Апмдз что это
Перейти к содержимому

Апмдз что это

  • автор:

Апмдз что это

АПМДЗ КРИПТОН-ЗАМОК

Назначение

АПМДЗ «КРИПТОН-ЗАМОК» — это сертифицированные комплексы аппаратно-программных средств, которые предназначены для обеспечения разграничения и контроля доступа пользователей к техническим средствам вычислительной сети (серверы и рабочие станции), на которых будет обрабатываться информация, в том числе, и с высоким грифом секретности.

Изделия семейства АПМДЗ «КРИПТОН-ЗАМОК» выполняют функции разграничения доступа к аппаратным ресурсам компьютеров, а также контроля целостности установленной на компьютере программной среды под любые ОС, использующие файловые системы FAT12, FAT16, FAT32, NTFS, EXT2, EXT3.

Презентации

АПМДЗ «КРИПТОН-ЗАМОК» как системообразующий модуль

Основные возможности

Идентификация пользователя до запуска BIOS компьютера

Двухфакторная аутентификация пользователя

Блокировка компьютера при НСД

Создание нескольких профилей защиты

Накопление и ведение электронного журнала событий в собственной энергонезависимой памяти

Надежное разграничение ресурсов компьютера

Подсчет эталонных значений контрольных сумм объектов и проверка текущих значений контрольных сумм

Остальные возможности
  • Организация бездисковых рабочих мест на основе встроенного Флеш-диска
  • Защита компьютера от нештатного электрического воздействия на тракт ввода ключевой информации
  • Инициализация устройств шифрования (сетевых шифраторов, абонентских шифраторов, шифраторов жестких дисков серии КРИПТОН)
  • Управление загрузкой операционной системы с жесткого диска
  • Контроль целостности загружаемой программной среды
  • Аппаратная защита от несанкционированной загрузки операционной системы с гибкого диска, CD-ROM, DVD-ROM, USB устройств

Преимущества

  • 01 Организация удаленного централизованного управления позволяет контролировать действия пользователей администратором, настраивать учетные записи, хранить базу данных пользователей на сервере.
  • 02 Возможность разрешить некоторым пользователям осуществлять загрузку ОС с накопителя на гибком магнитном диске (НГМД) или CD ROM. Во всех других случаях изделия «КРИПТОН-ЗАМОК» загружают ОС только через сетевой адаптер, произведенный фирмой «АНКАД», или с одного из накопителей на жёстком диске компьютера, который специально подготовлен администратором.
  • 03 Модульная структура, которая позволяет настраивать и дорабатывать изделия «КРИПТОН-ЗАМОК» под разнообразные требования заказчиков.

ООО Фирма «АНКАД»
Доверенные средства защиты информации, СКЗИ для защиты государственой тайны

Что такое АПМДЗ

АПМДЗ – аппаратно-программный модуль доверенной загрузки. Служит для предотвращения несанкционированного доступа (далее НСД) к информации разных уровней секретности. Регулятор в лице ФСТЭК России предъявляет жесткие требования для защиты от НСД к информации, среди которых обязательное использование СДЗ и МДЗ (средства и модули доверенной загрузки соответственно). Выполнение требований регуляторов в первую очередь необходимо для тех организаций, которые в своей деятельности сталкиваются с обработкой персональных данных и информации, содержащих сведения составляющие государственную тайну, а также необходимостью защиты существующих информационных систем. При невыполнении этих требований регулятор вправе наложить на организацию значительный штраф, а в случае с государственной тайной, помимо штрафа, возможен отзыв лицензии на право обработки такой информации, что приведет к остановке деятельности организации. Для установки и корректной работы МДЗ требуется свободный разъем на материнской плате (для современных компьютеров слот PCI Express, mini-PCI Express, M.2) и незначительный объем памяти жесткого диска защищаемого компьютера. Таким образом, все модули доверенной загрузки обеспечивают выполнение следующих основных функций:

  • Идентификация и аутентификация пользователей до загрузки операционной системы с помощью персональных электронных идентификаторов: USB-ключи, смарт-карты, идентификаторы iButton и др.
  • Контроль целостности программного и аппаратного обеспечения компьютера до загрузки операционной системы.
  • Блокировка несанкционированной загрузки операционной системы с внешних съемных носителей.
  • Функционирование сторожевого таймера, позволяющего блокировать работу компьютера при условии, что после его включения и по истечении определенного времени управление не было передано плате МДЗ.
  • Контроль работоспособности основных компонентов МДЗ: энергонезависимой памяти, идентификаторов, датчика случайных чисел и др.
  • Регистрация действий пользователей и совместная работа с внешними приложениями: датчики случайных чисел, средства идентификации и аутентификации, программные средства защиты информации и др.

Актуальные АПМДЗ в 2022

На сегодняшний день лидирующие позиции на рынке МДЗ занимают изделия «Соболь», «Аккорд-АМДЗ» и «Криптон-Замок». Основные характеристики и отличия модулей представлены в таблице ниже:

Название Семейство ПАК «Соболь» Семейство ПАК СЗИ НСД «Аккорд-АМДЗ» Семейство АПМДЗ «Криптон-Замок»
Производитель Компания «Код Безопасности» ОКБ САПР АНКАД
Стандарт шины компьютера PCI Express, mini-PCI Express, M.2 PCI, PCI–X, PCI-express, mini-PCI-express, M.2 PCI, PCI Express, mini-PCI-Express
Идентификаторы eToken, Rutoken, Смарт-карты – eToken PRO, iButton iButton, ПСКЗИ «Шипка», смарт-карты eToken PRO iButton, Rutoken
Поддерживаемые операционные системы Семейство ОС Windows (x86- и x64-версии) – Server 2008, 7, Vista, Server 2003, XP Professional и более ранние версии
Семейство ОС Linux (x86- и x64-версии) – Mandriva 2008 Spring, Debian 5.0.3/5.0.5, RHEL 4.1, ALT Linux Desktop 4.0.2, ALT Linux Server 4.0.0, Альт Линукс СПТ 6.0, VMware Infrastructure ESX 3.5, VMware vSphere ESX 4.0/4.1, MCBC 3.0
Семейство ОС Unix – FreeBSD 5.3/6.2/6.3/7.2/8.2
Семейство ОС Windows – Vista, Server 2003, XP, 2000, 2000 Server и более ранние версии, QNX, OS/2, Unix, Linux, BSD Windows Server 2003, XP, 2000, NT 4.0, Unix-системы
Поддерживаемые файловые системы NTFS, FAT 32, FAT 16, UFS, UFS2, EXT3, EXT2 NTFS, FAT 32, FAT 16, FAT 12, HPFS, EXT3, EXT2, FreeBSD, Sol86FS, QNXFS, MINIX NTFS, FAT 32, FAT 16, FAT 12, EXT3, EXT2
Контроль целостности Программная среда
Секторы жестких дисков
Системный реестр
Аппаратная конфигурация
Программная среда
Секторы жестких дисков
Системный реестр
Аппаратная конфигурация
Программная среда
Сторожевой таймер Да Да Да
Датчик случайных чисел Да Да Да
Блокировка несанкционированной загрузки ОС Да Да Да
Регистрация событий безопасности Да Да Да
Программная инициализация без вскрытия системного блока Да Нет Нет

Принципы реализации программного модуля доверенной загрузки

btn user btn

На автоматизированных рабочих местах, обрабатывающих конфиденциальную информацию, должны применяться сертифицированные аппаратно-программные модули доверенной загрузки для обеспечения защиты от несанкционированного доступа к информации на этапе начального старта и загрузки операционной системы. Однако в изделиях, применяемых во встраиваемых системах, использование данных модулей не всегда представляется возможным в связи с жёсткими требованиями к габаритам изделия, энергопотреблению и тепловыделению. В рамках данной статьи рассмотрены принципы реализации программного модуля доверенной загрузки ОС, предназначенного для обеспечения защиты от НСД к информации.

В ЗАКЛАДКИ

Введение

  • в случае однопользовательской системы и отсутствия необходимости ввода/вывода информации на внешние носители применяются организационно-режимные (технические) меры защиты, такие как опечатывание корпуса и всех разъёмов для подключения внешних устройств, направленные на защиту от несанкционированной загрузки и считывания защищаемой информации;
  • в случае многопользовательской системы и при необходимости ввода/вывода информации на внешние носители применяются сертифицированные аппаратно-программные средства защиты информации, такие как аппаратно-программные модули доверенной загрузки информации (АПМДЗ) и средства защиты информации от несанкционированного доступа (СЗИ от НСД), обеспечивающие защиту от НСД и замкнутость программной среды [1].
  • проведены исследования по требованиям нормативных документов по безопасности информации в объёме, согласованном с регулятором;
  • гарантирована её целостность и неизменность в составе изделия на период эксплуатации за счёт реализации соответствующих программно-технических и организационно-режимных мер.

Описание принципов программной реализации модуля доверенной загрузки

В настоящее время был проведён ряд научно-технических работ и по их результатам разработан подход, который лишён указанных недостатков. Для реализации данного подхода необходимо обеспечить полное замещение проприетарного ПО BIOS с получением на него исходного кода для возможности встраивания функций МДЗ. При этом ПО BIOS будет реализовывать исключительно базовые (минимально необходимые) функции проприетарного ПО BIOS, достаточные для корректного функционирования процессорной платы, с установленной операционной системы, а передачу управления на загрузчик операционной системы будет осуществлять ПМДЗ, что позволит обеспечить доверенную и максимально быструю загрузку процессорной платы и системы в целом.
Общий алгоритм работы ПО BIOS c функциями ПМДЗ представлен на рис. 1.

По сравнению с алгоритмом работы ПО BIOS процессорной платы, на которой установлен АПМДЗ в виде платы расширения, в описанном случае не требуется осуществлять поиск дополнительного встроенного программного обеспечения (Option ROM) внешней платы АПМДЗ и передавать на него управление, что позволяет исключить угрозы, связанные с перехватом управления и исполнения потенциально опасного ПО с других плат расширения до передачи управления на АПМДЗ.
В рамках указанных работ был проведён анализ существующих свободно распространяемых проектов для замещения ПО BIOS на ПО в исходных кодах с минимальным объёмом бинарных вставок, и по результатам анализа было определено, что наиболее подходящей основой для разработки ПМДЗ является ПО проекта “Coreboot”.
“Coreboot” – это проект по созданию свободной прошивки ПО BIOS. Основной целью проекта является получение минимальной прошивки, достаточной для быстрой и полной инициализации аппаратного обеспечения, необходимой для правильного его функционирования, по возможности свободной от бинарных вставок.
Анализ функциональных возможностей ПО проекта “Coreboot” показал, что оптимальным местом для встраивания ПМДЗ является полезная нагрузка (payload), так как её программная реализация не привязана к аппаратному обеспечению процессорной платы и собирается отдельно от ПО “Coreboot”.
В настоящее время существуют различные типы полезной нагрузки, в которые возможно встроить функции защиты МДЗ:

  • отечественная ЗОСРВ «Нейтрино» (разработчик – ООО «СВД Встраиваемые системы») или ядро Linux может использоваться в качестве полезной нагрузки и может быть встроена в микросхему ПЗУ вместе с бинарным кодом проекта “Coreboot”. При этом ЗОСРВ «Нейтрино» удовлетворяет требованиям к средствам вычислительной техники (СВТ) по 3-му классу защиты информации от несанкционированного доступа и может быть использована при создании автоматизированных систем, имеющих класс защищённости до 1Б включительно;
  • SeaBIOS или GRUB2 может использоваться для загрузки ОС Astra Linux, МСВС и семейства Windows [3].

По результатам изучения ПО проекта “Coreboot” и его апробирования в процессе замещения проприетарного ПО BIOS на нескольких процессорных платах отечественного производителя ЗАО «НПФ «ДОЛОМАНТ» была разработана технология замещения проприетарного ПО BIOS, которая позволяет получить исходный код на ряд современных аппаратных платформ фирмы Intel и обеспечить возможность встраивания в его ПО ПМДЗ.
При этом наличие исходного кода проекта “Coreboot” позволяет выполнить его анализ на предмет наличия программных ошибок и опасных функциональных возможностей и в случае обнаружения либо исключить их, либо встроить в состав функции доверенной загрузки, такие как аутентификацию пользователей, в том числе с использованием внешних считывателей информации, контроль целостности ПО BIOS и системных файлов ОС, журналирование событий [4]. Наличие исходного кода и минимального объёма бинарных вставок позволяет повысить уровень доверия к ПО BIOS и существенно сократить объёмы и сроки проведения работ по обеспечению корректного встраивания ПМДЗ в ПО BIOS и получить соответствующие разрешительные документы.
Таким образом, по результатам рассмотрения возможности программной реализации функций доверенной загрузки сделан вывод, что в настоящее время возможно разработать ПО BIOS на базе свободно распространяемого ПО проекта “Coreboot”, реализующее функции доверенной загрузки ОС. Реализация программного модуля доверенной загрузки на основе ПО проекта “Coreboot” является оптимальным подходом, позволяющим в дальнейшем провести анализ ПО BIOS с функциями ПМДЗ на соответствие требованиям по информационной безопасности.

Практическое применение

В первую очередь замещение ПО BIOS и реализация функций ПМДЗ планируется на компьютерном модуле CPC1311 производства ЗАО «НПФ «ДОЛОМАНТ» (рис. 2).
Модуль CPC1311 выполнен в формате COM Express mini (тип 10). Изделие ориентировано на российских OEM-заказчиков нестандартных вычислителей для использования в системах повышенной ответственности, а также функционирующих в жёстких условиях окру­жающей среды.
Модуль CPC1311 построен на базе многоядерного процессора в индустриальном исполнении Intel Atom семейства Bay Trail с 64-разрядной архитектурой. Отличительными особенностями этих процессоров являются крайне низкое энергопотребление (до 10 Вт), поддержка памяти ЕСС и мощный графический контроллер. В СРС1311 используются два исполнения процессора: высокопроизводительное на базе 4-ядерного процессора E3845 с частотой 1,91 ГГц и малопотребляющее на базе 2-ядерного E3825 с частотой 1,33 ГГц. «Обвязка» процессора в виде 4 Гбайт оперативной памяти DDR3L с поддержкой EEC и твердотельного диска 8 Гбайт позволяет использовать изделие в качестве самодостаточного встраиваемого компьютера, способного решать большинство прикладных задач.
Мультимедийные возможности СРС1311 включают в себя видеоконтроллер с интерфейсом LVDS (разрешение до 2560×1600 пикселей) и современный аудиокодек класса HD. Встроенные в процессор функции декодирования видео позволяют применять модуль в системах, связанных с обработкой мультимедийных потоков.
Через разъёмы высокой плотности разработчикам доступен большой арсенал высокоскоростных интерфейсов: 1×Gb Ethernet, 5×USB 2.0, 1×USB 3.0, 2×SATA II, 3×PCIе x1 (дополнительно одна линия PCIе может быть получена вместо Gb Ethernet). Из дополнительных возможностей следует отметить встроенную поддержку шины CAN 2.0, востребованную в системах реального времени, прежде всего, на транспорте.
Все компоненты CPC1311 напаяны на плату, что обеспечивает высокую стойкость изделия к ударным и вибрационным нагрузкам. По заказу модуль поставляется с влагозащитным покрытием. Диапазон рабочих температур СРС1311 –40…+85°С.
Применение процессоров из встраиваемой линейки Intel гарантирует российским потребителям длительную доступность СРС1311 – до 15 лет стандартно и более по отдельному договору.
СРС1311 поддерживает наиболее популярные операционные системы: Linux 3.8, Microsoft Windows Embedded Standard 7 и 8, QNX 6.х, а также Astra Linux и ЗОСРВ «Нейтрино».

Заключение

В данной статье были рассмотрены принципы реализации программного модуля доверенной загрузки операционных систем в ПО BIOS, реализованного на базе свободно распространяемого ПО проекта “Coreboot”, и описан компьютерный модуль CPC1311 производства ЗАО «НПФ «ДОЛОМАНТ», для которого планируется реализация функций ПМДЗ в ПО BIOS.
По результатам рассмотрения принципов реализации программного модуля доверенной загрузки можно заключить, что в настоящее время возможно разработать ПО BIOS на базе свободно распространяемого ПО проекта “Coreboot”, реализующее функции доверенной загрузки ОС. Реализация программного модуля доверенной загрузки на основе ПО проекта “Coreboot” является оптимальным подходом, позволяющим в дальнейшем провести анализ ПО BIOS с функциями ПМДЗ на соответствие требованиям информационной безопасности. ●

Литература

1. Лыдин С.С. О средствах доверенной загрузки для аппаратных платформ с UEFI BIOS // Вопросы защиты информации. – 2016. – № 3.
2. Счастный Д.Ю. Перспективы развития средств доверенной загрузки. Взгляд разработчика // Вопросы защиты информации. – 2017. – № 3.
3. Zimmer V., Sun J., Jones M., et al. Embedded Firmware Solutions: Development Best Practices for the Internet of Things. – NY : Apress Open, 2015.
4. Чепанова Е.Г. Формирование критериев сравнения модулей доверенной загрузки // Вопросы защиты информации. – 2014. – № 4.

Апмдз что это

Сегодня 16.11.2023 г.

  • | Главная
  • Продукты
  • СЗИ от НСД
  • АПМДЗ «КРИПТОН-ЗАМОК»
  • | Главная
  • | О компании
    • Контакты
    • Лицензии
    • Партнеры
    • Ссылки
    • Новости
    • КриптоВеб
    • Защищенный Электронный Документооборот
    • Virtual Private Network
    • Консультационные услуги
    • Электронная подпись
    • ФГИС Росаккредитации
    • ФИС ФРДО и ФИС ГИА и Приема
    • ГосСОПКА
    • СКЗИ
    • СЗИ от НСД
    • Сетевая безопасность
    • Средства управления ИБ
    • Отечественное ПО
    • Договоры-оферты
    • Нормативные документы
    • Регламенты
    • Публикации
    • Термины
    • Программы обучения

    АПМДЗ «КРИПТОН-ЗАМОК»

    АПМДЗ «КРИПТОН-ЗАМОК» — это сертифицированные комплексы аппаратно-программных средств, которые предназначены для обеспечения разграничения и контроля доступа пользователей к техническим средствам вычислительной сети (серверы и рабочие станции), на которых будет обрабатываться информация, в том числе, и с высоким грифом секретности.

    Изделия семейства АПМДЗ «КРИПТОН-ЗАМОК» выполняют функции разграничения доступа к аппаратным ресурсам компьютеров, а также контроля целостности установленной на компьютере программной среды под любые ОС, использующие файловые системы FAT12, FAT16, FAT32, NTFS, EXT2, EXT3.

    Основные возможности

    • Идентификация пользователя до запуска BIOS компьютера;
    • Двухфакторная аутентификация пользователя
    • Создание нескольких профилей защиты;
    • Надежное разграничение ресурсов компьютера
    • Блокировка компьютера при НСД
    • Накопление и ведение электронного журнала событий (в собственной энергонезависимой памяти)
    • Наличие аппаратного датчика случайных чисел (ДСЧ)
    • Подсчет эталонных значений контрольных сумм объектов и проверка текущих значений контрольных сумм

    Остальные возможности

    • Организация бездисковых рабочих мест на основе встроенного Флеш-диска;
    • Защита компьютера от нештатного электрического воздействия на тракт ввода ключевой информации;
    • Инициализация устройств шифрования (сетевых шифраторов, абонентских шифраторов, шифраторов жестких дисков серии КРИПТОН);
    • Управление загрузкой операционной системы с жесткого диска;
    • Контроль целостности загружаемой программной среды;
    • Аппаратная защита от несанкционированной загрузки операционной системы с гибкого диска, CD-ROM, DVD-ROM, USB устройств.

    Преимущества

    • Организация удаленного централизованного управления позволяет контролировать действия пользователей администратором, настраивать учетные записи, хранить базу данных пользователей на сервере;
    • Возможность разрешить некоторым пользователям осуществлять загрузку ОС с накопителя на гибком магнитном диске (НГМД) или CD ROM. Во всех других случаях изделия «КРИПТОН-ЗАМОК» загружают ОС только через сетевой адаптер, произведенный фирмой «АНКАД», или с одного из накопителей на жёстком диске компьютера, который специально подготовлен администратором;
    • Модульная структура, которая позволяет настраивать и дорабатывать изделия «КРИПТОН-ЗАМОК» под разнообразные требования заказчиков.

    Одна из главных отличительных особенностей Изделия М-526 («КРИПТОН-ЗАМОК») — это его модульная структура, которая позволяет настраивать и дорабатывать его под разнообразные требования заказчиков.

    «КРИПТОН-ЗАМОК» поставляется в нескольких модификациях:

    — АПМДЗ «КРИПТОН-ЗАМОК/К» (М-526А) — многоконтурная модель, предназначенная для создания нескольких контуров безопасности. Устройство осуществляет загрузку конфигурации компьютера в соответствии с индивидуальными настройками системы для каждого пользователя, разделяет пользователей по физическим дискам (информация одного пользователя не доступна другому) и сетевым контурам.

    — АПМДЗ «КРИПТОН-ЗАМОК/У» (М-526Б в составе СРД «КРИПТОН-ЩИТ») — предназначен для работы с модулями криптографической защиты информации.

    — АПМДЗ «КРИПТОН-ЗАМОК/E» — модификация изделия для шины PCI Express. В ней реализован ряд новых возможностей, включая удаленное управление.

    — АПМДЗ «КРИПТОН-ЗАМОК/mini» — модификация изделия для шины Mini PCI-E.

    Для работы комплекса необходимо дополнительное приобретение ключевых носителей iButton (Touch Memory).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *