ALTELL TRUST - yetkisiz erişime karşı koruma. ALTELL TRUST - yetkisiz erişime karşı koruma Güvenilir hesap modülü

konseptin temelleri

  • BIOS'un işletim sistemini kontrol ettiği cihazın kontrolü (çoğunlukla bilgisayarın sabit diski, ancak aynı zamanda önemli bir cihazı okumak için bir cihaz, kenarda kurulu bir cihaz vb. de olabilir);
  • İşletim sistemi başlatıldığında cihazın özel sektör ve sistem dosyalarının bütünlüğünü ve güvenilirliğini izlemek;
  • Özel sektörün, işletim sistemi sistem dosyalarının şifrelenmesi/şifresinin çözülmesi veya tüm cihaz verilerinin şifrelenmesi (isteğe bağlı).
  • Kimlik doğrulama, şifreleme ve anahtarlar, sağlama toplamları ve karmalar gibi hassas verilerin depolanması donanıma dayalıdır.

kimlik doğrulama

Bir müşterinin kimlik doğrulaması çeşitli şekillerde ve bilgisayar ediniminin çeşitli aşamalarında gerçekleştirilebilir.

Bir kişinin bilgisayarı başlattığını doğrulamak için çeşitli faktörler kullanılabilir:

  • Hesap yöneticisinin gizli kullanıcı adı ve şifresi;
  • Gizli kimlik doğrulama bilgilerini içeren disket, CD, flash kart;
  • Bir bilgisayara USB, seri veya paralel bağlantı noktası aracılığıyla bağlanan bir donanım kilidi;
  • Ek bir donanım modülü kullanılarak bilgisayara okunabilen bir donanım anahtarı veya biyometrik bilgi.

Kimlik doğrulama çok faktörlü olabilir. Ayrıca kimlik doğrulama, bilgisayara erişimde aynı haklara sahip birçok kullanıcı tarafından gerçekleştirilebilir. Böylece, bir kullanıcı işletim sistemini yalnızca sabit sürücüden çalıştırabilirken, bir diğeri CMOS yapılandırmasını değiştirip uygun bir cihazı seçebilecektir.

Kimlik doğrulama şu şekilde gerçekleştirilebilir:

  • BIOS ürün yazılımı güncellemesi başlamak üzere;
  • İşletim sisteminin ana yedekleme kaydını (MBR) veya yedekleme sektörünü değiştirmeden önce;
  • Öncü sektörün programlarında zafer saatinde.

Bu kimlik doğrulamanın yeniliğin çeşitli aşamalarında avantajları vardır.

Güvenilir edinimin aşamaları

Bir bilgisayarın kurulumunun farklı aşamalarında erişim farklı şekillerde yapılandırılabilir ve bu nedenle farklı işlevler olacaktır.

  • Vikonannya BIOS ürün yazılımı. Bu aşamada aşağıdakiler uygulanabilir: BIOS donanım yazılımının bütünlüğünü kontrol etmek, CMOS ayarlarının bütünlüğünü ve orijinalliğini kontrol etmek, kimlik doğrulama (bilgisayarı bir bütün olarak başlatırken koruma veya benzeri (CMOS yapılandırmasını değiştirmekten veya bir kesme seçeneği seçmekten) cihaz), bir kesme cihazının seçimini kontrol eder. Bu değişiklik aşaması, anakart üreticisinin BIOS mikro programındaki değişikliklerin varlığından kaynaklanmaktadır;
  • Kontrolün öğütme ünitesine aktarılması. BIOS'un bu aşamasında yazılıma devam etmek yerine donanımın kontrolünü güvenilir bir yazılım modülüne aktarabilirsiniz. Donanım modülü, kimlik doğrulama işlemini gerçekleştirebilir, özel bir cihaz seçebilir, şifreyi çözebilir ve özel sektörlerin ve işletim sisteminin sistem dosyalarının bütünlüğünü ve güvenilirliğini doğrulayabilir. Bu durumda işletim sisteminin özel sektörünün şifresinin çözülmesi ancak bu aşamada tespit edilebilir. BIOS mikro programı, kontrolü donanım modülüne aktarmaktan sorumludur ve donanım modülü, aygıtı harici sabit sürücüden, yedek aygıttan veya harici aygıttan korumaktan sorumludur;
  • İşletim sisteminin öncü sektörünün Vikonannya'sı. Bu aşamada satıcının bütünlüğünü, güvenilirliğini, işletim sisteminin sistem dosyalarını ve kimlik doğrulamasını da kontrol edebilirsiniz. Ancak kodun derlenmesi, işlevselliğin sınırlarının önemli bir sektörüdür, kodun boyutu ve yerleşimi ile sınırlı olabileceği gibi, işletim sistemi sürücüleri başlatılmadan önce de derlenir.

