ALTELL TRUST – apsauga nuo neteisėtos prieigos. Patikima įkrova (aparatinė įranga) Patikima įkrovos aparatinė įranga

Koncepcijos pagrindai

  • Įrenginio, iš kurio BIOS pradeda įkelti OS, valdymas (dažniausiai kompiuterio standusis diskas, bet tai gali būti ir keičiamos laikmenos skaitytuvas, paleidimas per tinklą ir pan.);
  • Stebėti įrenginio įkrovos sektoriaus ir veikiančios OS sistemos failų vientisumą ir patikimumą;
  • Įkrovos sektoriaus, OS sistemos failų šifravimas / iššifravimas arba visų įrenginio duomenų šifravimas (neprivaloma).
  • Slaptų duomenų, tokių kaip raktai, kontrolinės sumos ir maišos, autentifikavimas, šifravimas ir saugojimas atliekamas aparatinėje įrangoje.

Autentifikavimas

Vartotojo autentifikavimas gali būti atliekamas įvairiais būdais ir įvairiais kompiuterio įkrovos etapais.

Norint patvirtinti kompiuterio paleidimo priemonės tapatybę, gali prireikti įvairių veiksnių:

  • Slaptas vartotojo prisijungimas ir slaptažodis;
  • Diskelis, kompaktinis diskas, „flash“ kortelė su slapta autentifikavimo informacija;
  • Aparatūros raktas, prijungtas prie kompiuterio per USB, nuoseklųjį arba lygiagretųjį prievadą;
  • Aparatūros raktas arba biometrinė informacija nuskaitoma kompiuteryje naudojant atskirai pagamintą aparatūros modulį.

Autentifikavimas gali būti kelių veiksnių. Autentifikavimas taip pat gali būti kelių vartotojų su bendromis prieigos prie kompiuterio teisėmis. Taigi, vienas vartotojas galės paleisti operacinę sistemą tik iš kietojo disko, o kitas – pakeisti CMOS konfigūraciją ir pasirinkti įkrovos įrenginį.

Autentifikavimas gali įvykti:

  • BIOS programinės įrangos vykdymo metu;
  • Prieš įkeliant pagrindinį įkrovos įrašą (MBR) arba operacinės sistemos įkrovos sektorių;
  • Vykdant įkrovos sektoriaus programą.

Autentifikavimo atlikimas skirtinguose įkrovos etapuose turi savo privalumų.

Patikimi įkrovos žingsniai

Skirtinguose kompiuterio įkrovos proceso etapuose patikimas įkrovimas gali būti atliekamas skirtingomis priemonėmis, todėl jis turės skirtingas funkcijas.

  • Vykdoma BIOS programinė įranga. Šiame etape galima įgyvendinti: BIOS programinės aparatinės įrangos vientisumo patikrinimą, CMOS nustatymų vientisumo ir autentiškumo patikrinimą, autentifikavimą (apsaugą nuo viso kompiuterio paleidimo arba tik nuo CMOS konfigūracijos pakeitimo ar įkrovos įrenginio pasirinkimo) , įkrovos įrenginio pasirinkimo valdymas. Šį įkrovos veiksmą BIOS programinėje įrangoje turi atlikti pagrindinės plokštės gamintojas;
  • Perkelkite valdymą į įkrovos įrenginį. Šiuo metu BIOS, užuot tęsusi paleidimą, gali perduoti valdymą aparatūros patikimam įkrovos moduliui. Aparatūros modulis gali atlikti autentifikavimą, įkrovos įrenginio pasirinkimą, iššifravimą ir įkrovos sektorių bei operacinės sistemos failų vientisumo ir galiojimo patikrinimą. Tokiu atveju operacinės sistemos įkrovos sektoriaus iššifravimas gali būti atliktas tik šiame etape. BIOS programinė įranga turi palaikyti valdymo perdavimą aparatūros moduliui arba aparatinės įrangos modulis turi emuliuoti atskirą įkrovos įrenginį, pagamintą kaip standusis diskas, keičiama laikmena arba tinklo įkrovos įrenginys;
  • Operacinės sistemos įkrovos sektoriaus vykdymas. Šiame etape taip pat galima patikrinti vientisumą, įkrovos įkroviklio galiojimą, operacinės sistemos failus ir autentifikavimą. Tačiau įkrovos sektoriaus vykdomojo kodo funkcionalumas yra ribotas dėl to, kad jis turi apribojimų kodo dydžiui ir vietai, taip pat veikia prieš operacinės sistemos tvarkykles.

Aparatūros naudojimas

Aparatūra patikimi įkrovos moduliai turi didelių pranašumų, palyginti su grynais programinės įrangos įrankiais. Tačiau patikimo įkrovimo užtikrinti negalima vien tik naudojant aparatinę įrangą. Pagrindiniai techninės įrangos pranašumai:

  • Aukštas slaptos informacijos apie slaptažodžius, raktus ir sistemos failų kontrolines sumas saugumo lygis. Tokio modulio stabilaus veikimo sąlygomis tokios informacijos gauti nėra galimybės. (Tačiau žinomos kai kurios esamų modulių atakos, kurios sutrikdo jų funkcionalumą);
  • Galimas aparatinėje įrangoje vykdomų šifravimo algoritmų slaptumas;
  • Nesugebėjimas paleisti kompiuterio neatidarius jo turinio;
  • Jei įkrovos sektorius yra užšifruotas, vartotojo operacinės sistemos paleisti neįmanoma net pašalinus aparatūros modulį;
  • Esant visiškam duomenų šifravimui, pašalinus aparatūros modulį, jokių duomenų gauti neįmanoma.

Esamos aparatūros pavyzdžiai

„Intel“ patikima vykdymo technologija

Patikima „Intel“ vykdymo technologija.

Labiau tikėtina, kad tai nėra patikimo atsisiuntimo priemonė, o veikiau bet kokių atskirų programų išteklių apsauga aparatinės įrangos lygmeniu.

TXT yra visiškai nauja kompiuterių saugumo aparatinės įrangos lygmeniu koncepcija, įskaitant darbą su virtualiais kompiuteriais.

TXT technologija susideda iš nuosekliai apsaugotų informacijos apdorojimo etapų ir yra pagrįsta patobulintu TPM moduliu. Sistema pagrįsta saugiu programos kodo vykdymu. Kiekviena programa, veikianti apsaugotu režimu, turi išskirtinę prieigą prie kompiuterio išteklių ir jokia kita programa negali trukdyti jos izoliuotai aplinkai. Išteklius darbui apsaugotu režimu fiziškai paskirsto procesorius ir sistemos logikos rinkinys. Saugus duomenų saugojimas reiškia jų šifravimą naudojant tą patį TPM. Bet kokius TPM užšifruotus duomenis iš laikmenos galima gauti tik naudojant tą patį modulį, kuris atliko šifravimą.

„Intel“ taip pat sukūrė saugią duomenų įvedimo sistemą. Kenkėjiška programa negalės sekti duomenų srauto kompiuterio įvestyje, o klavišų kaupiklis gaus tik beprasmį simbolių rinkinį, nes visos įvesties procedūros (įskaitant duomenų perdavimą per USB ir net pelės paspaudimus) bus užšifruotos. Aplikacijos apsaugotas režimas leidžia perkelti bet kokius grafinius duomenis į vaizdo plokštės kadrų buferį tik šifruotu pavidalu, todėl kenkėjiškas kodas negalės padaryti ekrano kopijos ir nusiųsti jos įsilaužėliui.

Patikimas aparatūros įkrovos modulis „Accord-AMDZ“

Tai aparatinės įrangos valdiklis, skirtas montuoti į ISA (4.5 modifikacija) arba PCI (5.0 modifikacija) lizdą. Accord-AMDZ moduliai užtikrina patikimą bet kokio tipo operacinių sistemų (OS) įkėlimą su failų struktūra FAT12, FAT 16, FAT32, NTFS, HPFS, UFS, UFS2, EXT2FS, EXT3FS, EXT4FS, QNX 4 failų sistema, VMFS 3 versija.

Visa programinė modulių dalis (įskaitant administravimo įrankius), įvykių žurnalas ir vartotojų sąrašas yra nuolatinėje valdiklio atmintyje. Taigi vartotojo identifikavimo/autentifikavimo, techninės ir programinės įrangos aplinkos vientisumo stebėjimo, administravimo ir audito funkcijas atlieka pats valdiklis prieš įkeldamas OS.

Pagrindinės funkcijos:

  • vartotojo identifikavimas ir autentifikavimas naudojant TM identifikatorių ir slaptažodį iki 12 simbolių ilgio;
  • blokuoti kompiuterio įkėlimą iš išorinės laikmenos;
  • riboti vartotojo darbo laiką;
  • failų, įrangos ir registrų vientisumo stebėjimas;
  • vartotojų prisijungimų įrašymas į žurnalą;
  • apsaugos sistemos administravimas (vartotojo registracija, kompiuterio programinės ir techninės įrangos vientisumo stebėjimas).

Papildomos funkcijos:

  • fizinių linijų valdymas ir blokavimas;
  • RS-232 sąsaja, skirta naudoti plastikines korteles kaip identifikatorių;
  • Aparatinės įrangos atsitiktinių skaičių jutiklis kriptografijos reikmėms;
  • papildomas nepastovus audito įrenginys.

Patikimas įkrovos modulis „Krypton-lock/PCI“

Sukurta apibrėžti ir valdyti vartotojo prieigą prie autonominių darbo vietų, darbo stočių ir vietinio tinklo serverių aparatinės įrangos išteklių. Leidžia stebėti programinės įrangos aplinkos vientisumą OS naudojant FAT12, FAT16, FAT32 ir NTFS failų sistemas.

Ypatumai:

  • vartotojų identifikavimas ir autentifikavimas prieš paleidžiant BIOS naudojant Touch Memory identifikatorius;
  • kompiuterio resursų atribojimas, priverstinis operacinės sistemos (OS) įkėlimas iš pasirinkto įrenginio pagal individualius kiekvieno vartotojo nustatymus;
  • kompiuterio blokavimas neteisėtos prieigos metu, elektroninio įvykių žurnalo tvarkymas savo nepastovioje atmintyje;
  • objektų kontrolinių sumų atskaitos verčių apskaičiavimas ir esamų kontrolinių sumų verčių tikrinimas, patikrintų objektų sąrašo eksportavimas/importavimas į diskelį magnetinį diską;
  • Galimybė integruoti į kitas apsaugos sistemas (signalizacija, priešgaisrinė apsauga ir kt.).

Patikimas įkrovos modulis skirtas kompiuterinėms technologijoms, kurios apdoroja slaptą ir konfidencialią informaciją (įskaitant „visiškai slaptą“ ir KA1 lygius).

Dėka darbo su kelių vartotojų grupėmis, turinčiomis vienodą ir skirtingą įgaliojimų lygį, ir palaikančių administravimo schemas su centralizuotu ir decentralizuotu valdymu, Maxim-M1 yra universalus sprendimas, skirtas naudoti saugiose sistemose.

Pagrindinės funkcijos

kontroliuoja prieigą pradinio kompiuterio paleidimo metu, prieš perjungiant į OS. Dviejų faktorių metodu identifikuoja ir autentifikuoja vartotoją;

Saugo neištrinamus žurnalus: vartotojo autentifikavimą, vientisumo kontrolę. Duomenų saugumas garantuojamas dėl nepastovios atminties;

realiu laiku tikrina vartotojo duomenų (raktų, paslaugų informacijos) galiojimo laiką;

valdo saugomos sistemos aparatinę ir programinę įrangą (RAM, kietuosius diskus, failų sistemą ir FS žurnalus, Windows registrą);

apsaugo nuo slaptažodžio atspėjimo.

APM "Maxim-1" pranašumai

Tinka diegti informacijos saugumo administratoriaus darbo vietoje informacinėse sistemose, kurios dirba su komercinėmis paslaptimis, asmens duomenimis, valstybės paslaptimis.

Gali būti naudojamas darbo stotyje be diskų dirbti su slapta ir konfidencialia informacija nuotoliniame serveryje.

Modulis yra suderinamas su pagrindinėmis Windows kliento versijomis (2000/XP/Vista/7) ir serverio versijomis (2003/2008), taip pat sistemomis, pagrįstomis Linux branduoliu 2.6.x ir 3.x.x bei operacine sistema Astra Linux sistema.

Reikalavimai ir apribojimai naudojant APMDZ "MAXIM-M1"

Kad modulis būtų įdiegtas ir tinkamai veiktų, techninė ir programinė įranga turi atitikti architektūros, maitinimo įtampos, plokštės konfigūracijos, BIOS versijos, įdiegtų atnaujinimų ir maitinimo jungčių reikalavimų lygį. Modulio veikimo metu sistemos techninei ir programinei įrangai nustatomi apribojimai. Visas reikalavimų sąrašas pateikiamas APMDZ dokumentacijoje.

Reikalavimai personalui

Nuotolinio valdymo modulio naudotojas (administratorius) turi mokėti dirbti pagrindinėmis operacinėmis sistemomis, turėti asmeninių kompiuterių ir išorinės įrangos nustatymo bei automatinių sistemų administravimo vietos kompiuteriuose, serveriuose, darbo stotyse ir plonuosiuose klientuose patirties.

„ViPNet SafeBoot“.- sertifikuotas aukštųjų technologijų patikimas įkrovos programinės įrangos modulis (TBM), įdiegtas įvairių gamintojų UEFI BIOS. Sukurta apsaugoti asmeninius kompiuterius, mobiliuosius įrenginius, serverius (įskaitant virtualizacijos serverius) nuo įvairių neteisėtos prieigos grėsmių (ATT) įkrovos stadijoje ir nuo atakų prieš BIOS.

Kompiuterių ir serverių apsauga turi galioti nuo jų įjungimo momento. Laikas nuo įjungimo iki operacinės sistemos pradžios yra labai svarbus norint pasitikėti visa sistema. Labai ankstyvose pakrovimo stadijose yra rizika:

  • Valdymo perkėlimas į nepatikimą įkrovos tvarkyklę;
  • Kenkėjiško kodo įkėlimas į UEFI;
  • Duomenų perėmimas ir pagrindinių saugos mechanizmų išjungimas.
Visa tai gali paskatinti apeiti visas operacinėje sistemoje įdiegtas saugumo priemones ir pavogti informaciją. ViPNet SafeBoot patikimo įkrovos modulio įdėjimas apsaugo jūsų kompiuterį nuo šių grėsmių ir sistema tampa patikima.

Paskirtis:

„ViPNet SafeBoot“. sukurta siekiant nustatyti ir autentifikuoti vartotojus, diferencijuoti prieigą pagal vaidmenis, taip pat organizuoti patikimą operacinės sistemos įkėlimą. „ViPNet SafeBoot“. Padidina įrenginių ir kompiuterių saugumo lygį:

  • Autorizacija BIOS lygiu, prieš įkeliant pagrindinius operacinės sistemos komponentus;
  • Stebėti BIOS, apsaugotų operacinės sistemos komponentų ir aparatinės įrangos vientisumą;
  • Nestandartinės operacinės sistemos kopijos įkėlimo blokavimas.

Naudojimo atvejai

Produktas „ViPNet SafeBoot“. gali būti naudojamas tiek kartu su kitais ViPNet produktais, tiek atskirai. Pagrindinės problemos, kurias galima išspręsti:
  • FSTEC užsakymų* reikalavimų laikymasis:
    • Nr.17 dėl valstybės informacinių sistemų (GIS) apsaugos;
    • Nr. 21 dėl asmens duomenų informacinių sistemų apsaugos (ISPDn);
    • Nr.31 dėl automatizuotų procesų valdymo sistemų (APCS) apsaugos;
  • Apsauga nuo neteisėtos prieigos ankstyviausiuose kompiuterių ar įrenginių su UEFI BIOS paleidimo etapais.

Privalumai

  • Programinė įranga MDZ su galimybe įdiegti įvairių gamintojų UEFI BIOS.
  • Nenuimamas, priešingai nei aparatinės MDZ versijos.
  • Supaprastinti MDZ nustatymo metodai naudojant administravimo šablonus.
  • Visiška UEFI vientisumo kontrolė tikrinant visų jo modulių vientisumą.
  • Rusijos gaminys.

Sertifikatas Rusijos FSTEC

„ViPNet SafeBoot“. atitinka reglamentuojančių dokumentų reikalavimus, keliamus patikimiems 2 klasės bazinio įvesties/išvesties sistemos lygio įkrovimo įrankiams, kurie leidžia gaminį naudoti statant:
  • ISPDn iki UZ1 imtinai;
  • GIS iki 1 saugumo klasės imtinai;
  • Procesų valdymo sistema iki 1 saugumo klasės imtinai.

Kas naujo ViPNet SafeBoot 1.4

  1. Miego režimas yra pagrindinė funkcija, skirta aparatinės įrangos platformų gamintojų patogiam OĮG pristatymui į darbo vietas ir serverius. Išsamus aprašymas pridedamame dokumente.
  2. Licencijavimo sistemos įdiegimas – dabar produktas licencijuotas pagal serijos numerį.
  3. Autorizavimo palaikymas naudojant vakarietiškus sertifikatus – darbo su produktu patogumo padidinimas. Kai kurie klientai naudoja autorizaciją naudodami „Microsoft CA“ išduotą prieigos raktą ir sertifikatą, įskaitant per LDAP. Būtent dėl ​​šios priežasties nusprendėme palaikyti šį autentifikavimo metodą.
  4. „JaCarta-2 GOST“ palaikymas - palaikomų pagrindinių laikmenų, skirtų autentifikavimui, sąrašo išplėtimas.

InfoTecs pasilieka teisę be įspėjimo keisti tiekiamus gaminius (charakteristikas, išvaizdą, komplektiškumą), kurie nepablogintų jos vartotojų savybių.

Stiprus dviejų veiksnių autentifikavimas– Vartotojo autentifikavimas naudojant prieigos raktą su x.509 sertifikatu (dviejų faktorių), slaptažodžiu arba abiejų deriniu. Palaikomi ID:

  • JaCarta PKI
  • Rutoken EDS
  • Rutoken EDS 2.0
  • Rutoken Lite
  • Sargo ID

Vaidmenimis pagrįsta prieiga

  • Vartotojas.
  • Administratorius.
  • Revizorius.

Vientisumo kontrolė. Kad platforma būtų patikima, jai reikia garantijos, kad visi svarbūs moduliai, įkelti paleidžiant sistemą, yra nepakitę. Štai kodėl „ViPNet SafeBoot“. tikrina vientisumą:

  • visi pagrindiniai UEFI BIOS moduliai;
  • standžiojo disko įkrovos sektoriai;
  • ACPI, SMBIOS lentelės, atminties paskirstymo žemėlapiai;
  • failus diskuose su FAT32, NTFS, EXT2, EXT3, EXT4 sistemomis (ViPNet SafeBoot nesvarbu, kokia operacinė sistema įdiegta);
  • Windows registras;
  • PCI/PCe konfigūracijos erdvės ištekliai;
  • CMOS (nelakios atminties turinys);
  • operacijų užbaigtumas – NTFS, EXT3, EXT4.

Vartotojų patogumui atsirado galimybė automatiškai sudaryti Windows OS valdymo sąrašus.

Apsaugos įvykių žurnalas. Patogumui pateikiami keli registravimo režimai su skirtingu detalumo lygiu.

Architektūra

ALTELL TRUST turi modulinę architektūrą. Pats patikimas įkrovos modulis yra įdiegtas apsaugotuose įrenginiuose, pakeičiantis standartinę pagrindinės plokštės BIOS, esančią EEPROM mikroschemoje, ir užtikrina patikimą BIOS įkrovą, kelių veiksnių autentifikavimą prieš paleidžiant OS ir atitikimą vaidmenimis pagrįstoms prieigos strategijoms. Nuotolinio valdymo modulis yra įdiegtas valdymo serveryje ir leidžia centralizuotai diegti ir atnaujinti programinę įrangą, atlikti saugos auditą ir valdyti visus patikimus įkrovos modulius iš vieno centro.

Galimybės

  • BIOS, techninės ir programinės įrangos aplinkos, failų sistemos objektų vientisumo stebėjimas;
  • Daugiafaktoris vartotojo autentifikavimas prieš įkeliant OS;
  • Nuotolinis vartotojų, konfigūracijų, įrenginių grupių valdymas, programinės įrangos atnaujinimų atsisiuntimas, apsaugotų įrenginių įjungimas/išjungimas;
  • Plonojo kliento (nulio kliento) naudojimas kaip vienintelė programinė įranga;

Privalumai

  • Rusijoje sukurtos BIOS naudojimas;
  • Proaktyvus požiūris į apsaugą nuo naujų grėsmių;
  • Autentifikavimas nuotoliniuose LDAP/AD serveriuose;
  • Valdymo funkcijų atskyrimas;
  • Nuotolinis centralizuotas valdymas;
  • Gebėjimas prisitaikyti prie bet kokio tipo įrenginių;
  • Integruotas tinklo protokolų krūvas;
  • Centralizuotas saugumo įvykių rinkimas;
  • Neišimamas iš apsaugoto įrenginio;
  • SSO technologijų palaikymas;
  • PKI infrastruktūros palaikymas;
  • Integruotas patikimas hipervizorius;
  • FSTEC sertifikatas, skirtas MDZ BIOS 2 lygio apsaugos klasei.

Taikymo scenarijai

ALTELL TRUST gali būti naudojamas siekiant užtikrinti patikimą operacinių sistemų įkėlimą, kelių faktorių vartotojų autentifikavimą nuotoliniuose AD/LDAP serveriuose, nuotolinį centralizuotą saugomų įrenginių parką, nuotolinį centralizuotą saugos įvykių rinkimą, taip pat veikia kaip vienintelis plonas. kliento programinė įranga (nulio kliento koncepcija). Išsamus ALTELL TRUST taikymo scenarijų aprašymas pateikiamas atitinkamame skyriuje.

Palyginimas su konkurentais

Tradiciniai aparatinės ir programinės įrangos patikimi įkrovos moduliai (TPMDZ), pateikti Rusijos rinkoje, neturi galimybių, reikalingų dabartiniame informacinių sistemų kūrimo etape. Pavyzdžiui, APMDZ trūksta kompiuterių parko stebėjimo ir nuotolinio valdymo funkcijų, nepalaiko kelių veiksnių autentifikavimo nuotoliniuose serveriuose, netaiko vaidmenimis pagrįsto prieigos modelio ir privalomos prieigos kontrolės informacijai ir negarantuoja duomenų saugumo. dirbti virtualioje aplinkoje. Priešingai, ALTELL TRUST iš pradžių buvo sukurtas šioms problemoms spręsti. Tuo pačiu metu buvo naudojami modernūs patikimo įkrovimo užtikrinimo metodai, pagrįsti UEFI Trusted Boot technologijų naudojimu, naudojant pakeistas ir išplėstas funkcijas, taip pat NIST ir Trusted Computing Group koncepcijas. Dėl to ALTELL TRUST įdiegia galingesnius apsaugos mechanizmus nei tradiciniai APMS, tuo pačiu sumažindama informacijos saugumo infrastruktūros administravimo išlaidas centralizuojant valdymą ir renkant statistiką.

Palaikomi įrenginiai

Dėl ALTELL TRUST įdiegimo savo dizaino UEFI BIOS lygiu, jis turi būti pritaikytas konkretiems saugomų įrenginių modeliams. Bendradarbiaujant su pagrindiniais tiekėjais (Intel, AMD, Lenovo, Panasonic), ALTELL TRUST kūrimo procesas yra kiek įmanoma standartizuotas ir taupo laiką. Kadangi sertifikuotas pats patikimas įkrovos modulis, o ne visa BIOS, atliekami pakeitimai neturi įtakos dėl sertifikatų.

ALTELL TRUST šiuo metu palaiko:

  • DFI pagrindinės plokštės (palaiko Core i5 procesorius, 1× Xeon E3);
  • viskas viename Lenovo ThinkCentre M72z ir M73z;
  • Panasonic Toughbook CF-53 nešiojamieji kompiuteriai;
  • staliniai kompiuteriai Lenovo ThinkCentre M92p ir M93p, ALTELL FORT DT 5/7.

Sertifikavimas

ALTELL TRUST yra sertifikuotas Rusijos FSTEC kaip patikimo pagrindinio įvesties-išvesties sistemos lygio įkėlimo antroje apsaugos klasėje priemonė. Kadangi sertifikuotas patikimas įkrovos modulis, o ne visa UEFI BIOS, ALTELL TRUST pritaikymas naujiems įrenginiams nepadarys negaliojančių gautų sertifikatų. Šiuo metu vyksta FSB sertifikato gavimo darbai.

Informacinė medžiaga

Testavimas

Jei jus domina ALTELL TRUST galimybės, mūsų specialistai gali surengti nemokamą jo demonstravimą.