Установка апмдз на ноутбук
Несмотря на то, что существование модулей доверенной загрузки ОС насчитывает уже более 15 лет, этот тип решения не теряет популярность. Напротив, российский рынок данных устройств активно развивается, поскольку вопросы информационной безопасности становятся все более актуальными.
В настоящее время ведущие позиции на рынке МДЗ удерживают изделия "Соболь", "Аккорд-АМДЗ", "Криптон-Замок". Их основные характеристики, полученные из интернет-источников, приведены ниже в таблице.
Основные характеристики АПМДЗ
Все эти годы развитие и совершенствование МДЗ осуществлялось практически в ногу с развитием компьютерной техники, изменением угроз информационной безопасности. На компьютерном рынке появлялись новые типы компьютеров, новые материнские платы, новые средства идентификации и аутентификации, следом совершенствовалась аппаратная часть МДЗ, увеличивалось количество типов поддерживаемых идентификаторов. Появлялись новые угрозы, регламентирующие органы выдвигали соответствующие требования, в ответ разработчики МДЗ модернизировали функционал, совершенствовали и внедряли новые механизмы защиты.
Современный этап развития МДЗ характеризуется следующими особенностями их разработки: универсализация, расширение защитных функций, подготовка к совместной работе с новым интерфейсом Unified Extensible Firmware Interface (UEFI).
Разработка универсальных МДЗ вызвана необычайным расширением сегмента материнских плат. Если лет пять назад разработчики МДЗ удачно справлялись с разнообразием "железа", то теперь перед ними предстало разнообразие "железа" в квадрате. Помимо этого, многие производители аппаратных платформ внедряют аппаратные решения, которые в настоящий момент не поддерживаются операционными системами, что приводит к появлению новых компьютерных уязвимостей.
Расширение защитных функций МДЗ определяется с одной стороны, желаниями разработчиков, с другой – требованиями заказчиков. Например, к последним совершенствованиям МДЗ можно отнести поддержку дистрибутивов многочисленного семейства Linux, внедрение мощного контроля целостности аппаратного обеспечения и др.
На смену BIOS приходит UEFI, в большей степени удовлетворяющий требованиям современных платформ. Хотя сегодня UEFI не столь популярен, с высокой вероятностью можно утверждать, что темпы его внедрения могут резко возрасти в ближайшее время.
В чем секрет успеха МДЗ, находящихся на страже компьютеров почти 20 лет? Какие еще средства компьютерной защиты могут похвастать столь долгой и счастливой жизнью?
Ответ прост. Разработчикам МДЗ в течение многих лет удается реализовывать удобство установки и настройки, простоту эксплуатации; относительно невысокую стоимость; возможность совместного использования МДЗ с другими средствами защиты информации, позволяющую поднять эффективность компьютерной защиты на более высокий уровень; постоянное совершенствование МДЗ практически одновременно с развитием компьютерной техники и изменением угроз информационной безопасности.
Мнение
Поиск
Описание и назначение
Средства или модули доверенной загрузки (МДЗ, СДЗ) — это программные или программно-аппаратные средства, позволяющие осуществлять запуск операционной системы исключительно с доверенных носителей информации (например, жестких дисков). При этом такие устройства могут производить контроль целостности программного обеспечения (системные файлы и каталоги операционной системы) и технических параметров (сравнивать конфигурации компьютера при запуске с теми, которые были предопределены администратором при инициализации), и выступать в роли средств идентификации и аутентификации (с применением паролей и токенов).
Средства доверенной загрузки позволяют решать такие проблемы, как:
- Запуск операционной системы в обход жесткого диска. Если злоумышленник не знает учетных данных легитимных сотрудников, но имеет физический доступ к пользовательскому компьютеру или серверу, он может загрузить операционную систему с заранее подготовленного флеш-накопителя и тем самым получить доступ к хранящейся на жестком диске информации. Однако одной из возможностей средств доверенной загрузки является наличие механизма сторожевого таймера. Так как для загрузки операционной системы с внешнего носителя необходимо зайти в BIOS (или базовую систему ввода вывода) компьютера и вручную выбрать средство для загрузки, на это может уйти достаточно много времени. Если выставить перезапуск компьютера, в случае когда операционная система загружается дольше обычного, злоумышленник не успеет изменить настройки BIOS и загрузиться со своего устройства.
