Транспортный эксперт
Транспортный эксперт

Сайт для начинающих и опытных автомобилистов

Аппаратно-программный модуль доверенной загрузки “центурион-м”

Опубликовано: Советы
Аппаратно-программный модуль доверенной загрузки “центурион-м”

Рынок средств доверенной загрузки в России

На современном российском рынке информационной безопасности представлено множество СДЗ и МДЗ российского производства. Это связано с тем, что отечественные производители на этапе разработки и производства своих решений руководствуются требованиями регуляторов и стремятся выполнять требования действующего законодательства в области защиты информации. Выполнение этих требований позволяет вендорам сертифицировать во ФСТЭК и ФСБ России свои продукты, что впоследствии дает возможность использовать их в информационных системах для обработки информации различных категорий конфиденциальности. Необходимость использования сертифицированных ФСТЭК решений МДЗ и СДЗ и является главной причиной их востребованности на российском рынке. Что же касается СДЗ и МДЗ зарубежного производства, то их на российском рынке практически нет, а те единичные экземпляры которые встречаются, имеет смысл использовать только на персональных компьютерах. Это связано с тем, что в решениях СДЗ и МДЗ зарубежных производителей не реализованы необходимые требования российского законодательства в области информационной безопасности, поэтому в рамках данной статьи мы их рассматривать не будем.

С 1 января 2014 года ФСТЭК России установил требования, предъявляемые к средствам доверенной загрузки (приказ ФСТЭК России от 27.09.2013 года № 119), однако этот приказ имеет ограничительную пометку «для служебного пользования», что означает отсутствие его в свободном доступе. Поэтому приходится довольствоваться информационным сообщением ФСТЭК России от 06.02.2014 г. № 240/24/405 «Об утверждении Требований к средствам доверенной загрузки», в котором регулятор выделяет следующие типы СДЗ:

  • средства доверенной загрузки уровня базовой системы ввода-вывода;
  • средства доверенной загрузки уровня платы расширения;
  • средства доверенной загрузки уровня загрузочной записи.

Для каждого типа СДЗ определено 6 классов защиты (класс 1 — самый высокий, класс 6 — самый низкий). Чем выше класс, тем больше требований к нему предъявляется, и его использование возможно в системах более высокого класса.

ФСТЭК России ввел такое понятие, как профили защиты СДЗ, которые соответствуют конкретному типу и классу защиты СДЗ. Профиль защиты — это набор обязательных требований, выполнение которых необходимо для сертификации продукта. В таблице 1 приведена спецификация профилей защиты.

Таблица 1. Спецификация профилей защиты СДЗ

Решения СДЗ и МДЗ представлены в программном и программно-аппаратном исполнении. Основное отличие — это использование платы расширения в программно-аппаратных комплексах.

Так как рынок СДЗ и МДЗ возник под влиянием требований регуляторов, то принципиальной характеристикой продукта является не только наличие минимально обязательного набора функциональных возможностей, но и соответствие типу доверенной загрузки и классу защиты, а следовательно и выполнение требований, указанных в соответствующих профилях защиты СДЗ, утвержденных ФСТЭК России.

В настоящее время среди основных игроков рынка сертифицированных СДЗ и МДЗ можно выделить:

  • Aladdin TSM (компания «Аладдин Р.Д.»);
  • АПМДЗ «Криптон-замок» (компания «АНКАД»);
  • ALTELL TRUST (компания «АльтЭл»);
  • SafeNode System Loader (компания «Газинформсервис», пришел на смену «Блокхост-МДЗ»);
  • ViPNet SafeBoot (компания «ИнфоТеКС»);
  • СЗД Dallas Lock (компания «Конфидент»);
  • СЗИ НСД «Аккорд-АМДЗ», МДЗ «Аккорд-МКТ» и СЗИ НСД «Инаф» (ОКБ САПР);
  • ПАК «Соболь» (компания «Код Безопасности»);
  • АПМДЗ «Максим-М1» (НПО «РусБИТех»);
  • АПМДЗ «Центурион» (ЦНИИ ЭИСУ);
  • МДЗ-Эшелон (НПО «Эшелон»);
  • ПК ЭЗ «Витязь» (компания «Крафтвей»).

Что же касается прогноза на будущее российского рынка в области СДЗ и МДЗ, то можно предположить, что он продолжит планомерно расти. В первую очередь рынок будет подогревать необходимость выполнения постоянно увеличивающихся требований регуляторов в области защиты информации. В качестве примера можно привести принятые требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 г. № 17 (с учетом изменений, внесенных приказом ФСТЭК России от 15.02.2017 г. № 27). Этот приказ вводит меру защиты УПД.17, в соответствии с которой использование доверенной загрузки в средствах вычислительной техники входит в базовый набор мер защиты для ГИС 1 и 2 классов защищенности.

Обзор средств и модулей доверенной загрузки

“Аладдин Р.Д.” — отечественный разработчик продуктов информационной безопасности, является крупным поставщиком средств аутентификации. Компания основана в 1995 году. Основной вектор развития направлен на создание средств двухфакторной аутентификации пользователей, средств защиты баз данных и персональных данных, шифрование дисков, папок и съемных носителей с системой централизованного управления.

Встраиваемый модуль безопасности Aladdin TSM применяется для так называемой “стерилизации” ARM-процессоров серии i.MX6 компании NXP/Freesale.

Данный модуль аппаратно разделяет ARM-процессор на две изолированные друг от друга области — Secure World и Normal World. Позволяет запущенным в них приложениям работать независимо друг от друга на одном ядре процессора и набора периферии. Модуль заменяет загрузчик операционной системы на свой собственный доверенный загрузчик Secure OS, находящийся в Secure World.

Рисунок 1. Интерфейс Aladdin TSM. Режим администрирования

Рисунок 2. Интерфейс Aladdin TSM. Пользовательский режим

В состав Aladdin TSM входит:

  • модуль доверенной загрузки, реализующий функции электронного замка. Удовлетворяет требованиям регулятора к средствам доверенной загрузки уровня BIOS второго класса защиты (до государственной тайны со степенью секретности “Совершенно секретно”);
  • криптографический модуль, реализующий набор российских криптоалгоритмов и протоколов, используется как доверенное приложение (трастлет) в изолированной доверенной среде TrustZone с аппаратным доверенным хранилищем ключей;
  • модуль доверенного ввода и вывода, позволяет цветами (зеленый/красный) отображать режим (безопасный/опасный) ввода и вывода информации;
  • модуль централизованного управления, позволяющий при помощи системы JaCarta Management System (JMS) дистанционно управлять ключами и сертификатами, загрузкой доверенных приложений, безопасно обновлять прошивку железа, просматривать журналы аудита.

Модуль безопасности разделяет пользователей на пользователей системы безопасности и администратора системы безопасности. После встраивания Aladdin TSM доступ к настройкам возможен только администратору системы безопасности.

Основные возможности:

  • аутентификация пользователей до загрузки операционной системы с использованием только пароля или пароля и USB-токена JaCarta;
  • защита данных от несанкционированного доступа, утечек, искажения и перехвата;
  • доверенная загрузка операционной системы Linux и операционных систем на основе Linux, Android и Sailfish;
  • возможность встраивания в существующие разработки;
  • проверка целостности объектов операционной системы перед ее загрузкой;
  • регистрация событий безопасности системы в соответствующих журналах;
  • механизм удаленного управления; возможность локального и удаленного обновления модуля.

В первую очередь этот продукт предназначен для разработчиков и производителей электронной техники и системных интеграторов.

Эта технология дает возможность использовать современное и эффективное оборудование там, где необходимо обеспечить высокий уровень безопасности, например в КИИ, АСУ ТП, в навигационном и коммуникационном оборудовании.

Особенности средств доверенной загрузки

Для наглядности в этом разделе попытаемся проанализировать основные характеристики рассмотренных СЗД и МДЗ в табличной форме. К основным параметрам сравнения отнесем: вид СДЗ по типу изготовления, тип СДЗ по классификации ФСТЭК России, поддерживаемые интерфейсы платы расширения СДЗ, наличие сертификатов, поддержка UEFI, используемый пользовательский интерфейс, необходимость установки агента в систему, поддерживаемые идентификаторы, прочие особенности.

Таблица 2. Особенности представленных в России средств доверенной загрузки СДЗ и МДЗ

Параметр сравнения Aladdin TSM АПМДЗ “Криптон-замок” ALTELL TRUST SafeNode System Loader ViPNet SafeBoot СДЗ Dallas Lock ПАК “Соболь”
Вид СДЗ по типу изготовления Программный модуль Плата расширения Программный модуль Программный модуль Программный модуль Плата расширения Плата расширения
Тип СДЗ по классификации ФСТЭК России СДЗ уровня базовой системы ввода-вывода СДЗ уровня платы расширения СДЗ уровня базовой системы ввода-вывода СДЗ уровня базовой системы ввода-вывода СДЗ уровня базовой системы ввода-вывода СДЗ уровня платы расширения СДЗ уровня платы расширения
Поддерживаемые интерфейсы платы расширения СДЗ PCI, PCI-express, Mini PCI-express PCIExpress, miniPCIExpress и M.2. PCI, PCI Express, Мin PCI Express, Mini PCI Express Half Size и M.2
Наличие сертификатов соответствия регуляторов В процессе получения ФСТЭК России ФСБ России ФСТЭК России; в процессе получения ФСБ России В процессе получения ФСТЭК России ФСТЭК России ФСТЭК, МО России ФСТЭК ФСБ, МО России
Поддержка UEFI Да Нет Да Да Да Да Да
Используемый пользовательский интерфейс Графический Текстовый Текстовый Текстовый Текстовый Графический Графический
Необходимость установки агента в систему Нет Да Да Да Да Да Да
Поддерживаемые идентификаторы USB-токен JaCarta iButton (Touch Memory) и Smartcard eToken PRO (Java), смарт-карты, Rutoken ЭЦП JaCarta PKI, ГОСТ (USB-носитель и смарт-карта), JaCarta PKI/ГОСТ, JaCarta-2 ГОСТ (USB-носитель и смарт-карта), Рутокен ЭЦП, ЭЦП 2.0 (USB-носитель и смарт-карта), Рутокен Lite, 2151, ЭЦП PKI (смарт-карта), eToken Pro Java, SafeNet eToken 5100, SafeNet eToken 5105, 5200, 5205 JaCartaPKI, Rutoken ЭЦП, Rutoken ЭЦП 2.0, RutokenLite, GuardantID USB-ключи и смарт-карты Aladdin eTokenPro / Java, Рутокен, eSmart, JaCarta, электронные ключи Touch Memory USB-ключи eToken PRO, eToken PRO (Java), Rutoken, Rutoken RF, Rutoken ЭЦП, Rutoken Lite, JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta SF/ГОСТ, Guardant-ID, смарт-карты eToken PRO, eToken PRO (Java), Rutoken ЭЦП, Rutoken Lite, JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, электронная карта и iButton DS1992 – DS1996
Прочие особенности Применим только для ARM-процессоров, встраивание модуля происходит на этапе производства или в лабораторных условиях Модульная структура продукта позволяет строить защищенные сети Может использоваться в качестве единственного ПО в тонких клиентах Необходима консультация с представителями компании-разработчика при установке продукта Беспроводный (программный) сторожевой таймер в дополнение к аппаратному. Возможность подключения датчика вскрытия корпуса. Собственные часы для генерации меток времени. Сохранение настроек и журналов в энергонезависимой памяти. Централизованное управление через Сервер безопасности Dallas Lock (без агента). Возможность программной инициализации без вскрытия системного блока, централизованное управление пользователями через Secret Net Studio

Похожие записи:

  1. Редуктор мотоблока
  2. Вылетает 2 передача ваз 2112: причины и способы устранения
  3. Дроссельная заслонка шевроле нивы и вопросы с ней связанные
  4. Адаптация дроссельной заслонки ниссан альмера
0
Понравилась статья? Поделиться с друзьями:
Транспортный эксперт

Похожие записи:

  1. Редуктор мотоблока
  2. Вылетает 2 передача ваз 2112: причины и способы устранения
  3. Дроссельная заслонка шевроле нивы и вопросы с ней связанные
  4. Адаптация дроссельной заслонки ниссан альмера
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.