Код безопасности. Иван Бойцов. "Как обеспечить комплексную защиту на 5-ти уро...
Report
Share
1 of 33
Download to read offline
More Related Content
Модуль доверенной загрузки "Соболь". Новая версия флагманского продукта
1. Модуль доверенной загрузки «Соболь».
Новая версия флагманского продукта.
Демонстрация работы
вебинар, 26 апреля 2016 г.
Менеджер по продукту
Бурым Андрей
2. ЧТО ТАКОЕ ПАК «СОБОЛЬ»?
ПАК «Соболь»
ПАК «Соболь»
Лидер рынка аппаратно-программных модулей
доверенной загрузки (АПМДЗ) с наиболее широким
списком поддерживаемых аппаратных платформ и
операционных систем
• защиты конфиденциальной информации, персональных данных,
гостайны (гриф «Совершенно Секретно»).
• предотвращения доступа неавторизованных пользователей к
информации, обрабатываемой на компьютере.
• информирования администратора комплекса о всех важных
событиях ИБ.
• предоставления случайных чисел прикладному ПО.
Предназначен для:
4. СЕРТИФИКАТЫ ПАК «СОБОЛЬ»
Сертификат ФСТЭК №1967
СДЗ. ПР 2, в АС до класса 1Б государственная
тайна с грифом «совершенно секретно»),
включительно, ГИС до 1 класса и ИСПДн до
УЗ1 включительно
Сертификат ФСБ №СФ/527-2623
АПМДЗ до 1Б (государственная тайна с
грифом «совершенно секретно»)
5. СООТВЕТСТВИЕ ФСТЭК РОССИИ
Электронный замок «Соболь» может применяется:
• Для защиты конфиденциальной информации и защиты государственной тайны до класса 1Б включительно (гриф «Совершенно
Секретно»)
• В государственных информационных системах (ГИС) согласно приказу ФСТЭК России №17
• В информационных системах обработки персональных данных (ИСПДн), согласно приказу ФСТЭК России №21
Продукт 1Д 1Г 1В (Секретно) 1Б (Совершенно секретно)
Электронный замок
«Соболь»
Продукт Класс защищенности
1 2 3 4
Электронный замок
«Соболь»
Продукт Уровень защищенности ИСПДн
УЗ1 УЗ2 УЗ3 УЗ4
Электронный замок
«Соболь»
6. НАМ ДОВЕРЯЮТ
Федеральное
казначейство
России
Федеральная
налоговая
служба России
Федеральная
таможенная
служба России
Министерство
юстиции
Российской Федерации
Федеральный
фонд обязательного
медицинского
страхования
Центральная
избирательная
комиссия Российской
Федерации
Министерство
внутренних дел
Российской
Федерации
Федеральная
служба безопасности
Российской
Федерации
Министерство
обороны
Российской
Федерации
Центральный банк
Российской Федерации
ПАО «Сбербанк» ПАО «ВТБ24»
ГК «Ростех» АО «Российские
космические системы»
ПАО «ГМК «Норильский
никель»
Государственная корпорация
по атомной энергии
«Росатом»
ПАО «Газпром» ОАО «АК «Транснефть» ОАО «НК «Роснефть»
ГОСУДАРСТВЕННЫЕ ОРГАНИЗАЦИИ: ТЕЛЕКОММУНИКАЦИОННЫЕ КОМПАНИИ:СИЛОВЫЕ СТРУКТУРЫ:
ФИНАНСОВЫЕ ОРГАНИЗАЦИИ:
ПРОМЫШЛЕННЫЕ ПРЕДПРИЯТИЯ: ПРЕДПРИЯТИЯ ТЭК:
Федеральная
служба охраны
Российской
Федерации
ГКНПЦ им.
М.В. Хруничева
АО «Страховая группа МСК»АО «Газпромбанк» ПАО «Банк «Возрождение»
ГК «АКАДО Телеком» АО «Воентелеком»
ГК «Внешэкономбанк»
ПАО «Ростелеком»
9. ПАК «СОБОЛЬ»
ВОЗМОЖНОСТИ
ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ
В качестве персональных
идентификаторов пользователей могут
применяться:
• iButton
• eToken PRO и eToken PRO (Java)
• Rutoken
• iKey 2032
• Смарт-карты eToken PRO
БЛОКИРОВКА ЗАГРУЗКИ ОС СО СЪЕМНЫХ НОСИТЕЛЕЙ
После успешной загрузки штатной копии ОС доступ к этим
устройствам восстанавливается. Запрет распространяется
на всех пользователей компьютера, за исключением
администратора.
10. ПАК «СОБОЛЬ»
ВОЗМОЖНОСТИ
СТОРОЖЕВОЙ ТАЙМЕР
Механизм сторожевого таймера обеспечивает блокировку
доступа к компьютеру при условии, что после включения
компьютера и по истечении заданного интервала времени
управление не передано комплексу «Соболь».
РЕГИСТРАЦИЯ ПОПЫТОК ДОСТУПА К ПЭВМ
Электронный замок «Соболь» осуществляет ведение
системного журнала, записи которого хранятся в
специальной энергонезависимой памяти:
• факт входа пользователя и имя пользователя;
• предъявление незарегистрированного
идентификатора;
• ввод неправильного пароля;
• превышение числа попыток входа в систему;
• дата и время регистрация событий НСД.
11. ПАК «СОБОЛЬ»
ВОЗМОЖНОСТИ
КОНТРОЛЬ ЦЕЛОСТНОСТИ СИСТЕМНОГО РЕЕСТРА WINDOWS
Данная возможность позволяет контролировать неизменность
системного реестра Windows, что существенно повышает
защищённость рабочих станций от несанкционированных
действий внутри операционной системы.
КОНТРОЛЬ ЦЕЛОСТНОСТИ ПРОГРАММНОЙ СРЕДЫ
Используемый в комплексе "Соболь" механизм контроля
целостности позволяет контролировать неизменность файлов
и физических секторов жесткого диска до загрузки
операционной системы, а также файловых систем: NTFS, FAT
32, FAT 16, UFS, UFS2, EXT3, EXT2, EXT4 в ОС семейства Linux и
MS Windows.
КОНТРОЛЬ КОНФИГУРАЦИИ
Возможность контролировать неизменность конфигурации
компьютера – PCI-устройств, ACPI, SMBIOS и оперативной
памяти. Данная возможность существенно повышает защиту
Вашей рабочей станции.
15. ЧТО НОВОГО? ПАК «СОБОЛЬ» 3.0.9
Новая плата PCI Express, которая может
применяться в мини-корпусах и существенно
повышает надежность работы сторожевого
таймера.
Работа практически на всех ОС семейства Windows
и Linux, в том числе – в устаревших версиях.
Добавлена поддержка дистрибутивов:
• МСВС 5.0;
• «Альт Линукс» 7.0 Кентавр x32/64;
• Astra Linux Special Edition «Смоленск» 1.4 х64;
• Mandriva РОСА «Никель» x86/x64.
17. МОДЕЛЬНЫЙ РЯД
Габариты: 50 мм x 120 мм
Интерфейс: PCI
Габариты: 65 мм x 140 мм
Интерфейс: PCI Express
Габариты: 50 мм x 30 мм
Интерфейс: Mini PCI Express
Габариты: 26 мм x 30 мм
Интерфейс: Mini PCI Express
Формат платы: Mini PCI Express HalfМОДЕЛЬНЫЙ РЯД
Габариты: 57 мм x 80 мм
Интерфейс: PCI Express
18. МОДЕЛЬНЫЙ РЯД
Дополнительный адаптер для
платы формата
Mini PCI Express с кронштейном
Устройство блокировки питания
для реализации функции
сторожевого таймера.
Одобрено ФСБ России.
Внутренний считыватель
МОДЕЛЬНЫЙ РЯД
19. МОДЕЛЬНЫЙ РЯД
Дополнительный адаптер для
платы формата
Mini PCI Express с кронштейном
Устройство блокировки питания
для реализации функции
сторожевого таймера.
Одобрено ФСБ России
МОДЕЛЬНЫЙ РЯД
21. ПОРЯДОК РАБОТЫ
/при появлении этого экрана следует сообщить:/
На начальном этапе ПАК «Соболь» перехватывает управление у
BIOS компьютера. Далее комплексу необходимо определить, кто
пытается получить доступ к информации, то есть
идентифицировать пользователя и наделить его необходимыми
правами (аутентифицировать).
Если ПАК «Соболь» не получил управление (например,
нарушитель зашёл в BIOS и пытается отключить работу «Соболя»),
то через заданный интервал времени Сторожевой таймер
комплекса воздействует на механизм Reset компьютера,
перезагружая его.
Программно-аппаратный комплекс "Соболь". Версия 3.0
До окончания входа в систему: 1 мин. 20 сек.
А
Предъявите персональный идентификатор . . .
22. ПОРЯДОК РАБОТЫ
Идетификация и аутентификация пользователей производится
по идентификаторам (iButton, eToken PRO (Java), Rutoken,
iKey 2032 или смарт-карты eToken PRO).
Далее происходит регистрация событий безопасности системы.
Все факты предъявления идентификаторов, неправильный ввод
пароля пользователем, администрирование пользователей и
другие события регистрируются и записываются в электронную
память самой платы. /на экране фрагмент электронного
журнала/
23. ПОРЯДОК РАБОТЫ
Блокировка загрузки операционных систем (ОС) со съемных
носителей
На начальном этапе загрузки ПАК «Соболь» перехватывает
управление всеми устройствами ввода-вывода, в том числе USB-
портами, и не позволяет загрузиться нештатной ОС.
После успешной загрузки штатной копии ОС доступ к этим
устройствам восстанавливается. Запрет распространяется на всех
пользователей компьютера, за исключением администратора,
чтобы в случае сбоя, администратор имел возможность
загрузиться со съёмного носителя (например, с флэшки или с
компакт-диска) и восстановить работоспособность системы.
24. ПОРЯДОК РАБОТЫ
Контроль целостности файлов и секторов жесткого диска
В случае изменения контролируемых файлов или секторов
жёсткого диска например, при вирусном заражении) ПАК
«Соболь» остановит загрузку и потребует вмешательства
администратора комплекса.
Также загрузка будет остановлена в случае изменения
контролируемых веток реестра Windows (появление или
удаление программного обеспечения, изменение параметров),
или при добавлении новых устройств. /здесь следует
продемонстрировать процесс контроля целостности с
бегущими процентами/
25. ПОРЯДОК РАБОТЫ
В ПАК «Соболь» реализован Аппаратный датчик случайных
чисел (ДСЧ), построенный на шумовых диодах. Датчик одобрен
ФСБ и используется для генерации паролей и ключей.
26. ПОРЯДОК РАБОТЫ
После успешного прохождения всех проверок, управление
передаётся загрузчику доверенной операционной системы и
загрузка компьютера продолжается. /здесь следует
продемонстрировать процесс старта ОС/
29. ЧТО ДАЛЬШЕ?
ПАК «Соболь» версия 3.1/3.2 - ФСБ России
март 2016/октябрь 2016
• Вывод на рынок двух плат: PCI-E на
элементной базе Mini PCI-E и платы Mini
PCI-E Half с сертификатом ФСБ.
• Поддержка новых операционных систем.
ПАК «Соболь» 4.0.0
I полугодие 2017 года
• Функционирование в среде UEFI на
существующих платах PCI, PCI-E, Mini PCI-E
и Mini PCI-E Half Size, поддержка GPT.
30. ОБНОВЛЕНИЕ НА НОВУЮ ВЕРСИЮ
Техническая поддержка – важная
составляющая эксплуатации продукта.
Доступ к пакетам обновлений в рамках
основной версии продукта.
Специальные условия на приобретение новых
версий продукта в рамках расширенного и VIP-
пакетов техподдержки.
Следите за акциями и спецпредложениями.
31. ТЕХНИЧЕСКАЯ ПОДДЕРЖКА
Пакет поддержки
Каталог услуг
Доступность услуги
Приоритет
Выделенный инженер (для проведения работ)
Присутствие инженера на площадке заказчика
Консультирование по дополнительному функционалу продукта
Консультирование по установке и использованию продукта
Регистрация обращений на веб-портале
Специальные условия на приобретение новых версий продукта
Доступ на форум по продукту и базе знаний
Доступ к пакетам обновлений
Личный кабинет на веб-портале
Информирование о доступных обновлениях продукта по запросу
Прием предложений по улучшению продукта
24х7, e-mail,
телефон
24х7, e-mail,
телефон
8x5, e-mail,
телефон
8x5, e-mail,
телефон
Самый высокий
приоритет
обслуживания
Высокий
приоритет
обслуживания
Средний
приоритет
обслуживания
Низкий
приоритет
обслуживания
VIP Расширенный Стандартный Базовый
32. http://www.securitycode.ru/
• Подробное описание продуктов
• Техническая документация
• Листовки, презентации, сертификаты
• Онлайн-калькулятор для расчета стоимости
Для авторизованных партнеров компании «Код Безопасности»
доступен закрытый раздел с дополнительными материалами
УЗНАТЬ ПОДРОБНЕЕ