- Кража учетных данных пользователей. Даже если злоумышленник узнает логин и пароль сотрудника для входа в систему, его сдержит отсутствие персонального идентификатора. Для того чтобы загрузить операционную систему, когда на компьютере установлен модуль доверенной загрузки, пользователю необходимо прикладывать персональный идентификатор или токен. Без него загрузка осуществляться не будет.
- Соответствие требованиям регуляторов. Для государственных информационных систем и систем, в которых обрабатываются персональные данные, требуется проходить аттестацию на соответствие требованиям. В требования включена обязательная защита информационных систем средствами защиты от несанкционированного доступа. При необходимости более высокого уровня защищенности хранящихся в системе данных в мерах обеспечения безопасности предписано применение аппаратных средств доверенной загрузки.
ЗАО «НПО «Эшелон» объявляет об успешном завершении сертификационных испытаний модуля доверенной загрузки «МДЗ-Эшелон» в системе сертификации ФСТЭК России по 2-му уровню контроля отсутствия недекларированных возможностей и на соответствие техническим условиям НПЭШ.11412-01 ТУ.
Модуль доверенной загрузки «МДЗ-Эшелон» является единственным в своем роде программным средством защиты от несанкционированного доступа, обеспечивающим контроль целостности, идентификацию и аутентификацию до передачи управления операционной системе.
В отличие от распространенных аппаратно-программных модулей доверенной загрузки, «МДЗ-Эшелон» не подвержен атакам на модификацию BIOS.
- поддержка аппаратной платформы семейства Intel x86 c BIOS PnP фирм «Phoenix-AWARD» и «AMI» с установленным жестким диском стандартов PATA, SATA и/или SCSI и CD-ROM стандартов PATA, SATA и др.; - поддержка любых ОС, установленных на отдельный раздел жесткого диска:Windows, QNX, Linux, WinCE c boot-сектором, FreeBSD и др. ; - объем, занимаемый на жестком диске: около 24 Мб; - требуемый объем в микросхеме FLASH BIOS – около 6 Кб; - первичная авторизация пользователя до загрузки ОС; - при успешной авторизации – контроль целостности среды путем вычисления контрольных сумм элементов файловой системы, связанных с пользователем и последующим сравнением с эталонными значениями; - поддержка BIOS с ядрами AWARD-Phoenix 4.5,6.0 и AMIBIOS 7.0, 8.0; - поддержка виртуальных машин VMWare, Bochs, VirtualPC.
Полученный сертификат соответствия ФСТЭК России № 1872 от 10.07.2009 г. позволяет использовать модуль доверенной загрузки «МДЗ-Эшелон» как в системах защиты персональных данных, так и для защиты сведений, составляющих государственную тайну, до грифа «совершенно секретно» включительно.
Кроме того, модуль доверенной загрузки «МДЗ-Эшелон» имеет сертификат Минобороны России № 815 на соответствие Приказу МО РФ, в том числе:
- требованиям руководящего документа Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», 1999 г. – по второму уровню контроля; - требованиям руководящего документа Гостехкомиссии «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», 1992 г. - по 3 классу (в части требований «идентификации и аутентификации» подсистемы управления доступом и «целостность КСЗ» подсистемы обеспечения целостности); - криптографическим и инженерно-криптографическим требованиям ВС РФ; - требованиям по соответствию реальных и декларируемых в документации функциональных возможностей (ТУ); - на соответствие заданию по безопасности ИЦ-ЭШ.586.
Вы можете ознакомиться со средствами защиты информации и контроля эффективности, поставляемыми или изготовляемыми ЗАО "НПО "Эшелон", пройдя по ссылке:
Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Несмотря на то, что существование модулей доверенной загрузки ОС насчитывает уже более 15 лет, этот тип решения не теряет популярность. Напротив, российский рынок данных устройств активно развивается, поскольку вопросы информационной безопасности становятся все более актуальными.
Почти семнадцать лет прошло с тех пор, как на российском рынке компьютерной безопасности появился продукт с необычной аббревиатурой АПМДЗ – аппаратно-программный модуль доверенной загрузки, предназначенный для защиты автономных и сетевых компьютеров от несанкционированного доступа (НСД). По приблизительной оценке, за годы своего существования количество модулей доверенной загрузки (МДЗ), установленных в компьютеры, приблизилось к миллиону экземпляров.
Под доверенной загрузкой принято понимать реализацию загрузки операционной системы с определенного носителя (например, внутреннего жесткого диска защищаемого компьютера). Загрузка с других носителей должна блокироваться. Причем она происходит только после выполнения идентификации и аутентификации пользователя, а также проверки целостности программного и аппаратного обеспечения компьютера. Тем самым обеспечивается защита компьютера от НСД на важнейшей фазе его функционирования – этапе загрузки операционной системы.
Основные сведения о МДЗ
Модуль доверенной загрузки представляет собой комплекс аппаратно-программных средств (плата, аппаратные средства идентификации и аутентификации, программное обеспечение для поддерживаемых операционных систем), устанавливаемый на рабочее место вычислительной системы (персональный компьютер, сервер, ноутбук, специализированный компьютер и др.). Для примера на рисунке представлен базовый комплект поставки МДЗ "Программно-аппаратный комплекс "Соболь". Версия 3.0" для шины PCI Express.
Программно-аппаратный комплекс "Соболь" для шины PCI Express
Для установки МДЗ требуется свободный разъем материнской платы (для современных компьютеров – стандарты PCI, PCI-X, PCI Express, mini-PCI, mini-PCI Express) и незначительный объем памяти жесткого диска защищаемого компьютера.
Модули доверенной загрузки обеспечивают выполнение следующих основных функций. В первую очередь, это идентификация и аутентификация пользователей до загрузки операционной системы с помощью персональных электронных идентификаторов (USB-ключи, смарт-карты, идентификаторы iButton и др.), а также контроль целостности программного и аппаратного обеспечения компьютера до загрузки операционной системы. Затем - блокировка несанкционированной загрузки операционной системы с внешних съемных носителей, функционирование сторожевого таймера, позволяющего блокировать работу компьютера при условии, что после его включения и по истечении определенного времени управление не было передано плате МДЗ и контроль работоспособности основных компонентов МДЗ (энергонезависимой памяти, идентификаторов, датчика случайных чисел и др.). И наконец, регистрация действий пользователей и совместная работа с внешними приложениями (датчики случайных чисел, средства идентификации и аутентификации, программные средства защиты информации и др.).
При первичной настройке (инициализации) МДЗ осуществляется регистрация администратора модуля, которому в дальнейшем предоставляются права регистрировать и удалять учетные записи пользователей, управлять параметрами работы модуля, просматривать журнал событий и управлять списком объектов, целостность которых должна контролироваться до загрузки операционной системы. В случае появления нарушений при проверке целостности объектов возможность работы на компьютере для обычных пользователей блокируется. В некоторых МДЗ реализована поддержка возможности удаленного управления параметрами работы.
Российский рынок МДЗ и тенденции его развития
Родоначальником отечественных МДЗ является Особое конструкторское бюро систем автоматизированного проектирования (ОКБ САПР), разработавшее модуль доверенной загрузки "Аккорд-АМДЗ". Первый сертификат соответствия Гостехкомиссии России компания получила в декабре 1994 года. В 1999 году в стенах НИП "Информзащита" был создан первый МДЗ – "Электронный замок "Соболь", впоследствии получивший название "Программно-аппаратный комплекс "Соболь". В 2010 году было продано почти 25 тыс. МДЗ семейства "Соболь".
На российском рынке информационной безопасности можно встретить следующие изделия: программно-аппаратные комплексы (ПАК) семейства "Соболь" разработки "Код Безопасности", входящего в группу компаний "Информзащита"; ПАК средств защиты информации от несанкционированного доступа (СЗИ НСД) семейства "Аккорд-АМДЗ" – ОКБ САПР; АПМДЗ семейства "Криптон-Замок" – фирмы "Анкад"; АПМДЗ "Максим" – "НПО "РусБИТех"; АПМДЗ семейства "Цезарь" – Всероссийского НИИ автоматизации управления в непромышленной сфере им. В. В. Соломатина; аппаратный модуль Diamond ACS HW в составе средства контроля и разграничения доступа Diamond ACS – "ТСС".
В статье представлены новые модификации защищенного ноутбука Getac X500: модели Mobile Server и MIL CON. Подробно рассказано о каждом из новых ноутбуков, которые, как и их предшественники, отличаются высокой надежностью и защищенностью, что помогает им сохранять работоспособность в самых суровых условиях эксплуатации.
ЗАО «НПП «РОДНИК», г. Москва
Современное вооружение от разработок прошлого отличает значительное увеличение интеллектуальной составляющей. Сегодня ни один военный штаб, ни одни учения и ни один театр боевых действий невозможно представить без работы компьютерной техники. Современные ПК взяли на себя роли аналитиков, секретарей, координаторов, тренеров и т. д. При этом нельзя забывать, что к компьютерам, используемым во время боевых действий, предъявляются повышенные требования по прочности, пыле- и влагозащищенности, невосприимчивости к магнитным излучениям и высоким перепадам температур, а также компактности и мобильности.
Наиболее универсальным и подходящим представителем подобного рода компьютеров, применяемых в армии, является защищенный ноутбук Getac X500. Данная модель помимо своего обычного исполнения также представлена в виде модификаций X500 Mobile Server и X500 MIL CON. О каждой из них подробнее расскажем ниже.
Модель X500 в продуктовой линейке производителя отличается самой большой диагональю экрана – 15,6 дюйма с разрешением Full HD, а также уникальной возможностью использовать блок расширения, который позволяет устанавливать две платы формата PCI или PCIe, не теряя при этом мобильности. Блок расширения применяется опционально: он прикрепляется к нижней части ноутбука, составляя с ним при этом единое целое, сам же ноутбук просто становится немного толще.
С помощью блока расширения на Getac можно установить аппаратно-программные модули доверенной загрузки (АПМДЗ), которые обеспечат сохранность данных в случае захвата компьютера врагом. Российские АПМДЗ, такие как «Центурион», «Максим-М1», «Цезарь», «Соболь», «Тверца» и другие, прекрасно работают на защищенной мобильной технике Getac. Также в блок расширения могут быть установлены различные АЦП, в том числе собственной разработки, для применения ноутбука в составе различных диагностических комплексов. Нередко в него устанавливают и генераторы шума, специализированные звуковые платы или же расширители последовательных и других интерфейсов.
Модификация X500 Mobile Server является первым в мире полностью защищенным ноутбуком серверного класса. Высокую производительность данной модели обеспечивает новейший четырехъядерный процессор Intel Core i7-4810MQ с частотой 2,8 ГГц (до 3,8 ГГц в режиме Turbo Boost), c 6 Мб кеш-памяти L3, дискретная видеокарта NVIDIA GeForce 745M с 2 Гб собственной памяти, ОЗУ объемом 32 Гб и RAID-хранилище объемом до 5 Тб. Подобный объем хранилища достигается благодаря установке в опциональный блок расширения дополнительных жестких дисков (до 5 шт.).
Ноутбук Getac X500 Mobile Server, как и базовая модель X500, соответствует требованиям стандарта MIL-STD‑810G и степени защиты IP65. Эта мобильная система совмещает возможности портативного компьютера и сервера. Использование нескольких технологий RAID уровней 0, 1, 5 позволяет оптимизировать объем памяти для хранения данных и не допустить их потери в процессе обработки в самых жестких условиях эксплуатации. Getac X500 Mobile Server обладает сбалансированной сетевой нагрузкой из-за наличия двух сетевых интерфейсов RJ45 1 Гбит, а также характеризуется отказоустойчивостью системы хранения данных благодаря применению технологий RAID уровней 0, 1, 5, что гарантирует надежность системы и продолжительность работоспособности.
Модификация Х500 MIL CON, в отличие от основной модели, оснащена резьбовыми разъемами военного стандарта с заглушками. Разъемы питания, порты USB, VGA/MIC/Audio, RS‑232 и RJ45 защищены от попадания пыли, влаги, даже когда к ним подключена ответная часть кабеля. Данная модификация изготавливается под заказ, в комплекте имеет ответные части для распайки и схему распайки каждого из разъемов.
Стоит отметить, что модификация MIL CON, как и обычная, опционально может поставляться с блоком расширения, позволяющим устанавливать две платы формата PCI или PCIe. В этом году данная модификация получила обновление в виде более современной платформы – теперь она стала доступна для заказа с процессором Intel i7-4610 и дискретной видеокартой NVIDIA GeForce 745M с 2 Гб собственной памяти.
Разумеется, применение таких решений невозможно без проведения военной приемки, спецпроверок и специсследований, подтверждающих отсутствие «закладок» и определяющих радиус возможного дистанционного снятия информации. Все описанные выше модификации защищенного ноутбука Getac X500, как и модели B300 и V110, прошли сертификационные испытания по ГОСТ РВ и могут быть поставлены с ВП и СПиСИ.
Подводя итог, можно отметить основные преимущества защищенных компьютеров Getac. Это высокая надежность, способность сохранять работоспособность в самых суровых условиях эксплуатации и возможность наращивания функций за счет дополнительных опций.
Выбор средств защиты
Средства обеспечения доверенной загрузки операционных систем (СДЗ, МДЗ)
Читайте также: