Altell Besimi - Mbrojtja nga qasja e paautorizuar. Altell Besimi - Mbrojtja nga moduli i qasjes së paautorizuar Ngarkimi i besuar

Koncepti i bazave

  • Kontrolli i pajisjes nga e cila bios fillon ngarkesën e OS (më shpesh, një hard disk i kompjuterit, por gjithashtu mund të jetë një lexues i lëvizshëm i medias, duke u ngarkuar mbi rrjetin etj.);
  • Monitorimi i integritetit dhe saktësisë së sektorit të nisjes së pajisjes dhe skedarëve të sistemit të OS të nisur;
  • Encryption / decryption e sektorit të nisjes, skedarëve të sistemit të sistemit, ose encryption të të gjitha të dhënave të pajisjes (opsionale).
  • Autentifikimi, encryption dhe ruajtja e të dhënave sekrete, të tilla si çelësat, kontrollet dhe shumat e hash, kryhen në bazë të harduerit.

Vërtetim

Autentifikimi i përdoruesit mund të bëhet në mënyra të ndryshme dhe në faza të ndryshme të ngarkimit të kompjuterit.

Për të konfirmuar identitetin e kompjuterit fillestar, mund të kërkohen faktorë të ndryshëm:

  • Hyrja sekrete dhe fjalëkalimi i përdoruesit;
  • Floppy disk, disk kompakt, kartë flash me informacion të fshehtë të legalizimit;
  • Çelësi hardware lidhur me një kompjuter nëpërmjet porteve USB, serial ose paralele;
  • Çelësi i harduerit ose informacioni biometrik i lexuar në një kompjuter duke përdorur një modul të vetëm hardware.

Authentication mund të jetë multifactor. Gjithashtu autentifikimi mund të jetë multiplayer me ndarjen e të drejtave të qasjes në kompjuter. Pra, një përdorues mund të drejtojë vetëm sistemin operativ nga hard disk, ndërsa një tjetër do të jetë në dispozicion për të ndryshuar konfigurimin CMOS dhe për të zgjedhur pajisjen e nisjes.

Authentication mund të ndodhë:

  • Gjatë ekzekutimit të firmuerit të bios;
  • Para se të shkarkoni rekordin kryesor të nisjes (MBR) ose sektorin e nisjes së sistemit operativ;
  • Gjatë ekzekutimit të programit të sektorit të nisjes.

Marrja e autentifikimit në fazat e ndryshme të shkarkimit ka avantazhet e tij.

Fazat e ngarkimit të besuar

Në faza të ndryshme të ngarkimit të kompjuterit, ngarkesa e besuar mund të kryhet me mjete të ndryshme, prandaj do të ketë funksionalitet të ndryshëm.

  • Ekzekutimi i firmuerëve të bios. Në këtë fazë mund të zbatohet: kontrollimi i integritetit të firmuerit BIOS, duke kontrolluar integritetin dhe origjinalitetin e cilësimeve të CMOS, vërtetimin (mbrojtje nga kompjuteri që funksionon si një e tërë ose vetëm nga ndryshimi i konfigurimit të CMOS), kontroll zgjedhja e pajisjes së nisjes. Ky fazë shkarkimi duhet të bëhet plotësisht në prodhuesin e firmuerëve të bios të motherboard;
  • Kontrolli i kontrollit të pajisjes së nisjes. Në këtë fazë, BIOS, në vend të vazhdimit të shkarkimit, mund të transferojnë kontrollin e modulit hardware të ngarkesës së besuar. Moduli hardware mund të vërtetojë, zgjidhni pajisjen e nisjes, dekriptimin dhe kontrollimin e integritetit dhe saktësisë së sektorëve të nisjes dhe skedarëve të sistemit të sistemit operativ. Në këtë rast, decryption e sektorit të nisjes së sistemit operativ mund të kryhet vetëm në këtë fazë. Firmware BIOS duhet të mbështesë kontrollin e modulit të harduerit, ose moduli hardware duhet të imitojë një pajisje të veçantë të nisjes së bërë në formën e një hard disk, një media të ndryshueshme ose një pajisje ngarkimi të rrjetit;
  • Ekzekutimi i sektorit të nisjes së sistemit operativ. Në këtë fazë, integriteti, saktësia e ngarkuesit, skedarët e sistemit të sistemit operativ dhe autentifikimin mund të kryhen gjithashtu. Megjithatë, kodi i ekzekutueshëm i sektorit të nisjes është i kufizuar në funksionalitetin për shkak të faktit se ka një kufi mbi madhësinë dhe vendosjen e kodit, dhe po kandidon edhe derisa të fillojnë shoferët e sistemit operativ.

Duke përdorur hardware

Modulet e besueshme të harduerit të nisjes kanë avantazhe të rëndësishme mbi softuerin e pastër dhe të softuerit. Por sigurimi i nisjes së besuar nuk mund të kryhet hardware të pastër. Avantazhet kryesore të harduerit:

  • Një shkallë e lartë e informacionit të fshehtë rreth fjalëkalimeve, çelësave dhe kontrollit të skedarëve të sistemit. Në kushtet e funksionimit të qëndrueshëm të një moduli të tillë, nuk është siguruar për metodën për nxjerrjen e informacionit të tillë. (Megjithatë, disa sulme janë të njohura për modulet ekzistuese që shkelin performancën e tyre);
  • Klasifikimi i mundshëm i algoritmave të enkriptimit të kryera nga hardueri;
  • Pamundësia për të filluar një kompjuter pa hapur përmbajtjen e tij;
  • Në rastin e encryption të sektorit të nisjes, nuk është e mundur të filloni sistemin operativ të përdoruesit, edhe pas heqjes së modulit hardware;
  • Në rast të encryption të plotë të të dhënave, pamundësia për të marrë ndonjë të dhënë pas heqjes së modulit hardware.

Shembuj të pajisjeve ekzistuese

Intel Bested Exection Technology

Teknologjia e ekzekutimit të besuar nga Intel.

Kjo nuk është një mjet për ngarkim të besuar, por për të mbrojtur burimet e çdo aplikacioni individual në nivel hardware si një e tërë.

TXT është një koncept i ri i sigurisë kompjuterike në një nivel hardware, duke përfshirë punën me PC virtuale.

Teknologjia TXT përbëhet nga faza të mbrojtura vazhdimisht të përpunimit të informacionit dhe bazohet në një modul të përmirësuar TPM. Sistemi bazohet në një ekzekutim të sigurt të kodit të programit. Çdo aplikim që funksionon në mënyrë të sigurt ka qasje ekskluzive në burimet kompjuterike, dhe asnjë aplikim tjetër nuk do të ndërhyjë në mjedisin e saj të izoluar. Burimet për të punuar në mënyrë të sigurt janë të theksuara fizikisht nga procesori dhe një sërë logjike të sistemit. Magazinimi i sigurt i të dhënave nënkupton enkriptimin e tyre duke përdorur të njëjtën TPM. Çdo të dhënë të koduar TPM mund të nxirret nga mediat vetëm me të njëjtin modul që është koduar.

Intel gjithashtu zhvilloi një sistem të hyrjes së sigurt të të dhënave. Programi me qëllim të keq nuk do të jetë në gjendje të gjurmojë rrjedhën e të dhënave në inputin e kompjuterit, dhe keylogger do të marrë vetëm një grup të pakuptimtë të karakterit, pasi të gjitha procedurat e hyrjes (duke përfshirë transmetimin e të dhënave USB dhe madje edhe klikimet e miut) do të kodohen. Modaliteti i aplikimit të mbrojtur ju lejon të transmetoni të dhëna grafike në tampon kornizë të kartës video vetëm në një formë të koduar, kështu që kodi me qëllim të keq nuk do të jetë në gjendje të bëjë një screenshot dhe ta dërgojë atë në haker.

Moduli hardware i ngarkesës së besuar "Marrëveshja-AMDZ"

Është një kontrollues hardware i projektuar për të instaluar në një slot ISA (modifikim 4.5) ose PCI (modifikimi 5.0). Modulet Acord-Ampz ofrojnë ngarkim të besuar të sistemeve operative (OS) të çdo lloji me strukturën e skedarit FAT12, yndyrë 16, FAT32, NTFS, HPFS, UFS, UFS2, EXT2FS, EXT3FS, EXT4FS, QNX 4 Filesystem, VMFS Version 3.

E gjithë pjesa softuerike e moduleve (duke përfshirë mjetet e administratës), log i ngjarjeve dhe lista e përdoruesve janë vendosur në kujtesën e kontrolluesit jo të paqëndrueshëm. Kështu, funksionet e identifikimit / autentifikimit të përdoruesit, monitorimi i pajisjeve dhe monitorimi i harduerit, administrimi dhe auditimi kryhen nga vetë kontrolluesi përpara se të ngarkojnë OS.

Karakteristikat kryesore:

  • identifikimi dhe autentifikimi i përdoruesit duke përdorur identifikuesin e TM dhe fjalëkalimin deri në 12 shkronja të gjata;
  • mbyllja e ngarkimit të PEVM nga mediat e jashtme;
  • kufizimi i kohës së punës së përdoruesit;
  • monitorimi i integritetit të dosjeve, pajisjeve dhe regjistrave;
  • regjistrimi i identifikimit të përdoruesit në regjistrin e regjistrimit;
  • administrimi i sistemit të mbrojtjes (regjistrimi i përdoruesit, monitorimi i integritetit të softuerit dhe harduerit PEVM).

Karakteristika të tjera:

  • kontrollin dhe bllokimin e linjave fizike;
  • ndërfaqja RS-232 për përdorimin e kartave plastike si një identifikues;
  • numrat e rastësishëm të sensorit të harduerit për aplikimet kriptografike;
  • pajisje shtesë të auditimit jo të paqëndrueshme.

Moduli i ngarkimit të besuar "Crypton Castle / PCI"

Designed për të dalluar dhe monitoruar qasjen e përdoruesit në burimet hardware të vendeve të punës autonome, workstations dhe serverat e rrjetit kompjuterik lokal. Është e mundur të monitorohet integriteti i mjedisit softuerik në OS duke përdorur sistemet e skedarëve FAT12, FAT16, FAT32 dhe NTFS.

Karakteristikat:

  • identifikimin dhe vërtetimin e përdoruesve para drejtimit të bios duke përdorur identifikuesit e kujtesës;
  • shpërndarja e burimeve kompjuterike, ngarkimi i detyruar i sistemit operativ (OS) nga pajisja e zgjedhur sipas cilësimeve individuale për secilin përdorues;
  • bllokimi i një kompjuteri në NSD, duke ruajtur një log e-log në kujtesën e vet jo të paqëndrueshme;
  • numërimi i vlerave referuese të objekteve të objekteve dhe kontrollimi i vlerave të kontrollit aktual, eksport / import një listë të objekteve të verifikuara në një disk magnetik fleksibël;
  • aftësia për t'u integruar në sistemet e tjera të sigurisë (sistemi i alarmit, mbrojtja nga zjarri, etj.).
- Ky është shkarkimi i sistemeve të ndryshme operative me vetëm mediat e përhershme të paracaktuara (për shembull, vetëm nga një hard disk) pas përfundimit të suksesshëm të procedurave të veçanta: kontrollon integritetin e softuerit teknik dhe softuerik PC (duke përdorur mekanizmin e kontrollit hap pas hapi) dhe identifikimin e harduerit / autentifikimin e përdoruesit.

Koncepti i bazave

  • Kontrolli i pajisjes nga e cila BIOS fillon boot OS (më shpesh një hard disk i kompjuterit, por gjithashtu mund të jetë një lexues i lëvizshëm i medias, duke u ngarkuar mbi rrjetin etj.);
  • Monitorimi i integritetit dhe saktësisë së sektorit të nisjes së pajisjes dhe skedarëve të sistemit të OS të nisur;
  • Encryption / decryption e sektorit të nisjes, skedarëve të sistemit të sistemit, ose encryption të të gjitha të dhënave të pajisjes (opsionale).
  • Autentifikimi, encryption dhe ruajtja e të dhënave sekrete, të tilla si çelësat, kontrollet dhe shumat e hash, kryhen në bazë të harduerit.

Vërtetim

Autentifikimi i përdoruesit mund të bëhet në mënyra të ndryshme dhe në faza të ndryshme të ngarkimit të kompjuterit.

Për të konfirmuar identitetin e kompjuterit fillestar, mund të kërkohen faktorë të ndryshëm:

  • Hyrja sekrete dhe fjalëkalimi i përdoruesit;
  • Floppy disk, disk kompakt, kartë flash me informacion të fshehtë të legalizimit;
  • Çelësi hardware lidhur me një kompjuter nëpërmjet porteve USB, serial ose paralele;
  • Çelësi i harduerit ose informacioni biometrik i lexuar në një kompjuter duke përdorur një modul të vetëm hardware.

Authentication mund të jetë multifactor. Gjithashtu autentifikimi mund të jetë multiplayer me ndarjen e të drejtave të qasjes në kompjuter. Pra, një përdorues mund të drejtojë vetëm sistemin operativ nga hard disk, ndërsa një tjetër do të jetë në dispozicion për të ndryshuar konfigurimin CMOS dhe për të zgjedhur pajisjen e nisjes.

Authentication mund të ndodhë:

  • Gjatë ekzekutimit të firmuerit të bios;
  • Para se të shkarkoni rekordin kryesor të nisjes (MBR) ose sektorin e nisjes së sistemit operativ;
  • Gjatë ekzekutimit të programit të sektorit të nisjes.

Marrja e autentifikimit në fazat e ndryshme të shkarkimit ka avantazhet e tij.

Fazat e ngarkimit të besuar

Në faza të ndryshme të ngarkimit të kompjuterit, ngarkesa e besuar mund të kryhet me mjete të ndryshme, prandaj do të ketë funksionalitet të ndryshëm.

  • Ekzekutimi i firmuerëve të bios. Në këtë fazë mund të zbatohet: kontrollimi i integritetit të firmuerit BIOS, duke kontrolluar integritetin dhe origjinalitetin e cilësimeve të CMOS, vërtetimin (mbrojtje nga kompjuteri që funksionon si një e tërë ose vetëm nga ndryshimi i konfigurimit të CMOS), kontroll zgjedhja e pajisjes së nisjes. Ky fazë shkarkimi duhet të bëhet plotësisht në prodhuesin e firmuerëve të bios të motherboard;
  • Kontrolli i kontrollit të pajisjes së nisjes. Në këtë fazë, BIOS, në vend të vazhdimit të shkarkimit, mund të transferojnë kontrollin e modulit hardware të ngarkesës së besuar. Moduli hardware mund të vërtetojë, zgjidhni pajisjen e nisjes, dekriptimin dhe kontrollimin e integritetit dhe saktësisë së sektorëve të nisjes dhe skedarëve të sistemit të sistemit operativ. Në këtë rast, decryption e sektorit të nisjes së sistemit operativ mund të kryhet vetëm në këtë fazë. Firmware BIOS duhet të mbështesë kontrollin e modulit të harduerit, ose moduli hardware duhet të imitojë një pajisje të veçantë të nisjes së bërë në formën e një hard disk, një media të ndryshueshme ose një pajisje ngarkimi të rrjetit;
  • Ekzekutimi i sektorit të nisjes së sistemit operativ. Në këtë fazë, integriteti, saktësia e ngarkuesit, skedarët e sistemit të sistemit operativ dhe autentifikimin mund të kryhen gjithashtu. Megjithatë, kodi i ekzekutueshëm i sektorit të nisjes është i kufizuar në funksionalitetin për shkak të faktit se ka një kufi mbi madhësinë dhe vendosjen e kodit, dhe po kandidon edhe derisa të fillojnë shoferët e sistemit operativ.

Duke përdorur hardware

Modulet e besueshme të harduerit të nisjes kanë avantazhe të rëndësishme mbi softuerin e pastër dhe të softuerit. Por sigurimi i nisjes së besuar nuk mund të kryhet hardware të pastër. Avantazhet kryesore të harduerit:

  • Një shkallë e lartë e informacionit të fshehtë rreth fjalëkalimeve, çelësave dhe kontrollit të skedarëve të sistemit. Në kushtet e funksionimit të qëndrueshëm të një moduli të tillë, nuk është siguruar për metodën për nxjerrjen e informacionit të tillë. (Megjithatë, disa sulme janë të njohura për modulet ekzistuese që shkelin performancën e tyre);
  • Klasifikimi i mundshëm i algoritmave të enkriptimit të kryera nga hardueri;
  • Pamundësia për të filluar një kompjuter pa hapur përmbajtjen e tij;
  • Në rastin e encryption të sektorit të nisjes, nuk është e mundur të filloni sistemin operativ të përdoruesit, edhe pas heqjes së modulit hardware;
  • Në rast të encryption të plotë të të dhënave, pamundësia për të marrë ndonjë të dhënë pas heqjes së modulit hardware.

Shembuj të pajisjeve ekzistuese

AMD SVM.

Lëshuar në treg për një vit më parë Intel txt

Intel Bested Exection Technology

Teknologjia e ekzekutimit të besuar nga Intel.

Kjo nuk është një mjet për ngarkim të besuar, por për të mbrojtur burimet e çdo aplikacioni individual në nivel hardware si një e tërë.

TXT është një koncept i ri i sigurisë kompjuterike në një nivel hardware, duke përfshirë punën me PC virtuale.

Teknologjia TXT përbëhet nga fazat e mbrojtura në mënyrë sekuenciale të përpunimit të informacionit dhe bazohet në një modul të përmirësuar të modulit të besuar të platformës. Sistemi bazohet në një ekzekutim të sigurt të kodit të programit. Çdo aplikim që funksionon në mënyrë të sigurt ka qasje ekskluzive në burimet kompjuterike, dhe asnjë aplikim tjetër nuk do të ndërhyjë në mjedisin e saj të izoluar. Burimet për të punuar në mënyrë të sigurt janë të theksuara fizikisht nga procesori dhe një sërë logjike të sistemit. Magazinimi i sigurt i të dhënave nënkupton enkriptimin e tyre duke përdorur të njëjtën TPM. Çdo të dhënë të koduar TPM mund të nxirret nga mediat vetëm me të njëjtin modul që është koduar.

Intel gjithashtu zhvilloi një sistem të hyrjes së sigurt të të dhënave. Programi me qëllim të keq nuk do të jetë në gjendje të gjurmojë rrjedhën e të dhënave në inputin e kompjuterit, dhe keylogger do të marrë vetëm një grup të pakuptimtë të karakterit, pasi të gjitha procedurat e hyrjes (duke përfshirë transmetimin e të dhënave USB dhe madje edhe klikimet e miut) do të kodohen. Modaliteti i aplikimit të mbrojtur ju lejon të transmetoni të dhëna grafike në tampon kornizë të kartës video vetëm në një formë të koduar, kështu që kodi me qëllim të keq nuk do të jetë në gjendje të bëjë një screenshot dhe ta dërgojë atë në haker.

Moduli Hardware i ngarkesës së besuar "Marrëveshja-AMDZ"

Është një kontrollues hardware i projektuar për të instaluar PCI / PCI-X / PCI-Express / mini PCI / mini PCI-Express. Modulet "Marrëveshja-Ampz" ofrojnë ngarkim të besueshëm të sistemeve operative (OS) të çdo lloji me strukturën e skedarit FAT12, yndyrë 16, FAT32, NTFS, HPFS, UFS, FreeBSD UFS / UFS2, EXT2FS, EXT3FS, EXT4FS, QNX 4 Filesystem, Solaris UFS, Minix, Reiserfs.

I gjithë pjesa softuerike e moduleve (duke përfshirë mjetet e administratës), regjistri i regjistrimit dhe lista e përdoruesve vendosen në kujtesën jo të paqëndrueshme të kontrolluesit. Kjo siguron mundësinë e identifikimit / autentifikimit të përdoruesve, duke monitoruar integritetin e TEVM-së teknike dhe të softuerit (PC), administrimin dhe auditimin në nivel hardware, tek kontrolluesi në ngarkesën e OS.

Karakteristikat kryesore:

  • identifikimi dhe autentifikimi i përdoruesit duke përdorur produktin fizik elektronik - identifikuesin personal - dhe fjalëkalimin deri në 12 shkronja të gjata;
  • mbyllja e ngarkimit të PEVM nga mediat e jashtme;
  • bllokimi i procedurave të kontrollit të ndërprerjes nga tastiera;
  • vendosjen e kufizimeve të përkohshme në qasjen e përdoruesit në PEVM (PC) në përputhje me mënyrën e funksionimit të krijuar për ta;
  • monitorimi i integritetit të përbërjes së pajisjeve kompjuterike, zonave të sistemit, dosjeve, regjistrit të dritareve;
  • prerjet automatike të ngjarjeve të regjistruara në fazën e OS të ngarkimit të besuar (në kujtesën flash jo të paqëndrueshme të kontrolluesit);
  • timer Watchdog;
  • administrimi i sistemit të mbrojtjes (regjistrimi i përdoruesit, monitorimi i integritetit të softuerit dhe harduerit PEVM).

Karakteristika të tjera:

  • kontrollin dhe bllokimin e linjave fizike;
  • ndërfaqja RS-232 për përdorimin e kartave plastike si një identifikues;
  • numrat e rastësishëm të sensorit të harduerit për aplikimet kriptografike;
  • pajisje shtesë të auditimit jo të paqëndrueshme.

Kompleksi është i zbatueshëm për ndërtimin e sistemeve të mbrojtjes së informacionit nga NSD në përputhje me dokumentet drejtuese (statujës) të Rusisë për 2 nivele të kontrollit për mungesën e aftësive të padeklaruara, mund të përdoren në sistemet e automatizuara në klasën e sigurisë në një klasë të veçantë dhe të përdorura Si një mjet për identifikimin / autentifikimin e përdoruesit, monitorimin e programit dhe mjedisin hardware (PC) kur krijojnë sisteme të automatizuara në klasën 1b përfshirëse.

Moduli i besuar i ngarkesës është menduar për llogaritjen e informacionit të përpunimit të teknologjisë dhe informacionin konfidencial (duke përfshirë nivelet "krejtësisht sekrete" dhe KA1).

Falë punës me grupet multiplayer me nivele të barabarta dhe të ndryshme të autoritetit dhe mbështetjes së skemave të administratës si menaxhim i centralizuar dhe kështu i decentralizuar, Maxim-M1 është një zgjidhje universale për përdorim në sistemet e mbrojtura.

Funksionet kryesore

kontrollon qasjen në nisjen fillestare të PC, para se të kaloni në OS. Identifikon dhe vërteton përdoruesin me një metodë me dy faktorë;

regjistrat e importuara: Autentifikimi i përdoruesit, Kontrolli i Integritetit. Siguria e të dhënave është e garantuar për shkak të kujtesës jo të paqëndrueshme;

kontrollon vlefshmërinë e të dhënave të përdoruesve në kohë reale (çelësat, informacionin e shërbimit);

kontrollon harduerin dhe softuerin e sistemit të mbrojtur (RAM, disqe të forta, sistemin e skedarëve dhe shkrimet e FS, regjistrit të dritareve);

mbron nga përzgjedhja e fjalëkalimit.

Avantazhet e APM "Maxim-1"

I përshtatshëm për instalimin e sistemeve të informacionit të administratorit të sigurisë së informacionit, duke punuar me sekretin komercial, të dhënat personale, sekretin shtetëror.

Ju mund të aplikoni në një workstation pa disk për të punuar me informacion të fshehtë dhe konfidencial në një server të largët.

Moduli është i pajtueshëm me versionet kryesore të klientëve të Windows (2000 / XP / Vista / 7) dhe Server (2003/2008), si dhe me sistemet në Kernelin e Linux 2.6.x dhe 3.x.x dhe CH Astra Linux.

Kërkesat dhe kufizimet kur përdorin apmdz maxim-m1

Për të instaluar dhe për të operuar siç duhet, moduli, hardueri dhe softueri duhet të plotësojnë nivelin e kërkesave për arkitekturë, tension të ushqyerit, konfigurimin e bordit, versionet e BIOS, përditësimet e instaluara, lidhjet e energjisë. Gjatë funksionimit të modulit, kufizimet për pajisjet dhe softuerin shfaqen në sistem. Një listë e plotë e kërkesave është paraqitur në dokumentacionin për APMDZ.

Kërkesat për personelin

Përdoruesi i modulit DZ (Administrator) duhet të jetë në gjendje të punojë në sistemet kryesore operative, të ketë përvojën e PC dhe pajisjet e jashtme, dhe të administrojë sistemet automatike në kompjuterët lokalë, serverët, workstations dhe klientët e hollë.

Vipnet Safeboot. - Moduli i ngarkuar i ngarkuar me teknologji të lartë të teknologjisë së lartë (MDZ), të instaluar në UEFI BIOS të prodhuesve të ndryshëm. Projektuar për të mbrojtur PC-të, pajisjet mobile, servers (duke përfshirë serverat e virtualizimit) nga kërcënime të ndryshme për qasje të paautorizuar (NSD) në fazën e nisjes dhe nga sulmet në BIOS.

Mbrojtja për kompjuterët dhe serverët duhet të veprojë që nga përfshirja e tyre. Koha nga momenti i përfshirjes para fillimit të sistemit operativ është çelësi i besimit të sistemit në sistem në tërësi. Në fazat më të hershme të shkarkimit ka një rrezik:

  • Transmeton kontrollin e një ngarkuesi të pabesueshëm;
  • Ngarkimi i kodit me qëllim të keq në UEFI;
  • Përgjimi i të dhënave dhe shkëputja e mekanizmave bazë mbrojtës.
E gjithë kjo mund të çojë në anashkalimin e të gjithë mbrojtjes dhe vjedhjes së pajisjeve të instaluara në sistemin operativ. Embedding Moduli i ngarkimit të besuar Vipnet Safnetoot mbron kompjuterin nga këto kërcënime dhe bën një sistem të besuar.

Qëllimi:

Vipnet Safeboot. Designed për të identifikuar dhe vërtetuar përdoruesit, përcaktimin e qasjes bazuar në rolet, si dhe organizimin e sistemit operativ të besuar. Vipnet Safeboot. Përmirëson nivelin e sigurisë të pajisjeve dhe kompjuterave për shkak të:

  • Autorizimi në nivelin e BIOS, para se të shkarkojë komponentët kryesorë të sistemit operativ;
  • Kontrollet e integritetit të BIOS, komponentët e mbrojtur të sistemit operativ dhe harduerit;
  • Bllokohet ngarkimi i një kopje jo standarde të sistemit operativ.

Skenarët e përdorimit

Produkt Vipnet Safeboot. Mund të përdoret si në lidhje me produktet e tjera Vipnet dhe veç e veç. Detyrat kryesore që mund të zgjidhen:
  • Kërkesat për urdhërat FSTEC *:
    • №17 për mbrojtjen e sistemeve të informacionit shtetëror (GIS);
    • №21 për mbrojtjen e sistemeve të informacionit të të dhënave personale (CDN);
    • №31 për mbrojtjen e sistemeve të kontrollit teknologjik të automatizuar (ACS TP);
  • Mbrojtja nga SSDS në fazat më të hershme të shkarkimit të kompjuterëve ose pajisjeve me UEFI BIOS.

Përfitime

  • Programi MPZ me mundësinë e instalimit në UEFI BIOS të prodhuesve të ndryshëm.
  • Një tjetër neglizhencë, në kontrast me versionet e harduerit të MPZ.
  • Metodat e thjeshta të konfigurimit të MDZ për shkak të modeleve të administratës.
  • Kontrollin e plotë të integritetit të UEFI duke kontrolluar integritetin e të gjitha moduleve të saj.
  • Produkti rus.

Certifikimi në Fstec të Rusisë

Vipnet Safeboot. Është në përputhje me kërkesat e dokumenteve udhëzuese në mjetet e ngarkimit të besuar të nivelit të sistemit bazë I / O të klasës 2, i cili lejon përdorimin e një produkti për të ndërtuar:
  • Kapur për të përfshirë në UZ1;
  • GIS në klasën e parë është gjithëpërfshirëse;
  • ACS TP në klasën e parë është përfshirëse.

Çfarë është e re në versionin Vipnet Safeboot 1.4

  1. Modaliteti i Inaktivitetit është një tipar kyç që synon lehtësinë e furnizimeve Safeboot OEM në workstations dhe serverat, prodhuesit e harduerit. Përshkrimi i hollësishëm në dokumentin e bashkangjitur.
  2. Zbatimi i sistemit të licencimit - produkti tani është i licencuar në numrin serik.
  3. Mbështetje për autorizim në certifikatat perëndimore - përmirësimi i komoditetit të punës me produktin. Ka klientë që përdorin autorizimin e token dhe certifikatën e lëshuar nga Microsoft CA, duke përfshirë nëpërmjet LDAP. Për këtë arsye, ne vendosëm të mbështesim një metodë të tillë të autentifikimit.
  4. Mbështetni Jacarta-2 GOST - Shtrirja e listës së transportuesve kryesorë të mbështetur për autentifikim.

Infotex rezervon të drejtën për të bërë ndryshime në produktet e furnizuara (karakteristikat, pamjen, plotësinë), pa u përkeqësuar pronat e konsumatorëve.

Autentifikimi i rreptë me dy faktorë - Autentifikimi i përdoruesit duke përdorur një shenjë me një certifikatë të formatit X.509 (me dy faktorë), fjalëkalime ose kombinime të tyre. Identifikuesit e mbështetur:

  • Jacarta PKI.
  • Rutoken edp
  • Rutoken eds 2.0
  • Rutoken Lite.
  • ID e mbrojtësit

Loj me role

  • Përdorues.
  • Administrator.
  • Auditor.

Kontrolli i integritetit. Në mënyrë që platforma të besohet, keni nevojë për një garanci që të gjitha modulet e rëndësishme të ngarkuara në fillim të sistemit janë të pandryshuara. prandaj Vipnet Safeboot.kontrollon integritetin:

  • të gjitha modulet kryesore të UEFI BIOS;
  • boot sektorët e hard disk;
  • tabelat e ACPI, SMBIOS, kartat e shpërndarjes së kujtesës;
  • skedarët në disqe me sistemet e FAT32, NTFS, ext2, ext3, ext4 (Vipnet Safeboot nuk ka rëndësi se cili sistem operativ është i instaluar);
  • regjistri i Windows;
  • burimet hapësinore të konfigurimit PCI / PCE;
  • Cmos (përmbajtja e kujtesës jo të paqëndrueshme);
  • përfundimi i transaksionit - NTFS, ext3, ext4.

Për komoditetin e përdoruesit, është e mundur që automatikisht të ndërtohet listat e kontrollit për Windows.

Regjistri i ngjarjeve të sigurisë. Për lehtësi ka disa mënyra të prerjes me nivele të ndryshme të detajeve.

Arkitekturë

Altell Besimi ka një arkitekturë modulare. Moduli i besuar i ngarkimit në vetvete është i instaluar në pajisjet e mbrojtura, duke zëvendësuar Bios standard të motherboard të vendosur në CHIP EEPROM dhe ofron boot të besuar BIOS, autentifikim multifaktorial para nisjes së OS dhe pajtueshmërisë me politikat e qasjes së roleve. Moduli i telekomandës shpaloset në serverin e kontrollit dhe ju lejon të kryeni një përditësim të centralizuar dhe azhurnimit të softuerit, të kryeni auditimin e sigurisë dhe të menaxhoni të gjitha modulet e ngarkimit të besueshëm nga një qendër e vetme.

Aftësi

  • Monitorimi i integritetit të BIOS, hardware dhe mjedisit software, objektet e sistemit të skedarëve;
  • Autentifikim multifaktual i përdoruesit para OS operative;
  • Menaxhimi i largët i përdoruesve, konfigurimet, grupet e pajisjes, shkarkimin e përditësimeve të softuerit, duke u kthyer në pajisjet e mbrojtura / off;
  • Përdorni si klienti i vetëm i vetëm (klienti zero);

Përfitime

  • Përdorimi i BIOS i krijuar në Rusi;
  • Qasje proaktive për mbrojtjen nga kërcënimet e reja;
  • Autentifikim në serverat e largët LDAP / AD;
  • Përcaktimi i funksioneve menaxheriale;
  • Menaxhimi i largët i centralizuar;
  • Aftësia për t'u përshtatur me çdo lloj pajisjeje;
  • Stack të integruar të protokolleve të rrjetit;
  • Mbledhja e centralizuar e ngjarjeve të sigurisë;
  • Besueshmëri nga pajisja e mbrojtur;
  • Mbështetni teknologjinë SSO;
  • Mbështetja e infrastrukturës PKI;
  • Hypervisor i besuar i integruar;
  • Certifikata e FSTEC në nivelin e nivelit 2-klasës BIOS.

Aplikimi i skriptit

Altell Besimi mund të përdoret për të siguruar funksionimin e besuar të sistemeve operative, autentifikimin e përdoruesve të shumëfishtë në serverat e largëta / ldap, kontrollin e largët të pajisjeve të mbrojtura të pajisjeve të mbrojtura, koleksionin e sigurisë të centralizuar të largët, si dhe të veprojnë si klientët e vetëm delikate (konceptin e klientit zero). Një përshkrim i hollësishëm i skripteve të aplikimit të besimit të besueshmërisë është dhënë në seksionin e duhur.

Krahasim me konkurrentët

Modulet tradicionale hardware-software të ngarkimit të besuar (APMDZ), të paraqitura në tregun rus, nuk kanë aftësitë e nevojshme në fazën aktuale të zhvillimit të sistemeve të informacionit. Për shembull, në APMDZ nuk ka funksione të monitorimit dhe kontrollit të largët të Parkut PC, autentifikimi multifaktiv në serverët e largët nuk mbështetet, modeli i roleve të qasjes dhe qasjes së detyrueshme në informata nuk është i garantuar për të punuar në mjediset virtuale. Altell Besimi, përkundrazi, u zhvillua fillimisht për të zgjidhur këto detyra. Në të njëjtën kohë, qasjet moderne për të siguruar boot të besuar, bazuar në përdorimin e teknologjive të shpindura të UEFI-së duke përdorur funksione të rafinuara dhe të zgjeruara, si dhe konceptet e grupeve kompjuterike të besueshme dhe të besuara. Si rezultat, Altell Besimi zbatohet më i fuqishëm se ai i apmds tradicionale, mekanizmat mbrojtës, duke reduktuar kostot e administrimit të infrastrukturës së sigurisë së informacionit në kurriz të centralizimit të menaxhimit dhe grumbullimit të statistikave.

Pajisjet e mbështetura

Për shkak të zbatimit të besimit Altel në nivelin e BIOS të UEFI, duhet të përshtatet me modele specifike të pajisjeve të mbrojtura. Falë bashkëpunimit me shitësit kryesorë (Intel, AMD, Lenovo, Panasonic), procesi i përsosjes Altell Besimi është aq i standardizuar dhe i ngjeshur në kohë. Meqenëse vetë moduli i ngarkimit të besuar është i certifikuar, dhe jo një BIOS tërësisht, duke bërë ndryshime nuk ndikon Për certifikatat.

Aktualisht mbështet Altell Besimi:

  • dFI Motherboards (Mbështetje për procesorët Core i5, 1 ×Xeon E3);
  • monoblocks lenovo thinkcentre m72z dhe m73z;
  • panasonic CF-53 laptopë;
  • desktops Lenovo Thinkcentre M92P dhe M93P, Altell Fort DT 5/7.

Certifikim

Altell Besimi është i certifikuar me FSTEC të Rusisë si një mjet për ngarkimin e besuar të nivelit të sistemit bazë I / O sipas klasës së dytë të mbrojtjes. Meqenëse moduli i ngarkimit të besuar është i certifikuar, dhe jo një BIO të UEFI-së tërësisht, përshtatja e besimit Altell me pajisjet e reja nuk do të anulojë veprimin e certifikatave të pranuara. Aktualisht, puna është duke u zhvilluar për të marrë një certifikatë FSB.

Materialet e informacionit

Duke testuar

Nëse jeni të interesuar për aftësitë e Altell Besimi, specialistët tanë mund të kalojnë demonstratën e saj të lirë.

Ushtrimi © 2021 Mobile dhe Gadgets Computer