Сдз dallas lock pci e что это

Обновлено: 04.07.2024

Доверенная загрузка ноутбуков, моноблоков, рабочих станций и серверов.

Наши специалисты ответят на любой интересующий вопрос

Средство доверенной загрузки (СДЗ) Dallas Lock – решение уровня платы расширения, предназначенное для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно, и иной информации с ограниченным доступом. СДЗ Dallas Lock выполняет свои функции (включая администрирование параметров изделия и просмотр журнала) до начала загрузки штатной операционной системы (ШОС).

СДЗ Dallas Lock - программно-аппаратное средство, блокирующее попытки несанкционированной загрузки нештатной операционной системы. Также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы. Осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности.

3 форм-фактора для удобной интеграции в различные модели АРМ:

  • PCI Express
  • Mini PCI Express
  • M2

Ключевые возможности СДЗ Dallas Lock

Независимость от штатной ОС.

Полное администрирование СДЗ проводится без использования ресурсов загружаемой штатной ОC (согласно новым требования ФСТЭК России об изолировании СДЗ), включая разграничение доступа к управлению СДЗ и централизованное управление файлами конфигурации и отчетами. Поддерживается авторизация с использованием доменных учетных записей.

Современное технологичное решение.

Полноценная поддержка UEFI и безопасного режима загрузки UEFI («Secureboot»). Возможность подключения платы в разъем M.2. Собственные часы с независимым источником питания и возможность подключения датчика вскрытия корпуса (для варианта исполнения – PCIe «KT-500»). «Сторожевой таймер», необходимый в случае невозможности подключить провод аппаратного «сторожевого таймера» к разъему «Reset» или «Power» ЭВМ. Хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ. Возможность сохранения (восстановления) параметров конфигурации СДЗ на различные носители информации.

Поддерживается широкий спектр аппаратных идентификаторов.

Обеспечена совместимость со следующими аппаратными идентификаторами: USB-ключи и смарт-карты Aladdin eToken Pro/Java, Рутокен, JaCarta (JaCarta ГОСТ, JaCarta PKI), электронные ключи Touch Memory (iButton), ESMART. Поддержка считывателя КТ-ТМ, предназначенного для работы с ключами Touch Memory.

Соответствует требованиям ФСТЭК России и Минобороны России:

  • Сертификат ФСТЭК России № 3666 от 25 ноября 2016 г.
  • Сертификат Минобороны России № 3789 от 11 декабря 2017 г.
  • Сертификат по форме СТ-1 от 21 сентября 2020 г.

по 2 классу защиты СДЗ уровня платы расширения «Профиль защиты средства доверенной загрузки уровня платы расширения второго класса защиты» ИТ.СДЗ.ПР2.ПЗ (ФСТЭК России, 2013)

по 2 уровню контроля отсутствия НДВ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999)


доверенная загрузка ноутбуков, моноблоков, рабочих станций и серверов
(сертифицированная
версия: 222)

Возможности

Средство доверенной загрузки (СДЗ) Dallas Lock – решение уровня платы расширения, предназначенное для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно, и иной информации с ограниченным доступом. СДЗ Dallas Lock выполняет свои функции (включая администрирование параметров изделия и просмотр журнала) до начала загрузки штатной операционной системы (ШОС).

СДЗ Dallas Lock - программно-аппаратное средство, блокирующее попытки несанкционированной загрузки нештатной операционной системы. Также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы. Осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности.

3 форм-фактора
для удобной интеграции в различные модели АРМ

Mini PCI Express

Ключевые возможности СДЗ Dallas Lock

Независимость от штатной ОС. Полное администрирование СДЗ проводится без использования ресурсов загружаемой штатной ОC (согласно новым требования ФСТЭК России об изолировании СДЗ), включая разграничение доступа к управлению СДЗ и централизованное управление файлами конфигурации и отчетами. Поддерживается авторизация с использованием доменных учетных записей.

Современное технологичное решение. Полноценная поддержка UEFI и безопасного режима загрузки UEFI («Secureboot»). Возможность подключения платы в разъем M.2. Собственные часы с независимым источником питания и возможность подключения датчика вскрытия корпуса (для варианта исполнения – PCIe «KT-500»). «Сторожевой таймер», необходимый в случае невозможности подключить провод аппаратного «сторожевого таймера» к разъему «Reset» или «Power» ЭВМ. Хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ. Возможность сохранения (восстановления) параметров конфигурации СДЗ на различные носители информации.

