УСТРОЙСТВО ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ, ХРАНИМОЙ В ПЕРСОНАЛЬНОЙ ЭВМ

Изобретение относится к защите от несанкционированного доступа к информации, хранимой в персональной ЭВМ, и может быть использовано в автоматизированных системах обработки конфиденциальной информации на базе персональных ЭВМ.

Использование современных информационных технологий при необходимости обеспечения конфиденциальности хранения и обработки данных является источником возникновения специфических угроз со стороны злоумышленников. С этим связана необходимость применения специальных средств защиты информационных систем от несанкционированного доступа к информации, хранимой в персональной ЭВМ.

Известны штатные средства защиты персональных ЭВМ от несанкционированного доступа к информации, например использование паролей пользователей, устанавливаемых с помощью документации к поставляемым ПЭВМ. Однако они не решают гарантированно данную задачу, так как имеется возможность отключить систему контроля путем принудительного разряда питающей батареи или раскрыть пароль пользователя с помощью специальной программы - "перехватчика паролей".

Известны программные средства защиты персональных ЭВМ от несанкционированного доступа к информации типа известной программы ADINF, обеспечивающей контроль целостности программного обеспечения и хранимых данных путем вычисления контрольной суммы файлов. Однако с помощью специально разработанных алгоритмов вычисления контрольных сумм файлов информация, хранимая в персональной ЭВМ, может быть несанкционированно изменена с сохранением прежнего значения контрольной суммы файлов. Таким образом, контроль целостности программ и данных на компьютере с помощью программных средств, размещенных на этом же компьютере и также требующих проверки на собственную целостность перед их запуском, однозначно не достигает поставленной цели.

Известны средства защиты персональных ЭВМ от несанкционированного доступа к информации, обеспечивающие создание изолированной программной среды, например система Unvisible Disk разработки фирмы ЛАН Крипто (см. Щербаков А. Разрушающие программные воздействия. - М.: ЭДЕЛЬ, 1993). При использовании таких средств загрузка дисковой операционной системы производится с охраняемого от несанкционированного доступа гибкого диска, после чего уже могут быть использованы другие системы защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, не имеющие возможностей по контролю над целостностью общих системных ресурсов ПЭВМ. Однако подобные средства не могут предотвратить несанкционированный доступ к чужим ресурсам и данным зарегистрированных пользователей и требуют дополнительных организационно-технических мер для хранения и верификации проверенной системной дискеты при передаче ее из рук в руки.

Известно устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, содержащее внешний носитель информации и расположенные на общей плате постоянное запоминающее устройство и контроллер обмена информацией с персональной ЭВМ, входы/выходы которых предназначены для подключения к персональной ЭВМ (см. Спесивцев А.В. и др. Защита информации в персональных ЭВМ. - М.: Радио и связь, 1992, с.25-26).

В качестве внешнего носителя информации в известном устройстве использована дискета, содержащая криптографические ключи запрашиваемых данных. На жесткий диск ПЭВМ предварительно записано необходимое программное обеспечение, поддерживающее интерфейс обмена данными между BIOS (basic input/output system) ПЭВМ и расположенными на общей плате постоянным запоминающим устройством и контроллером обмена информацией с персональной ЭВМ. Данное программное обеспечение переносится с жесткого диска в ОЗУ персональной ЭВМ во время загрузки компьютера (до загрузки дисковой операционной системы) и становится составной частью расширенной операционной системы для доступа к данным на жестком диске персональной ЭВМ. Указанное программное обеспечение поддерживает функции разграничения доступа к компьютеру и логическим дискам жесткого диска ПЭВМ и обеспечивает полное шифрование логических дисков жесткого диска. Известное устройство обеспечивает разграничение доступа к "персональным" данным, сохраняемым под персональными ключами шифрования, записываемыми на дискеты пользователей. Однако при этом общие ресурсы оказываются доступными всем зарегистрированным пользователям и в силу этого полностью отсутствует возможность разграничения доступа пользователей, например, к системным ресурсам, которые не могут шифроваться различными ключами.

Наиболее близким к предлагаемому по совокупности признаков является устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, содержащее внешний носитель информации, выполненный в виде энергонезависимой памяти, выносной контактный узел считывания информации с внешнего носителя информации и расположенные на общей плате постоянное запоминающее устройство, контроллер обмена информацией с внешним носителем информации и контроллер обмена информацией с персональной ЭВМ, внутренние магистральные входы/выходы которого соединены через магистрали локальной шины с внутренними магистральными входами/выходами контроллера обмена информацией с внешним носителем информации, вход считывания которого подключен к выходу выносного контактного узла считывания информации с внешнего носителя информации, причем внешние магистральные входы/выходы постоянного запоминающего устройства и контроллера обмена информацией с персональной ЭВМ предназначены для подключения к общей шине управления и обмена данными персональной ЭВМ (см. патент RU 2067313 С1, кл. G 06 F 12/14, 27.09.1996).

Известное устройство обеспечивает более высокую эффективность защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, за счет создания для каждого пользователя собственной функционально замкнутой программно-логической среды. При этом каждому пользователю, имеющему право доступа к компьютеру, предоставляется возможность пользовать только назначенные ему программы, а расширение прав доступа может быть реализовано только администратором.

Однако недостатком известного устройства является то, что в нем не обеспечивается безопасность хранения служебных данных, используемых при организации доступа пользователей к информации, хранимой в персональной ЭВМ. Действительно, в известном устройстве на внешний носитель информации записывают как имя (регистрационный номер) пользователя, так и вычисленные значения контрольных векторов контролируемых объектов (вычисленное значение хэш-функции защищаемых от изменений файлов). Кроме того, на жесткий диск персональной ЭВМ записывают пароль пользователя, список контролируемых объектов (список защищаемых от изменений файлов, имя стартовой программы для данного пользователя) и вычисленные значения контрольных векторов контролируемых объектов (вычисленные значения их хэш-функции).

В силу этого обстоятельства зарегистрированные пользователи системы, имеющие злоумышленные намерения, получают возможность внедрения в систему специальных программных "закладок", которые могут выполнять при работе других зарегистрированных пользователей самые различные действия, в том числе перехватывать конфиденциальные данные и сохранять их в ПЭВМ "до востребования".

Для устранения указанного недостатка необходимо исключить одновременное хранение на одном и том же носителе информации служебных данных, используемых при работе устройства, в первую очередь - паролей пользователей, списка контролируемых объектов и вычисленных значений их контрольных векторов (хранящихся в известном устройстве на жестком диске персональной ЭВМ), во вторую очередь - имен (регистрационных номеров) пользователей и вычисленных значений контрольных векторов контролируемых объектов (хранящихся в известном устройстве на внешнем носителе информации).

Техническим результатом изобретения является исключение одновременного хранения на одном и том же носителе информации наиболее важных служебных данных (списка контролируемых объектов и вычисленных значений их контрольных векторов), используемых при работе устройства, что обеспечивает безопасность их хранения и повышение эффективности защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ.

Технический результат достигается тем, что в известное устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, содержащее внешний носитель информации, выполненный в виде энергонезависимой памяти, выносной контактный узел считывания информации с внешнего носителя информации и расположенные на общей плате постоянное запоминающее устройство, контроллер обмена информацией с внешним носителем информации и контроллер обмена информацией с персональной ЭВМ, внутренние магистральные входы/выходы которого соединены через магистрали локальной шины с внутренними магистральными входами/выходами контроллера обмена информацией с внешним носителем информации, вход считывания которого подключен к выходу выносного контактного узла считывания информации с внешнего носителя информации, введены расположенные на общей плате шинный формирователь, первая энергонезависимая память, вторая энергонезависимая память, третья энергонезависимая память и четвертая энергонезависимая память, устройство контроля питания и устройство блокировки общей шины управления и обмена данными персональной ЭВМ, для подключения к которой предназначены внешние магистральные входы/выходы шинного формирователя, внутренние магистральные входы/выходы которого соединены с внешними магистральными входами/выходами постоянного запоминающего устройства и контроллера обмена информацией с персональной ЭВМ, первый и второй управляющие выходы которого подключены соответственно к входу разрешения чтения/записи шинного формирователя и к входу разрешения доступа к памяти постоянного запоминающего устройства, выход контроля питания - к входу устройства контроля питания, выход которого соединен с сигнальным входом контроллера обмена информацией с внешним носителем информации, управляющий выход которого подключен к входу устройства блокировки общей шины управления и обмена данными персональной ЭВМ, магистральный выход которого предназначен для подключения к общей шине управления и обмена данными персональной ЭВМ, при этом входы/выходы первой энергонезависимой памяти, второй энергонезависимой памяти и третьей энергонезависимой памяти соединены соответственно с первым, вторым и третьим входами/выходами расширения памяти контроллера обмена информацией с персональной ЭВМ, а вход/выход четвертой энергонезависимой памяти - с входом/выходом расширения памяти контроллера обмена информацией с внешним носителем информации.

Проведенный заявителем анализ уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, позволил установить, что заявитель не обнаружил источник, характеризующийся признаками, тождественными (идентичными) всем существенным признакам заявленного технического решения. Определение из перечня выявленных аналогов прототипа как наиболее близкого по совокупности признаков аналога позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленного устройства защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, изложенных в формуле изобретения. Следовательно, заявленное техническое решение соответствует критерию "новизна".

Проведенный заявителем дополнительный поиск не выявил известные решения, содержащие признаки, совпадающие с отличительными от прототипа признаками заявленного устройства защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ. Заявленное техническое решение не вытекает для специалиста явным образом из известного уровня техники, поскольку из уровня техники, определенного заявителем, не выявлено влияние предусматриваемых существенными признаками заявленного технического решения преобразований для достижения технического результата. Заявленное техническое решение не основано на изменении количественного признака (признаков), представлении таких признаков во взаимосвязи либо изменении ее вида. Следовательно, заявленное техническое решение соответствует критерию "изобретательский уровень".

На фиг. 1 показана электрическая структурная схема одного из возможных вариантов устройства защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, а на фиг.2 - электрическая структурная схема прототипа.

Устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ (см. фиг.1), содержит внешний носитель 1 информации, выполненный в виде энергонезависимой памяти, выносной контактный узел 2 считывания информации с внешнего носителя информации и расположенные на общей плате 3 постоянное запоминающее устройство 4, контроллер 5 обмена информацией с внешним носителем информации и контроллер 6 обмена информацией с персональной ЭВМ, локальную шину 7, шинный формирователь 8, первую 9, вторую 10, третью 11 и четвертую 12 энергонезависимые памяти, устройство 13 контроля питания и устройство 14 блокировки общей шины 15 управления и обмена данными персональной ЭВМ.

Внутренние магистральные входы/выходы контроллера 6 обмена информацией с персональной ЭВМ соединены через магистрали локальной шины 7 с внутренними магистральными входами/выходами контроллера 5 обмена информацией с внешним носителем информации, вход считывания которого подключен к выходу выносного контактного узла 2 считывания информации с внешнего носителя информации.

Внутренние магистральные вход/выход шинного формирователя 8 соединены с внешними магистральными входами/выходами постоянного запоминающего устройства 4 и контроллера 6 обмена информацией с персональной ЭВМ, первый и второй управляющие выходы которого подключены соответственно к входу разрешения чтения/записи шинного формирователя 8 и к входу разрешения доступа к памяти постоянного запоминающего устройства 4, выход контроля питания - к входу устройства 13 контроля питания, выход которого соединен с сигнальным входом контроллера 5 обмена информацией с внешним носителем информации, управляющий выход которого подключен к входу устройства 14 блокировки общей шины управления и обмена данными персональной ЭВМ.

Входы/выходы первой 9, второй 10 и третьей 11 энергонезависимых памятей соединены соответственно с первым, вторым и третьим входами/выходами расширения памяти контроллера 6 обмена информацией с персональной ЭВМ, а вход/выход четвертой энергонезависимой памяти 12 - с входом/выходом расширения памяти контроллера 5 обмена информацией с внешним носителем информации.

Общую плату 3 с расположенными на ней устройствами устанавливают в свободный слот персональной ЭВМ и подключают к ее общей шине 15 управления и обмена данными через внешние магистральные вход/выходы шинного формирователя 8 и магистральный выход устройства 14 блокировки общей шины управления и обмена данными персональной ЭВМ (как показано на фиг.1), при этом выносной контактный узел 2 считывания информации с внешнего носителя информации закрепляют на внешней панели персональной ЭВМ.

Устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, после установки в персональную ЭВМ работает следующим образом.

Перед началом эксплуатации персональной ЭВМ с установленной системой защиты осуществляют регистрацию пользователей, для чего с помощью программного обеспечения системы защиты персональной ЭВМ от несанкционированного доступа в регистрационные файлы записывают переменные параметры - контрольную информацию, которая определяет права доступа каждого пользователя к ресурсам персональной ЭВМ:
на жесткий диск персональной ЭВМ - список контролируемых объектов (список защищаемых от изменений файлов, а также полный путь к каждому контролируемому файлу и/или координаты каждого контролируемого загрузочного сектора (имя стартовой программы для данного пользователя))
в постоянное запоминающее устройство 4 - таблицу контрольных векторов контролируемых объектов (значения контрольных сумм или вычисленное значение хэш-функции защищаемых от изменений файлов и/или загрузочных секторов жесткого диска;
в первую энергонезависимую память 9 (разрешены чтение/запись - для обмена служебной информацией с прикладными программами системы защиты персональной ЭВМ от несанкционированного доступа, выполняемыми при аутентификации пользователей) - учетные данные пользователя в текущем сеансе работы (имя (регистрационный номер) пользователя, его полномочия, контрольный вектор (образ) пароля);
во вторую энергонезависимую память 10 (запрещена запись после работы программы расширения BIOS, записанной в постоянном запоминающем устройстве 4) - журнал регистрации всех событий (попытки санкционированного и несанкционированного доступа, действия администратора);
в третью энергонезависимую память 11 (запрещены чтение/запись после работы программы расширения BIOS, записанной в постоянном запоминающем устройстве 4) - настройки замка (список пользователей (имена - регистрационные номера), количество разрешенных попыток доступа к персональной ЭВМ);
в четвертую энергонезависимую память 12 (запрещены чтение/запись после работы программы расширения BIOS, записанной в постоянном запоминающем устройстве 4) - интервал времени от включения персональной ЭВМ до передачи управления программе расширения BIOS, записанной в постоянном запоминающем устройстве 4, необходимый для блокировки несанкционированного доступа к персональной ЭВМ на начальном этапе ее загрузки;
на внешний носитель 1 информации - имя (регистрационный номер) пользователя.

Идентификацию и аутентификацию осуществляют при каждом входе пользователя в систему. Для этого при включении или перезагрузке персональной ЭВМ управление ее загрузкой вначале осуществляется в штатном режиме, затем во время выполнения системной BIOS программы тестирования аппаратной части персональной ЭВМ до начала загрузки операционной системы программа расширения BIOS, записанная в постоянном запоминающем устройстве 4, перехватывает управление начальной загрузкой персональной ЭВМ на том этапе, на котором уже возможно выполнять операции чтения/записи информации по секторам дорожек жесткого диска в персональной ЭВМ.

При этом на начальном этапе загрузки персональной ЭВМ после ее включения до передачи управления записанной в постоянном запоминающем устройстве 4 программе расширения BIOS контроллер 5 обмена информацией с внешним носителем информации обеспечивает блокировку доступа к общей шине 15 управления и обмена данными персональной ЭВМ через устройство 14 блокировки общей шины управления и обмена данными персональной ЭВМ. Информацию о времени блокировки доступа на начальном этапе загрузки персональной ЭВМ контроллер 5 обмена информацией с внешним носителем информации получает из четвертой энергонезависимой памяти 9.

После перехвата управления начальной загрузкой персональной ЭВМ на себя программа расширения BIOS, записанная в постоянном запоминающем устройстве 4, осуществляет идентификацию пользователя, для чего выдает на дисплей персональной ЭВМ приглашение пользователю ввести информацию с его носителя 1 информации в персональную ЭВМ с помощью выносного контактного узла 2 считывания информации и считывает с носителя 1 информации имя (регистрационный номер) пользователя.

В случае, когда предъявленный носитель 1 информации не зарегистрирован в регистрационном файле в третьей энергонезависимой памяти 11, программа расширения BIOS выдает на дисплей персональной ЭВМ предупреждение и повторное приглашение к проведению идентификации пользователя. После предопределенного в третьей энергонезависимой памяти 11 числа неудачных попыток идентификации вход в систему пользователю запрещается, а в журнале регистрации событий во второй энергонезависимой памяти 10 регистрируется попытка несанкционированного доступа к персональной ЭВМ.

