33
Модуль доверенной загрузки «Соболь». Новая версия флагманского продукта. Демонстрация работы вебинар, 26 апреля 2016 г. Менеджер по продукту Бурым Андрей

Модуль доверенной загрузки "Соболь". Новая версия флагманского продукта

Embed Size (px)

Citation preview

Page 1: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

Модуль доверенной загрузки «Соболь». Новая версия флагманского продукта. Демонстрация работы

вебинар, 26 апреля 2016 г.

Менеджер по продукту Бурым Андрей

Page 2: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ЧТО ТАКОЕ ПАК «СОБОЛЬ»?

ПАК «Соболь»

ПАК «Соболь» Лидер рынка аппаратно-программных модулей доверенной загрузки (АПМДЗ) с наиболее широким списком поддерживаемых аппаратных платформ и операционных систем

• защиты конфиденциальной информации, персональных данных, гостайны (гриф «Совершенно Секретно»).

• предотвращения доступа неавторизованных пользователей к информации, обрабатываемой на компьютере.

• информирования администратора комплекса о всех важных событиях ИБ.

• предоставления случайных чисел прикладному ПО.

Предназначен для:

Page 3: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

Сервер

ПРИМЕНЕНИЕ

Рабочая станция

Ноутбук Моноблок

ПАК «Соболь» защищает

Page 4: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

СЕРТИФИКАТЫ ПАК «СОБОЛЬ»

Сертификат ФСТЭК №1967

СДЗ. ПР 2, в АС до класса 1Б государственная тайна с грифом «совершенно секретно»), включительно, ГИС до 1 класса и ИСПДн до УЗ1 включительно

Сертификат ФСБ №СФ/527-2623

АПМДЗ до 1Б (государственная тайна с грифом «совершенно секретно»)

Page 5: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

СООТВЕТСТВИЕ ФСТЭК РОССИИ

Электронный замок «Соболь» может применяется: • Для защиты конфиденциальной информации и защиты государственной тайны до класса 1Б включительно (гриф «Совершенно

Секретно»)

• В государственных информационных системах (ГИС) согласно приказу ФСТЭК России №17

• В информационных системах обработки персональных данных (ИСПДн), согласно приказу ФСТЭК России №21

Продукт 1Д 1Г 1В (Секретно) 1Б (Совершенно секретно)

Электронный замок «Соболь»

Продукт Класс защищенности

1 2 3 4

Электронный замок «Соболь»

Продукт

Уровень защищенности ИСПДн УЗ1 УЗ2 УЗ3 УЗ4

Электронный замок «Соболь»

Page 6: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

НАМ ДОВЕРЯЮТ

Федеральное казначейство

России

Федеральная налоговая

служба России

Федеральная таможенная

служба России

Министерство юстиции

Российской Федерации

Федеральный фонд обязательного

медицинского страхования

Центральная избирательная

комиссия Российской Федерации

Министерство внутренних дел

Российской Федерации

Федеральная служба безопасности

Российской Федерации

Министерство обороны

Российской Федерации

Центральный банк Российской Федерации

ПАО «Сбербанк» ПАО «ВТБ24»

ГК «Ростех» АО «Российские космические системы» ПАО «ГМК «Норильский

никель» Государственная корпорация

по атомной энергии «Росатом»

ПАО «Газпром» ОАО «АК «Транснефть» ОАО «НК «Роснефть»

ГОСУДАРСТВЕННЫЕ ОРГАНИЗАЦИИ: ТЕЛЕКОММУНИКАЦИОННЫЕ КОМПАНИИ: СИЛОВЫЕ СТРУКТУРЫ:

ФИНАНСОВЫЕ ОРГАНИЗАЦИИ:

ПРОМЫШЛЕННЫЕ ПРЕДПРИЯТИЯ: ПРЕДПРИЯТИЯ ТЭК:

Федеральная служба охраны

Российской Федерации

ГКНПЦ им. М.В. Хруничева

АО «Страховая группа МСК» АО «Газпромбанк» ПАО «Банк «Возрождение»

ГК «АКАДО Телеком» АО «Воентелеком»

ГК «Внешэкономбанк»

ПАО «Ростелеком»

Page 7: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ВОЗМОЖНОСТИ

Page 8: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ВОЗМОЖНОСТИ ПАК «СОБОЛЬ»

Идентификация и

аутентификация пользователей

Запрет загрузки

с внешних носителей

Регистрация попыток доступа к

 компьютеру

Сторожевой таймер

Контроль целостности

программной среды

Контроль целостности

реестра Windows

Контроль аппаратной

конфигурации компьютера

Аппаратный датчик

случайных чисел

Page 9: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ПАК «СОБОЛЬ»

ВОЗМОЖНОСТИ

ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ В качестве персональных идентификаторов пользователей могут применяться:

• iButton • eToken PRO и eToken PRO (Java) • Rutoken • iKey 2032 • Смарт-карты eToken PRO

БЛОКИРОВКА ЗАГРУЗКИ ОС СО СЪЕМНЫХ НОСИТЕЛЕЙ После успешной загрузки штатной копии ОС доступ к этим устройствам восстанавливается. Запрет распространяется на всех пользователей компьютера, за исключением администратора.

Page 10: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ПАК «СОБОЛЬ»

ВОЗМОЖНОСТИ

СТОРОЖЕВОЙ ТАЙМЕР Механизм сторожевого таймера обеспечивает блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано комплексу «Соболь».

РЕГИСТРАЦИЯ ПОПЫТОК ДОСТУПА К ПЭВМ Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти: • факт входа пользователя и имя пользователя; • предъявление незарегистрированного

идентификатора; • ввод неправильного пароля; • превышение числа попыток входа в систему; • дата и время регистрация событий НСД.

Page 11: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ПАК «СОБОЛЬ»

ВОЗМОЖНОСТИ

КОНТРОЛЬ ЦЕЛОСТНОСТИ СИСТЕМНОГО РЕЕСТРА WINDOWS

Данная возможность позволяет контролировать неизменность системного реестра Windows, что существенно повышает защищённость рабочих станций от несанкционированных действий внутри операционной системы.

КОНТРОЛЬ ЦЕЛОСТНОСТИ ПРОГРАММНОЙ СРЕДЫ

Используемый в комплексе "Соболь" механизм контроля целостности позволяет контролировать неизменность файлов и физических секторов жесткого диска до загрузки операционной системы, а также файловых систем: NTFS, FAT 32, FAT 16, UFS, UFS2, EXT3, EXT2, EXT4 в ОС семейства Linux и MS Windows.

КОНТРОЛЬ КОНФИГУРАЦИИ

Возможность контролировать неизменность конфигурации компьютера – PCI-устройств, ACPI, SMBIOS и оперативной памяти. Данная возможность существенно повышает защиту Вашей рабочей станции.

Page 12: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ПРИНЦИП РАБОТЫ

СТОРОЖЕВОЙ ТАЙМЕР

ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ

РЕГИСТРАЦИЯ СОБЫТИЙ

БЕЗОПАСНОСТИ СИСТЕМЫ

БЛОКИРОВКА ЗАГРУЗКИ ОС СО

СЪЕМНЫХ НОСИТЕЛЕЙ

КОНТРОЛЬ ЦЕЛОСТНОСТИ

ФАЙЛОВ И СЕКТОРОВ

ЖЕСТКОГО ДИСКА

КОНТРОЛЬ ЦЕЛОСТНОСТИ

РЕЕСТРА WINDOWS

КОНТРОЛЬ ЦЕЛОСТНОСТИ АППАРАТНОЙ

СРЕДЫ

АППАРАТНЫЙ ДАТЧИК СЛУЧАЙНЫХ

ЧИСЕЛ (ДСЧ)

Page 13: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

СИСТЕМНЫЕ ТРЕБОВАНИЯ ОС Windows ОС Linux

• Windows 8/8.1; • Windows 7/7 x64 Edition; • Windows Vista/Vista x64 Edition; • Windows XP Professional/XP Professional x64

Edition; • Windows Server 2012/Server 2012 R2; • Windows Server 2008/Server 2008 x64

Edition/Server 2008 R2; • Windows Server 2003/Server 2003 x64

Edition/Server 2003 R2/Server 2003 R2 x64 Edition.

• FreeBSD 6.2/6.3/7.2/8.2 • МСВС 3.0 x86; • Альт Линукс СПТ 6.0.0 х86/х64; • Astra Linux Special Edition "Смоленск" 1.3

х64; • Astra Linux Common Edition "Орел" 1.9 х64; • CentOS 6.2 x64, 6.5 х86/х64; • Debian 6.0.3/7.6 x86/х64; • Mandriva ROSA Desktop 2011.0 x86/x64; • Red Hat Enterprise Linux 6.0 x86/x64, 7.0

x64; • Ubuntu 14.04 LTS Desktop/Server x86/x64; • VMware vSphere ESXi 5.1 Update 1/5.1

Update 2/5.5 x64. и другие

Page 14: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

СОВМЕСТНОЕ ТЕСТИРОВАНИЕ

Оборудование партнёра

ПАК «Соболь» ООО «Код Безопасности»

На нашем сайте доступна Таблица совместимости ПАК «Соболь» с моделями персональных компьютеров и материнских плат

Page 15: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ЧТО НОВОГО? ПАК «СОБОЛЬ» 3.0.9

Новая плата PCI Express, которая может применяться в мини-корпусах и существенно повышает надежность работы сторожевого таймера. Работа практически на всех ОС семейства Windows и Linux, в том числе – в устаревших версиях. Добавлена поддержка дистрибутивов: • МСВС 5.0; • «Альт Линукс» 7.0 Кентавр x32/64; • Astra Linux Special Edition «Смоленск» 1.4 х64; • Mandriva РОСА «Никель» x86/x64.

Page 16: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

МОДЕЛЬНЫЙ РЯД

Page 17: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

МОДЕЛЬНЫЙ РЯД

Габариты: 50 мм x 120 мм Интерфейс: PCI

Габариты: 65 мм x 140 мм Интерфейс: PCI Express

Габариты: 50 мм x 30 мм Интерфейс: Mini PCI Express

Габариты: 26 мм x 30 мм Интерфейс: Mini PCI Express Формат платы: Mini PCI Express Half МОДЕЛЬНЫЙ РЯД

Габариты: 57 мм x 80 мм Интерфейс: PCI Express

Page 18: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

МОДЕЛЬНЫЙ РЯД

Дополнительный адаптер для платы формата Mini PCI Express с кронштейном

Устройство блокировки питания для реализации функции сторожевого таймера. Одобрено ФСБ России.

Внутренний считыватель

МОДЕЛЬНЫЙ РЯД

Page 19: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

МОДЕЛЬНЫЙ РЯД

Дополнительный адаптер для платы формата Mini PCI Express с кронштейном

Устройство блокировки питания для реализации функции сторожевого таймера. Одобрено ФСБ России

МОДЕЛЬНЫЙ РЯД

Page 20: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ДЕМОНСТРАЦИЯ РАБОТЫ

Page 21: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ПОРЯДОК РАБОТЫ

/при появлении этого экрана следует сообщить:/ На начальном этапе ПАК «Соболь» перехватывает управление у BIOS компьютера. Далее комплексу необходимо определить, кто пытается получить доступ к информации, то есть идентифицировать пользователя и наделить его необходимыми правами (аутентифицировать).

Если ПАК «Соболь» не получил управление (например, нарушитель зашёл в BIOS и пытается отключить работу «Соболя»), то через заданный интервал времени Сторожевой таймер комплекса воздействует на механизм Reset компьютера, перезагружая его.

Программно-аппаратный комплекс "Соболь". Версия 3.0

До окончания входа в систему: 1 мин. 20 сек.

А

Предъявите персональный идентификатор . . .

Page 22: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ПОРЯДОК РАБОТЫ

Идетификация и аутентификация пользователей производится по идентификаторам (iButton, eToken PRO (Java), Rutoken, iKey 2032 или смарт-карты eToken PRO).

Далее происходит регистрация событий безопасности системы. Все факты предъявления идентификаторов, неправильный ввод пароля пользователем, администрирование пользователей и другие события регистрируются и записываются в электронную память самой платы. /на экране фрагмент электронного журнала/

Page 23: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ПОРЯДОК РАБОТЫ

Блокировка загрузки операционных систем (ОС) со съемных носителей

На начальном этапе загрузки ПАК «Соболь» перехватывает управление всеми устройствами ввода-вывода, в том числе USB-портами, и не позволяет загрузиться нештатной ОС.

После успешной загрузки штатной копии ОС доступ к этим устройствам восстанавливается. Запрет распространяется на всех пользователей компьютера, за исключением администратора, чтобы в случае сбоя, администратор имел возможность загрузиться со съёмного носителя (например, с флэшки или с компакт-диска) и восстановить работоспособность системы.

Page 24: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ПОРЯДОК РАБОТЫ

Контроль целостности файлов и секторов жесткого диска

В случае изменения контролируемых файлов или секторов жёсткого диска например, при вирусном заражении) ПАК «Соболь» остановит загрузку и потребует вмешательства администратора комплекса.

Также загрузка будет остановлена в случае изменения контролируемых веток реестра Windows (появление или удаление программного обеспечения, изменение параметров), или при добавлении новых устройств. /здесь следует продемонстрировать процесс контроля целостности с бегущими процентами/

Page 25: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ПОРЯДОК РАБОТЫ

В ПАК «Соболь» реализован Аппаратный датчик случайных чисел (ДСЧ), построенный на шумовых диодах. Датчик одобрен ФСБ и используется для генерации паролей и ключей.

Page 26: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ПОРЯДОК РАБОТЫ

После успешного прохождения всех проверок, управление передаётся загрузчику доверенной операционной системы и загрузка компьютера продолжается. /здесь следует продемонстрировать процесс старта ОС/

Page 27: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ПРЕИМУЩЕСТВА, ПЛАНЫ И ОБНОВЛЕНИЕ

Page 28: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

Широкий выбор форматов

исполнения

Усиленная двухфакторная

аутентификация с помощью персональных

электронных идентификаторов

Простота установки, настройки

и администрирования

Возможность программной

инициализации без вскрытия

системного блока

Сертифицированный аппаратный датчик

случайных чисел

ПРЕИМУЩЕСТВА ПАК «СОБОЛЬ»

Page 29: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ЧТО ДАЛЬШЕ?

ПАК «Соболь» версия 3.1/3.2 - ФСБ России март 2016/октябрь 2016 • Вывод на рынок двух плат: PCI-E на

элементной базе Mini PCI-E и платы Mini PCI-E Half с сертификатом ФСБ.

• Поддержка новых операционных систем. ПАК «Соболь» 4.0.0 I полугодие 2017 года • Функционирование в среде UEFI на

существующих платах PCI, PCI-E, Mini PCI-E и Mini PCI-E Half Size, поддержка GPT.

Page 30: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ОБНОВЛЕНИЕ НА НОВУЮ ВЕРСИЮ

Техническая поддержка – важная составляющая эксплуатации продукта. Доступ к пакетам обновлений в рамках основной версии продукта. Специальные условия на приобретение новых версий продукта в рамках расширенного и VIP-пакетов техподдержки. Следите за акциями и спецпредложениями.

Page 31: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

ТЕХНИЧЕСКАЯ ПОДДЕРЖКА

Пакет поддержки

Каталог услуг Доступность услуги

Приоритет

Выделенный инженер (для проведения работ)

Присутствие инженера на площадке заказчика

Консультирование по дополнительному функционалу продукта

Консультирование по установке и использованию продукта

Регистрация обращений на веб-портале

Специальные условия на приобретение новых версий продукта

Доступ на форум по продукту и базе знаний

Доступ к пакетам обновлений

Личный кабинет на веб-портале

Информирование о доступных обновлениях продукта по запросу

Прием предложений по улучшению продукта

24х7, e-mail, телефон

24х7, e-mail, телефон

8x5, e-mail, телефон

8x5, e-mail, телефон

Самый высокий приоритет

обслуживания

Высокий приоритет

обслуживания

Средний приоритет

обслуживания

Низкий приоритет

обслуживания

VIP Расширенный Стандартный Базовый

Page 32: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

http://www.securitycode.ru/ • Подробное описание продуктов • Техническая документация • Листовки, презентации, сертификаты • Онлайн-калькулятор для расчета стоимости

Для авторизованных партнеров компании «Код Безопасности» доступен закрытый раздел с дополнительными материалами

УЗНАТЬ ПОДРОБНЕЕ

Page 33: Модуль доверенной загрузки "Соболь".  Новая версия флагманского продукта

АНДРЕЙ БУРЫМ

Менеджер по продукту

[email protected]

www.securitycode.ru

СПАСИБО!