Kraftway

Информационная безопасность
облачных систем.
Новые угрозы и новые методы
противодействия.
Москва, 2011
Угрозы нового поколения
Заражение кода BIOS
заражение загрузочного сектора MBR
перехват управления в режиме «высоких привилегий»
SMM
интеграция компрометирующих гипервизоров
Управление компонентами системы через
интегрированный сервисный процессор
корректировка микрокода процессоров
контроль и управление системами жизнеобеспечения
(питание, охлаждение, включение/выключение
компонентов)
организация дистанционного доступа
2
Угрозы нового поколения
Стандартизация BIOS – UEFI
стандартизация механизмов заражения
Интеграция бинарных модулей Video и Management
Engine
подписывание запускаемых приложений
неработоспособность существующих АПМДЗ, как
следствие – снижение уровня безопасности
Примеры угроз
Вирус «Чернобыль/Chernobyl» 1998 г.
Trojan.Bioskit.1 2011 г.
Гипервизор уровня BIOS собственной разработки 2008 г.
3
Новые методы защиты BIOS
Создание собственной доверенной версии BIOS
Kraftway BIOS
Altell HyperBIOS
Intel
Интеграция в BIOS дополнительных средств защиты
СЗИ НСД – Trusted Security Module от Аладдин РД
Доверенная программная среда – «З-Доверие» от Altell
Trusted Platform Module от Intel
средства контроля и защиты уровня EFI – DeepSAFE от
Intel McAfee
4
Обеспечение ИТ безопасности c Kraftway BIOS и TSM
Включение ПК
Инициализация BIOS
Проверка
оборудования (POST)
Благодаря тесной интеграции TSM с BIOS материнской
платы обеспечивается максимальная безопасность и
совместимость со всеми используемыми аппаратными
средствами
Подтверждение
легитимности
Запуск embedded TSM
Поиск загрузочного
устройства
Считывание
начального загрузчика
ОС
Передача управления
загрузчику ОС
5
Аутентификация
пользователя
Контроль целостности
Передача управления
BIOS
Обратная передача управления
BIOS для дальнейшей загрузки
компьютера осуществляется
только после двухфактурной
аутентификации пользователя.
Особенности Kraftway BIOS
Невозможность перезаписи BIOS и установок CMOS
неразрушающими методами
Исключение области содержащей BIOS из общего
адресного пространства
Запуск TSM до запуска функции поиска загрузочного
устройства (INT19)
Проверка состава оборудования
Проверка контрольной суммы BIOS
Интегрированный сторожевой таймер
Индивидуальная настройка портов USB
6
Обеспечение безопасности кода
В SPI Flash материнской платы Kraftway логически
выделены пять регионов, которые независимо друг от
друга могут быть защищены от записи:
Boot Block
Main BIOS
SMBIOS Area (DMI Tables)
Hole Area
для хранения кода инициализации памяти и копии
Video ROM, используемой для процедуры BIOS
Recovery
PDR - Platform Data Region
для хранения кода TSM, журнала и контрольных
сумм
Защита кода приложения TSM осуществляется
программно-аппаратными средствами материнской
платы
7
SPI Flash
Boot Block
BIOS
SMBOIS (DMI Tables)
Hole Area
PDR
embedded TSM
контрольные суммы
журнал регистрации событий
Ролевая модель
Идентификация, аутентификация и авторизация
Администратор
изменение настроек BIOS посредством BIOS SETUP
включение/отключение TSM посредством BIOS SETUP
продолжение загрузки компьютера
изменение настроек TSM
управление пользователями TSM
изменение пароля подключенного пользователя
выработка и запись дополнительного аутентификатора
просмотр журнала событий
инициализация контроля целостности программной среды компьютера
запрос сводной информации о версии, настройках, содержании хранилища TSM
Пользователь
продолжение загрузки компьютера
многофакторная аутентификация
Идентификатор пользователя – USB-ключ eToken
Аутентификатор – пароль пользователя
изменение пароля пользователя
8
Контроль целостности
Подсистема контроля целостности обеспечивает
контроль следующих объектов:
• Файлы на компьютере для файловых систем
NTFS/FAT32/FAT16;
• Критичные секторы жестких дисков:
 Master Boot Record;
 62 сектора после Master Boot Record;
 Volume (Partition) Boot Sector для каждого раздела
жесткого диска;
 Extended Boot Record для каждого раздела жесткого
диска.
Режимы контроля целостности для пользователей:
•
•
9
Жесткий, при нарушении загрузка операционной системы блокируется
Мягкий, при нарушении загрузка операционной системы не блокируется
Журнал регистрации событий
TSM осуществляет регистрацию всех событий доступа к компьютеру
Журнал регистрации содержит информацию о следующих событиях:
Успешная аутентификация
Неуспешная аутентификация с сохранением ID предъявленного eToken
Изменения в учетных записях пользователей
Блокировка/разблокировка пользователей
Изменение настроек TSM
События подсистемы контроля целостности
Включение/отключение TSM
Информация о служебных событиях TSM
Журнал регистрации событий TSM предоставляет полную информацию
о событиях доступа к компьютеру, в том числе о попытках
несанкционированного доступа
Служебная информация о пользователях (имя, описание, серийный
номер eToken), а так же журналы регистрации событий хранятся в
энергонезависимой памяти
10
Реализация защищённого BIOS в терминальном ПК.
Компактность, безопасность и безотказность – таковы основные требования к
качественной современной технике. А, добавив к ним бесшумность, прочность,
защищенность и продуманную эргономичность, мы получаем новый тонкий
клиент от компании Kraftway.
Никаких вентиляторов, шпинделей и роторов: всё необходимое для работы
записано на твердотельный промышленный накопитель.
Характеристика
значение
Процессор
Intel Atom N450/N2600 (1.66/1.8ГГц
512/1024кБ кэш)
Оперативная
память
до 2 ГБ
Сетевой адаптер
1/2 интегрированный 10/100/1000 Мбит/с
Видеоадаптер
Интегрированная в процессор
графическая подсистема Intel с
поддержкой 3D, 2D и DX9/DX10
Жесткий диск:
твердотельный
Гарантия
3 года
Корпус
Специальный, металлический, с
креплением на обратную сторону
монитора, в черной цветовой гамме
11
Терминальный ПК.
На задней панели клиента расположен весьма
внушительный набор интерфейсов для такого
небольшого корпуса, выполненного целиком из металла:
- Разъем для подключения источника питания.
- PS/2 разъем для клавиатуры.
- DB15 VGA разъем для подключения монитора
высокого разрешения.
- RJ45 гнездо для локальной сети стандарта
- Ethernet 10/100/1000
- 4 порта USB 2.0 для дополнительных устройств
- И два порта для аудиоустройств.
На обратной стороне расположены
дополнительные гнезда для подключения
USB-устройств: клавиатуры, мыши, а также
порты для подключения гарнитуры.
На нижней стороне расположен специальная переходная пластина для установки на LCDмониторы с VESA 100 креплением.
12
Терминальный ПК.
Применяемый в решении тонкий клиент Kraftway VV18 представляет собой бездисковую рабочую станцию,
подключаемую по сети непосредственно к серверу. Kraftway VV18 служит для ввода информации и отображения
рабочего стола. Все операции выполняются только на сервере. Преимущества тонких клиентов Kraftway:
Базовый комплект программного обеспечения. Каждый терминал обладает одним и тем же встроенным ПО,
благодаря чему рабочий процесс становится более скоординированным и упорядоченным.
Простота установки. Все необходимые настройки производятся при помощи централизованного
информационного управления, в результате чего необходимость в точечной настройке каждого отдельного
компьютера отпадает.
Надежность. Вероятность выхода из строя тонкого клиента близка к нулю, в связи с отсутствием движущихся
частей, что благоприятно сказывается на работоспособности всей сети в целом. Потерять какую-либо важную
информацию становится практически невозможно.
Удобство применения. Программное обеспечение устанавливается лишь на сервер, а операционная система
Kraftway Terminal Linux служит только для установки и поддержания сессии соединения.
Быстрая масштабируемость. Сеть, созданную на основе тонких клиентов Kraftway VV18, можно легко
масштабировать до нужного количества терминалов, без постоянной переустановки ПО и перенастройки системы.
Безопасность и защита от утечек информации. Все данные хранятся на сервере, Kraftway VV18 не имеет
никаких носителей информации, а следовательно, и украсть с него какие-либо ценные данные невозможно.
Кроме того, тонкий клиент VV18 может быть снабжен специальным ключом доступа к запуску самого
клиента.
Легкость замены. Если возникла необходимость заменить какой-либо из терминалов, выполнить подключение
нового тонкого клиента можно быстро, без особых проблем.
Простое техническое обслуживание. Минимальные затраты на модернизацию и починку терминалов
благоприятно сказываются на всем рабочем процессе в целом.
13
Обеспечение безопасности
Необходимо обеспечить выполнение требований
Федерального закона №152 «О персональных данных»
Исходя из моделей угроз предложенная нами система
обеспечивает защищенный канал передачи данных с
шифрованием и многофактурную аутентификацию пользователя
работающего с персональными данными.
Элементы обеспечения защиты являются не
извлекаемыми что делает невозможным
исключение их из системы.
Далее будет рассмотрен механизм встроенного модуля
обеспечения ограничения доступа более детально.
14
С чего начать?
Заключить Договор на предпроектное обследование
каждого автоматизируемого ЛПУ
результат: отчет
заказчик: само ЛПУ, региональное Министерство Здравоохранения,
территориальный Фонд Обязательного мед. Страхования
Заказчик утверждает программу (бюджет) по
модернизации здравоохранения региона.
Заказчик разрабатывает ТЗ на конкурс по модернизации
здравоохранения региона.
Заказчик публикует конкурсную документацию.
15
СПАСИБО ЗА ВНИМАНИЕ!