Апмзд на компьютере что это
Статьи и публикации
Обзор рынка средств (модулей) доверенной загрузки (СДЗ, МДЗ)
Обзор с упоминанием продукта компании «Аладдин Р.Д.» — TSM
Средства (модули) доверенной загрузки (СДЗ, МДЗ) предназначены для защиты данных от угроз несанкционированного доступа (НСД) и защиты от вирусных атак на базовую систему ввода-вывода (BIOS). Рост российского рынка в области СДЗ и МДЗ обусловлен не только необходимостью защиты от несанкционированного доступа к информации, но и необходимостью выполнения требований регуляторов и нормативно-правовых актов в области защиты информации. В обзоре расскажем про функциональность СДЗ и МДЗ, проанализируем рынок представленных решений, а также детально разберем наиболее интересные из них.
Введение
Несанкционированный доступ (далее — НСД) к информации является наиболее часто встречающейся и наиболее вероятной угрозой информационной безопасности. НСД ведет к нежелательным последствиям в организации, таким как утечка защищаемой информации (персональные данные, служебная информация, государственная тайна), полное или частичное нарушение работоспособности системы. Все это ведет к снижению репутации компании, финансовым потерям и прекращению бизнес-процессов.
Наиболее часто НСД к информации происходит при использовании вредоносных программ, функционирующих до загрузки операционной системы, на уровне BIOS/UEFI, или при определенных действиях злоумышленника, который может получить доступ к информации, загрузившись с любого внешнего носителя информации.
Для снижения этих рисков применяются средства (модули) доверенной загрузки (далее — СДЗ, МДЗ), которые, во-первых, проводят контроль целостности загружаемых файлов и сверяют их с эталонными значениями, хранимые в недоступной для операционной системы памяти. Во-вторых, обеспечивают идентификацию и аутентификацию пользователей до загрузки операционной системы. В-третьих, осуществляют запрет загрузки нештатных копий операционной системы с недоверенных внешних носителей информации.
СДЗ и МДЗ созданы для усиления встроенных средств защиты операционных систем, а именно для усиления аутентификации и идентификации пользователей, и защиты от НСД к защищаемой информации. Регулятор в лице ФСТЭК России предъявляет жесткие требования для защиты от НСД к информации, среди которых обязательное использование СДЗ и МДЗ. Выполнение требований регуляторов в первую очередь необходимо для тех организаций, которые в своей деятельности сталкиваются с обработкой персональных данных, информации, содержащей сведения, составляющие государственную тайну, а также защиты существующих информационных систем. При невыполнении этих требований регулятор вправе наложить на организацию значительный штраф. А в случае с государственной тайной помимо штрафа возможен и отзыв лицензии на право обработки такой информации, что приведет к остановке деятельности организации.
Далее расскажем о состоянии рынка СДЗ и МДЗ, поговорим об их основных функциях, каким требованиям они должны соответствовать и рассмотрим основные продукты, представленные на рынке.
Рынок средств доверенной загрузки в России
С 1 января 2014 года ФСТЭК России установил требования, предъявляемые к средствам доверенной загрузки (приказ ФСТЭК России от 27.09.2013 года № 119), однако этот приказ имеет ограничительную пометку «для служебного пользования», что означает отсутствие его в свободном доступе. Поэтому приходится довольствоваться информационным сообщением ФСТЭК России от 06.02.2014 г. № 240/24/405 «Об утверждении Требований к средствам доверенной загрузки», в котором регулятор выделяет следующие типы СДЗ:
Для каждого типа СДЗ определено 6 классов защиты (класс 1 — самый высокий, класс 6 — самый низкий). Чем выше класс, тем больше требований к нему предъявляется, и его использование возможно в системах более высокого класса.
ФСТЭК России ввел такое понятие, как профили защиты СДЗ, которые соответствуют конкретному типу и классу защиты СДЗ. Профиль защиты — это набор обязательных требований, выполнение которых необходимо для сертификации продукта. В таблице 1 приведена спецификация профилей защиты.
Таблица 1. Спецификация профилей защиты СДЗ
Решения СДЗ и МДЗ представлены в программном и программно-аппаратном исполнении. Основное отличие — это использование платы расширения в программно-аппаратных комплексах.
Так как рынок СДЗ и МДЗ возник под влиянием требований регуляторов, то принципиальной характеристикой продукта является не только наличие минимально обязательного набора функциональных возможностей, но и соответствие типу доверенной загрузки и классу защиты, а следовательно и выполнение требований, указанных в соответствующих профилях защиты СДЗ, утвержденных ФСТЭК России.
