1 Продолжительность: 15 МИНУТ Мероприятие: 8-й Евразийский форум информационной безопасности Москва, Здание Правительства Москвы 7-8 июня 2012г. Компания: Kraftway Тема: Методы создания безопасной облачной платформы для подключения к централизованным медицинским сервисам.
Методы создания безопасной облачной платформы Константин Абатуров Москва, 7 июня 2012 «Ифофорум Евразия / Сити» 8-й Евразийский форум информационной безопасности для подключения к централизованным медицинским сервисам.
3 ПЕРЕЧЕНЬ ТЕМ О компании Создание ИСПДн. Реальное внедрение. Новые модели угроз. UEFI. Что ожидать? Оценка достижений.
4 ОБЩЕСТВЕННОЕ СЛУЖЕНИЕ Kraftway крупнейшая российская производственная компания в сфере информационных технологий. Успешно работая с 1993 г., Kraftway заслуженно пользуется репутацией одного из признанных технологических лидеров компьютерного рынка России. Спектр выпускаемой продукции под торговой маркой Kraftway чрезвычайно широк и включает персональные компьютеры для бизнеса и дома, рабочие станции, терминальные системы, серверы, системы хранения данных, активные контрольно- кассовые машины, мониторы, компьютерную периферию. Одна из крупнейших российских ИТ-компаний, фокусирующаяся на рынке B2B; Работает с 1993 г.; Сертификация по международному стандарту ISO 9001 с 1996 г. Сертификация по международному стандарту менеджмента услуг ISO/IEC :2005 Оборот 6 млрд. руб. (2011); Свыше 700 сотрудников; Штаб квартира – Москва; Две производственные площадки: опытное производство в г. Москва, основное производство в г. Обнинск Уникальные производственные мощности; Большой опыт реализации крупных интеграционных проектов
5 Собственный завод в г.Обнинск. Первое новое IT-предприятие, построенное в России за последние 15 лет Открытие в июне 2007 г. Общие инвестиции 20 млн. дол. 100 км. от Москвы; 3 производственные линии Участок сборки серверов; Свыше 300 сотрудников ; Общая площадь 22 тыс. кв. м. Производственный цех 6 тыс.кв.м. Складской терминал 12 тыс. кв. м. Административный корпус 4 тыс. кв. м Общая мощность первой очереди – 1 млн. изделий в год 29 апреля 2010 г. в производственном цехе завода электронного оборудования Kraftway в г. Обнинск Президент РФ. Д.А.Медведев провел заседание Комиссии по модернизации и технологическому развитию экономики России. ПРОИЗВОДСТВО
6 ОПИСАНИЕ ВНЕДРЯЕМОГО РЕШЕНИЯ С ПОДКЛЮЧЕНИЕМ К ЦЕНТРАЛИЗОВАННЫМ МЕДИЦИНСКИМ СЕРВИСАМ С ПРИМЕНЕНИЕМ ОБЛАЧНЫХ ТЕХНОЛОГИЙ. РЕАЛЬНЫЙ ОПЫТ
7 ОБЩАЯ СХЕМА ВЗАИМОДЕЙСТВИЯ (ИТ БЕЗОПАСНОСТЬ) Крипто маршрутизатор Крипто маршрутизатор
8 МИС. ПАРТНЕРСТВО. Корпоративные Информационные Рутины. ОАО «НПО РусБИТех» (ГИС Jemys-RBT) БАРС груп Аксимед / SofTrust ОАО «Ростелеком»
9 ПОДСИСТЕМА БЕЗОПАСНОСТИ Подсистема обеспечения безопасности и шифрования данных передаваемых по общедоступным каналам связи. Защищенная соединение по публичному каналу обеспечивается VIP Net координаторами, туннель точка-точка (1 лицензия на один ЛПУ). По защищенному туннелю проходит только одно VPN соединение. Данное соединение обеспечивает связь Site to Site между ЛПУ и ЦОД. VPN server в ЦОД, на него сходятся все соединения из всех ЛПУ. VIP Net администратор и удостоверяющий центр в ЦОД. Данная подсистема обеспечивает независимость внутренней инфраструктуры от настроек системы обеспечения безопасности. ЦОД и ЛПУ работают в одной подсети без привязки к физической топологии, серверы VipNET, в этом случае, обеспечивают защищенный канальный уровень.
Пассивное охлаждение в защищенном металлическом корпусе при очень низком энергопотреблении было доведено до совершенства в собственном дизайнерском центре специалистами Kraftway. Тем не менее, модель VV20 выполнена на высокопроизводительном процессоре со встроенной графикой, что позволяет ей без труда исполнять роль универсального клиента. Доступность дополнительных внешних носителей определяется административными настройками BIOS. Kraftway Credo VV20 10 Системная логикаIntel Atom Системная шина, FSB MHz1066 ПроцессорIntel Atom 450 1,66ГГц ПамятьDDR3, До 16GB. 2 SODIMM слота СетьGigabit Ethernet НакопителиDOM, SSD, HDD, ВидеоадаптерIntel GMA3150 (разрешение до 2048x1536) Звуковой контроллер Realtek ALC662 Блок питанияВнешний 150 Ватт Корпус202x52x133, экструдированный алюминий, с пассивным охлаждением, в комплекте крепление на заднюю стенку монитора. 152ФЗ СООТВЕСТВУЕТ
Специализированное решение для информатизации неподготовленных объектов. Высоко интегрированная серверная система в малошумящем исполнении. Функциональная насыщенность и высокая плотность вычислений делают Kraftway Express Blade BL11 отличным выбором практически для любых приложений малого и среднего бизнеса. Удобные инструменты администрирования, дополненные KVM over LAN, максимально облегчают эксплуатацию сервера. Kraftway Studio BL11 11 Системная логикаIntel H61 Системная шина, FSB MHz1066,1333 ПроцессорDual-core Intel Xeon серии 5xxx до 3,33 ГГц. ПамятьDDR3, До 32GB. в каждом сервере СетьВстроенные Gigabit Ethernet коммутаторы НакопителиОбщая RAID СХД с системой резервирования Оптический приводDVDRW, опция УправлениеIPMI 2,0, KVM over IP, ODD over IP Блок питанияМодульная система с резервированием N+1 КорпусСтоечное или напольное размещение в звукоизолирующем корпусе. 152ФЗ СООТВЕСТВУЕТ
12 ОБЗОР ВОЗМОЖНОСТИ АТАКИ ЧЕРЕЗ АППАРАТНЫЕ КОМПОНЕНТЫ ТИПИЧНОГО КОМПЬЮТЕРА НЕПРОВЕРЕННЫЙ BIOS КАК УГРОЗА
13 СМЕЩЕНИЕ ФОКУСА УГРОЗЫ Благодаря организационным и техническим работам защита данных хранящихся и обрабатывающихся в ЦОД предоставляет достаточный уровень защищенности. Каналы связи оснащаются требуемым уровнем защиты данных при передаче по не доверенной территории. Идет значительный рост угрозы на уровне конечного оборудования АРМ. Шифрование Частные сети Шифрование Частные сети Физическая защита Защита от НСД Защита от НСД ! !
14 Структура хранения BIOS в SPI Flash Уязвимость BIOS Структура областей BIOS: Boot Block Main BIOS SMBIOS Area (DMI Tables) Hole Area для хранения кода инициализации памяти и копии Video ROM, используемой для процедуры BIOS Recovery PDR - Platform Data Region Нет доступа из ОС 7-я серия chipset – 32МБ Следующе поколение: до256MБ; возможность интеграции в PDR компрометирующего кода. Место для размещения кода пользователя Место для размещения кода пользователя
15 Актуальная модель угроз для компрометации BIOS
16 Компрометация BIOS. Реальные возможности. Запуск вредоносных SMI обработчиков для обхода модулей доверенной загрузки и др. средств защиты. Модификация драйверов BIOS для создания скрытых областей памяти и размещения в них вредоносного ПО. Запуск в закрытых областях памяти вредоносных OPROM сетевых контроллеров для предоставления удаленного доступа к данным и дистанционного управления. Модификация загрузочных областей устройств, смена последовательности загрузочных устройств, создание скрытых областей на носителях. Запуск скрытых виртуальных машин, фильтрация внутреннего и внешнего трафика. Сбор паролей, теста и комбинаций нажатий клавиш. Предоставление злоумышленнику на носитель или удаленно. ВНИМАНИЕ РЕАЛЬНАЯ УГРОЗА Низкоуровневый доступ через сервисный процессор (BMC) и Management Engine для контроля и управления аппаратным обеспечением, вплоть до загрузки системы с удаленного носителя. Вывод из строя оборудования по удаленной команде.
17 Новые методы защиты BIOS Создание собственной, доверенной платформы. Контроль исходных кодов BIOS. Создание в BIOS оболочки безопасности. Интеграция в BIOS дополнительных средств защиты модули доверенной загрузки, гипервизоры уровня BIOS, межсетевые экраны, проверка сертификатов аппаратуры и приложений Создание системы проверки сертификатов запускаемых модулей (аналог TPM). Использование собственных систем дистанционного мониторинга и управления (в т.ч. пользователями) на уровне UEFI BIOS. криптопровайдеры, антивирусы уровня BIOS, авторизация через СК, single Sign-On;
18 Материнские платы Kraftway Особенности BIOS Невозможность перезаписи неразрушающими методами: кода BIOS установок CMOS MBR накопителя Исключение области содержащей МДЗ из общего адресного пространства (после загрузки ос нет доступа) Запуск МДЗ до запуска функции поиска загрузочного устройства (INT19), и опроса OPROM Контроль состава оборудования (аппаратная целостность) Проверка контрольной суммы BIOS Интегрированный сторожевой таймер Хранение журнала событий в закрытой области
19 ОБЗОР ОЖИДАЕМЫХ ИНДУСТРИАЛЬНЫХ АЛГОРИТМОВ КОНТРОЛЯ ПРОГРАММНО - АППАРАТНОЙ СОСТАВЛЯЮЩЕЙ АРМ НА ОСНОВЕ КОМПОНЕНТТОВ С ОТКРЫТОГО РЫНКА UEFI – ПАНАЦЕЯ БЕЗОПАСНОСТИ?
20 Предыдущая схема старта BIOS зона высокого риска зона работы типичных антивирусных программ
21 Логическая схема UEFI BIOS Независимые драйверы контроль стартовых процедур зона работы типичных антивирусных программ
22 Логическая схема UEFI BIOS Независимые драйверы контроль стартовых процедур зона работы типичных антивирусных программ Компания Kraftway является полноправным членом международной некоммерческой организацию UEFI Forum, разрабатывающую стандарты для интерфейса между операционной системой и микропрограммами, которые управляют низкоуровневыми функциями компьютерного оборудования. Kraftway входит в две рабочие группы: Platform Initialization и UEFI Specification. Интерес Kraftway к деятельности организации связан с активной деятельностью компании по разработке собственных материнских плат и собственных версий BIOS с интегрированным средствами контроля и защиты информации, что позволяет обеспечить высокий уровень информационной защищённости продукции Kraftway и создать у заказчиков доверенную информационную инфраструктуру. Kraftway заинтересован в соответствии своих разработок современным международным отраслевым стандартам. Благодаря тесной интеграции программного комплекса «Электронный замок» с BIOS материнской платы обеспечивается максимальная безопасность и совместимость со всеми используемыми аппаратными средствами. Материнские платы Kraftway широко используются компанией для производства серийной компьютерной техники, в том числе защищенных терминальных станций и ПК.
23 ПОЛОЖИТЕЛЬНЫЕ ОТЗЫВЫ МИС, реализованные на оборудовании компании Kraftway получают положительную оценку сотрудников ЛПУ. Высокий уровень качества оборудования и оперативность обслуживания является причиной выбора интеграторов.
24 МИНЗРАВ. МОДЕРНИЗАЦИЯ. ОПЫТ и ПРИЗНАНИЕ. Созданное в компании универсальное масштабируемое инфраструктурное решение предназначено для комплексной автоматизации ЛПУ и служит инфраструктурной подосновой для различных медицинских информационных систем, хранения медицинских данных, визуализации результатов функциональных исследований, внедрения электронного документооборота. Использование решения Kraftway позволяет быстро автоматизировать рабочие места медработников. Обкатка и оптимизация разработанного комплекса проходят на опытных площадках в крупнейших учреждениях здравоохранения совместно с ведущими разработчиками медицинских информационных систем (МИС). В настоящее время в Министерстве здравоохранения и социального развития завершается процедура регистрации комплекса Kraftway как изделия медицинского назначения. Программно-аппаратный комплекс получил высокую оценку специалистов на состоявшейся в Москве специализированной выставке «Medsoft-2011». Заместитель министра здравоохранения РФ В.И. Скворцова вручила Kraftway почетный диплом
25 ЛАБОРАТОРИЯ СПЕЦИАЛЬНЫХ РАБОТ ШИРОКИЙ СПЕКТР УСЛУГ ПО ЗАЩИТЕ ИНФОРМАЦИИ Основные задачи: Проведение специальных проверок – комплекса инженерно- технических мероприятий, направленных на выявление электронных закладочных устройств; Проведение специальных исследований – выявление возможных каналов утечки защищаемой информации; Аттестация рабочих мест и помещений, где используется информация, составляющая государственную тайну Объем инвестиций – свыше 1 млн. дол. Штат лаборатории – 46 чел. Все необходимые лицензии Статус органа по сертификации в системе СКЗИ и СЗИ- ГТ по линии ФСБ РФ. Интеграция в производственный процесс: Проверки выполняются до постановки изделия на конвейер Оперативность выполнения работ
26 БЛАГОДАРИМ ОТВЕТЫ НА ВОПРОСЫ