В случае, когда предъявленный носитель 1 информации зарегистрирован в регистрационном файле в третьей энергонезависимой памяти 11, программа расширения BIOS, записанная в постоянном запоминающем устройстве 4, осуществляет аутентификацию пользователя, для чего выдает на дисплей персональной ЭВМ приглашение пользователю ввести свой пароль с клавиатуры персональной ЭВМ.

После ввода пользователем пароля программа расширения BIOS, записанная в постоянном запоминающем устройстве 4, определяет контрольный вектор (образ) введенного пароля и сравнивает его с контрольным вектором (образом) пароля, зарегистрированного для данного пользователя в регистрационном файле в первой энергонезависимой памяти 9.

В случае, когда контрольный вектор (образ) предъявленного пароля не совпадает с зарегистрированным в регистрационном файле в первой энергонезависимой памяти 9, программа расширения BIOS выдает на дисплей персональной ЭВМ предупреждение и повторное приглашение к проведению аутентификации пользователя. После предопределенного в третьей энергонезависимой памяти 11 числа неудачных попыток аутентификации вход в систему пользователю запрещается, а в журнале регистрации событий во второй энергонезависимой памяти 10 регистрируется попытка несанкционированного доступа к персональной ЭВМ.

В случае, когда контрольный вектор (образ) предъявленного пароля совпадает с зарегистрированным в регистрационном файле в первой энергонезависимой памяти 9, программа расширения BIOS, записанная в постоянном запоминающем устройстве 4, осуществляет проверку целостности контролируемых объектов (файлов и/или загрузочных секторов жесткого диска) для данного пользователя. Для этого указанная программа вычисляет значения контрольных векторов объектов (значения контрольных сумм или значение хэш-функции файлов и/или загрузочных секторов жесткого диска), занесенных в список контролируемых объектов на жестком диске персональной ЭВМ, затем сравнивает полученные значения с соответствующими значениями контрольных векторов, занесенных ранее в таблицу контрольных векторов контролируемых объектов, хранящуюся в постоянном запоминающем устройстве 4.

При несовпадении вычисленных значений контрольных векторов объектов для данного пользователя с соответствующими значениями контрольных векторов, хранимыми в постоянном запоминающем устройстве 4, программа расширения BIOS запрещает этому пользователю доступ к персональной ЭВМ, запуск операционной системы также запрещается.

При совпадении вычисленных значений контрольных векторов объектов для данного пользователя с соответствующими значениями контрольных векторов, хранимыми в постоянном запоминающем устройстве 4, программа расширения BIOS разрешает этому пользователю доступ к персональной ЭВМ, запуск операционной системы также разрешается.

Далее программа расширения BIOS, записанная в постоянном запоминающем устройстве 4, запрещает возможность загрузки операционной системы со съемных носителей (гибкого диска и CD ROM диска) путем блокирования доступа к устройству чтения гибких дисков и устройству чтения CD ROM дисков при запуске персональной ЭВМ.

После этого записанная в постоянном запоминающем устройстве 4 программа расширения BIOS передает управление штатным программно-аппаратным средствам персональной ЭВМ для завершения загрузки BIOS, загрузки операционной системы с жесткого диска персональной ЭВМ.

После успешного завершения загрузки операционной системы в персональную ЭВМ специальной программой-драйвером, входящей в состав программного обеспечения системы защиты персональной ЭВМ от несанкционированного доступа, восстанавливается доступ к устройству чтения гибких дисков и устройству чтения CD ROM дисков.

После входа пользователя в систему и загрузки операционной системы в персональную ЭВМ в ходе дальнейшей работы пользователя устройство 13 контроля питания осуществляет допусковый контроль напряжения питания на шине питания контроллера 6 обмена информацией с персональной ЭВМ. В случае возникновения отклонений напряжения питания от номинального значения больше, чем на 10%, на выходе устройства 13 контроля питания формируют сигнал тревоги, который подают через контроллер 5 обмена информацией с внешним носителем информации на вход устройства 14 блокировки общей шины управления и обмена данными персональной ЭВМ, что обеспечивает отражение атак со сбоями питания путем блокировки общей шины 15 управления и обмена данными персональной ЭВМ.

Шинный формирователь 8 выполняет стандартные функции магистрального приемопередатчика и обеспечивает даже при 5-6 занятых слотах стандартные электрические параметры сигналов, используемых для информационного обмена между постоянным запоминающим устройством 4 и контроллером 6 обмена информацией с персональной ЭВМ с одной стороны и общей шиной 15 управления и обмена данными персональной ЭВМ с другой стороны.