В настоящее время среди основных игроков рынка сертифицированных СДЗ и МДЗ можно выделить:
Что же касается прогноза на будущее российского рынка в области СДЗ и МДЗ, то можно предположить, что он продолжит планомерно расти. В первую очередь рынок будет подогревать необходимость выполнения постоянно увеличивающихся требований регуляторов в области защиты информации. В качестве примера можно привести принятые требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 г. № 17 (с учетом изменений, внесенных приказом ФСТЭК России от 15.02.2017 г. № 27). Этот приказ вводит меру защиты УПД.17, в соответствии с которой использование доверенной загрузки в средствах вычислительной техники входит в базовый набор мер защиты для ГИС 1 и 2 классов защищенности.
Функции средств доверенной загрузки
В своих руководящих документах ФСТЭК России строго определяет минимально необходимую функциональность для СДЗ и МДЗ.
Итак, к основным функциям СДЗ и МДЗ относятся:
Пользователю помимо уникального логина и пароля выдается персональный идентификатор. Злоумышленник, даже зная логин и пароль пользователя, не сможет загрузить систему без физического доступа к персональному идентификатору.
Загрузка системы прекратится, если хотя бы у одного параметра или файла не совпадет значение контрольной суммы с эталонным значением, хранящимся в защищенной области системы доверенной загрузки.
Злоумышленник, имея физический доступ к системе, но не зная учетных данных пользователя, может попытаться загрузить систему с внешнего носителя информации и вследствие чего получить полный доступ к хранимым данным. Но механизм сторожевого таймера, реализованный в средствах и модулях доверенной загрузки, перехватывает управление на себя, блокирует BIOS системы и не дает возможность злоумышленнику изменить его параметры для осуществления дальнейшей загрузки системы с внешнего носителя информации. Если же по каким‑либо причинам сторожевой таймер не перехватил управление и не передал его модулю или средству доверенной загрузки, то срабатывает система защиты и система либо перезагружается или полностью выключается. Таким образом, загрузить операционную систему в обход модуля или средства доверенной загрузки становится невозможно.
Журналирование действий пользователей в системе позволяет администратору информационной безопасности оперативно реагировать на различные системные события и облегчает расследование инцидентов информационной безопасности.
Перечисленные функции являются базовыми для средств доверенной загрузки, но, как правило, в существующих решениях функциональность намного шире. Средства доверенной загрузки являются хорошим подспорьем для сотрудников службы безопасности как при расследовании инцидентов, так и при оперативном определении скомпрометированного рабочего места.
Особенности средств доверенной загрузки
Для наглядности в этом разделе попытаемся проанализировать основные характеристики рассмотренных СЗД и МДЗ в табличной форме. К основным параметрам сравнения отнесем: вид СДЗ по типу изготовления, тип СДЗ по классификации ФСТЭК России, поддерживаемые интерфейсы платы расширения СДЗ, наличие сертификатов, поддержка UEFI, используемый пользовательский интерфейс, необходимость установки агента в систему, поддерживаемые идентификаторы, прочие особенности.
Таблица 2. Особенности представленных в России средств доверенной загрузки СДЗ и МДЗ
Обзор средств и модулей доверенной загрузки
«Аладдин Р.Д.» — отечественный разработчик продуктов информационной безопасности, является крупным поставщиком средств аутентификации. Компания основана в 1995 году. Основной вектор развития направлен на создание средств двухфакторной аутентификации пользователей, средств защиты баз данных и персональных данных, шифрование дисков, папок и съемных носителей с системой централизованного управления.
Встраиваемый модуль безопасности Aladdin TSM применяется для так называемой «стерилизации» ARM-процессоров серии i.MX6 компании NXP/Freesale.
Данный модуль аппаратно разделяет ARM-процессор на две изолированные друг от друга области — Secure World и Normal World. Позволяет запущенным в них приложениям работать независимо друг от друга на одном ядре процессора и набора периферии. Модуль заменяет загрузчик операционной системы на свой собственный доверенный загрузчик Secure OS, находящийся в Secure World. Это позволяет обеспечить контроль над коммуникациями и процессами, а также контроль загрузки и взаимодействия с любой гостевой системой. Встраивание модуля происходит либо на этапе производства системы, либо в лабораторных условиях.
Рисунок 1. Интерфейс Aladdin TSM. Режим администрирования
Рисунок 2. Интерфейс Aladdin TSM. Пользовательский режим
В состав Aladdin TSM входит:
Модуль безопасности разделяет пользователей на пользователей системы безопасности и администратора системы безопасности. После встраивания Aladdin TSM доступ к настройкам возможен только администратору системы безопасности.
В первую очередь этот продукт предназначен для разработчиков и производителей электронной техники и системных интеграторов.
Эта технология дает возможность использовать современное и эффективное оборудование там, где необходимо обеспечить высокий уровень безопасности, например в КИИ, АСУ ТП, в навигационном и коммуникационном оборудовании.
АПМДЗ: классика компьютерной защиты
Под доверенной загрузкой принято понимать реализацию загрузки операционной системы с определенного носителя (например, внутреннего жесткого диска защищаемого компьютера). Загрузка с других носителей должна блокироваться. Причем она происходит только после выполнения идентификации и аутентификации пользователя, а также проверки целостности программного и аппаратного обеспечения компьютера. Тем самым обеспечивается защита компьютера от НСД на важнейшей фазе его функционирования – этапе загрузки операционной системы.
Основные сведения о МДЗ
Модуль доверенной загрузки представляет собой комплекс аппаратно-программных средств (плата, аппаратные средства идентификации и аутентификации, программное обеспечение для поддерживаемых операционных систем), устанавливаемый на рабочее место вычислительной системы (персональный компьютер, сервер, ноутбук, специализированный компьютер и др.). Для примера на рисунке представлен базовый комплект поставки МДЗ «Программно-аппаратный комплекс «Соболь». Версия 3.0″ для шины PCI Express.
Программно-аппаратный комплекс «Соболь» для шины PCI Express
Для установки МДЗ требуется свободный разъем материнской платы (для современных компьютеров – стандарты PCI, PCI-X, PCI Express, mini-PCI, mini-PCI Express) и незначительный объем памяти жесткого диска защищаемого компьютера.
При первичной настройке (инициализации) МДЗ осуществляется регистрация администратора модуля, которому в дальнейшем предоставляются права регистрировать и удалять учетные записи пользователей, управлять параметрами работы модуля, просматривать журнал событий и управлять списком объектов, целостность которых должна контролироваться до загрузки операционной системы. В случае появления нарушений при проверке целостности объектов возможность работы на компьютере для обычных пользователей блокируется. В некоторых МДЗ реализована поддержка возможности удаленного управления параметрами работы.
Российский рынок МДЗ и тенденции его развития
Родоначальником отечественных МДЗ является Особое конструкторское бюро систем автоматизированного проектирования (ОКБ САПР), разработавшее модуль доверенной загрузки «Аккорд-АМДЗ». Первый сертификат соответствия Гостехкомиссии России компания получила в декабре 1994 года. В 1999 году в стенах НИП «Информзащита» был создан первый МДЗ – «Электронный замок «Соболь», впоследствии получивший название «Программно-аппаратный комплекс «Соболь». В 2010 году было продано почти 25 тыс. МДЗ семейства «Соболь».
На российском рынке информационной безопасности можно встретить следующие изделия: программно-аппаратные комплексы (ПАК) семейства «Соболь» разработки «Код Безопасности», входящего в группу компаний «Информзащита»; ПАК средств защиты информации от несанкционированного доступа (СЗИ НСД) семейства «Аккорд-АМДЗ» – ОКБ САПР; АПМДЗ семейства «Криптон-Замок» – фирмы «Анкад»; АПМДЗ «Максим» – «НПО «РусБИТех»; АПМДЗ семейства «Цезарь» – Всероссийского НИИ автоматизации управления в непромышленной сфере им. В. В. Соломатина; аппаратный модуль Diamond ACS HW в составе средства контроля и разграничения доступа Diamond ACS – «ТСС».
Модуль доверенной загрузки с возможностью удаленного управления серверами
Аппаратно-программные модули доверенной загрузки обеспечивают контроль и разграничение доступа к ресурсам компьютера на основе строгой двухфакторной аутентификации, а также контроль целостности используемой программной среды. Их оснащение функциями управления серверами обеспечивает надежное и безопасное управление серверами в клиент-серверных архитектурах.
В настоящее время разработан ряд технологий, являющихся стандартами в области встроенных систем управления и обслуживания серверов, которые базируются на использовании интеллектуального интерфейса управления платформой (Intelligent Platform Management Interface, IPMI). Этот интерфейс предназначен для мониторинга и управления сервером. Спецификация IPMI была разработана в 1998 г. корпорацией Intel, и используется многими ведущими производителями компьютеров [1].
Интерфейс IPMI предназначен для автономного мониторинга и управления функциями, встроенными непосредственно в аппаратное и микропрограммное обеспечение серверных платформ. Этот интерфейс имеет, в частности, следующие возможности удаленного управления и контроля:
Аппаратной составляющей IPMI является встроенный в платформу автономный контроллер управления материнской платой (Baseboard Management Controller, BMC), который работает независимо от центрального процессора, базовой системы ввода-вывода (BIOS) и операционной системы (ОС) компьютера, обеспечивая управление серверной платформой даже в тех случаях, когда сервер выключен (достаточно лишь подключения к источнику питания). Контроллер ВМС имеет собственный процессор, память и сетевой интерфейс.
Подробное описание структуры и принципа функционирования IPMI, а также функций контроллера ВМС на сервере, обеспечивающих контроль его состояния и управление, приведены, в частности, в [2]. Практика показывает, что использование для критичных информационных технологий зарубежной компьютерной техники, комплектующих и программного обеспечения (ПО), производители которых не дают полной информации о продукции, не гарантирует отсутствия в ней недекларируемых возможностей. Следовательно, не гарантируется требуемая степень защиты от несанкционированного доступа (НСД) к критичным компонентам информационно-вычислительных систем (ИВС) и их ресурсам.
Это может усугубляться недостаточно проработанными механизмами защиты. В частности, в IPMI-системах удаленного доступа проводится однофакторная аутентификация по паролю, в то время как при использовании отечественных устройств создания доверенной среды – аппаратно-программных модулей доверенной загрузки (АПМДЗ) при доступе к ИВС и ее компонентам применяется двухфакторная аутентификация, при которой помимо пароля требуется предъявить специальный аутентифицирующий носитель пользователя (АНП). Кроме того, в компьютерных системах на базе АПМДЗ создается доверенная среда за счет интеграции с данным модулем средств защиты информации, включая криптографические, в комплексную систему защиты ИВС.
Поскольку интерфейс IPMI, с одной стороны, предоставляет большие возможности по управлению сервером, а, с другой стороны, использует слабую однофакторную аутентификацию по паролю, можно утверждать, что этот интерфейс представляет потенциальную опасность атак на сервер (в т. ч. выключенный) через интернет, увеличивая вероятность несанкционированного доступа к его ресурсам.
Отметим также, что некоторые из экспертов по информационной безопасности обращают внимание на тот факт, что с помощью контроллера BMC через интерфейс IPMI можно удаленно полностью контролировать аппаратное и программное обеспечение серверов. Это дает злоумышленнику практически неограниченные возможности по несанкционированному воздействию на них в случае получения контроля над IPMI [3, 4, 5].
Этот факт подтверждает обоснованность требований отечественного регулятора по дополнительной защите серверов и автоматизированных рабочих мест (АРМ) ИВС с помощью АПМДЗ. АПМДЗ предназначены для контроля и разграничения доступа пользователей к компьютерам и его аппаратным ресурсам, контроля целостности установленной на компьютере программной среды, а также для выполнения ряда других защитных функций.
Примером АПМДЗ является разработанное ООО «Фирма «Анкад» семейство устройств «КРИПТОН-ЗАМОК». Эти устройства имеют следующие основные возможности:
АПМДЗ этого семейства выполнены не только в виде платы расширения, подключаемой к материнской плате компьютера [6], но и в виде набора микросхем, интегрированного непосредственно в материнскую плату [7]. Оснащение АПМДЗ семейства «КРИПТОН-ЗАМОК» рядом дополнительных аппаратных компонентов и программных модулей для удаленного управления серверами обеспечивает безопасное выполнение ряда функций, свойственных контроллеру BMC.
На основе такого варианта АПМДЗ можно разработать систему, в которую на верхнем уровне входят следующие два компонента (см. рис. 1):
Опишем основные принципы функционирования предложенной системы удаленного управления сервером. На подготовительном этапе работы системы выполняются действия по ее установке и настройке, которые сводятся к следующим операциям:
Кроме того, АПМДЗ на АРМ администратора применяется для хранения перечисленных выше модулей МУМВС, МДС и ПОА в собственной энергонезависимой памяти и их загрузки в целевую операционную систему АРМ администратора. В штатном режиме работы система удаленного управления сервером обеспечивает выполнение следующей последовательности действий:
При необходимости управляемый сервер и АРМ администратора можно оснастить устройствами «КРИПТОН AncNet» [8]. Эти устройства представляют собой криптографические сетевые адаптеры, выполняющие проходное шифрование передаваемых данных. С помощью устройств «КРИПТОН AncNet» можно создать альтернативный криптографически защищенный канал для передачи данных между сервером и АРМ администратора.
Для выполнения целого ряда дополнительных функций, обеспечивающих удаленное управление серверами, устройство АПМДЗ-УС претерпело значительные изменения по сравнению с базовым АПМДЗ. Схема устройства АПМДЗ-УС приведена на рисунке 2.
Рис. 2. Схема устройства АПМДЗ-УС
Устройство состоит из двух основных функциональных блоков на общей плате:
Блок АПМДЗ включает в себя следующие компоненты:
Входящий в состав блока АПМДЗ блок функциональных модулей АПМДЗ включает в себя следующие программные модули:
Для взаимодействия с внешними СЗИ применяются следующие модули:
модуль загрузки ключевой информации в средства криптографической защиты информации (СКЗИ), включая абонентские или проходные шифраторы (в т. ч. упомянутый выше криптографический сетевой адаптер «КРИПТОН AncNet», которым оснащается управляемый сервер);
Все модули взаимодействия с внешними СЗИ являются опциональными. Их наличие необходимо только в случае подключения к устройству или установки в его операционной системе соответствующих СЗИ.
Программное обеспечение доверенной среды включает в себя следующие программные модули:
Второй из основных блоков устройства АПМДЗ-УС – блок управления ресурсами – включает в себя следующие модули:
МДС представляет собой VPN-сервер, участвующий в формировании защищенного канала связи наряду с МДС в составе АРМ администратора.
Как уже упоминалось, сервер и АРМ администратора могут оснащаться устройствами «КРИПТОН AncNet», формирующими альтернативный криптографически защищенный канал для передачи данных. В этом случае сервер и АРМ администратора связаны двумя защищенными каналами, используемыми следующим образом:
МУУ отвечает за обмен данными между сервером и АРМ администратора в рамках удаленного управления. Для выполнения основных функций АПМДЗ и функций удаленного управления серверами устройство АПМДЗ-УС имеет следующие внешние интерфейсы:
Разъемы этих интерфейсов могут быть выполнены не только на плате самого устройства АПМДЗ-УС, но и вынесены на материнскую плату компьютера с целью минимизации габаритов устройства.
В качестве АНП или АНА могут использоваться электронные таблетки типа Touch Memory, смарт-карты разных типов, USB-идентификаторы и носители, карты памяти и т. д. Теоретически возможно использование биометрических признаков пользователей в качестве дополнительных факторов аутентификации. Следовательно, применяемый считыватель должен соответствовать типу используемого носителя:
Устройство АПМДЗ-УС может содержать подмножество из перечисленных выше блоков и программных модулей в зависимости от следующих факторов:
Таким образом, выглядит возможным и перспективным использование созданного на базе устройства «КРИПТОН-ЗАМОК» устройства АПМДЗ-УС, сочетающего в себе функции, присущие аппаратно-программным модулям доверенной загрузки (защита от несанкционированного доступа, строгая аутентификация пользователей, контроль целостности программных модулей и формирование доверенной операционной среды), и функции по удаленному управлению серверами по защищенному каналу связи между управляемым сервером и АРМ администратора.
Основными особенностями функционирования компьютерной системы удаленного управления серверами на основе этого устройства являются:
Устройством «КРИПТОН-ЗАМОК» гарантируется доверенная среда, обеспечивающая повышение эффективности защиты компьютера от несанкционированных действий на всех этапах его работы, а также удаленное администрирование и удаленную аутентификацию в компьютерных сетях с разными протоколами передачи данных и платформами. Благодаря широкой функциональности, а также выполнению наиболее критичных операций непосредственно в устройстве создания доверенной среды и осуществлению удаленного управления устройство «КРИПТОН-ЗАМОК» с функциями удаленного управления серверами сохранило достоинства взятого за основу АПМДЗ, а именно: способность выполнять системообразующие функции, возможность построения комплексной системы для эффективной защиты компьютера и ИВС в целом. В то же время, это устройство обеспечивает удаленное администрирование и управление серверами при реализации надежной двухфакторной взаимной аутентификации, что повышает эффективность защиты и управления функционированием компьютерной сети.
Устройством «КРИПТОН-ЗАМОК» с функциями удаленного управления серверами целесообразно оснащать серверы для специальных применений, где предъявляются повышенные требования к обеспечению информационной безопасности ИВС.
Авторы считают, что в этой работе новыми являются следующие результаты:
В настоящий момент описанные выше технические решения (система удаленного управления серверами по криптографически защищенному каналу и устройство АПМДЗ-УС) находятся на этапе патентования [9–10].
Литература