. Lacătul solicită utilizatorului un mediu cu informații cheie necesare pentru autentificarea acestuia. Dacă informațiile cheie în formatul cerut nu sunt furnizate sau dacă utilizatorul identificat prin informațiile furnizate nu este inclus în lista de utilizatori ai computerului protejat, lacătul blochează încărcarea computerului.

2. Dacă autentificarea utilizatorului are succes, blocarea calculează sume de control fișierele conținute în lista celor controlate și compară sumele de control primite cu cele de referință. Dacă integritatea a cel puțin unui fișier din listă este deteriorată, computerul va fi blocat de la pornirea. Pentru a putea lucra în continuare pe acest computer, este necesar ca problema să fie rezolvată de către Administrator, care trebuie să afle motivul modificării fișierului controlat și, în funcție de situație, să ia una dintre următoarele acțiuni pentru a permite continuarea lucrărilor cu computerul protejat:

Restaurați fișierul original;

Eliminați un fișier din lista de fișiere controlate.

3. Dacă toate verificările au succes, blocarea returnează controlul computerului pentru a încărca sistemul de operare standard.

Deoarece pașii descriși mai sus au loc înainte ca sistemul de operare al computerului să se încarce, blocarea încarcă de obicei propriul sistem de operare (situat în memoria sa nevolatilă - de obicei MS-DOS sau asemănător OS, care nu impune cerințe mari de resurse), în care se efectuează autentificarea utilizatorului și verificările integrității fișierelor. Acest lucru are sens și din punct de vedere al securității - propriul sistem de operare al lacătului nu este supus niciunei influențe externe, ceea ce împiedică atacatorul să influențeze procesele de control descrise mai sus. Informațiile despre autentificarea utilizatorului la computer, precum și despre încercările de acces neautorizat, sunt stocate într-un jurnal, care se află în memoria nevolatilă a lacătului. Jurnalul poate fi vizualizat de către administrator. Există o serie de probleme atunci când utilizați încuietori electronice, în special:

1. BIOS niste calculatoare moderne poate fi configurat în așa fel încât controlul să nu fie transferat în BIOS-ul lacătului în timpul pornirii. Pentru a contracara astfel de setări, blocarea trebuie să poată bloca computerul de la pornirea (de exemplu, prin închiderea contactelor Resetați) dacă încuietoarea nu a primit control într-o anumită perioadă de timp după pornirea alimentării.

2. Un atacator poate pur și simplu să scoată lacătul din computer. Cu toate acestea, există o serie de contramăsuri:

Diverse măsuri organizatorice și tehnice: etanșarea carcasei computerului, asigurarea faptului că utilizatorii nu au acces fizic la unitatea de sistem informatică etc.

Există încuietori electronice care pot bloca carcasa unitate de sistem computerul din interior cu o blocare specială la comanda administratorului - în acest caz, blocarea nu poate fi îndepărtată fără deteriorarea semnificativă a computerului.

Destul de des, încuietorile electronice sunt combinate structural cu un criptator hardware. În acest caz, măsura de securitate recomandată este utilizarea unui lacăt împreună cu un instrument software pentru criptarea transparentă (automată) a unităților logice ale computerului. În acest caz, cheile de criptare pot fi derivate din cheile utilizate pentru autentificarea utilizatorilor încuietoare electronică, sau chei separate, dar stocate pe același suport ca și cheile utilizatorului pentru a vă conecta la computer. Un astfel de instrument cuprinzător de protecție nu va solicita utilizatorului să efectueze niciunul acțiuni suplimentare, dar nu va permite unui atacator să obțină acces la informații chiar dacă hardware-ul de blocare electronică este eliminat.

Mijloace de protecție împotriva accesului neautorizat prin rețea

Cele mai eficiente metode de protecție împotriva accesului neautorizat la retele de calculatoare sunt rețele private virtuale ( VPN – Rețea privată virtuală) și firewalling. Să le privim în detaliu.

Rețele private virtuale

Rețelele private virtuale oferă protectie automata integritatea și confidențialitatea mesajelor transmise prin diverse rețele utilizare publică, în primul rând prin internet. De fapt, VPN este un ansamblu de rețele pe al căror perimetru exterior VPN-agenţi (Fig. 5.5). VPN-agent este un program (sau complex software și hardware) care asigură de fapt protecția informațiilor transmise prin efectuarea operațiunilor descrise mai jos.

Orez. 5.5 - Diagrama construirea unui VPN

Înainte de a trimite oricare IP-pachet VPN- agentul face următoarele:

1. Din titlu IP-pachet este alocată informații despre destinatarul său. Conform acestor informații, pe baza politicii de securitate a acesteia VPN-agent, algoritmii de protecție sunt selectați (dacă VPN-agentul suporta mai multi algoritmi) si chei criptografice cu care acest pachet va fi protejat. În cazul în care politica de securitate VPN- nu este asigurată dispeceratul agentului IP-pachet către acest destinatar sau IP-pachet cu aceste caracteristici, expediere IP-pachetul este blocat.

2. Folosind algoritmul de protecție a integrității selectat, acesta este generat și adăugat la IP-pachet electronic semnatura digitala(EDS), prefix de imitație sau sumă de control similară.

3. Criptarea se realizează utilizând algoritmul de criptare selectat IP-pachet.

4. Cu algoritm stabilitîncapsularea pachetelor este criptată IP- pachetul este plasat într-un pachet IP pregătit pentru transmisie, al cărui antet, în loc de informațiile originale despre destinatar și expeditor, conține informații despre VPN-agentul destinatarului și VPN- agentul expeditorului. Acestea. Se realizează traducerea adresei de rețea.

5. Pachetul este trimis VPN- agentul destinatarului. Dacă este necesar, este împărțit și pachetele rezultate sunt trimise unul câte unul.

La admitere IP-pachet VPN- agentul face următoarele:

1. Din titlu IP-informațiile pachetului despre expeditorul acestuia sunt evidențiate. Dacă expeditorul nu este permis (conform politicii de securitate) sau este necunoscut (de exemplu, la primirea unui pachet cu un antet corupt în mod deliberat sau accidental), pachetul nu este procesat și este aruncat.

2. Algoritmii de protecție sunt selectați conform politicii de securitate a acestui pachetși cheile care vor fi folosite pentru a decripta pachetul și a verifica integritatea acestuia.

3. Partea de informații (încapsulată) a pachetului este izolată și decriptată.

4. Integritatea pachetului este monitorizată pe baza algoritmului selectat. Dacă este detectată o încălcare a integrității, pachetul este aruncat.

5. Pachetul este trimis destinatarului (de rețeaua internă) conform informațiilor găsite în antetul său original.

VPN-agentul poate fi localizat direct pe computerul protejat (de exemplu, calculatoarele „utilizatori la distanță” din Fig. 5.5). În acest caz, este folosit pentru a proteja schimb de informatii doar computerul pe care este instalat, dar principiile de funcționare descrise mai sus rămân neschimbate.
Regula de bază a construcției VPN– comunicarea între rețeaua LAN protejată și rețea deschisă ar trebui făcută numai prin VPN-agenți. Nu ar trebui să existe absolut niciun mijloc de comunicare care să ocolească bariera de protecție din formular VPN-agent. Acestea. trebuie definit un perimetru protejat, comunicarea cu care se poate realiza numai printr-un mijloc adecvat de protectie. O politică de securitate este un set de reguli conform cărora sunt stabilite canale de comunicare securizate între abonați VPN. Astfel de canale sunt de obicei numite tuneluri, analogia cu care poate fi văzută în următoarele:

1. Toate informațiile transmise într-un tunel sunt protejate atât de vizionarea neautorizată, cât și de modificare.

2. Încapsulare IP pachetele vă permite să ascundeți topologia rețelei LAN interne: de pe Internet, schimbul de informații între două LAN-uri protejate este vizibil ca un schimb de informații doar între ele VPN-agenți, deoarece totul este intern IP-adrese transmise prin internet IP-pachetele nu apar in acest caz.

Regulile pentru crearea tunelurilor se formează în funcție de diverse caracteristici IP-pachete, de exemplu, principalul la construirea celor mai multe VPN protocol IPSec (Arhitectura de securitate pentru IP) setează următorul set de date de intrare prin care sunt selectați parametrii de tunel și se ia o decizie la filtrarea unui anumit IP-pachet:

1. IP- Sursa adresei. Aceasta poate fi nu numai o singură adresă IP, ci și o adresă de subrețea sau o serie de adrese.

2. IP-adresa de destinatie. De asemenea, poate exista o serie de adrese specificate în mod explicit, folosind o mască de subrețea sau un wildcard.

3. ID utilizator (expeditor sau destinatar).

4. Protocolul stratului de transport ( TCP/UDP).

5. Numărul portului de la sau către care a fost trimis pachetul.

Un firewall este un instrument software sau hardware-software care oferă protecție rețele localeȘi calculatoare individuale de la acces neautorizat de la rețele externe prin filtrarea fluxului bidirecţional de mesaje la schimbul de informaţii. De fapt, firewall-ul este „demontat” VPN-un agent care nu criptează pachetele și nu controlează integritatea acestora, dar în unele cazuri are un număr de funcții suplimentare, dintre care cele mai comune sunt următoarele:

Scanare antivirus;

Monitorizarea corectitudinii pachetelor;

Monitorizarea corectitudinii conexiunilor (de exemplu, stabilirea, utilizarea și încetarea TCP-sedinte);

Controlul conținutului.

Firewall-uri, care nu au funcțiile descrise mai sus și efectuează doar filtrarea pachetelor, sunt apelate filtre de pachete. Prin analogie cu VPN-agenții există și ca firewall-uri personale care protejează doar computerul pe care sunt instalați. Firewall-urile sunt, de asemenea, amplasate pe perimetrul rețelelor protejate și filtrului trafic de rețea conform politicii de securitate configurate.

O încuietoare electronică poate fi dezvoltată pe baza unui codificator hardware. În acest caz, obțineți un dispozitiv care îndeplinește funcțiile de criptare, generare numere aleatoriiși protecție împotriva NSD. Un astfel de criptator poate fi centrul de securitate al întregului computer, pe baza acestuia se poate construi un sistem complet funcțional protecţie criptografică date, oferind, de exemplu, următoarele capabilități:

1. Protejați-vă computerul de accesul fizic.

2. Protejarea computerului împotriva accesului neautorizat prin intermediul rețelei și organizare VPN.

3. Criptarea fișierelor la cerere.

4. Criptarea automată a unităților logice ale computerului.

5. Calculul/verificarea semnăturii digitale.

6. Protejați mesajele de e-mail.

Tendințe de dezvoltare observate în ultimii ani tehnologia Informatiei poate duce la apariția unor forme (informaționale) de luptă calitativ noi, numite război informaţional. Nu există o definiție stabilită și acceptată la nivel internațional a războiului informațional. Una dintre componentele războiului informațional este așa-numita armă informațională, pe care experții o definesc ca un set de mijloace și metode care fac posibilă furtul, denaturarea sau distrugerea informațiilor, limitarea sau încetarea accesului la acestea de către cumpărătorii legitimi, perturbarea sau dezactivarea acestora. rețele de telecomunicații și sisteme informatice, utilizate în asigurarea funcționării societății și a statului.

Clasificarea principiilor de protecție împotriva accesului neautorizat

Principiul accesului justificat. Acest principiu constă în îndeplinirea obligatorie a 2 condiții principale: utilizatorul trebuie să aibă un „formular de validare” suficient pentru a obține informații de nivelul de confidențialitate pe care îl cere, iar aceste informații sunt necesare pentru ca acesta să își îndeplinească funcțiile de producție.

Principiul profunzimii suficiente a controlului accesului. Măsurile de securitate a informațiilor trebuie să includă mecanisme de control al accesului la toate tipurile de informații și resurse software sisteme automatizate, care, în conformitate cu principiul accesului rezonabil, ar trebui să fie partajată între utilizatori.

Principiul delimitării fluxurilor informaţionale. Pentru a preveni o încălcare a securității informațiilor, care, de exemplu, poate apărea la înregistrarea informațiilor clasificate pe medii neclasificate și în fișiere neclasificate, transferul acestora către programe și procese care nu sunt destinate prelucrării informațiilor clasificate, precum și atunci când se transmit informații clasificate pe canale nesecurizate. și liniile de comunicare, este necesar să se efectueze o delimitare adecvată a fluxurilor de informații.

Principiul purității resurselor reutilizate. Acest principiu este de a curăța resursele care conțin informații confidențiale atunci când sunt șterse sau eliberate de utilizator înainte de a redistribui aceste resurse către alți utilizatori.

Principiul responsabilitatii personale. Fiecare utilizator trebuie să poarte responsabilitatea personală pentru activitățile sale în sistem, inclusiv orice operațiuni cu informații confidențiale și posibile încălcări ale protecției acestuia, i.e. orice acțiuni accidentale sau intenționate care conduc sau pot duce la acces neautorizat la informații confidențiale, denaturarea sau distrugerea acestora sau care fac astfel de informații inaccesibile utilizatorilor legitimi.

Principiul integrității echipamentului de protecție. Acest principiu presupune că instrumentele de securitate a informațiilor din sistemele automate trebuie să își îndeplinească cu acuratețe funcțiile în conformitate cu principiile enumerate și să fie izolate de utilizatori, iar pentru întreținerea acestora trebuie să includă o interfață specială securizată pentru instrumentele de control, semnalând încercările de încălcare a securității informației și influențare. procesele din sistem.

Direcții principale de asigurare a protecției împotriva accesului neautorizat

Asigurarea protectiei fondurilor tehnologia calculatoarelor(SVT) și sistemele automatizate (AS) sunt realizate de: un sistem de control al accesului (ADS) al subiecților pentru a accesa obiectele; asigurarea de fonduri pentru SRD.

Principalele funcții ale DRS sunt:

• - implementarea regulilor de restricționare a accesului (AD) al subiecților și al proceselor acestora la date;
• - implementarea PRD a subiecților și a proceselor acestora pe dispozitive de realizare a hârtiei;
• - izolarea programelor de proces efectuate în interesul subiectului de alte subiecte;
• - controlul fluxurilor de date pentru a preveni scrierea datelor pe medii de tip neadecvat;
• - implementarea regulilor de schimb de date între subiecți pentru AS și SVT, construite pe principiile rețelei.

Furnizarea de mijloace pentru DRS îndeplinește următoarele funcții:

• - identificarea și recunoașterea (autentificarea) subiecților și menținerea legăturii subiectului de procesul efectuat pentru subiect;
• - înregistrarea acțiunilor subiectului și a procesului acestuia;
• - oferirea de oportunități de excludere și includere a unor noi subiecte și obiecte de acces, precum și schimbarea puterilor subiecților; reacție la încercările de NSD, de exemplu, alarme, blocare, recuperare de la NSD;
• - testare;
• - curatenie memorie cu acces aleatorși zone de lucru pe suport magnetic după ce utilizatorul a finalizat lucrul cu datele protejate;
• - contabilizarea iesirilor tiparite si forme graficeși copii pe hârtie în AC;
• - controlul integrității componentei software și informaționale atât a DRS, cât și a mijloacelor care îl susțin.

Metodele de implementare a DRS depind de caracteristicile specifice ale SVT și AS. Următoarele metode de protecție și orice combinații ale acestora pot fi utilizate:

• - DRS distribuite și DRS localizate în complexul software și hardware (nucleu de protecție);
• - DRS în cadrul sistemului de operare, DBMS sau programe de aplicație;
• - SRD în instrumentele de implementare interacțiunile de rețea sau la nivel de aplicație; utilizarea transformărilor criptografice sau a metodelor de control al accesului direct; software și (sau) implementare tehnică SRD.

Concluzie: Este imposibil să protejați absolut informațiile de accesul neautorizat. Pentru a alege principiul organizării protecției împotriva accesului neautorizat, este necesară o abordare individuală în fiecare caz specific.

Analiza comparativă a celor mai comune mijloace de protejare a informațiilor împotriva accesului neautorizat

A fost efectuată o analiză comparativă a celor mai comune mijloace de protecție a informațiilor (IPS) împotriva accesului neautorizat (ATI) utilizate pentru protejarea datelor în sistemele informaționale. Criteriile de comparație au fost selectate pe baza caracteristicilor sistemului de protecție a informațiilor din DNS.

Pentru a proteja informațiile în sisteme informaticeîmpotriva atacurilor la nivelul sistemului de operare, al sistemului software de rețea și al sistemului de gestionare a bazelor de date, se folosesc mijloace de protejare a informațiilor împotriva accesului neautorizat (IPS de la NSD). Factorul determinant în alegerea echipamentelor de securitate a informațiilor de la NSD în Sistem informatic este respectarea standardelor și cerințelor organismelor abilitate în domeniul prelucrării datelor. Cele mai comune mijloace de protejare a informațiilor împotriva accesului neautorizat în familia de sisteme informatice MS Windows sunt: ​​„Secret Net LSP”, „Dallas Lock 8.0?K”, „Pantsir?K”, „Aura 1.2.4”.

Toate sistemele de securitate a informațiilor de mai sus sunt certificate software protecția informațiilor, suportând modurile de operare offline și de rețea. În plus, îndeplinesc funcții similare, cum ar fi:

• 1. Identificarea și autentificarea utilizatorilor.
• 2. Restricționarea și controlul accesului utilizatorilor la resurse de sistem, terminale, calculatoare, noduri de rețea de calculatoare, dispozitive externe, programe, volume, directoare, fișiere etc.
• 3. Contabilitatea suporturilor de stocare.
• 4. Monitorizarea integrității resurselor protejate.
• 5. Monitorizarea componentelor de securitate a informațiilor.
• 6. Controlul tiparirii si marcarii documentelor.
• 7. Distrugerea (suprascrierea) conținutului fișierelor atunci când acestea sunt șterse.
• 8. Înregistrarea evenimentelor de securitate în jurnal.
• 9. Copie umbră informații de ieșire.

În modul de rețea, sistemul de securitate a informațiilor îndeplinește următoarele funcții:

• 1. Gestionarea centralizată a setărilor de securitate a informațiilor.
• 2. Colectare centralizată informații despre evenimentele de securitate de pe computerele protejate.

Metodologie analiza comparativa SZI de la NSD „Secret Net LSP”, „Dallas Lock 8.0?K”, „Pantsir?K”, „Aura 1.2.4” este prezentat mai jos.

Criteriile de analiză comparativă în această lucrare sunt următoarele caracteristici tehnice ale sistemului de protecție a informațiilor din DNS:

• 1. Clasa de securitate.
• 2. Nivelul de control al NDV.
• 3. .
• 4. Cerințe hardware suplimentare: cantitatea necesară de spațiu liber pe hard disk pentru a găzdui sistemul de securitate a informațiilor.
• 5.: da sau nu.

Caracteristicile tehnice specificate pentru echipamentul de protecție a informațiilor selectat de la NSD sunt prezentate în Tabelul 1.

Tabelul 1 - Specificații SZI din NSD

Criterii de comparare		Blocarea Dallas 8.0-K	Pantsir-K	SZI Aura 1.2.4
Clasa de securitate	Conform clasei de securitate 3	Conform clasei de securitate 5	Conform clasei de securitate 5	Conform clasei de securitate 5
Nivel de control NDV	Prin control de nivel 2	Prin control de nivel 4	Prin control de nivel 4	Prin control de nivel 4
Clasa de sisteme automate	Până la și inclusiv clasa 1B	Până la clasa 1G inclusiv	Până la clasa 1G inclusiv	Până la clasa 1G inclusiv
Suport hardware suplimentar	da (Secret Net Card, PAK "Sobol")		da (PAC pentru controlul activității KSZI)

Tabelul 2 - Matricea indicatorilor

În această matrice, fiecare indicator Aij atribuită o anumită valoare numerică.

Să explicăm scopul valorilor numerice ale indicatorilor Aij folosind exemplul sistemului de securitate a informațiilor de la NSD „Secret Net LSP”. Clasa de securitate, nivelul de control al NDV și clasa sistemului automatizat sunt mai mari decât cele ale altor sisteme de securitate a informațiilor acceptate pentru analiza comparativă. Pe de altă parte, volumul necesar hard disk implementarea acestui sistem de protecție a informațiilor este mult mai mare, ceea ce introduce restricții asupra capacităților hardware-ului. Acum este necesar să se introducă următoarea regulă pentru evaluarea cantitativă a indicatorului Aij: indicatorul ar trebui să capete o valoare mai mare, cu atât mai mare este semnificația criteriului selectat pentru luarea deciziilor. În acest caz particular, vom efectua o evaluare cantitativă a indicatorilor pentru criteriile de comparație acceptate, după cum urmează:

A 1J= 1 / (Clasa de securitate: 3 sau 5);

A 2J= 1 / (nivel de control NDV: 2 sau 4);

A 3J= 1 / (Clasa sistemelor automatizate: 2 - pentru clasa 1B sau 4 - pentru clasa 1G);

A 4J= 1 / (capacitate necesară hard disk-ului în GB);

A 5J= 1 - suport hardware suplimentar este disponibil; 0 - fără suport hardware suplimentar.

Deci nu este greu de obținut valori numerice matricea indicatorilor (Tabelul 3).

Tabelul 3 - Matricea indicatorilor. Valori numerice

Criterii de comparare		Blocarea Dallas 8.0-K	Pantsir-K	SZI Aura 1.2.4
Clasa de securitate
Nivel de control NDV
Clasa de sisteme automate
Cerințe hardware suplimentare: spațiu liber pe hard disk		1/0,030 = 33,333	1/0,020 = 50,000
Suport hardware suplimentar

O analiză comparativă ulterioară se realizează prin calcularea ratingului conform criteriilor de comparație.

Unde Aij- valoarea curentă a indicatorului;

Aimin- valoarea minimă a indicatorului pentru criteriul specificat;

Aimax- valoarea maximă a indicatorului pentru criteriul specificat;

Unde m- numărul de criterii pentru mijloacele de securitate a informațiilor.

Un exemplu de calcul folosind metodologia propusă este prezentat mai jos în Tabelele 4 și 5. Coeficienții de ponderare sunt alocați pe baza cerințelor de prioritate pentru primele trei criterii de comparație.

Tabelul 4 - Date inițiale pentru calcularea ratingului final al sistemului de protecție a informațiilor din NSD

Concluzie: Analizând principalele criterii ale sistemelor de securitate a informațiilor selectate din DNS, a fost propusă o metodologie de analiză comparativă a acestora. Din punct de vedere nivel tehnic, dintre instrumentele de securitate a informațiilor avute în vedere, avantajul incontestabil al sistemului de securitate a informațiilor de la NSD „Secret Net LSP” are un avantaj incontestabil. Cu toate acestea, trebuie avut în vedere faptul că acest sistem de protecție a informațiilor poate fi folosit nu numai pentru protecție informații confidențiale, dar și pentru protecție secretă (certificat conform clasei de securitate SVT 3 și control NDV nivel 2), deci pentru Protecție ISPDn„Secret Net LSP”, în acest caz, este redundant. Alte priorități sunt distribuite după cum urmează: „Pantsir?K”, „Dallas Lock 8.0?K” și SZI „Aura 1.2.4”.