Предлагаемое устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, может быть реализовано с помощью известных функциональных элементов.

Варианты выполнения внешнего носителя 1 информации в виде размещенного в металлическом корпусе идентификатора Touch Memory (TM), выносного контактного узла 2 считывания информации с внешнего носителя информации, постоянного запоминающего устройства 4, контроллеров 5 и 6 обмена информацией с внешним носителем информации и обмена информацией с персональной ЭВМ в виде стандартных контроллеров обмена информацией известны из прототипа (см. фиг. 2). При этом скорость обмена данными между идентификатором Touch Memory и выносным контактным узлом 2 считывания информации с внешнего носителя информации составляет 16 Кбит/с.

В другом варианте выполнения предлагаемого устройства защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, реализованном заявителем в опытном экземпляре устройства защиты информации (электронного замка) "ЩИТ", внешний носитель 1 информации выполнен в виде электронной карточки типа М64 (семейство SMART CARD), имеющей информационную емкость 8 Кбайт, а выносной контактный узел 2 считывания информации с внешнего носителя - в виде стандартного устройства SMART CARD CONNECTOR, при этом скорость обмена данными между ними составляет 20 Кбит/с. Постоянное запоминающее устройство 4 выполнено на микросхеме Flash ROM 29F010A, в качестве контроллера 5 обмена информацией с внешним носителем информации использован микроконтроллер PIC 16с65, контроллер 6 обмена информацией с персональной ЭВМ выполнен на программируемой логической матрице (ПЛМ) ЕРМ 7128, в качестве шинного формирователя 8 использован шинный формирователь 74LS245, первая 9, вторая 10, третья 11 и четвертая 12 энергонезависимые памяти выполнены на микросхемах SEEPROM 24LC16, 24LC256, 24LC64, в качестве устройства 13 контроля питания использовано стандартное устройство POWER MANAGER MCP101, а устройство 14 блокировки общей шины управления и обмена данными персональной ЭВМ выполнено на транзисторе ВС 947.

Проведенные заявителем испытания опытного экземпляра предлагаемого устройства защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, подтвердили возможность его реализации с достижением указанного положительного технического результата.

Изложенные выше сведения свидетельствуют о выполнении при использовании заявленного технического решения следующей совокупности условии:
- средства, воплощающие заявленное устройство при его осуществлении, предназначены для использования в промышленности, а именно в автоматизированных системах обработки информации на базе персональных ЭВМ для защиты обрабатываемой информации от несанкционированного доступа,
- для заявленного устройства в том виде, как оно охарактеризовано в независимом пункте изложенной формулы изобретения, подтверждена возможность его осуществления с помощью описанных в заявке или известных до даты приоритета средств. Следовательно, заявленное техническое решение соответствует критерию "промышленная применимость".

При использовании предлагаемого устройства защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, за счет создания для каждого пользователя собственной функционально замкнутой программно-логической среды обеспечивается предотвращение доступа к информационным ресурсам незарегистрированных пользователей.

При этом список контролируемых объектов хранят на жестком диске персональной ЭВМ, таблицу контрольных векторов контролируемых объектов - в постоянном запоминающем устройстве 4, имена (регистрационные номера) пользователей и контрольные векторы (образы) их паролей - в первой энергонезависимой памяти 9, настройки устройства - в третьей энергонезависимой памяти 11, чем и достигается положительный технический результат - исключение одновременного хранения на одном и том же носителе информации наиболее важных служебных данных, используемых при работе предлагаемого устройства, что обеспечивает повышение эффективности защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ.

Кроме того, предлагаемое устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, обеспечивает дополнительный положительный технический результат - ведение журнала регистрации всех событий (попыток санкционированного и несанкционированного доступа, действий администратора), а также блокировку несанкционированного доступа к персональной ЭВМ на начальном этапе ее загрузки от включения до передачи управления программе расширения BIOS, записанной в постоянном запоминающем устройстве 4. При этом на внешний носитель 1 информации записывают лишь имя (регистрационный номер) конкретного пользователя, причем вместо паролей пользователей в первой энергонезависимой памяти 9 хранят лишь контрольные векторы (образы) этих паролей, что также позволяет повысить эффективность защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ.