ALTELL TRUST - захист від несанкціонованого доступу. ALTELL TRUST - захист від несанкціонованого доступу Модуль довіреної завантаження

основи концепції

  • Контроль пристрою, з якого BIOS почне завантажувати ОС (частіше, жорсткий диск комп'ютера, але це також може бути пристрій читання знімний носія, завантаження по мережі і т.п.);
  • Контроль цілісності та достовірності завантажувального сектора пристрої і системних файлів запускається ОС;
  • Шифрування / дешифрування завантажувального сектора, системних файлів ОС, або шифрування всіх даних пристрою (опціонально).
  • Аутентифікація, шифрування і зберігання секретних даних, таких як ключі, контрольні суми і хеш-суми, виконуються на базі апаратних засобів.

аутентифікація

Аутентифікація користувача може проводитися різними способами і на різних етапах завантаження комп'ютера.

Для підтвердження особи запускає комп'ютер можуть вимагатися різні фактори:

  • Секретний логін і пароль користувача;
  • Дискета, компакт-диск, флеш-карта з секретної аутентификационной інформацією;
  • Апаратний ключ, що підключається до комп'ютера через USB, послідовний або паралельний порти;
  • Апаратний ключ, або біометрична інформація, що прочитуються в комп'ютер за допомогою окремо виконаного апаратного модуля.

Аутентифікація може бути багатофакторної. Також аутентифікація може бути багато користувачів з поділом прав доступу до комп'ютера. Так, один користувач зможе тільки запустити операційну систему з жорсткого диска, в той час як іншому буде доступна зміна конфігурації CMOS і вибір завантажувального пристрою.

Аутентифікація може відбуватися:

  • Під час виконання прошивки BIOS;
  • Перед завантаженням головного завантажувального запису (MBR) або завантажувального сектора операційної системи;
  • Під час виконання програми завантажувального сектора.

Виконання аутентифікації на різних стадіях завантаження має свої переваги.

Етапи довіреної завантаження

На різних етапах завантаження комп'ютера довірена завантаження може бути виконана різними засобами, і, отже, буде мати різну функціональністю.

  • Виконання прошивки BIOS. На цьому етапі можуть бути реалізовані: перевірка цілісності прошивки BIOS, перевірка цілісності та автентичності налаштувань CMOS, аутентифікація (захист від запуску комп'ютера в цілому, або тільки від зміни конфігурації CMOS або вибору завантажувального пристрою), контроль вибору завантажувального пристрою. Цей етап завантаження повинен бути повністю виконаний в мікропрограмі BIOS виробником материнської плати;
  • Передача управління завантажувального пристрою. На цьому етапі BIOS, замість продовження завантаження, може передати управління апаратного модулю довіреної завантаження. Апаратний модуль може виконати аутентифікацію, вибір завантажувального пристрою, дешифрування і перевірку цілісності та достовірності завантажувальних секторів і системних файлів операційної системи. При цьому дешифрування завантажувального сектора операційної системи може бути виконано тільки на цьому етапі. Мікропрограма BIOS повинна підтримувати передачу управління апаратного модулю, або апаратний модуль повинен емулювати окреме завантажувальний пристрій, виконаного у вигляді жорсткого диска, змінного носія або пристрою завантаження по мережі;
  • Виконання завантажувального сектора операційної системи. На цьому етапі також може бути виконана перевірка цілісності, достовірності завантажувача, системних файлів операційної системи і аутентифікація. Однак виконуваний код завантажувального сектора обмежений у функціональності внаслідок того, що має обмеження на розмір і розміщення коду, а також виконується до запуску драйверів операційної системи.

Використання апаратних засобів

Апаратні модулі довіреної завантаження мають значні переваги перед чисто-програмними засобами. Але забезпечення довіреної завантаження не може бути виконано чисто апаратно. Головні переваги апаратних засобів:

  • Високого ступеня захищеність секретної інформації про паролі, ключі та контрольних сумах системних файлів. В умовах стабільної роботи такого модуля не передбачено способу вилучення такої інформації. (Однак відомі деякі атаки на існуючі модулі, що порушують їх працездатність);
  • Можлива засекреченість алгоритмів шифрування, які виконуються апаратно;
  • Неможливість запустити комп'ютер, не розкриваючи його вмісту;
  • У разі шифрування завантажувального сектора, неможливо запустити операційну систему користувача, навіть після вилучення апаратного модуля;
  • У разі повного шифрування даних, неможливість отримати будь-які дані після вилучення апаратного модуля.

Приклади існуючих апаратних засобів

Intel Trusted Execution Technology

Технологія довіреної виконання від Intel.

Являє собою скоріше не засіб довіреної завантаження, а захист ресурсів будь-яких окремих додатків на апаратному рівні в цілому.

TXT є абсолютно новою концепцією безпеки комп'ютера на апаратному рівні, включаючи роботу з віртуальними ПК.

Технологія TXT складається з послідовно захищених етапів обробки інформації і заснована на покращеному модулі TPM. В основі системи лежить безпечне виконання програмного коду. Кожна програма, що працює в захищеному режимі, має ексклюзивний доступ до ресурсів комп'ютера, і в його ізольоване середовище не зможе втрутитися жоден інший додаток. Ресурси для роботи в захищеному режимі фізично виділяються процесором і набором системної логіки. Безпечне зберігання даних означає їх шифрування за допомогою все того ж TPM. Будь-які зашифровані TPM дані можуть бути вилучені з носія тільки за допомогою того ж модуля, що здійснював шифрування.

Intel також розробила систему безпечного введення даних. У шкідливої ​​програми не буде можливості відстежити потік даних на вході комп'ютера, а кейлоггер отримає тільки безглуздий набір символів, оскільки всі процедури введення (включаючи передачу даних по USB і навіть мишачі кліки) будуть зашифровані. Захищений режим програми дозволяє передавати будь-які графічні дані в кадровий буфер відеокарти тільки в зашифрованому вигляді, таким чином, шкідливий код не зможе зробити скріншот і послати його хакеру.

Апаратний модуль довіреної завантаження "Аккорд-АМДЗ"

Являє собою апаратний контролер, призначений для установки в слот ISA (модифікація 4.5) або PCI (модифікація 5.0). Модулі «Акорд-АМДЗ» забезпечують довірену завантаження операційних систем (ОС) будь-якого типу з файлової структурою FAT12, FAT 16, FAT32, NTFS, HPFS, UFS, UFS2, EXT2FS, EXT3FS, EXT4FS, QNX 4 filesystem, VMFS Version 3.

Вся програмна частина модулів (включаючи засоби адміністрування), журнал подій і список користувачів розміщені в незалежній пам'яті контролера. Таким чином, функції ідентифікації / аутентифікації користувачів, контролю цілісності апаратної і програмної середовища, адміністрування та аудиту виконуються самим контролером до завантаження ОС.

Основні можливості:

  • ідентифікація та аутентифікація користувача з використанням ТМ-ідентифікатора і пароля довжиною до 12 символів;
  • блокування завантаження ПЕОМ з зовнішніх носіїв;
  • обмеження часу роботи користувачів;
  • контроль цілісності файлів, апаратури і реєстрів;
  • реєстрація входу користувачів в систему в журналі реєстрації;
  • адміністрування системи захисту (реєстрація користувачів, контроль цілісності програмної і апаратної частини ПЕОМ).

Додаткові можливості:

  • контроль і блокування фізичних ліній;
  • інтерфейс RS-232 для застосування пластикових карт в якості ідентифікатора;
  • апаратний датчик випадкових чисел для криптографічних застосувань;
  • додатковий пристрій енергонезалежного аудиту.

Модуль довіреної завантаження «Криптон-замок / PCI»

Призначений для розмежування і контролю доступу користувачів до апаратних ресурсів автономних робочих місць, робочих станцій і серверів локальної обчислювальної мережі. Дозволяють проводити контроль цілісності програмної середовища в ОС, що використовують файлові системи FAT12, FAT16, FAT32 і NTFS.

особливості:

  • ідентифікація та аутентифікація користувачів до запуску BIOS за допомогою ідентифікаторів Тouch Мemory;
  • розмежування ресурсів комп'ютера, примусова завантаження операційної системи (ОС) з обраного пристрою відповідно до індивідуальних налаштувань для кожного користувача;
  • блокування комп'ютера при НСД, ведення електронного журналу подій у власній незалежній пам'яті;
  • підрахунок еталонних значень контрольних сум об'єктів і перевірка поточних значень контрольних сум, експорт / імпорт списку перевірених об'єктів на гнучкий магнітний диск;
  • можливість інтеграції в інші системи забезпечення безпеки (сигналізація, пожежна охорона і ін.).
- це завантаження різних операційних систем тільки з заздалегідь визначених постійних носіїв (наприклад, тільки з жорсткого диска) після успішного завершення спеціальних процедур: перевірки цілісності технічних і програмних засобів ПК (з використанням механізму покрокового контролю цілісності) і апаратної ідентифікації / аутентифікації користувача.

основи концепції

  • Контроль пристрою, з якого BIOS почне завантажувати ОС (частіше жорсткий диск комп'ютера, але це також може бути пристрій читання знімний носія, завантаження по мережі і т.п.);
  • Контроль цілісності та достовірності завантажувального сектора пристрої і системних файлів запускається ОС;
  • Шифрування / розшифрування завантажувального сектора, системних файлів ОС, або шифрування всіх даних пристрою (опціонально).
  • Аутентифікація, шифрування і зберігання секретних даних, таких як ключі, контрольні суми і хеш-суми, виконуються на базі апаратних засобів.

аутентифікація

Аутентифікація користувача може проводитися різними способами і на різних етапах завантаження комп'ютера.

Для підтвердження особи запускає комп'ютер можуть вимагатися різні фактори:

  • Секретний логін і пароль користувача;
  • Дискета, компакт-диск, флеш-карта з секретної аутентификационной інформацією;
  • Апаратний ключ, що підключається до комп'ютера через USB, послідовний або паралельний порти;
  • Апаратний ключ, або біометрична інформація, що прочитуються в комп'ютер за допомогою окремо виконаного апаратного модуля.

Аутентифікація може бути багатофакторної. Також аутентифікація може бути багато користувачів з поділом прав доступу до комп'ютера. Так, один користувач зможе тільки запустити операційну систему з жорсткого диска, в той час як іншому буде доступна зміна конфігурації CMOS і вибір завантажувального пристрою.

Аутентифікація може відбуватися:

  • Під час виконання прошивки BIOS;
  • Перед завантаженням головного завантажувального запису (MBR) або завантажувального сектора операційної системи;
  • Під час виконання програми завантажувального сектора.

Виконання аутентифікації на різних стадіях завантаження має свої переваги.

Етапи довіреної завантаження

На різних етапах завантаження комп'ютера довірена завантаження може бути виконана різними засобами, і, отже, буде мати різну функціональністю.

  • Виконання прошивки BIOS. На цьому етапі можуть бути реалізовані: перевірка цілісності прошивки BIOS, перевірка цілісності та автентичності налаштувань CMOS, аутентифікація (захист від запуску комп'ютера в цілому, або тільки від зміни конфігурації CMOS або вибору завантажувального пристрою), контроль вибору завантажувального пристрою. Цей етап завантаження повинен бути повністю виконаний в мікропрограмі BIOS виробником материнської плати;
  • Передача управління завантажувального пристрою. На цьому етапі BIOS, замість продовження завантаження, може передати управління апаратного модулю довіреної завантаження. Апаратний модуль може виконати аутентифікацію, вибір завантажувального пристрою, дешифрування і перевірку цілісності та достовірності завантажувальних секторів і системних файлів операційної системи. При цьому дешифрування завантажувального сектора операційної системи може бути виконано тільки на цьому етапі. Мікропрограма BIOS повинна підтримувати передачу управління апаратного модулю, або апаратний модуль повинен емулювати окреме завантажувальний пристрій, виконаного у вигляді жорсткого диска, змінного носія або пристрою завантаження по мережі;
  • Виконання завантажувального сектора операційної системи. На цьому етапі також може бути виконана перевірка цілісності, достовірності завантажувача, системних файлів операційної системи і аутентифікація. Однак виконуваний код завантажувального сектора обмежений у функціональності внаслідок того, що має обмеження на розмір і розміщення коду, а також виконується до запуску драйверів операційної системи.

Використання апаратних засобів

Апаратні модулі довіреної завантаження мають значні переваги перед чисто-програмними засобами. Але забезпечення довіреної завантаження не може бути виконано чисто апаратно. Головні переваги апаратних засобів:

  • Високого ступеня захищеність секретної інформації про паролі, ключі та контрольних сумах системних файлів. В умовах стабільної роботи такого модуля не передбачено способу вилучення такої інформації. (Однак відомі деякі атаки на існуючі модулі, що порушують їх працездатність);
  • Можлива засекреченість алгоритмів шифрування, які виконуються апаратно;
  • Неможливість запустити комп'ютер, не розкриваючи його вмісту;
  • У разі шифрування завантажувального сектора, неможливо запустити операційну систему користувача, навіть після вилучення апаратного модуля;
  • У разі повного шифрування даних, неможливість отримати будь-які дані після вилучення апаратного модуля.

Приклади існуючих апаратних засобів

AMD SVM

Випущена на ринок на рік раніше Intel TXT

Intel Trusted Execution Technology

Технологія довіреної виконання від Intel.

Являє собою скоріше не засіб довіреної завантаження, а захист ресурсів будь-яких окремих додатків на апаратному рівні в цілому.

TXT є абсолютно новою концепцією безпеки комп'ютера на апаратному рівні, включаючи роботу з віртуальними ПК.

Технологія TXT складається з послідовно захищених етапів обробки інформації і заснована на покращеному модулі Trusted Platform Module. В основі системи лежить безпечне виконання програмного коду. Кожна програма, що працює в захищеному режимі, має ексклюзивний доступ до ресурсів комп'ютера, і в його ізольоване середовище не зможе втрутитися жоден інший додаток. Ресурси для роботи в захищеному режимі фізично виділяються процесором і набором системної логіки. Безпечне зберігання даних означає їх шифрування за допомогою все того ж TPM. Будь-які зашифровані TPM дані можуть бути вилучені з носія тільки за допомогою того ж модуля, що здійснював шифрування.

Intel також розробила систему безпечного введення даних. У шкідливої ​​програми не буде можливості відстежити потік даних на вході комп'ютера, а кейлоггер отримає тільки безглуздий набір символів, оскільки всі процедури введення (включаючи передачу даних по USB і навіть мишачі кліки) будуть зашифровані. Захищений режим програми дозволяє передавати будь-які графічні дані в кадровий буфер відеокарти тільки в зашифрованому вигляді, таким чином, шкідливий код не зможе зробити скріншот і послати його хакеру.

Апаратний модуль довіреної завантаження «Акорд-АМДЗ»

Являє собою апаратний контролер, призначений для установки в слот PCI / PCI-X / PCI-express / mini PCI / mini PCI-express. Модулі «Акорд-АМДЗ» забезпечують довірену завантаження операційних систем (ОС) будь-якого типу з файлової структурою FAT12, FAT 16, FAT32, NTFS, HPFS, UFS, FreeBSD UFS / UFS2, EXT2FS, EXT3FS, EXT4FS, QNX 4 filesystem, Solaris UFS, MINIX, ReiserFS.

Вся програмна частина модулів (включаючи засоби адміністрування), журнал реєстрації і список користувачів розміщені в незалежній пам'яті контролера. Цим забезпечується можливість проведення ідентифікації / аутентифікації користувачів, контролю цілісності технічних і програмних засобів ПЕОМ (РС), адміністрування та аудиту на апаратному рівні, засобами контролера до завантаження ОС.

Основні можливості:

  • ідентифікація та аутентифікація користувача з використанням фізичного електронного вироби - персонального ідентифікатора - і пароля довжиною до 12 символів;
  • блокування завантаження ПЕОМ з зовнішніх носіїв;
  • блокування переривання контрольних процедур з клавіатури;
  • завдання тимчасових обмежень на доступ користувачів до ПЕОМ (РС) відповідно до встановленого для них режимом роботи;
  • контроль цілісності складу обладнання комп'ютера, системних областей, файлів, реєстру Windows;
  • автоматичне ведення журналу реєстрованих подій на етапі довіреної завантаження ОС (в незалежній флеш-пам'яті контролера);
  • сторожовий таймер;
  • адміністрування системи захисту (реєстрація користувачів, контроль цілісності програмної і апаратної частини ПЕОМ).

Додаткові можливості:

  • контроль і блокування фізичних ліній;
  • інтерфейс RS-232 для застосування пластикових карт в якості ідентифікатора;
  • апаратний датчик випадкових чисел для криптографічних застосувань;
  • додатковий пристрій енергонезалежного аудиту.

Комплекс застосуємо для побудови систем захисту інформації від несанкціонованого доступу відповідно до керівних документів (Гостехкомиссии) Росії по 2 рівню контролю на відсутність декларованих можливостей, може використовуватися в автоматизованих системах до класу захищеності 1Д включно і використовуватися як засіб ідентифікації / аутентифікації користувачів, контролю цілісності програмної і апаратної середовища (РС) при створенні автоматизованих систем до класу 1Б включно.

Модуль довіреної завантаження призначений для обчислювальної техніки, обробної секретну і конфіденційну інформацію (включаючи рівні «цілком таємно» і КА1).

Завдяки роботі з розрахованими на багато користувачів групам з рівними і різними рівнями повноважень і підтримки схем адміністрування як з централізованим і так децентралізованим управлінням, Максим-М1 є універсальним рішенням для використання в захищених системах.

Основні функції

контролює доступ при першому запуску ПЕОМ, до переходу до ОС. Ідентифікує і аутентифікує користувача двухфакторную методом;

веде не стираються журнали: перевірки автентичності користувачів, контролю цілісності. Збереження даних гарантується за рахунок незалежної пам'яті;

перевіряє в реальному часі термін дії призначених для користувача даних (ключі, службова інформація);

контролює апаратні і програмні засоби, що захищається системи (оперативну пам'ять, жорсткі диски, файлову систему і журнали ФС, реєстр Windows);

захищає від підбору пароля.

Переваги АПМ «Максим-1»

Підходить для установки на АРМ адміністратора безпеки інформації в інформаційні системи, що працюють з комерційною таємницею, персональними даними, державною таємницею.

Можна застосовувати на бездисковой робочої станції для роботи з секретною і конфіденційною інформацією на віддаленому сервері.

Модуль сумісний з основними клієнтськими версіями Windows (2000 / XP / Vista / 7) і серверними (2003/2008), а також з системами на ядрі Linux 2.6.x і 3.x.x і ОС СН Astra Linux.

Вимоги та обмеження при використанні АПМДЗ «МАКСИМ-М1»

Для установки і правильної роботи модуля, апаратне і програмне забезпечення повинно відповідати рівню вимог по архітектурі, живлячої напруги, конфігурації плати, версії BIOS, встановленим оновлень, роз'ємів харчування. В процесі роботи модуля в системі виставляються обмеження для обладнання і ПЗ. Повний список вимог представлений в документації на АПМДЗ.

Вимоги до персоналу

Користувач модуля ДЗ (адміністратор) має вміти працювати в основних операційних системах, мати досвід налаштування ПЕОМ та зовнішнього обладнання, і адміністрування автоматичних систем на локальних комп'ютерах, серверах, робочих станціях і тонких клієнтів.

ViPNet SafeBoot- сертифікований високотехнологічний програмний модуль довіреної завантаження (МДЗ), що встановлюється в UEFI BIOS різних виробників. Призначений для захисту ПК, мобільних пристроїв, серверів (в тому числі і серверів віртуалізації) від різних загроз несанкціонованого доступу (НСД) на етапі завантаження і від атак на BIOS.

Захист для комп'ютерів і серверів повинна діяти з моменту їх включення. Час з моменту включення до старту операційної системи є ключовим для довіри до системи в цілому. На самих ранніх етапах завантаження є ризик:

  • Передачі управління недовірених завантажувачу;
  • Завантаження шкідливого коду в UEFI;
  • Перехоплення даних і відключення базових захисних механізмів.
Все це може призвести до уникнення всіх встановлених в операційній системі засобів захисту і крадіжці інформації. Вбудовування модуля довіреної завантаження ViPNet SafeBoot захищає комп'ютер від цих загроз і робить систему довіреної.

призначення:

ViPNet SafeBootпризначений для ідентифікації і аутентифікації користувачів, розмежування доступу на основі ролей, а також організації довіреної завантаження операційної системи. ViPNet SafeBootпідвищує рівень безпеки пристроїв і комп'ютерів за рахунок:

  • Авторизації на рівні BIOS, до завантаження основних компонентів операційної системи;
  • Контролю цілісності BIOS, що захищаються компонентів операційної системи і апаратного забезпечення;
  • Блокування завантаження нештатної копії операційної системи.

Сценарії використання

продукт ViPNet SafeBootможе використовуватися як спільно з іншими продуктами ViPNet, так і окремо. Основні завдання які можуть бути вирішені:
  • Виконання вимог наказів ФСТЕК *:
    • №17 щодо захисту державних інформаційних систем (ГІС);
    • №21 щодо захисту інформаційних систем персональних даних (ІСПДн);
    • №31 щодо захисту автоматизованих систем управління технологічним процесом (АСУ ТП);
  • Захист від несанкціонованого доступу на самих ранніх етапах завантаження комп'ютерів або пристроїв з UEFI BIOS.

переваги

  • Програмний МДЗ з можливістю установки в UEFI BIOS різних виробників.
  • Невилучення, на відміну від апаратних виконань МДЗ.
  • Спрощені методи настройки МДЗ за рахунок шаблонів адміністрування.
  • Повний контроль цілісності UEFI за рахунок перевірки цілісності всіх його модулів.
  • Російський продукт.

Сертифікація у ФСТЕК Росії

ViPNet SafeBootвідповідає вимогам керівних документів до засобів довіреної завантаження рівня базової системи введення-виведення 2 класу, що дозволяє використовувати продукт для побудови:
  • ІСПДн до УЗ1 включно;
  • ГІС до 1 класу захищеності включно;
  • АСУ ТП до 1 класу захищеності включно.

Що нового у версії ViPNet SafeBoot 1.4

  1. Режим неактивності - ключова можливість спрямована на зручність OEM-поставки SafeBoot в робочих станціях і серверах, виробників апаратних платформ. Детальний опис в доданому документі.
  2. Впровадження системи ліцензування - продукт тепер ліцензується за серійним номером.
  3. Підтримка авторизації по західним сертифікатам - підвищення зручності роботи з продуктом. Зустрічаються замовники, які використовують авторизацію по токені і сертифікату виданими Microsoft CA, в т. Ч. І через LDAP. Саме з цієї причини нами було вирішено підтримати такий метод аутентифікації.
  4. Підтримка JaCarta-2 ГОСТ - розширення списку підтримуваних ключових носіїв для аутентифікації.

ІнфоТеКС залишає за собою право без попереднього сповіщення вносити зміни в продукцію, що поставляється (характеристики, зовнішній вигляд, комплектність), не погіршують її споживчих властивостей.

Сувора двухфакторная аутентифікація- Аутентифікація користувача за допомогою токена з сертифікатом формату x.509 (двухфакторная), пароля або їх поєднання. Підтримувані ідентифікатори:

  • JaCarta PKI
  • Rutoken ЕЦП
  • Rutoken ЕЦП 2.0
  • Rutoken Lite
  • Guardant ID

рольової доступ

  • Користувач.
  • Адміністратор.
  • Аудитор.

Контроль цілісності.Щоб платформі можна було довіряти, потрібна гарантія, що всі важливі модулі, що завантажуються при старті системи, незмінні. Тому ViPNet SafeBootперевіряє цілісність:

  • всіх ключових модулів UEFI BIOS;
  • завантажувальних секторів жорсткого диска;
  • таблиць ACPI, SMBIOS, карти розподілу пам'яті;
  • файлів на дисках з системами FAT32, NTFS, EXT2, EXT3, EXT4 (ViPNet SafeBoot байдуже яка операційна система встановлена);
  • реєстру Windows;
  • ресурсів конфігураційного простору PCI / PCe;
  • CMOS (вмісту незалежній пам'яті);
  • завершеності транзакцій - NTFS, EXT3, EXT4.

Для зручності користувачів з'явилася можливість автоматичного побудови списків контролю для ОС Windows.

Журнал подій безпеки.Для зручності передбачено декілька режимів ведення журналу з різним рівнем деталізації.

архітектура

ALTELL TRUST має модульну архітектуру. Сам модуль довіреної завантаження встановлюється на захищаються пристрої, замінюючи стандартний BIOS материнської плати, розташований в чіпі EEPROM, і забезпечує довірену завантаження BIOS, многофакторную аутентифікацію до завантаження ОС і дотримання рольових політик доступу. Модуль віддаленого управління розгортається на сервері управління і дозволяє здійснювати централізоване розгортання і оновлення ПЗ, проводити аудит безпеки і управляти всіма модулями довіреної завантаження з єдиного центру.

можливості

  • Контроль цілісності BIOS, апаратного та програмного оточення, об'єктів файлової системи;
  • Багатофакторна аутентифікація користувачів до завантаження ОС;
  • Віддалене управління користувачами, конфігураціями, групами пристроїв, завантаженням оновлень ПО, включенням / виключенням захищаються пристроїв;
  • Використання в якості єдиного ПО тонкого клієнта (zero client);

переваги

  • Використання BIOS, створеного в Росії;
  • Попереджуючий підхід до захисту від нових загроз;
  • Аутентифікація на віддалених LDAP / AD-серверах;
  • Розмежування управлінських функцій;
  • Віддалене централізоване управління;
  • Можливість адаптації до будь-якого типу пристроїв;
  • Вбудований стек мережевих протоколів;
  • Централізований збір подій безпеки;
  • Невилучення з пристрою, що захищається;
  • Підтримка технології SSO;
  • Підтримка інфраструктури PKI;
  • Вбудований довірений гипервизор;
  • Сертифікат ФСТЕК на МДЗ рівня BIOS 2 класу захисту.

Сценарії застосування

ALTELL TRUST може застосовуватися для забезпечення довіреної завантаження операційних систем, багатофакторної аутентифікації користувачів на віддалених AD / LDAP-серверах, віддаленого централізованого управління парком захищаються пристроїв, віддаленого централізованого збору подій безпеки, а також виступати в якості єдиного ПО тонких клієнтів (концепція zero client). Детальний опис сценаріїв застосування ALTELL TRUST наведено у відповідному розділі.

Порівняння з конкурентами

Традиційні апаратно-програмні модулі довіреної завантаження (АПМДЗ), представлені на російському ринку, не володіють можливостями, необхідними на сучасному етапі розвитку інформаційних систем. Наприклад, в АПМДЗ відсутні функції моніторингу і віддаленого управління парком ПК, не підтримується багатофакторна аутентифікація на віддалених серверах, не застосовуються рольова модель доступу і мандатний контроль доступу до інформації, що не гарантується безпека роботи в віртуальних середовищах. ALTELL TRUST, навпаки, спочатку розроблявся для вирішення цих завдань. При цьому використовувалися сучасні підходи до забезпечення довіреної завантаження, засновані на використанні технологій UEFI Trusted Boot із застосуванням доопрацьованих і розширених функцій, а також концепцій NIST і Trusted Computing Group. В результаті в ALTELL TRUST реалізовані більш потужні, ніж у традиційних АПМДЗ, захисні механізми, при одночасному зниженні витрат на адміністрування інфраструктури інформаційної безпеки за рахунок централізації управління і збору статистики.

Підтримувані пристрої

Через реалізації ALTELL TRUST на рівні UEFI BIOS власної розробки його необхідно адаптувати до конкретних моделей захищаються пристроїв. Завдяки співпраці з ключовими вендорами (Intel, AMD, Lenovo, Panasonic) процес доопрацювання ALTELL TRUST максимально стандартизований і стиснутий за часом. Так як сертифікується сам модуль довіреної завантаження, а не BIOS цілком, внесення змін не впливаєна наявність сертифікатів.

В даний ALTELL TRUST підтримує:

  • материнські плати DFI (Підтримка процесорів Core i5, 1 × Xeon E3);
  • моноблоки Lenovo ThinkCentre M72z і M73z;
  • ноутбуки Panasonic Toughbook CF-53;
  • десктопи Lenovo ThinkCentre M92p і M93p, ALTELL FORT DT 5/7.

сертифікація

ALTELL TRUST сертифікований у ФСТЕК Росії як засіб довіреної завантаження рівня базової системи введення-виведення за другим класом захисту. Так як сертифікований модуль довіреної завантаження, а не UEFI BIOS цілком, адаптація ALTELL TRUST до нових пристроїв не скасовуватиме дію отриманих сертифікатів. В даний час ведуться роботи по отриманню сертифікату ФСБ.

Інформаційні матеріали

тестування

Якщо ви зацікавилися можливостями ALTELL TRUST, наші фахівці можуть провести його безкоштовну демонстрацію.

Примірка © 2021 Мобільні та комп'ютерні гаджети