Android. Operacinė sistema. Multimedija. Socialinė žiniasklaida. Įrankiai. Kodekai. Grafikos menai
Ar tu čia: » »

Patikimi įkrovos įrankiai ir moduliai. ALTELL TRUST – apsauga nuo neteisėtos prieigos Patikimas įkrovos modulis, ką jis daro

Architektūra

ALTELL TRUST turi modulinę architektūrą. Pats patikimas įkrovos modulis yra įdiegtas apsaugotuose įrenginiuose, pakeičiant standartinę BIOS pagrindinė plokštė, esantis EEPROM mikroschemoje ir užtikrina patikimą BIOS įkrovą, išankstinį OS kelių faktorių autentifikavimą ir vaidmenimis pagrįstos prieigos strategijų laikymąsi. Modulis nuotolinio valdymo pultas yra įdiegtas valdymo serveryje ir leidžia centralizuotai diegti ir atnaujinti programinę įrangą, atlikti saugos auditą ir valdyti visus patikimus įkrovos modulius iš vieno centro.

Galimybės

  • BIOS, techninės ir programinės įrangos aplinkos, failų sistemos objektų vientisumo stebėjimas;
  • Daugiafaktoris vartotojo autentifikavimas prieš paleidžiant OS;
  • Nuotolinis vartotojų, konfigūracijų, įrenginių grupių valdymas, programinės įrangos atnaujinimų atsisiuntimas, apsaugotų įrenginių įjungimas/išjungimas;
  • Plonojo kliento (nulio kliento) naudojimas kaip vienintelė programinė įranga;

Privalumai

  • Rusijoje sukurtos BIOS naudojimas;
  • Aktyvus požiūris į apsaugą nuo naujų grėsmių;
  • Autentifikavimas nuotoliniuose LDAP/AD serveriuose;
  • Valdymo funkcijų atskyrimas;
  • Nuotolinis centralizuotas valdymas;
  • Gebėjimas prisitaikyti prie bet kokio tipo įrenginių;
  • Integruotas kaminas tinklo protokolai;
  • Centralizuotas saugumo įvykių rinkimas;
  • Neišimamas iš apsaugoto įrenginio;
  • SSO technologijų palaikymas;
  • PKI infrastruktūros palaikymas;
  • Integruotas patikimas hipervizorius;
  • FSTEC sertifikatas, skirtas BIOS lygio MDZ apsaugos klasei 2.

Taikymo scenarijai

ALTELL TRUST gali būti naudojamas patikimiems atsisiuntimams teikti Operacinės sistemos, kelių faktorių vartotojo autentifikavimas nuotoliniuose AD/LDAP serveriuose, nuotolinis centralizuotas saugomų įrenginių parko valdymas, nuotolinis centralizuotas saugos įvykių rinkimas, taip pat veikia kaip vienintelė programinė įranga. ploni klientai(nulio kliento koncepcija). Išsamus aprašymas ALTELL TRUST taikymo scenarijai pateikti atitinkamame skyriuje.

Palyginimas su konkurentais

Tradiciniai aparatinės ir programinės įrangos patikimi įkrovos moduliai (HTLM), pristatyti adresu Rusijos rinka, neturi pajėgumų, reikalingų dabartiniame kūrimo etape Informacinės sistemos. Pavyzdžiui, APMDZ trūksta kompiuterių parko stebėjimo ir nuotolinio valdymo funkcijų ir nepalaiko kelių veiksnių autentifikavimo. nuotoliniai serveriai, netaikomas vaidmenimis pagrįstas prieigos modelis ir privaloma prieigos prie informacijos kontrolė, negarantuojamas darbo virtualiose aplinkose saugumas. Priešingai, ALTELL TRUST iš pradžių buvo sukurtas šioms problemoms spręsti. Tuo pačiu metu buvo naudojami modernūs patikimo įkrovimo užtikrinimo metodai, pagrįsti UEFI Trusted Boot technologijų naudojimu, naudojant pakeistas ir išplėstas funkcijas, taip pat NIST ir Trusted Computing Group koncepcijas. Dėl to ALTELL TRUST įdiegia galingesnius apsaugos mechanizmus nei tradicinė APMS, tuo pačiu sumažindama infrastruktūros administravimo išlaidas. informacijos saugumas centralizuojant valdymą ir statistikos rinkimą.

Palaikomi įrenginiai

Dėl ALTELL TRUST įdiegimo patentuotu UEFI BIOS lygiu, jis turi būti pritaikytas konkrečių modelių apsaugoti prietaisai. Bendradarbiaujant su pagrindiniais tiekėjais (Intel, AMD, Lenovo, Panasonic), ALTELL TRUST kūrimo procesas yra kiek įmanoma standartizuotas ir taupo laiką. Kadangi sertifikuotas pats patikimas įkrovos modulis, o ne visa BIOS, atliekami pakeitimai neturi įtakos dėl sertifikatų.

ALTELL TRUST šiuo metu palaiko:

  • DFI pagrindinės plokštės (parama Pagrindiniai procesoriai i5, 1× Xeon E3);
  • viskas viename Lenovo ThinkCentre M72z ir M73z;
  • Panasonic Toughbook CF-53 nešiojamieji kompiuteriai;
  • staliniai kompiuteriai Lenovo ThinkCentre M92p ir M93p, ALTELL FORT DT 5/7.

Sertifikavimas

ALTELL TRUST yra sertifikuotas Rusijos FSTEC kaip patikimo pagrindinio įvesties-išvesties sistemos lygio įkėlimo antroje apsaugos klasėje priemonė. Kadangi sertifikuotas patikimas įkrovos modulis, o ne visa UEFI BIOS, ALTELL TRUST pritaikymas naujiems įrenginiams nepadarys negaliojančių gautų sertifikatų. Šiuo metu vyksta FSB sertifikato gavimo darbai.

Informacinė medžiaga

Testavimas

Jei jus domina ALTELL TRUST galimybės, mūsų specialistai gali surengti nemokamą jo demonstravimą.

„ViPNet SafeBoot“.- sertifikuotas aukštųjų technologijų programinės įrangos modulis Patikimas įkrovimas (TDB) įdiegtas UEFI Įvairių BIOS gamintojų. Sukurta apsaugoti jūsų kompiuterį, mobiliuosius įrenginius, serverius (įskaitant virtualizacijos serverius) nuo įvairių neteisėtos prieigos grėsmių (ATT) įkrovos etape ir nuo atakų prieš BIOS.

Kompiuterių ir serverių apsauga turi galioti nuo jų įjungimo momento. Laikas nuo įjungimo iki operacinės sistemos pradžios yra labai svarbus norint pasitikėti visa sistema. Labai ankstyvose pakrovimo stadijose yra rizika:

  • Valdymo perkėlimas į nepatikimą įkrovos tvarkyklę;
  • Kenkėjiško kodo įkėlimas į UEFI;
  • Duomenų perėmimas ir pagrindinių saugos mechanizmų išjungimas.
Visa tai gali paskatinti apeiti visas operacinėje sistemoje įdiegtas saugumo priemones ir pavogti informaciją. ViPNet SafeBoot patikimo įkrovos modulio įdėjimas apsaugo jūsų kompiuterį nuo šių grėsmių ir sistema tampa patikima.

Paskirtis:

„ViPNet SafeBoot“. sukurta siekiant nustatyti ir autentifikuoti vartotojus, diferencijuoti prieigą pagal vaidmenis, taip pat organizuoti patikimą operacinės sistemos įkėlimą. „ViPNet SafeBoot“. Padidina įrenginių ir kompiuterių saugumo lygį:

  • Autorizacija BIOS lygiu, prieš įkeliant pagrindinius operacinės sistemos komponentus;
  • Stebėti BIOS vientisumą, apsaugotus operacinės sistemos komponentus ir aparatūra;
  • Nestandartinės operacinės sistemos kopijos įkėlimo blokavimas.

Naudojimo atvejai

Produktas „ViPNet SafeBoot“. gali būti naudojamas tiek kartu su kitais ViPNet produktais, tiek atskirai. Pagrindinės problemos, kurias galima išspręsti:
  • FSTEC užsakymų* reikalavimų laikymasis:
    • Nr.17 dėl valstybės informacinių sistemų (GIS) apsaugos;
    • Nr. 21 dėl asmens duomenų informacinių sistemų apsaugos (ISPDn);
    • #31 gynyboje automatizuotos sistemos procesų valdymas (APCS);
  • Apsauga nuo neteisėtos prieigos ankstyviausiuose kompiuterių ar įrenginių su UEFI BIOS paleidimo etapais.

Privalumai

  • Programinė įranga MDZ su galimybe įdiegti į UEFI BIOS įvairių gamintojų.
  • Neišimamas, priešingai nei MDZ aparatinės įrangos versijos.
  • Supaprastinti MDZ nustatymo metodai naudojant administravimo šablonus.
  • Visiška UEFI vientisumo kontrolė tikrinant visų jo modulių vientisumą.
  • Rusijos gaminys.

Rusijos FSTEC sertifikatas

„ViPNet SafeBoot“. atitinka reglamentuojančių dokumentų reikalavimus, keliamus patikimiems 2 klasės pagrindinio įvesties/išvesties sistemos lygio įkrovimo įrankiams, todėl gaminį galima naudoti statant:
  • ISPDn iki UZ1 imtinai;
  • GIS iki 1 saugumo klasės imtinai;
  • Procesų valdymo sistema iki 1 saugumo klasės imtinai.

Kas naujo ViPNet SafeBoot 1.4

  1. Miego režimas yra pagrindinė funkcija, skirta patogiai OĮG pristatyti SafeBoot į darbo vietas ir serverius, kuriuos atlieka aparatinės įrangos platformų gamintojai. Išsamus aprašymas pridedamame dokumente.
  2. Licencijavimo sistemos įdiegimas – dabar produktas licencijuotas pagal serijos numerį.
  3. Autorizacijos palaikymas naudojant vakarietiškus sertifikatus – darbo su produktu patogumo padidinimas. Kai kurie klientai naudoja autorizaciją naudodami „Microsoft CA“ išduotą prieigos raktą ir sertifikatą, įskaitant per LDAP. Būtent dėl ​​šios priežasties nusprendėme palaikyti šį autentifikavimo metodą.
  4. „JaCarta-2 GOST“ palaikymas - palaikomų pagrindinių laikmenų, skirtų autentifikuoti, sąrašo išplėtimas.

InfoTecs pasilieka teisę keisti tiekiamus gaminius (specifikacijas, išvaizda, užbaigtumas), kurie nepablogina jo vartojimo savybių.

Griežtas dviejų veiksnių autentifikavimas – Vartotojo autentifikavimas naudojant prieigos raktą su x.509 sertifikatu (dviejų faktorių), slaptažodžiu arba abiejų deriniu. Palaikomi ID:

  • JaCarta PKI
  • Rutoken EDS
  • Rutoken EDS 2.0
  • Rutoken Lite
  • Sargo ID

Vaidmenimis pagrįsta prieiga

  • Vartotojas.
  • Administratorius.
  • Revizorius.

Vientisumo kontrolė. Kad platforma būtų patikima, jai reikia garantijos, kad visi svarbūs moduliai, įkelti paleidžiant sistemą, yra nepakitę. Štai kodėl „ViPNet SafeBoot“. tikrina vientisumą:

  • visi pagrindiniai UEFI BIOS moduliai;
  • batas kietieji sektoriai diskas;
  • ACPI, SMBIOS lentelės, atminties paskirstymo žemėlapiai;
  • failus diskuose su FAT32, NTFS, EXT2, EXT3, EXT4 sistemomis (ViPNet SafeBoot nesvarbu, kokia operacinė sistema įdiegta);
  • Windows registras;
  • PCI/PCe konfigūracijos erdvės ištekliai;
  • CMOS (nelakios atminties turinys);
  • operacijų užbaigtumas – NTFS, EXT3, EXT4.

Vartotojų patogumui atsirado galimybė automatiškai kurti Windows OS valdymo sąrašus.

Apsaugos įvykių žurnalas. Patogumui yra keli registravimo režimai skirtingi lygiai detalizuojant.

Koncepcijos pagrindai

  • Įrenginio, iš kurio BIOS pradeda įkelti OS, valdymas (dažniausiai kompiuterio standusis diskas, bet tai gali būti ir skaitymo įrenginys nuimama laikmena, tinklo atsisiuntimai ir pan.);
  • Stebėti įrenginio įkrovos sektoriaus ir veikiančios OS sistemos failų vientisumą ir patikimumą;
  • Šifravimas / iššifravimas įkrovos sektorius, sistemos failai OS arba visų įrenginio duomenų šifravimas (neprivaloma).
  • Slaptų duomenų, tokių kaip raktai, kontrolinės sumos ir maišos, autentifikavimas, šifravimas ir saugojimas atliekamas aparatinėje įrangoje.

Autentifikavimas

Galima atlikti vartotojo autentifikavimą Skirtingi keliai ir skirtinguose kompiuterio įkrovos etapuose.

Norint patvirtinti kompiuterio paleidimo priemonės tapatybę, gali prireikti įvairių veiksnių:

  • Slaptas vartotojo prisijungimas ir slaptažodis;
  • Diskelis, kompaktinis diskas, „flash“ kortelė su slapta autentifikavimo informacija;
  • Aparatūros raktas, prijungtas prie kompiuterio per USB, nuoseklųjį arba lygiagretųjį prievadą;
  • Aparatūros raktas arba biometrinė informacija nuskaitoma kompiuteryje naudojant atskirai pagamintą aparatūros modulį.

Autentifikavimas gali būti kelių veiksnių. Autentifikavimas taip pat gali būti kelių vartotojų su bendromis prieigos prie kompiuterio teisėmis. Taigi, vienas vartotojas galės paleisti operacinę sistemą su kietasis diskas, o kitas galės pakeisti CMOS konfigūraciją ir pasirinkti įkrovos įrenginį.

Autentifikavimas gali įvykti:

  • BIOS programinės įrangos vykdymo metu;
  • Prieš įkeliant pagrindinį įkrovos įrašą (MBR) arba operacinės sistemos įkrovos sektorių;
  • Vykdant įkrovos sektoriaus programą.

Autentifikavimas įvairiuose įkrovos etapuose turi savo privalumų.

Patikimi įkrovos žingsniai

Įvairiuose kompiuterio įkrovos etapuose galima atlikti patikimą įkrovą įvairiomis priemonėmis, todėl turės skirtingas funkcijas.

  • Vykdoma BIOS programinė įranga. Šiame etape galima įgyvendinti: BIOS programinės aparatinės įrangos vientisumo patikrinimą, CMOS nustatymų vientisumo ir autentiškumo patikrinimą, autentifikavimą (apsaugą nuo viso kompiuterio paleidimo arba tik nuo CMOS konfigūracijos pakeitimo ar įkrovos įrenginio pasirinkimo) , įkrovos įrenginio pasirinkimo valdymas. Šį įkrovos veiksmą BIOS programinėje įrangoje turi atlikti pagrindinės plokštės gamintojas;
  • Perkelkite valdymą į įkrovos įrenginį. Šiuo metu BIOS, užuot tęsusi paleidimą, gali perduoti valdymą aparatinės įrangos patikimam įkrovos moduliui. Aparatūros modulis gali atlikti autentifikavimą, įkrovos įrenginio pasirinkimą, iššifravimą ir įkrovos sektorių bei operacinės sistemos failų vientisumo ir galiojimo patikrinimą. Tokiu atveju operacinės sistemos įkrovos sektoriaus iššifravimas gali būti atliktas tik šiame etape. BIOS programinė įranga turi palaikyti valdymo perdavimą į aparatūros modulį arba aparatinės įrangos modulis turi emuliuoti atskirą įkrovos įrenginys, pagamintas kaip standusis diskas, keičiama laikmena arba tinklo įkrovos įrenginys;
  • Operacinės sistemos įkrovos sektoriaus vykdymas. Šiame etape taip pat galima patikrinti vientisumą, įkrovos įkroviklio galiojimą, operacinės sistemos failus ir autentifikavimą. Tačiau įkrovos sektoriaus vykdomojo kodo funkcionalumas yra ribotas dėl to, kad jis turi apribojimų kodo dydžiui ir vietai, taip pat veikia prieš operacinės sistemos tvarkykles.

Aparatūros naudojimas

Aparatine įranga patikimi įkrovos moduliai turi didelių pranašumų, palyginti su grynais programinės įrangos įrankiais. Tačiau patikimo įkrovimo užtikrinti negalima vien tik naudojant aparatinę įrangą. Pagrindiniai techninės įrangos pranašumai:

  • Aukštas saugumo lygis įslaptinta informacija apie slaptažodžius, raktus ir kontrolines sumas sistemos failai. Tokio modulio stabilaus veikimo sąlygomis tokios informacijos gauti nėra galimybės. (Tačiau yra žinomos kai kurios esamų modulių atakos, kurios sutrikdo jų funkcionalumą);
  • Galimas aparatinėje įrangoje vykdomų šifravimo algoritmų slaptumas;
  • Nesugebėjimas paleisti kompiuterio neatidarius jo turinio;
  • Jei įkrovos sektorius yra užšifruotas, vartotojo operacinės sistemos paleisti neįmanoma net pašalinus aparatūros modulį;
  • Esant visiškam duomenų šifravimui, pašalinus aparatūros modulį, jokių duomenų gauti neįmanoma.

Esamos aparatūros pavyzdžiai

„Intel“ patikima vykdymo technologija

Patikima „Intel“ vykdymo technologija.

Labiau tikėtina, kad tai nėra patikimo atsisiuntimo priemonė, o veikiau bet kokių atskirų programų išteklių apsauga aparatinės įrangos lygmeniu.

TXT yra visiškai nauja kompiuterių saugumo aparatinės įrangos lygmeniu koncepcija, įskaitant darbą su virtualiais kompiuteriais.

TXT technologija susideda iš nuosekliai apsaugotų informacijos apdorojimo etapų ir yra pagrįsta patobulintu TPM moduliu. Sistema pagrįsta saugiu vykdymu programos kodas. Kiekviena programa, veikianti apsaugotu režimu, turi išskirtinę prieigą prie kompiuterio išteklių ir jokia kita programa negali trukdyti jos izoliuotai aplinkai. Išteklius darbui apsaugotu režimu fiziškai paskirsto procesorius ir sistemos logikos rinkinys. Saugus duomenų saugojimas reiškia jų šifravimą naudojant tą patį TPM. Bet kokius TPM užšifruotus duomenis iš laikmenos galima gauti tik naudojant tą patį modulį, kuris atliko šifravimą.

„Intel“ taip pat sukūrė saugią duomenų įvedimo sistemą. U kenkėjiška programa nebus galimybės sekti duomenų srauto prie kompiuterio įvesties, o klavišų registratorius gaus tik beprasmį simbolių rinkinį, nes visos įvesties procedūros (įskaitant duomenų perdavimą per USB ir net pelės paspaudimus) bus užšifruotos. Aplikacijos apsaugotas režimas leidžia perkelti bet kokius grafinius duomenis į vaizdo plokštės kadrų buferį tik šifruotu pavidalu, todėl kenkėjiškas kodas negalės padaryti ekrano kopijos ir nusiųsti jos įsilaužėliui.

Patikimas aparatūros įkrovos modulis „Accord-AMDZ“

Tai aparatinės įrangos valdiklis, skirtas montuoti į ISA (4.5 modifikacija) arba PCI (5.0 modifikacija) lizdą. Accord-AMDZ moduliai užtikrina patikimą bet kokio tipo operacinių sistemų (OS) įkėlimą failo struktūra FAT12, FAT 16, FAT32, NTFS, HPFS, UFS, UFS2, EXT2FS, EXT3FS, EXT4FS, QNX 4 failų sistema, VMFS 3 versija.

Visa programinė modulių dalis (įskaitant administravimo įrankius), įvykių žurnalas ir vartotojų sąrašas yra nuolatinėje valdiklio atmintyje. Taigi, vartotojo identifikavimo/autentifikavimo, aparatinės įrangos vientisumo stebėjimo ir funkcijos programinės įrangos aplinka, administravimą ir auditą atlieka pats valdiklis prieš įkeldamas OS.

Pagrindinės funkcijos:

  • vartotojo identifikavimas ir autentifikavimas naudojant TM identifikatorių ir slaptažodį iki 12 simbolių ilgio;
  • blokuoti kompiuterio įkėlimą iš išorinės laikmenos;
  • riboti vartotojo darbo laiką;
  • bylų, įrangos ir registrų vientisumo stebėjimas;
  • vartotojų prisijungimų įrašymas į žurnalą;
  • apsaugos sistemos administravimas (vartotojo registracija, kompiuterio programinės ir techninės įrangos vientisumo stebėjimas).

Papildomos funkcijos:

  • fizinių linijų valdymas ir blokavimas;
  • RS-232 sąsaja, skirta naudoti plastikines korteles kaip identifikatorių;
  • aparatūros jutiklis atsitiktiniai skaičiai kriptografinėms programoms;
  • papildomas nepastovus audito įrenginys.

Patikimas įkrovos modulis „Krypton-lock/PCI“

Sukurta atskirti ir valdyti vartotojo prieigą prie autonominių darbo stočių, darbo stočių ir vietinių serverių aparatinės įrangos išteklių kompiuterinis tinklas. Leidžia stebėti programinės įrangos aplinkos vientisumą naudojant operacines sistemas failų sistemos FAT12, FAT16, FAT32 ir NTFS.

Ypatumai:

  • vartotojų identifikavimas ir autentifikavimas prieš paleidžiant BIOS naudojant Touch Memory identifikatorius;
  • kompiuterio resursų atribojimas, priverstinis operacinės sistemos (OS) įkėlimas iš pasirinkto įrenginio pagal individualius kiekvieno vartotojo nustatymus;
  • blokuoti kompiuterį neteisėtos prieigos metu, tvarkyti elektroninį įvykių žurnalą savo nepastovioje atmintyje;
  • objektų kontrolinių sumų atskaitos verčių apskaičiavimas ir esamų kontrolinių sumų verčių tikrinimas, patikrintų objektų sąrašo eksportavimas/importavimas į diskelį magnetinį diską;
  • galimybė integruoti į kitas apsaugos sistemas (signalizacija, priešgaisrinė apsauga ir kt.).
- tai įvairių operacinių sistemų įkėlimas tik iš iš anksto nustatytos nuolatinės laikmenos (pavyzdžiui, tik iš standžiojo disko) sėkmingai atlikus specialias procedūras: patikrinus techninių ir programinė įranga PC (naudojant laipsnišką vientisumo kontrolės mechanizmą) ir aparatinės įrangos identifikavimas / vartotojo autentifikavimas.

Koncepcijos pagrindai

  • Įrenginio, iš kurio BIOS pradeda įkelti OS, valdymas (dažniausiai kompiuterio standusis diskas, bet tai gali būti ir keičiamos laikmenos skaitytuvas, paleidimas per tinklą ir pan.);
  • Stebėti įrenginio įkrovos sektoriaus ir veikiančios OS sistemos failų vientisumą ir patikimumą;
  • Įkrovos sektoriaus, OS sistemos failų šifravimas / iššifravimas arba visų įrenginio duomenų šifravimas (neprivaloma).
  • Slaptų duomenų, tokių kaip raktai, kontrolinės sumos ir maišos, autentifikavimas, šifravimas ir saugojimas atliekamas aparatinėje įrangoje.

Autentifikavimas

Vartotojo autentifikavimas gali būti atliekamas įvairiais būdais ir įvairiais kompiuterio įkrovos etapais.

Norint patvirtinti kompiuterio paleidimo priemonės tapatybę, gali prireikti įvairių veiksnių:

  • Slaptas vartotojo prisijungimas ir slaptažodis;
  • Diskelis, kompaktinis diskas, „flash“ kortelė su slapta autentifikavimo informacija;
  • Aparatūros raktas, prijungtas prie kompiuterio per USB, nuoseklųjį arba lygiagretųjį prievadą;
  • Aparatinės įrangos raktas arba biometrinė informacija nuskaitoma kompiuteryje naudojant atskirai pagamintą aparatūros modulį.

Autentifikavimas gali būti kelių veiksnių. Autentifikavimas taip pat gali būti kelių vartotojų su bendromis prieigos prie kompiuterio teisėmis. Taigi, vienas vartotojas galės paleisti operacinę sistemą tik iš standžiojo disko, o kitas – pakeisti CMOS konfigūraciją ir pasirinkti įkrovos įrenginį.

Autentifikavimas gali įvykti:

  • BIOS programinės įrangos vykdymo metu;
  • Prieš įkeliant pagrindinį įkrovos įrašą (MBR) arba operacinės sistemos įkrovos sektorių;
  • Vykdant įkrovos sektoriaus programą.

Autentifikavimas įvairiuose įkrovos etapuose turi savo privalumų.

Patikimi įkrovos žingsniai

Skirtinguose kompiuterio įkrovos proceso etapuose patikimas įkrovimas gali būti atliekamas skirtingomis priemonėmis, todėl jos funkcionalumas bus skirtingas.

  • Vykdoma BIOS programinė įranga. Šiame etape galima įgyvendinti: BIOS programinės aparatinės įrangos vientisumo patikrinimą, CMOS nustatymų vientisumo ir autentiškumo patikrinimą, autentifikavimą (apsaugą nuo viso kompiuterio paleidimo arba tik nuo CMOS konfigūracijos pakeitimo ar įkrovos įrenginio pasirinkimo) , įkrovos įrenginio pasirinkimo valdymas. Šį įkrovos veiksmą BIOS programinėje įrangoje turi atlikti pagrindinės plokštės gamintojas;
  • Perkelkite valdymą į įkrovos įrenginį. Šiuo metu BIOS, užuot tęsusi paleidimą, gali perduoti valdymą aparatinės įrangos patikimam įkrovos moduliui. Aparatūros modulis gali atlikti autentifikavimą, įkrovos įrenginio pasirinkimą, iššifravimą ir įkrovos sektorių bei operacinės sistemos failų vientisumo ir galiojimo patikrinimą. Tokiu atveju operacinės sistemos įkrovos sektoriaus iššifravimas gali būti atliktas tik šiame etape. BIOS programinė įranga turi palaikyti valdymo perdavimą aparatūros moduliui arba aparatinės įrangos modulis turi emuliuoti atskirą įkrovos įrenginį, pagamintą kaip standusis diskas, keičiama laikmena arba tinklo įkrovos įrenginys;
  • Operacinės sistemos įkrovos sektoriaus vykdymas. Šiame etape taip pat galima patikrinti vientisumą, įkrovos įkroviklio galiojimą, operacinės sistemos failus ir autentifikavimą. Tačiau įkrovos sektoriaus vykdomojo kodo funkcionalumas yra ribotas dėl to, kad jis turi apribojimų kodo dydžiui ir vietai, taip pat veikia prieš operacinės sistemos tvarkykles.

Aparatūros naudojimas

Aparatine įranga patikimi įkrovos moduliai turi didelių pranašumų, palyginti su grynais programinės įrangos įrankiais. Tačiau patikimo įkrovimo užtikrinti negalima vien tik naudojant aparatinę įrangą. Pagrindiniai techninės įrangos pranašumai:

  • Aukštas slaptos informacijos apie slaptažodžius, raktus ir sistemos failų kontrolines sumas saugumas. Tokio modulio stabilaus veikimo sąlygomis tokios informacijos gauti nėra galimybės. (Tačiau yra žinomos kai kurios esamų modulių atakos, kurios sutrikdo jų funkcionalumą);
  • Galimas aparatinėje įrangoje vykdomų šifravimo algoritmų slaptumas;
  • Nesugebėjimas paleisti kompiuterio neatidarius jo turinio;
  • Jei įkrovos sektorius yra užšifruotas, vartotojo operacinės sistemos paleisti neįmanoma net pašalinus aparatūros modulį;
  • Esant visiškam duomenų šifravimui, pašalinus aparatūros modulį, jokių duomenų gauti neįmanoma.

Esamos aparatūros pavyzdžiai

AMD SVM

Pradėtas naudoti metais prieš Intel TXT

„Intel“ patikima vykdymo technologija

Patikima „Intel“ vykdymo technologija.

Labiau tikėtina, kad tai nėra patikimo atsisiuntimo priemonė, o veikiau bet kokių atskirų programų išteklių apsauga aparatinės įrangos lygmeniu.

TXT yra visiškai nauja kompiuterių saugumo aparatinės įrangos lygmeniu koncepcija, įskaitant darbą su virtualiais kompiuteriais.

TXT technologija susideda iš nuosekliai apsaugotų informacijos apdorojimo etapų ir yra pagrįsta patobulintu patikimos platformos moduliu. Sistema pagrįsta saugiu programos kodo vykdymu. Kiekviena programa, veikianti apsaugotu režimu, turi išskirtinę prieigą prie kompiuterio išteklių ir jokia kita programa negali trukdyti jos izoliuotai aplinkai. Išteklius darbui apsaugotu režimu fiziškai paskirsto procesorius ir sistemos logikos rinkinys. Saugus duomenų saugojimas reiškia jų šifravimą naudojant tą patį TPM. Bet kokius TPM užšifruotus duomenis iš laikmenos galima gauti tik naudojant tą patį modulį, kuris atliko šifravimą.

„Intel“ taip pat sukūrė saugią duomenų įvedimo sistemą. Kenkėjiška programa negalės sekti duomenų srauto kompiuterio įvestyje, o klavišų kaupiklis gaus tik beprasmį simbolių rinkinį, nes visos įvesties procedūros (įskaitant duomenų perdavimą per USB ir net pelės paspaudimus) bus užšifruotos. Aplikacijos apsaugotas režimas leidžia perkelti bet kokius grafinius duomenis į vaizdo plokštės kadrų buferį tik šifruotu pavidalu, todėl kenkėjiškas kodas negalės padaryti ekrano kopijos ir nusiųsti jos įsilaužėliui.

Patikimas aparatūros įkrovos modulis „Accord-AMDZ“

Tai aparatinės įrangos valdiklis, skirtas montuoti į PCI/PCI-X/PCI-express/mini PCI/mini PCI-express lizdą. Accord-AMDZ moduliai užtikrina patikimą bet kokio tipo operacinių sistemų (OS) įkėlimą su failų struktūra FAT12, FAT 16, FAT32, NTFS, HPFS, UFS, FreeBSD UFS/UFS2, EXT2FS, EXT3FS, EXT4FS, QNX 4 failų sistema, Solaris UFS. , MINIX, ReiserFS.

Visa programinė modulių dalis (įskaitant administravimo priemones), žurnalas ir vartotojų sąrašas yra nuolatinėje valdiklio atmintyje. Tai užtikrina vartotojų identifikavimo/autentifikavimo, asmeninio kompiuterio (AK) techninės ir programinės įrangos vientisumo stebėjimą, administravimą ir auditą techninės įrangos lygiu naudojant valdiklį prieš įkeliant OS.

Pagrindinės funkcijos:

  • vartotojo identifikavimas ir autentifikavimas naudojant fizinį elektroninį gaminį – asmens identifikatorių – ir slaptažodį iki 12 simbolių;
  • blokuoti kompiuterio įkėlimą iš išorinės laikmenos;
  • blokuoti valdymo procedūrų pertraukimą iš klaviatūros;
  • vartotojo prieigos prie asmeninių kompiuterių laiko apribojimų nustatymas pagal jiems nustatytą darbo režimą;
  • kompiuterio aparatinės įrangos, sistemos sričių, failų ir Windows registro vientisumo stebėjimas;
  • automatinis įrašytų įvykių registravimas patikimos OS įkėlimo stadijoje (nekintamojoje valdiklio atmintyje);
  • sarginio šuns laikmatis;
  • apsaugos sistemos administravimas (vartotojo registracija, kompiuterio programinės ir techninės įrangos vientisumo stebėjimas).

Papildomos funkcijos:

  • fizinių linijų valdymas ir blokavimas;
  • RS-232 sąsaja, skirta naudoti plastikines korteles kaip identifikatorių;
  • Aparatinės įrangos atsitiktinių skaičių jutiklis kriptografijos reikmėms;
  • papildomas nepastovus audito įrenginys.

Kompleksas taikomas pastatų sistemoms, skirtas apsaugoti informaciją nuo neteisėtos prieigos pagal Rusijos reglamentuojančius dokumentus (Valstybinė techninė komisija) dėl 2-ojo lygio kontrolės dėl nedeklaruotų galimybių nebuvimo, gali būti naudojamas automatizuotose sistemose iki 1D saugumo klasės. imtinai ir gali būti naudojama kaip priemonė identifikuoti / autentifikuoti vartotojus, stebėti programinės įrangos vientisumą ir techninės įrangos aplinką (RS), kuriant automatizuotas sistemas iki 1B klasės imtinai.

Antraštė: Geležis
Dalintis