Vikoristannaya donanım özellikleri

Güvenilir donanım modülleri, saf yazılım bileşenlerine göre önemli avantajlar sunar. Emanet edilen büyünün Ale güvenliği yalnızca donanımla sağlanamaz. Donanım özelliklerinin ana avantajları:

  • Sistem dosyalarının şifreleri, anahtarları ve kontrol toplamları hakkındaki gizli bilgilerin yüksek düzeyde korunması. Böyle bir modülün kararlı robotunun zihninde bu tür bilgileri elde etmenin bir yöntemi yoktur. (Ancak mevcut modüllere yönelik, onların kullanışlılığını ortadan kaldıran saldırılar vardır);
  • Donanım tarafından belirlenen şifreleme algoritmalarının gizliliği mümkündür;
  • Bunun yerine bilgisayarı açmadan başlatmak imkansızdır;
  • Özel sektörün şifrelenmesi durumunda donanım modülü kurulduktan sonra kullanıcının işletim sisteminin başlatılması mümkün değildir;
  • Veriler tamamen şifrelendikten sonra, donanım modülü çıkarıldıktan sonra herhangi bir verinin kurtarılması mümkün değildir.

Diğer donanım özelliklerinin uygulamaları

Intel Güvenilir Yürütme Teknolojisi

Intel'den güvenilir teknoloji.

Bu büyük olasılıkla güvenilir erişimin israfı değil, genel olarak diğer donanım aksesuarlarının kaynaklarının korunmasıdır.

TXT, sanal bilgisayarlarla çalışma da dahil olmak üzere donanım pazarında tamamen yeni bir bilgisayar güvenliği konseptidir.

TXT teknolojisi, bilgi işlemenin sıralı olarak korunan aşamalarından oluşur ve kısaltılmış bir TPM modülünü temel alır. Sistem güvenli bir programlama koduna dayanmaktadır. Güvenli modda çalışan bir dış görünüm programının bilgisayar kaynaklarına özel erişimi vardır ve yalıtılmış çekirdeğine başka kaynakların eklenmesi mümkün değildir. Korumalı modda çalışmaya yönelik kaynaklar, işlemci ve sistem mantığı tarafından fiziksel olarak görülebilir. Verileri güvenli bir şekilde saklamak, aynı TPM'yi kullanarak şifrelemek anlamına gelir. TPM ile şifrelenmiş veriler yalnızca şifreleme için kullanılan aynı modülden alınabilir.

Intel ayrıca güvenli veri girişi için bir sistem geliştirdi. Olağandışı programlar bilgisayar girişindeki veri akışını takip edemeyecek ve keylogger yalnızca basit bir karakter kümesini kabul edecek ve tüm giriş prosedürleri (USB ve fare tıklamaları aracılığıyla veri aktarımı dahil) şifrelenecektir. Programın hırsızlık modu, herhangi bir grafik verisini video kartının çerçeve arabelleğine yalnızca şifrelenmiş biçimde aktarmanıza olanak tanır, böylece kötü amaçlı kod ekran görüntüsü alıp bunu bilgisayar korsanına gönderemez.

Güvenilir üretici "Accord-AMDZ"nin donanım modülü

ISA (modifikasyon 4.5) veya PCI (modifikasyon 5.0) yuvasına kurulum için tasarlanmış bir donanım denetleyicisidir. "Acord-AMDZ" modülleri, FAT12, FAT 16, FAT32, NTFS, HPFS, UFS, UFS2, EXT2FS, EXT3FS, EXT4FS, QNX 4 dosya sistemi, VMFS Versiyon 3 dosya yapısına sahip her tür işletim sisteminin (OS) korunmasını sağlar .

Modüllerin tüm program kısmı (yönetim işlevleri dahil), veri günlüğü ve denetleyicinin kalıcı belleğindeki depolama konumlarının listesi. Böylece istemcilerin tanımlanması/kimlik doğrulaması, donanım ve yazılımın bütünlüğünün izlenmesi, yönetim ve denetim işlevleri, işletim sistemi kurulmadan önce denetleyicinin kendisi tarafından tamamlanır.

Ana olasılıklar:

  • Gerekli TM tanımlayıcıyı ve 12 karaktere kadar şifreyi kullanarak istemcinin tanımlanması ve doğrulanması;
  • PEOM'un yabancı ülkelerden çekilmesinin engellenmesi;
  • zaman değişimi robotları koristuvachiv;
  • dosyaların, ekipmanın ve kayıtların bütünlüğünün izlenmesi;
  • Müşterilerin oturum açma bilgilerinin kayıt günlüğüne sisteme kaydedilmesi;
  • güvenlik sistemi yönetimi (istemcilerin kaydı, PEOM yazılımı ve donanımının bütünlüğünün izlenmesi).

Ek olasılıklar:

  • fiziksel hatların kontrolü ve engellenmesi;
  • Plastik kartların kimlik kutusunda saklanması için RS-232 arayüzü;
  • kriptografik veriler için anahtar sayıların donanım sensörü;
  • Enerjisiz denetim için ek cihaz.

Güvenilir modül “Kripton kilidi / PCI”

Bilgisayar kullanıcılarının otonom iş istasyonlarının, iş istasyonlarının ve yerel bilgi işlem ağı sunucularının donanım kaynaklarına erişiminin sınırlandırılması ve kontrolüne yönelik uygulamalar. FAT12, FAT16, FAT32 ve NTFS dosya sistemlerini kontrol etmenize olanak tanıyan işletim sistemindeki yazılım ortamının bütünlüğünü izlemenizi sağlar.

özellikler:

  • Ek Dokunmatik Bellek tanımlayıcıları kullanılarak BIOS'u başlatmadan önce kullanıcıların tanımlanması ve kimlik doğrulaması;
  • bilgisayar kaynaklarının ayrılması, cilt sorununa yönelik bireysel ayarlamalar da dahil olmak üzere seçilen cihazdan işletim sisteminin (OS) kullanılması;
  • yetkisiz erişim durumunda bilgisayarın engellenmesi, kişisel hafızada elektronik bir günlük tutulması;
  • nesnelerin sağlama toplamlarının standart değerlerinin güncellenmesi ve sağlama toplamlarının kesin değerlerinin doğrulanması, nesnelerin doğrulama listesinin manyetik bir diske aktarılması / içe aktarılması;
  • Diğer güvenlik sistemlerine (alarm, yangın alarmı vb.) entegrasyon imkanı.
- özel prosedürlerin başarıyla tamamlanmasından sonra çeşitli işletim sistemlerini yalnızca belirli kalıcı ortamların arka planından (örneğin, yalnızca bir sabit sürücüden) korumak amacıyla: PC'nin teknik ve yazılım özelliklerinin bütünlüğünü kontrol etmek (ikincil bir mekanizma ile) bütünlüğün izlenmesi için) ve kullanıcının donanımsal olarak tanımlanması/kimlik doğrulanması.

konseptin temelleri

  • BIOS'un işletim sistemini kontrol ettiği cihazın kontrolü (genellikle bilgisayarın sabit diski, ancak aynı zamanda önemli cihazları, uçtaki ayarları vb. okumak için bir cihaz da olabilir);
  • İşletim sistemi başlatıldığında cihazın özel sektör ve sistem dosyalarının bütünlüğünü ve güvenilirliğini izlemek;
  • Özel sektörün, işletim sistemi sistem dosyalarının şifrelenmesi/şifresinin çözülmesi veya tüm cihaz verilerinin şifrelenmesi (isteğe bağlı).
  • Kimlik doğrulama, şifreleme ve anahtarlar, sağlama toplamları ve karmalar gibi hassas verilerin depolanması donanıma dayalıdır.

kimlik doğrulama

Bir müşterinin kimlik doğrulaması çeşitli şekillerde ve bilgisayar ediniminin çeşitli aşamalarında gerçekleştirilebilir.

Bir kişinin bilgisayarı başlattığını doğrulamak için çeşitli faktörler kullanılabilir:

  • Hesap yöneticisinin gizli kullanıcı adı ve şifresi;
  • Gizli kimlik doğrulama bilgilerini içeren disket, CD, flash kart;
  • Bir bilgisayara USB, seri veya paralel bağlantı noktası aracılığıyla bağlanan bir donanım kilidi;
  • Ek bir donanım modülü kullanılarak bilgisayara okunabilen bir donanım anahtarı veya biyometrik bilgi.

Kimlik doğrulama çok faktörlü olabilir. Ayrıca kimlik doğrulama, bilgisayara erişimde aynı haklara sahip birçok kullanıcı tarafından gerçekleştirilebilir. Böylece, bir kullanıcı işletim sistemini yalnızca sabit sürücüden çalıştırabilirken, bir diğeri CMOS yapılandırmasını değiştirip uygun bir cihazı seçebilecektir.

Kimlik doğrulama şu şekilde gerçekleştirilebilir:

  • BIOS ürün yazılımı güncellemesi başlamak üzere;
  • İşletim sisteminin ana yedekleme kaydını (MBR) veya yedekleme sektörünü değiştirmeden önce;
  • Öncü sektörün programlarında zafer saatinde.

Bu kimlik doğrulamanın yeniliğin çeşitli aşamalarında avantajları vardır.

Güvenilir edinimin aşamaları

Bir bilgisayarın kurulumunun farklı aşamalarında erişim farklı şekillerde yapılandırılabilir ve bu nedenle farklı işlevler olacaktır.

  • Vikonannya BIOS ürün yazılımı. Bu aşamada aşağıdakiler uygulanabilir: BIOS donanım yazılımının bütünlüğünü kontrol etmek, CMOS ayarlarının bütünlüğünü ve orijinalliğini kontrol etmek, kimlik doğrulama (bilgisayarı bir bütün olarak başlatırken koruma veya benzeri (CMOS yapılandırmasını değiştirmekten veya bir kesme seçeneği seçmekten) cihaz), bir kesme cihazının seçimini kontrol eder. Bu değişiklik aşaması, anakart üreticisinin BIOS mikro programındaki değişikliklerin varlığından kaynaklanmaktadır;
  • Kontrolün öğütme ünitesine aktarılması. BIOS'un bu aşamasında yazılıma devam etmek yerine donanımın kontrolünü güvenilir bir yazılım modülüne aktarabilirsiniz. Donanım modülü, kimlik doğrulama işlemini gerçekleştirebilir, özel bir cihaz seçebilir, şifreyi çözebilir ve özel sektörlerin ve işletim sisteminin sistem dosyalarının bütünlüğünü ve güvenilirliğini doğrulayabilir. Bu durumda işletim sisteminin özel sektörünün şifresinin çözülmesi ancak bu aşamada tespit edilebilir. BIOS mikro programı, kontrolü donanım modülüne aktarmaktan sorumludur ve donanım modülü, aygıtı harici sabit sürücüden, yedek aygıttan veya harici aygıttan korumaktan sorumludur;
  • İşletim sisteminin öncü sektörünün Vikonannya'sı. Bu aşamada satıcının bütünlüğünü, güvenilirliğini, işletim sisteminin sistem dosyalarını ve kimlik doğrulamasını da kontrol edebilirsiniz. Ancak kodun derlenmesi, işlevselliğin sınırlarının önemli bir sektörüdür, kodun boyutu ve yerleşimi ile sınırlı olabileceği gibi, işletim sistemi sürücüleri başlatılmadan önce de derlenir.

Vikoristannaya donanım özellikleri

Güvenilir donanım modülleri, saf yazılım bileşenlerine göre önemli avantajlar sunar. Emanet edilen büyünün Ale güvenliği yalnızca donanımla sağlanamaz. Donanım özelliklerinin ana avantajları:

  • Sistem dosyalarının şifreleri, anahtarları ve kontrol toplamları hakkındaki gizli bilgilerin yüksek düzeyde korunması. Böyle bir modülün kararlı robotunun zihninde bu tür bilgileri elde etmenin bir yöntemi yoktur. (Ancak mevcut modüllere yönelik, onların kullanışlılığını ortadan kaldıran saldırılar vardır);
  • Donanım tarafından belirlenen şifreleme algoritmalarının gizliliği mümkündür;
  • Bunun yerine bilgisayarı açmadan başlatmak imkansızdır;
  • Özel sektörün şifrelenmesi durumunda donanım modülü kurulduktan sonra kullanıcının işletim sisteminin başlatılması mümkün değildir;
  • Veriler tamamen şifrelendikten sonra, donanım modülü çıkarıldıktan sonra herhangi bir verinin kurtarılması mümkün değildir.

Diğer donanım özelliklerinin uygulamaları

AMD SVM'si

Piyasaya Intel TXT'den daha önce sunuldu

Intel Güvenilir Yürütme Teknolojisi

Intel'den güvenilir teknoloji.

Bu büyük olasılıkla güvenilir erişimin israfı değil, genel olarak diğer donanım aksesuarlarının kaynaklarının korunmasıdır.

TXT, sanal bilgisayarlarla çalışma da dahil olmak üzere donanım pazarında tamamen yeni bir bilgisayar güvenliği konseptidir.

TXT teknolojisi, bilgi işlemenin sıralı olarak korunan aşamalarından oluşur ve kısaltılmış bir Güvenilir Platform Modülünü temel alır. Sistem güvenli bir programlama koduna dayanmaktadır. Güvenli modda çalışan bir dış görünüm programının bilgisayar kaynaklarına özel erişimi vardır ve yalıtılmış çekirdeğine başka kaynakların eklenmesi mümkün değildir. Korumalı modda çalışmaya yönelik kaynaklar, işlemci ve sistem mantığı tarafından fiziksel olarak görülebilir. Verileri güvenli bir şekilde saklamak, aynı TPM'yi kullanarak şifrelemek anlamına gelir. TPM ile şifrelenmiş veriler yalnızca şifreleme için kullanılan aynı modülden alınabilir.

Intel ayrıca güvenli veri girişi için bir sistem geliştirdi. Olağandışı programlar bilgisayar girişindeki veri akışını takip edemeyecek ve keylogger yalnızca basit bir karakter kümesini kabul edecek ve tüm giriş prosedürleri (USB ve fare tıklamaları aracılığıyla veri aktarımı dahil) şifrelenecektir. Programın hırsızlık modu, herhangi bir grafik verisini video kartının çerçeve arabelleğine yalnızca şifrelenmiş biçimde aktarmanıza olanak tanır, böylece kötü amaçlı kod ekran görüntüsü alıp bunu bilgisayar korsanına gönderemez.

Güvenilir üretici "Acord-AMDZ"nin donanım modülü

PCI / PCI-X / PCI-express / mini PCI / mini PCI-express yuvasına kurulum için tasarlanmış bir donanım denetleyicisidir. "Acord-AMDZ" modülleri, FAT12, FAT 16, FAT32, NTFS, HPFS, UFS, FreeBSD UFS / UFS2, EXT2FS, EXT3FS, EXT4FS, QNX 4 dosya sistemi dosya yapısına sahip her tür işletim sisteminin (OS) korunmasını sağlar, Solaris UFS, MINIX, ReiserFS.

Modüllerin tüm yazılım kısmı (yönetim işlevleri dahil), kayıt günlüğü ve denetleyicinin kalıcı belleğindeki depolama konumlarının listesi. Bu, Zhenya OS teslim edilmeden önce kontrolör tarafından istemcilerin tanımlanması / kimlik doğrulanmasının gerçekleştirilmesi, PEOM'un (RS) teknik ve yazılım özelliklerinin bütünlüğünü kontrol edilmesi, donanım düzeyinde yönetim ve denetim yapılması olanağını sağlayacaktır.

Ana olasılıklar:

  • Müşterinin fiziksel bir elektronik cihaz (kişisel tanımlayıcı) ve en fazla 12 karakterden oluşan bir şifre kullanılarak tanımlanması ve doğrulanması;
  • PEOM'un yabancı ülkelerden çekilmesinin engellenmesi;
  • kontrol prosedürlerinin klavyeden kesintiye uğramasının engellenmesi;
  • kendileri için belirlenen çalışma moduna göre müşterilerin PEOM'a (RS) erişimi için zaman sınırlarının belirlenmesi;
  • bilgisayarın depolama alanının, sistem alanlarının, dosyalarının ve Windows kayıt defterinin bütünlüğünü izlemek;
  • güvenilir işletim sistemi kurulumu aşamasında uygulamaların otomatik olarak günlüğe kaydedilmesi (kontrolörün bağımsız flash belleğinde);
  • bekçi köpeği zamanlayıcısı;
  • güvenlik sistemi yönetimi (istemcilerin kaydı, PEOM yazılımı ve donanımının bütünlüğünün izlenmesi).

Ek olasılıklar:

  • fiziksel hatların kontrolü ve engellenmesi;
  • Plastik kartların kimlik kutusunda saklanması için RS-232 arayüzü;
  • kriptografik veriler için anahtar sayıların donanım sensörü;
  • Enerjisiz denetim için ek cihaz.

Kompleks, güvenlik sınıfı 1D'ye kadar otomatik sistemlerde kullanılabilecek beyan edilen yeteneklerin sayısı üzerinde 2. seviye kontrol için Rusya'nın temel belgelerine (Devlet Teknik Komisyonu) bilgileri yetkisiz erişime karşı korumak için sistemleri harekete geçirmek üzere tasarlanmıştır. dahildir ve otomatik sistemler sınıf 1B'ye kadar oluşturulduğunda istemcilerin tanımlanması/kimlik doğrulanması, yazılım bütünlüğü kontrolü ve donanım ara yazılımı (PC) için kullanılır.

Bilgi işlem teknolojisine yönelik uygulamaların, hassas ve gizli bilgilerin ("tamamen gizli" ve KA1 seviyeleri dahil) güvenilir şekilde edinilmesine yönelik modül.

Zengin şirket grupları için eşit ve farklı düzeylerde sigorta kapsamına ilişkin devam eden çalışmalar, hem merkezi hem de merkezi olmayan yönetim, Maxim-M1 ve BM'nin çalıntı sistemlerdeki yolsuzluklara yönelik evrensel çözümlerinin yönetim planlarının yeniden önem ve desteğini kazanıyor.

Temel fonksiyonlar

PEOM'u ilk başlattığınızda, işletim sistemine geçmeden önce erişimi kontrol eder. İki faktörlü bir yöntem kullanarak müşteriyi tanımlar ve doğrular;

Günlükler silinmez: hesapların gerçekliğinin doğrulanması, bütünlük kontrolü. Kalıcı olmayan depolama için verilerin kaydedilmesi garanti edilir;

veri toplamaya (anahtarlar, hizmet bilgileri) ilişkin terimleri ve anlamları gerçek zamanlı olarak doğrular;

sistemleri koruyan donanım ve yazılım bileşenlerini kontrol eder (RAM, sabit sürücüler, dosya sistemi ve FS günlükleri, Windows kayıt defteri);

Şifre seçimine karşı koruma sağlar.

APM "Maxim-1"in Avantajları

Ticari güvenlik, kişisel veriler ve devlet güvenliğiyle ilgilenen bilgi sistemlerinde bilgi güvenliği için yöneticinin iş istasyonuna kuruluma uygundur.

Uzak bir sunucudaki gizli ve gizli bilgilerle çalışmak için onu disksiz bir iş istasyonuna kurabilirsiniz.

Modül, Windows'un ana istemci sürümleri (2000 / XP / Vista / 7) ve sunucu sürümleri (2003/2008) ile Linux çekirdeği 2.6.x ve 3.x.x ve Astra Linux işletim sistemi tabanlı sistemler için uygundur.

Vikoristanny APMDZ "MAXIM-M1" de Vimoga ve obezhenya

Modülün kurulumu ve düzgün çalışması için donanım ve yazılımın mimariye, şebeke voltajına, kart konfigürasyonuna, BIOS sürümüne, güncellemelerin kurulumuna, donanım bağlantılarına göre eşleştirilmesi gerekir. Modülün sistem içerisinde çalışması sırasında sahiplik ve koruma sınırları belirlenir. Tam liste APMDZ belgelerinde bulunabilir.

Personele Vimogi

DZ modülünün operatörü (yönetici), PEOM ve yeni ekipmanın kurulumu ve yerel bilgisayarlar, sunucular, iş istasyonları ve ince istemcilerdeki otomatik sistemlerin yönetimi dahil olmak üzere ana işletim sistemlerinde çalışabilir.

ViPNet Güvenli Önyükleme- çeşitli üreticilerin UEFI BIOS'una yüklenen, güvenilir bir satıcının (MDZ) yüksek teknolojili yazılım modülünün sertifikasyonu. Saldırı aşamasında ve BIOS'a yapılan saldırılar sırasında bilgisayarları, mobil cihazları, sunucuları (sanallaştırma sunucuları dahil) çeşitli yetkisiz erişim tehditlerine (UNAT) karşı korumak için kullanılır.

Bilgisayarların ve sunucuların korunması, açıldıkları andan itibaren yaptıkları işlemlere bağlıdır. Açtığınız andan işletim sistemi başlayana kadar geçen saat, sisteme bir bütün olarak güvenmenin anahtarıdır. Çok erken aşamalarda büyülenme bir riziktir:

  • Güvensizliğin yönetiminin sahibine devredilmesi;
  • UEFI'de hatalı kodun önlenmesi;
  • Verilerin geri yüklenmesi ve temel kimyasal mekanizmaların devre dışı bırakılması.
Bütün bunlar, işletim sisteminde yüklü olan tüm korumaların ve bilgilerin çalınmasının ortadan kaldırılmasına yol açabilir. Güvenilir koruma modülünün kurulması ViPNet SafeBoot, bilgisayarınızı bu tehditlere karşı korur ve güvenilir bir sistemi çalıştırır.

tanıma:

ViPNet Güvenli Önyüklemeİstemcileri tanımlamak ve kimlik doğrulamak, rollere göre erişimi sınırlamak ve güvenilir işletim sistemlerini düzenlemek için kullanılır. ViPNet Güvenli Önyükleme Cihazlar ve bilgisayarlar için güvenlik düzeyini aşağıdaki standartların ötesine taşır:

  • İşletim sisteminin ana bileşenlerinin edinilmesinden önce BIOS düzeyinde yetkilendirme;
  • İşletim sistemi ve donanım bileşenlerini koruyan BIOS'un bütünlüğünü izlemek;
  • İşletim sisteminin standart olmayan bir kopyasının edinilmesinin engellenmesi.

Vikoristan alfabeleri

ürün ViPNet Güvenli Önyükleme Bunu diğer ViPNet ürünleriyle birlikte veya bu şekilde kullanabilirsiniz. Göz önünde bulundurulabilecek ana görevler şunlardır:
  • Vikonannya FSTEC'ten ceza aldı *:
    • Hükümet bilgi sistemlerini (GIS) korumak için No. 17;
    • Kişisel veri bilgi sistemlerinin (ISPDn) korunmasına ilişkin No. 21;
    • Otomatik proses kontrol sistemlerinin (APCS) korunmasına ilişkin No. 31;
  • UEFI BIOS'lu bilgisayarların veya cihazların kurulumunun ilk aşamalarında yetkisiz erişime karşı koruma.

başarılar

  • Çeşitli cihazların UEFI BIOS'una kurulabilen MDZ yazılımı.
  • Neviluchenya, MDZ'nin donanım departmanının denetimi altında.
  • Yönetim şablonlarını kullanarak MDZ kurulumuna yönelik basitleştirilmiş yöntemler.
  • Tüm modüllerin bütünlüğünü kontrol ederek geliştirilmiş UEFI bütünlük kontrolü.
  • Rus ürünü.

Rusya FSTEC Sertifikası

ViPNet Güvenli Önyüklemeürünü aşağıdaki amaçlarla kullanmanıza olanak tanıyan, sınıf 2'nin temel giriş-çıkarma sisteminin güvenilir düzeydeki kalitesine yönelik kaliteli belgelerin kullanımını destekler:
  • ISPDn'den UZ1'e kadar;
  • GIS 1'inci güvenlik sınıfına kadar;
  • 1. güvenlik sınıfına kadar proses kontrol sistemi dahil.

ViPNet SafeBoot 1.4'teki yenilikler

  1. Hareketsizlik modu - temel yetenek, SafeBoot'un iş istasyonlarında, sunucularda ve donanım platformlarında OEM dağıtımının kullanılabilirliğiyle doğrudan ilgilidir. Ekteki belgede ayrıntılı açıklama.
  2. Güncellenmiş lisanslama sistemi - ürün artık bir seri numarasıyla lisanslanmıştır.
  3. Gelen sertifikalara dayalı yetkilendirme desteği - ürüne ilişkin artan aşinalık. LDAP aracılığıyla da dahil olmak üzere Microsoft CA tarafından sağlanan bir belirteç ve sertifikayı kullanarak yetkilendirme sağlayan sağlayıcılar vardır. Tam da bu nedenlerden dolayı bu kimlik doğrulama yöntemini desteklemeye karar verdik.
  4. JaCarta-2 GOST desteği - kimlik doğrulama için desteklenen anahtar ortamların genişletilmiş listesi.

Infotex, mevcut yetkilileri rahatsız etmeden, önceden bildirimde bulunmaksızın, tedarik edilen ürünlerde (özellikler, mevcut görünüm, bütünlük) değişiklik yapma hakkını saklı tutar.

Suvora iki faktörlü kimlik doğrulama- İstemcinin, x.509 formatında (iki faktörlü) bir sertifika, şifre veya imza içeren ek bir belirteç kullanarak kimlik doğrulaması. Desteklenen tanımlayıcılar:

  • JaCarta PKI
  • Rutoken EDS
  • Rutoken EDS 2.0
  • Rutoken Lite
  • Muhafız Kimliği

rol erişimi

  • Koristuvac.
  • Yönetici.
  • Denetçi.

Bütünlük kontrolü. Platformun güvenilir olması için sistem başlangıcında yüklenen tüm önemli modüllerin değişmediğine dair bir garanti gereklidir. Tom ViPNet Güvenli Önyükleme bütünlüğü doğrular:

  • tüm UEFI BIOS anahtar modülleri;
  • korumalı sabit disk sektörleri;
  • tablo ACPI, SMBIOS, hafıza kartları;
  • FAT32, NTFS, EXT2, EXT3, EXT4 sistemlerine sahip disklerdeki dosyalar (işletim sistemine bağlı olarak ViPNet SafeBoot yüklenir);
  • Windows kayıt defteri;
  • PCI / PCe yapılandırma alanındaki kaynaklar;
  • CMOS (geçici olmayan bellek yerine);
  • işlem tamamlama - NTFS, EXT3, EXT4.

Müşterilerin rahatlığı için Windows işletim sistemi için otomatik uyandırma listeleri olanağı tanıtıldı.

Kişisel güvenlik dergisi. Referans kolaylığı sağlamak amacıyla, çeşitli düzeylerde ayrıntıyla günlüğe çeşitli günlük kaydı modları aktarılmıştır.

mimari

ALTELL TRUST modüler bir mimariye sahiptir. Güvenilir kimlik doğrulama modülünün kendisi, korunan cihaza kurulur, anakartın standart BIOS'unun yerini alır, EEPROM çipinde yapılan değişiklikleri sağlar ve işletim sistemini kurmadan ve rol oyuncularını yükseltmeden önce güvenilir bir BIOS, çok faktörlü kimlik doğrulama sağlar. Uzaktan kontrol modülü kontrol sunucusu üzerinde çalışır ve merkezi yazılım geliştirme ve güncellemeye, güvenlik denetimlerinin gerçekleştirilmesine ve tüm güvenilir güvenlik modüllerinin tek merkezden yönetilmesine olanak tanır.

fizibilite

  • BIOS'un, donanım ve yazılımın, dosya sistemi nesnelerinin bütünlüğünü izlemek;
  • İşletim sistemini kurmadan önce istemcilerin çok faktörlü kimlik doğrulaması;
  • Bileşenlerin, konfigürasyonların, cihaz gruplarının, gerekli yazılım güncellemelerinin, cihazların etkinleştirilmesi/devre dışı bırakılmasının uzaktan yönetimi;
  • Birleşik ince istemci yazılımının (sıfır istemci) çekirdeğindeki Vikoristannaya;

başarılar

  • Rusya'da oluşturulan Vikoristannya BIOS;
  • Yeni tehditlerden korunmaya yönelik ileri yaklaşım;
  • Uzak LDAP / AD sunucularında kimlik doğrulama;
  • Yönetim fonksiyonlarının ayrılması;
  • Uzaktan merkezi yönetim;
  • Her türlü cihaza uyum imkanı;
  • Bir ağ protokolü yığınının uygulanması;
  • Güvenlik koleksiyonunun merkezileştirilmesi;
  • Çalınan cihazdan Nevylucheniya;
  • SSO teknolojisi desteği;
  • PKI altyapı desteği;
  • Güven hipervizörünün başlatılması;
  • MDZ düzeyinde BIOS 2 koruma sınıfı için FSTEC sertifikası.

Durgunluk senaryoları

ALTELL TRUST, işletim sistemlerinin güvenilir güvenliğini, uzak AD / LDAP sunucularındaki istemcilerin çok faktörlü kimlik doğrulamasını, uzaktan merkezi filo yönetimini, korunan cihazları vb. güvenlik bilgilerinin uzaktan merkezi olarak toplanmasını güvence altına almak için kullanılabilir. tek bir ince istemci yazılımı (sıfır istemci konsepti). ALTELL TRUST durgunluk senaryolarının ayrıntılı açıklaması ilgili bölümde verilmektedir.

Rakiplerle karşılaştırma

Rusya pazarında sunulan güvenilir satıcıların geleneksel donanım-yazılım modülleri (APMDZ), bilgi sistemlerinin geliştirilmesinin mevcut aşamasında gerekli yeteneklere sahip değildir. Örneğin, APMDZ'nin bir bilgisayar filosunun günlük izlenmesi ve uzaktan yönetimi işlevlerinde, uzak sunucularda zengin faktörlü kimlik doğrulama desteklenmez, rol tabanlı erişim modeli ve bilgilere zorunlu erişim kontrolü desteklenmez, robotların güvenliği sanal ortamlar garanti edilmez. ALTELL TRUST sonuçta bu görevin başarısı için başından beri dağınık bir yapıya sahip. Bu durumda, NIST ve Güvenilir Bilgi İşlem Grubu kavramının yanı sıra ek iyileştirmeler ve genişletilmiş işlevlerle birlikte benzersiz UEFI Güvenilir Önyükleme teknolojisine dayalı olarak güvenilir erişimi güvence altına almak için yeni yaklaşımlar benimsendi. Sonuç olarak ALTELL TRUST, geleneksel APMDS'den daha güçlü mekanizmalar uygularken aynı zamanda merkezileştirme sistemi yönetimi ve istatistik toplama için bilgi güvenliği altyapısının yönetimine ilişkin maliyetleri de azaltır.

Desteklenen cihazlar

ALTELL TRUST'ın UEFI BIOS düzeyinde uygulanması yoluyla, onu belirli cihaz modellerine uyarlamak gerekir. Önemli tedarikçilerle (Intel, AMD, Lenovo, Panasonic) tamamen uyumlu olan ALTELL TRUST süreci bir saat içinde daha da standartlaştırılır ve sıkıştırılır. Değişiklikler yaparak bir bütün olarak BIOS değil, güvenilir yazılım modülünün kendisi bu şekilde sertifikalandırılır içeri akmıyor Sertifikaların kullanılabilirliği için.

ALTELL TRUST Danimarka'da şunları desteklemektedir:

  • DFI anakartlar (Core i5 işlemci desteği, 1 × Xeon E3);
  • Lenovo ThinkCentre M72z ve M73z monobloklar;
  • Panasonic Toughbook CF-53 dizüstü bilgisayarlar;
  • masaüstü bilgisayarlar Lenovo ThinkCentre M92p ve M93p, ALTELL FORT DT 5/7.

sertifikasyon

Başka bir koruma sınıfının tanıtılması ve tanıtılması için temel sistem seviyesinin güvenilir bir şekilde tanınmasının bir sonucu olarak Rusya'nın FSTEC'inden ALTELL TRUST sertifikaları. Sertifikasyon modülü bir bütün olarak UEFI BIOS değil, güvenilir bir satıcı olduğundan, ALTELL TRUST'ın yeni cihazlara uyarlanması sertifikaların kaldırılmasını etkilemez. Şu anda FSB sertifikası alınmasına yönelik çalışmalar sürüyor.

Bilgi materyalleri

test yapmak

ALTELL TRUST'ın yetenekleriyle ilgileniyorsanız temsilcilerimiz ücretsiz bir gösteri düzenleyebilir.

© 2021 Mobil ve bilgisayar aygıtları