Поддерживается широкий спектр аппаратных идентификаторов. Обеспечена совместимость со следующими аппаратными идентификаторами: USB-ключи и смарт-карты Aladdin eToken Pro/Java, Рутокен, JaCarta (JaCarta ГОСТ, JaCarta PKI), электронные ключи Touch Memory (iButton), ESMART. Поддержка считывателя КТ-ТМ, предназначенного для работы с ключами Touch Memory.

Соответствует требованиям ФСТЭК России и Минобороны России:

Сертификат ФСТЭК России № 3666 от 25 ноября 2016 г.

Сертификат Минобороны России № 3789 от 11 декабря 2017 г.

Сертификат по форме СТ-1 от 21 сентября 2020 г.

по 2 классу защиты СДЗ уровня платы расширения «Профиль защиты средства доверенной загрузки уровня платы
расширения второго класса защиты» ИТ.СДЗ.ПР2.ПЗ (ФСТЭК
России, 2013)

по 2 уровню контроля отсутствия НДВ «Защита от несанкционированного доступа к информации.
Часть 1. Программное обеспечение средств защиты информации.
Классификация по уровню контроля отсутствия
недекларированных возможностей» (Гостехкомиссия России, 1999)

Назначение СДЗ Dallas Lock

Идентификация и аутентификация пользователя до выполнения действий по загрузке
операционной системы или администратора до выполнения действий по управлению СДЗ;

Контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды
(операционной системы);

Контроль состава компонентов аппаратного обеспечения ПК, основываясь на их идентификационной информации.
Блокирует загрузку операционной системы при обнаружении
несанкционированного изменения состава аппаратных компонентов АРМ.

Полная бесшовная интеграция
с комплексной системой защиты информации dallas lock 8.0

Решите проблемы безопасности быстро и эффективно

В компании используются физические машины различного вида: ПК, ноутбуки, есть свой сервер. На некоторых СВТ установлены системные платы с UEFI BIOS. Нужно обеспечить доверенную загрузку СВТ с помощью единого решения.

Изделие выпускается в 3 различных форм-факторах для подключения к системной плате с помощью разъемов PCI Express, mini PCI Express или M.2, что подходит для установки в СВТ различного вида. СДЗ Dallas Lock поддерживает системные платы как с Legacy BIOS, так и с UEFI BIOS.

Необходимо выполнить требования ФСТЭК России по обеспечению доверенной загрузки СВТ

СДЗ Dallas Lock сертифицирована в соответствии с последними требованиями ФСТЭК России к СДЗ уровня платы расширения. Так, например, согласно им полное администрирование СДЗ производится без использования ресурсов загружаемой штатной ОC.

Нужно защитить АРМ от возможности загрузки не штатной ОС, а также изменения программного или аппаратного обеспечения АРМ.

Загрузка СДЗ Dallas Lock производится до загрузки штатной операционной системы. Изделие блокирует несанкционированные попытки загрузки НШОС, обеспечивает контроль целостности ПО и аппаратных компонентов АРМ. Перезагружает компьютер в случае попыток обхода механизмов защиты.

В компании осуществляется централизованное управление защищенными продукцией Dallas Lock компьютерами с помощью Сервера безопасности Dallas Lock. Необходимо включить компьютеры, защищенные СДЗ, в единый Домен безопасности

СДЗ Dallas Lock можно управлять с помощью Сервера безопасности Dallas Lock. Для централизованного управления СДЗ Dallas Lock на компьютерах, где уже установлены Dallas Lock 8.0 или Dallas Lock Linux, не требуется приобретение каких-либо дополнительных лицензий

Необходимо обеспечить контроль за физическим изменением конфигурации СДЗ и АРМ.

Для варианта исполнения СДЗ Dallas Lock PCIe «KT-500» есть возможность установки датчика вскрытия корпуса. При каждой загрузке СДЗ определяет целостность параметров собственной платы и конфигурации АРМ. При обнаружении изменений происходит блокировка загрузки ОС.

Необходимо производить учет несанкционированных действий пользователя для принятия оперативных мер

В СДЗ Dallas Lock производится автоматическая регистрация событий, относящихся к безопасности, в соответствующих журналах аудита. Реализована защита от несанкционированного уничтожения или модификации записей журнала аудита.

Нужно обеспечить полную независимость СДЗ от компонентов системы.

В СДЗ Dallas Lock реализовано хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ. Обеспечивается недоступность ресурсов СДЗ из штатной ОС после завершения работы СДЗ.

В организации принято решение об обязательной двухфакторной аутентификации пользователя при входе в ОС.

СДЗ Dallas Lock позволяет использовать следующие распространенные виды аппаратных идентификаторов: USB-ключи и смарт-карты Aladdin eToken Pro/Java, Рутокен, JaCarta (JaCarta ГОСТ, JaCarta PKI), ESMART (ESMART Token, ESMART GOST) электронные ключи Touch Memory (iButton).

Совместимость с оборудованием

СДЗ Dallas Lock совместим с большинством сертифицированных моделей техники.

Вы можете проверить совместимость с вашим оборудованием, прямо сейчас отправив запрос в отдел разработки

Обзор средства доверенной загрузки (СДЗ) Dallas Lock

Средство доверенной загрузки Dallas Lock — новый продукт в линейке средств защиты Центра защиты информации ООО «Конфидент». Решение обеспечивает блокирование попыток несанкционированной загрузки нештатной операционной системы, а также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы, осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности. В материале представлены функциональные возможности продукта, системные требования и поддерживаемые технологии, а также описание работы продукта.


Сертификат AM Test Lab

Номер сертификата: 183

Дата выдачи: 23.01.2017

Срок действия: 23.01.2022

Введение

Одна из важных составляющих работ по обеспечению безопасности информационных систем —защита рабочих станций и серверов от несанкционированного доступа. И первым рубежом защиты любой компьютерной системы является обеспечение доверенной загрузки вычислительной среды. Для этого существует специальный класс средств — модули доверенной загрузки.

Модули доверенной загрузки операционной системы применяются уже более 20 лет, и сегодня этот класс средств защиты не теряет свою актуальность. Продукты этого типа являются «первым эшелоном защиты» вычислительных систем, и именно на них возлагаются задачи контроля доступа пользователей, контроля целостности программной среды и аппаратных ресурсов компьютерной системы.

Необходимость применения средств доверенной загрузки также отражена и в нормативных документах ФСТЭК России — согласно Приказам № 17 и 21, в государственных информационных системах 1 и 2 классов и в информационных системах персональных данных, при необходимости обеспечения 2 и выше уровня защищенности персональных данных, данная мера является базовой.

В данном обзоре мы расскажем о новом продукте в линейке средств защиты информации компании ООО «Конфидент» — средстве доверенной загрузки (СДЗ) Dallas Lock (версия сборки: 91).

Рисунок 1. Средство доверенной загрузки Dallas Lock

Средство доверенной загрузки Dallas Lock

Системные требования и поддерживаемые технологии

Средство доверенной загрузки Dallas Lock предназначено для защиты от несанкционированного доступа компьютеров архитектуры Intel х86 и может быть реализовано на различных платах, предназначенных для работы с разными шинными интерфейсами вычислительной техники:

  • PCI Express,
  • Mini PCI Express,
  • M.2.

Рисунок 2. Плата СДЗ Dallas Lock формата PCI Express

Плата СДЗ Dallas Lock формата PCI Express

Рисунок 3. Плата СДЗ Dallas Lock формата Mini PCI Express (Half Size)

Плата СДЗ Dallas Lock формата Mini PCI Express (Half Size)

Рисунок 4. Плата СДЗ Dallas Lock формата M.2

Плата СДЗ Dallas Lock формата M.2

Плату PCI Express можно применить как с полнопрофильной планкой, так и низкопрофильной, что дает возможность использования в разных корпусах. Допускается подключать плату PCI Express к разъему PCI через переходник.

СДЗ в форм-факторе M.2 имеет размер 22мм x 30мм, что позволяет обеспечивать доверенную загрузку современных ноутбуков и моноблоков. В разъем M.2 допускается вставлять различные по размеру устройства. Например, устройства Mini PCI Express можно подключать к разъему M.2 через переходник, но в подавляющем большинстве случаев именно совокупный размер (вместе с переходником) является ограничением для применения такого решения в современных ноутбуках и моноблоках. В плате M.2 это ограничение отсутствует.

Особенных требований СДЗ Dallas Lock не предъявляет — минимальная и оптимальная конфигурация компьютера в большей степени определяется требованиями операционной системы. Минимальные аппаратные требования к вычислительной технике для установки СДЗ Dallas Lock следующие:

  • Процессор Pentium с частотой от 300 МГц.
  • Не менее 128 МБ оперативной памяти.
  • Свободный разъем PCI Express / Mini PCI Express на материнской плате для подключения СДЗ.
  • Разъем Reset для подключения сторожевого таймера СДЗ.
  • Наличие свободных портов USB для использования аппаратных идентификаторов.
  • Клавиатура и компьютерная мышь.
  • Видеоадаптер и монитор, поддерживающие режим Super VGA, с разрешением не менее чем 800x600 точек.

Компьютеры могут иметь в своем составе системные платы как с BIOS, так и UEFI.

В СДЗ Dallas Lock реализована поддержка наиболее распространенных файловых систем, включая: FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS. При этом для СДЗ Dallas Lock не важно, какая операционная система установлена на компьютере. Значение имеет только файловая система.

Кроме того, СДЗ Dallas Lock поддерживает широкий перечень аппаратных идентификаторов:

  • USB-ключи Aladdin eToken Pro/Java1;
  • USB-ключи Рутокен;
  • электронные ключи Touch Memory (iButton);
  • USB-ключи JaCarta (JaCarta ГОСТ, JaCarta PKI);
  • аппаратные идентификаторы ESMART (смарт-карты: ESMART Token ГОСТ, ESMART Token SC 64K; USB-токены: ESMART Token ГОСТ, ESMART Token USB 64K).

Также стоит отметить, что при использовании СДЗ Dallas Lock аппаратная идентификация не является обязательной — можно использовать для входа логин, вводимый с клавиатуры.

Функциональные возможности СДЗ Dallas Lock

К основным функциональным возможностям СДЗ Dallas Lock относятся:

  • идентификация и аутентификация пользователя до выполнения действий по загрузке операционной системы или администратора до выполнения действий по управлению СДЗ;
  • двухфакторная аутентификация пользователей при совместном использовании СДЗ с аппаратными идентификаторами;
  • контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);
  • блокирование загрузки операционной системы при выявлении попыток загрузки нештатной операционной системы;
  • блокировка пользователя при выявлении попыток обхода СДЗ;
  • автоматическая регистрация событий, относящихся к безопасности компьютера и СДЗ, в соответствующих журналах аудита. Предоставляет возможность защиты от несанкционированного уничтожения или модификации записей журнала аудита;
  • реагирование на обнаружение событий, указывающих на возможное нарушение безопасности;
  • недоступность ресурсов СДЗ из штатной операционной системы после завершения работы СДЗ;
  • контроль состава компонентов аппаратного обеспечения ПК на основе их идентификационной информации. Блокирует загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов СВТ;
  • выполнение перезагрузки ПК при выявлении попыток обхода СДЗ;
  • автоматическое прохождение идентификации и аутентификации в штатной операционной системе после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ.

Средство доверенной загрузки Dallas Lock позволяет осуществлять контроль целостности следующих типов объектов:

  • Файловая система.
  • Реестр ОС Windows.
  • Области диска.
  • BIOS/CMOS.
  • Аппаратная конфигурация.

Соответствие требованиям регуляторов

Средство доверенной загрузки Dallas Lock сертифицировано ФСТЭК России на соответствие требованиям к средствам доверенной загрузки по 2 классу защиты в соответствии с профилем защиты ИТ.СДЗ.ПР2.ПЗ и по 2 уровню контроля отсутствия недекларированных возможностей (НДВ) (Сертификат ФСТЭК России № 3666 от 25 ноября 2016 года).

Таким образом, программно-аппаратный комплекс может использоваться для защиты государственных информационных систем и АСУ ТП до класса К1, защиты персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (государственная тайна с грифом «Совершенно секретно»).

Работа с продуктом

Инсталляция платы СДЗ Dallas Lock в системный блок осуществляется просто и быстро — плата вставляется в свободный слот PCI Express (Mini PCI Express, M.2), «сторожевой таймер» подключается к разъему Reset. Установка дополнительных программных модулей (агентов) в среду штатной ОС для СДЗ Dallas Lock не требуется. Возможно также использование датчика вскрытия корпуса системного блока. Для этого на плате формата PCIe (КТ-500) имеются входы S1 и S2.

При загрузке компьютера с установленной платой появляется экран приглашения войти в систему. Пользователю необходимо ввести логин и пароль и при необходимости предъявить аппаратный идентификатор, если администратор установил данную опцию.

Рисунок 5. Аутентификация пользователя в СДЗ Dallas Lock

Аутентификация пользователя в СДЗ Dallas Lock

В меню в нижней части экрана пользователю можно выбрать следующие действия с системой:

  • «Загрузка» — переход к загрузке штатной операционной системы.
  • «Смена пароля» — переход к смене пароля текущей учетной записи пользователя.
  • «Администрирование» — запуск консоли администратора СДЗ Dallas Lock, которая доступна только пользователям с ролью «Администратор» и «Аудитор».

В главном окне консоли администратора расположены вкладки, обеспечивающие доступ к различным настройкам СДЗ Dallas Lock:

  • «Пользователи» — управление учетными записями пользователей.
  • «Контролируемые объекты» — контроль целостности компонентов СВТ.
  • «Политики безопасности» — настройка авторизации в СДЗ Dallas Lock.
  • «Журнал» — регистрация и аудит.
  • «Параметры» — управление параметрами платы.
  • «Сервис» — дополнительные функции СДЗ Dallas Lock.

Отметим, что разработчик при проектировании интерфейса всех своих продуктов использует унифицированный дизайн. Это позволяет пользователям других продуктов линейки Dallas Lock легко осваивать новые продукты, не тратя время на дополнительное обучение.

Рисунок 7. Меню «Пользователи» в консоли администратора СДЗ Dallas Lock

Меню «Пользователи» в консоли администратора СДЗ Dallas Lock

Рисунок 8. Редактирование параметров пользователя в СДЗ Dallas Lock

Редактирование параметров пользователя в СДЗ Dallas Lock

В параметрах каждого пользователя можно изменить роль, текстовое описание учетной записи, установить разрешенное время для входа в систему и различные атрибуты.

Рисунок 9. Установка разрешенного времени входа в систему в СДЗ Dallas Lock

Установка разрешенного времени входа в систему в СДЗ Dallas Lock

Как мы уже ранее указывали, СДЗ Dallas Lock позволяет осуществлять контроль целостности следующих типов объектов:

  • Файловая система.
  • Реестр ОС Windows.
  • Области диска.
  • BIOS/CMOS.
  • Аппаратная конфигурация.

Для контроля целостности объектов файловой системы, реестра и областей диска используется метод сравнения расчетной контрольной суммы (КС), полученной в момент проверки целостности, с эталонной контрольной суммой, рассчитанной в момент назначения целостности. Для подсчета контрольных сумм используются алгоритмы CRC32, хэш MD5, хэш ГОСТ Р 34.11-94. Контроль целостности остальных объектов осуществляется методом полной сверки.

Просмотр контролируемых объектов конкретной категории осуществляется через соответствующие кнопки в панели «Категория», а добавление и редактирование в панели «Действия».

Рисунок 11. Просмотр контролируемых объектов в СДЗ Dallas Lock

Просмотр контролируемых объектов в СДЗ Dallas Lock

Для контроля целостности объектов файловой системы необходимо задать путь к файлу или каталогу (директории) контролируемого объекта, выбрать алгоритм расчета и установить дополнительные необходимые атрибуты. Для объектов реестра Windows выбирается путь к файлу реестра и путь к контролируемому объекту в указанном выше файле реестра, а также алгоритм расчета контрольных сумм и дополнительные атрибуты контроля. Для контроля целостности областей жесткого диска задаются начальный сектор и количество секторов, подлежащих контролю.

Для категории BIOS/CMOS форма просмотра разделена на два блока — BIOS и CMOS, представляющие две таблицы значений, где цветом можно выделять ячейки, для которых нужно назначить контроль, установив соответствующие чекбоксы.

Рисунок 12. Параметры контроля BIOS/CMOS в СДЗ Dallas Lock

Параметры контроля BIOS/CMOS в СДЗ Dallas Lock

В списке объектов аппаратной конфигурации автоматически отображаются все аппаратные устройства, установленные на компьютере. Для настройки контроля аппаратной конфигурации в основной области доступны чекбоксы, соответствующие группам, — «Контролировать группу» и «Включить/исключить из контроля целостности» (напротив конкретного идентификатора в группе).

Особенность реализации контроля целостности аппаратной конфигурации заключается в алгоритме исключения устройства из-под контроля. В этом случае фактическое наличие или отсутствие такого устройства не будет нарушать целостность конфигурации. Такая реализация позволяет пользователю комфортно работать с различного рода USB-устройствами.

Рисунок 13. Параметры аппаратной конфигурации в СДЗ Dallas Lock

Параметры аппаратной конфигурации в СДЗ Dallas Lock

Для категории «Аппаратная конфигурация» выводятся следующие списки групп:

  • Система — отображается информация о материнской плате, BIOS и ЦП.
  • Оперативная память — отображаются установленные модули оперативной памяти.
  • PCI-устройства — отображаются подключенные PCI-устройства.
  • Накопители — отображаются установленные накопители.
  • USB-устройства — отображаются различные устройства, подключенные через USB-порт.

Во вкладке «Политики безопасности» в виде таблицы отображаются параметры и значения политик безопасности. Выделяются следующие категории политик — «Политики авторизации» и «Политики паролей».

Рисунок 14. Политики паролей в СДЗ Dallas Lock

Политики паролей в СДЗ Dallas Lock

Просмотр параметров и значений конкретной категории политик осуществляется через соответствующие кнопки в панели «Политики».

Рисунок 15. Политики авторизации в СДЗ Dallas Lock

Политики авторизации в СДЗ Dallas Lock

Все события, связанные с администрированием СДЗ Dallas Lock, а также события входов пользователей, события проверки целостности и редактирования учетных записей пользователей фиксируются в журнале безопасности. Отображаются все события во вкладке «Журнал» в виде таблицы. Предусмотрена фильтрация записей журнала и их сортировка по порядковому номеру, времени события, пользователям, в течение работы которых произошло событие, наименованию события, результату и описанию (по возрастанию/убыванию). Кроме того, возможен экспорт записей журналов в файл.

Рисунок 16. Вкладка «Журнал» в СДЗ Dallas Lock

Вкладка «Журнал» в СДЗ Dallas Lock

Во вкладке «Параметры» отображается версия СДЗ Dallas Lock и информация о плате, а также настраиваются параметры «Часы», «Загрузочное устройство» (с которого будет загружаться штатная операционная система) и «Датчики вскрытия корпуса». Также в панели «Версия» доступно обновление прошивки.

Меню «Сервис» позволяет получить доступ к дополнительным функциям СДЗ Dallas Lock: сохранить параметры конфигурации комплекса (в формате .xml) на различные носители, сохранить отчет о конфигурации СДЗ Dallas Lock в формате .rtf или .html, восстановить конфигурации СДЗ Dallas Lock по умолчанию и выполнить обновление прошивки.

Выводы

В данном обзоре мы познакомились новым продуктом компании ООО «Конфидент» — средством доверенной загрузки Dallas Lock, которое осуществляет блокирование попыток несанкционированной загрузки нештатной операционной системы, предоставляет доступ пользователям к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы, а также осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности.

Появление средства доверенной загрузки является логичным развитием линейки продуктов Dallas Lock класса Endpoint Security. Таким образом, теперь можно обеспечить комплексную защиту от несанкционированного доступа рабочей станции или сервера продуктами одного вендора.

Наличие сертификата ФСТЭК России на соответствие требованиям к средствам доверенной загрузки уровня платы расширения второго класса возможностей позволяет использовать продукт для защиты государственных информационных систем и АСУ ТП до класса К1, защиты персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (государственная тайна с грифом «Совершенно секретно»).

Еще одним немаловажным преимуществом является полная поддержка Unified Extensible Firmware Interface (UEFI). Кроме того, в модельном ряду СДЗ Dallas Lock есть плата в форм-факторе M.2, что позволяет обеспечивать доверенную загрузку современных ноутбуков и моноблоков, в которых данный разъем присутствует.

Из недостатков в настоящее время можно выделить только отсутствие централизованного управления модулями (при этом вендор обещает в следующем релизе поддержку централизованного управления модулями), а также отсутствие в модельном ряду решения для обеспечения доверенной загрузки компьютерных систем, в которых нет разъемов для подключения плат расширения (например, некоторые blade-сервера).

СДЗ Dallas Lock
СДЗ Dallas Lock. Фото N2
СДЗ Dallas Lock. Фото N3
СДЗ Dallas Lock. Фото N4
СДЗ Dallas Lock. Фото N5
СДЗ Dallas Lock. Фото N6
СДЗ Dallas Lock. Фото N7

Средство доверенной загрузки (СДЗ) Dallas Lock – решение уровня платы расширения, предназначенное для защиты конфиденциальной информации, в том числе содержащейся в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), а также для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно.

СДЗ Dallas Lock является программно-аппаратным средством, которое осуществляет блокирование попыток несанкционированной загрузки нештатной операционной системы, а также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы. Осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности.

СДЗ Dallas Lock предназначено для использования на персональных компьютерах, ноутбуках, моноблоках и серверах архитектуры intel х86-32, x86-64. Реализована поддержка наиболее распространенных файловых систем, включая: FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS3, VMFS5. Поддерживаются разъемы: PCI Express; Mini PCI Express; M.2.

СДЗ Dallas Lock обеспечивает:

  • идентификацию и аутентификацию пользователя до выполнения действий по загрузке операционной системы или администратора до выполнения действий по управлению СДЗ;
  • двухфакторную аутентификацию пользователей при совместном использовании СДЗ с аппаратными идентификаторами;
  • автоматическое прохождение идентификации и аутентификации в штатной операционной системе после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ;
  • контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);
  • блокирование загрузки операционной системы при выявлении попыток загрузки нештатной операционной системы;
  • блокировку пользователя при выявлении попыток обхода СДЗ;
  • автоматическую регистрацию событий, относящихся к безопасности компьютера и СДЗ, в соответствующих журналах аудита. Предоставляет возможность защищенного от несанкционированного уничтожения или модификации записей журнала аудита;
  • реагирование на обнаружение событий, указывающих на возможное нарушение безопасности;
  • недоступность ресурсов СДЗ из штатной операционной системы после завершения работы СДЗ;
  • контроль состава компонентов аппаратного обеспечения ПК, основываясь на их идентификационной информации. Блокирует загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов СВТ;
  • выполнение перезагрузки ПК при выявлении попыток обхода СДЗ.

Возможности при интеграции с СЗИ Dallas Lock

Автоматическое прохождение идентификации и аутентификации в штатной ОС после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ.

Ключевые особенности СДЗ Dallas Lock

  • Полное администрирование СДЗ проводится без использования ресурсов загружаемой штатной ОC (согласно новым требования ФСТЭК России об изолировании СДЗ).
  • Хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ.
  • Полноценная поддержка UEFI.
  • Поддерживается широкий спектр аппаратных идентификаторов: USB-ключи и смарт-карты Aladdin eToken Pro/Java, Рутокен, JaCarta (JaCarta ГОСТ, JaCarta PKI), электронные ключи Touch Memory (iButton), ESMART.
  • Возможность сохранения (восстановления) параметров конфигурации СДЗ на различные носители информации.
  • Разграничение доступа к управлению СДЗ.
  • Датчик вскрытия корпуса (для варианта исполнения – PCIe «KT-500»).
  • Наличие собственных часов с независимым источником питания (для варианта исполнения – PCIe «KT-500»).
  • Поддержка разъема M.2.
  • Централизованное управление*.
  • СДЗ Dallas Lock сертифицировано ФСТЭК России на соответствие требованиям к СДЗ по 2 классу защиты в соответствии с профилем защиты ИТ.СДЗ.ПР2.ПЗ и 2 уровню контроля отсутствия НДВ.

* Централизованное управление СДЗ Dallas Lock реализовано и будет доступно после прохождения процедуры инспекционного контроля.


Средство доверенной загрузки (СДЗ) Dallas Lock – решение уровня платы расширения, предназначенное для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно, и иной информации с ограниченным доступом. СДЗ Dallas Lock выполняет свои функции (включая администрирование параметров изделия и просмотр журнала) до начала загрузки штатной операционной системы (ШОС).

СДЗ Dallas Lock - программно-аппаратное средство, блокирующее попытки несанкционированной загрузки нештатной операционной системы. Также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы. Осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности.

Полная бесшовная интеграция с комплексной системой защиты информации dallas lock 8.0

СДЗ Dallas Lock совместим с большинством сертифицированных моделей техники.

3 форм-фактора для удобной интеграции в различные модели АРМ

PCI Express


PCI Express Mini PCI Express M2

Ключевые особенности

Независимость от штатной ОС. Полное администрирование СДЗ проводится без использования ресурсов загружаемой штатной ОC (согласно новым требования ФСТЭК России об изолировании СДЗ), включая разграничение доступа к управлению СДЗ и централизованное управление файлами конфигурации и отчетами. Поддерживается авторизация с использованием доменных учетных записей.

Современное технологичное решение. Полноценная поддержка UEFI и безопасного режима загрузки UEFI («Secureboot»). Возможность подключения платы в разъем M.2. Собственные часы с независимым источником питания и возможность подключения датчика вскрытия корпуса (для варианта исполнения – PCIe «KT-500»). «Сторожевой таймер», необходимый в случае невозможности подключить провод аппаратного «сторожевого таймера» к разъему «Reset» или «Power» ЭВМ. Хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ. Возможность сохранения (восстановления) параметров конфигурации СДЗ на различные носители информации.

Поддерживается широкий спектр аппаратных идентификаторов. Обеспечена совместимость со следующими аппаратными идентификаторами: USB-ключи и смарт-карты Aladdin eToken Pro/Java, Рутокен, JaCarta (JaCarta ГОСТ, JaCarta PKI), электронные ключи Touch Memory (iButton), ESMART. Поддержка считывателя КТ-ТМ, предназначенного для работы с ключами Touch Memory.

Назначение

  • Идентификация и аутентификация пользователя до выполнения действий по загрузке операционной системы или администратора до выполнения действий по управлению СДЗ;
  • Контроль целостности загружаемой операционной системы , блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);
  • Контроль состава компонентов аппаратного обеспечения ПК , основываясь на их идентификационной информации. Блокирует загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов АРМ.

Простое внедрение в сложных инфраструктурах

Сервер Безопасности (СБ) + Менеджер Сб + Сервер лицензий


  • Сервер безопасности позволяет объединять защищаемые компьютеры в Домен безопасности для централизованного и оперативного управления. Обеспечивает централизованное управление пользователями и группами пользователей на клиентах, политиками безопасности клиентов. Позволяет собирать журналы безопасности с клиентов, просматривать их состояние.
  • Менеджер серверов безопасности позволяет управлять несколькими Серверами безопасности через единую консоль.
  • Сервер лицензий позволяет гибко распределять квоты клиентских лицензий между Серверами безопасности и создавать отказоустойчивые терминальные системы и кластеры безопасности.

Соответствует требованиям ФСТЭК РОССИИ и МИНОБОРОНЫ РОССИИ:

Сертификат ФСТЭК России № 3666 от 25 ноября 2016 г. Действителен до 25 ноября 2019 г.
Сертификат Минобороны России № 3789 от 11 декабря 2017 г. Действителен до 11 декабря 2020 г.

по 2 классу
защиты СДЗ
уровня платы
расширения		 «Профиль защиты средства доверенной загрузки уровня платы
расширения второго класса защиты» ИТ.СДЗ.ПР2.ПЗ (ФСТЭК
России, 2013)
по 2 уровню
контроля
отсутствия НДВ		 «Защита от несанкционированного доступа к информации.
Часть 1. Программное обеспечение средств защиты информации.
Классификация по уровню контроля отсутствия
недекларированных возможностей» (Гостехкомиссия России, 1999

СИСТЕМНЫЕ ТРЕБОВАНИЯ


Минимальная и оптимальная конфигурация ПК определяется требованиями операционной системы.

Для установки платы СДЗ Dallas Lock необходимо наличие одного свободного слота (PCI Express, mini PCI Express или М.2) на системной плате ПК.

Работа продукта поддерживается в любых ОС, использующих файловые системы: FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS3, VMFS5.

ГРУППА КОМПАНИЙ «Конфидент»

Группа компаний (ГК) «Конфидент» образована 7 октября 1992 года, и уже в 1993 году стала первой в России негосударственной организацией, получившей лицензию ФСТЭК России (в то время — разрешение Гостехкомиссии России) на деятельность в области защиты информации.

Компания «Конфидент» 25 лет работает на российском рынке услуг в области информационной безопасности.

Центр защиты информации компании «Конфидент» – российский разработчик линейки сертифицированных средств защиты информации. Продукты компании применяются для защиты конфиденциальной информации, в том числе содержащейся в ГИС, ИСПДн, АСУ ТП и значимых объектах КИИ, а также сведений, составляющих государственную тайну до уровня «совершенно секретно» включительно.

Решения компании «Конфидент» регулярно проходят инспекционный контроль, подтверждая надежность и качество новых функциональных возможностей. Они одинаково эффективны для защиты как малых сетей, так и масштабных сетевых инфраструктур.

ЦЗИ компании «Конфидент» активно развивает партнерскую сеть. Сегодня в ее состав входят более 700 партнеров по всей территории России, включая ведущих интеграторов и региональные аттестационные центры.

Центр защиты информации осуществляет свою деятельность на основании лицензий ФСТЭК России, ФСБ России, Роскомнадзора и Минобороны России.

Читайте также: