Информационная безопасность облачных систем. Новые угрозы и новые методы противодействия. Москва, 2011

2 Угрозы нового поколения Заражение кода BIOS заражение загрузочного сектора MBR перехват управления в режиме «высоких привилегий» SMM интеграция компрометирующих гипервизоров Управление компонентами системы через интегрированный сервисный процессор корректировка микрокода процессоров контроль и управление системами жизнеобеспечения (питание, охлаждение, включение/выключение компонентов) организация дистанционного доступа

3 Угрозы нового поколения Стандартизация BIOS – UEFI стандартизация механизмов заражения Интеграция бинарных модулей Video и Management Engine подписывание запускаемых приложений неработоспособность существующих АПМДЗ, как следствие – снижение уровня безопасности Примеры угроз Вирус «Чернобыль/Chernobyl» 1998 г. Trojan.Bioskit г. Гипервизор уровня BIOS собственной разработки 2008 г.

4 Новые методы защиты BIOS Создание собственной доверенной версии BIOS Kraftway BIOS Altell HyperBIOS Intel Интеграция в BIOS дополнительных средств защиты СЗИ НСД – Trusted Security Module от Аладдин РД Доверенная программная среда – «З-Доверие» от Altell Trusted Platform Module от Intel средства контроля и защиты уровня EFI – DeepSAFE от Intel McAfee

5 Подтверждение легитимности Обеспечение ИТ безопасности c Kraftway BIOS и TSM Благодаря тесной интеграции TSM с BIOS материнской платы обеспечивается максимальная безопасность и совместимость со всеми используемыми аппаратными средствами Обратная передача управления BIOS для дальнейшей загрузки компьютера осуществляется только после двухфактурной аутентификации пользователя. Включение ПК Инициализация BIOS Проверка оборудования (POST) Поиск загрузочного устройства Считывание начального загрузчика ОС Передача управления загрузчику ОС Запуск embedded TSM Аутентификация пользователя Контроль целостности Передача управления BIOS

6 Особенности Kraftway BIOS Невозможность перезаписи BIOS и установок CMOS неразрушающими методами Исключение области содержащей BIOS из общего адресного пространства Запуск TSM до запуска функции поиска загрузочного устройства (INT19) Проверка состава оборудования Проверка контрольной суммы BIOS Интегрированный сторожевой таймер Индивидуальная настройка портов USB

7 Обеспечение безопасности кода В SPI Flash материнской платы Kraftway логически выделены пять регионов, которые независимо друг от друга могут быть защищены от записи: Boot Block Main BIOS SMBIOS Area (DMI Tables) Hole Area для хранения кода инициализации памяти и копии Video ROM, используемой для процедуры BIOS Recovery PDR - Platform Data Region для хранения кода TSM, журнала и контрольных сумм Защита кода приложения TSM осуществляется программно-аппаратными средствами материнской платы SPI Flash Boot Block BIOS SMBOIS (DMI Tables) Hole Area PDR embedded TSM контрольные суммы журнал регистрации событий PDR embedded TSM контрольные суммы журнал регистрации событий

8 Ролевая модель Идентификация, аутентификация и авторизация Администратор изменение настроек BIOS посредством BIOS SETUP включение/отключение TSM посредством BIOS SETUP продолжение загрузки компьютера изменение настроек TSM управление пользователями TSM изменение пароля подключенного пользователя выработка и запись дополнительного аутентификатора просмотр журнала событий инициализация контроля целостности программной среды компьютера запрос сводной информации о версии, настройках, содержании хранилища TSM Пользователь продолжение загрузки компьютера многофакторная аутентификация Идентификатор пользователя – USB-ключ eToken Аутентификатор – пароль пользователя изменение пароля пользователя

9 Контроль целостности Подсистема контроля целостности обеспечивает контроль следующих объектов: Файлы на компьютере для файловых систем NTFS/FAT32/FAT16; Критичные секторы жестких дисков: Master Boot Record; 62 сектора после Master Boot Record; Volume (Partition) Boot Sector для каждого раздела жесткого диска; Extended Boot Record для каждого раздела жесткого диска. Режимы контроля целостности для пользователей: Жесткий, при нарушении загрузка операционной системы блокируется Мягкий, при нарушении загрузка операционной системы не блокируется

10 Журнал регистрации событий TSM осуществляет регистрацию всех событий доступа к компьютеру Журнал регистрации содержит информацию о следующих событиях: Успешная аутентификация Неуспешная аутентификация с сохранением ID предъявленного eToken Изменения в учетных записях пользователей Блокировка/разблокировка пользователей Изменение настроек TSM События подсистемы контроля целостности Включение/отключение TSM Информация о служебных событиях TSM Журнал регистрации событий TSM предоставляет полную информацию о событиях доступа к компьютеру, в том числе о попытках несанкционированного доступа Служебная информация о пользователях (имя, описание, серийный номер eToken), а так же журналы регистрации событий хранятся в энергонезависимой памяти

11 Реализация защищённого BIOS в терминальном ПК. Компактность, безопасность и безотказность – таковы основные требования к качественной современной технике. А, добавив к ним бесшумность, прочность, защищенность и продуманную эргономичность, мы получаем новый тонкий клиент от компании Kraftway. Никаких вентиляторов, шпинделей и роторов: всё необходимое для работы записано на твердотельный промышленный накопитель. Характеристиказначение ПроцессорIntel Atom N450/N2600 (1.66/1.8ГГц 512/1024кБ кэш) Оперативная память до 2 ГБ Сетевой адаптер1/2 интегрированный 10/100/1000 Мбит/с ВидеоадаптерИнтегрированная в процессор графическая подсистема Intel с поддержкой 3D, 2D и DX9/DX10 Жесткий диск:твердотельный Гарантия3 года КорпусСпециальный, металлический, с креплением на обратную сторону монитора, в черной цветовой гамме

12 Терминальный ПК. На задней панели клиента расположен весьма внушительный набор интерфейсов для такого небольшого корпуса, выполненного целиком из металла: -Разъем для подключения источника питания. -PS/2 разъем для клавиатуры. -DB15 VGA разъем для подключения монитора высокого разрешения. -RJ45 гнездо для локальной сети стандарта -Ethernet 10/100/ порта USB 2.0 для дополнительных устройств -И два порта для аудиоустройств. На обратной стороне расположены дополнительные гнезда для подключения USB-устройств: клавиатуры, мыши, а также порты для подключения гарнитуры. На нижней стороне расположен специальная переходная пластина для установки на LCD- мониторы с VESA 100 креплением.

13 Терминальный ПК. Применяемый в решении тонкий клиент Kraftway VV18 представляет собой бездисковую рабочую станцию, подключаемую по сети непосредственно к серверу. Kraftway VV18 служит для ввода информации и отображения рабочего стола. Все операции выполняются только на сервере. Преимущества тонких клиентов Kraftway: Базовый комплект программного обеспечения. Каждый терминал обладает одним и тем же встроенным ПО, благодаря чему рабочий процесс становится более скоординированным и упорядоченным. Простота установки. Все необходимые настройки производятся при помощи централизованного информационного управления, в результате чего необходимость в точечной настройке каждого отдельного компьютера отпадает. Надежность. Вероятность выхода из строя тонкого клиента близка к нулю, в связи с отсутствием движущихся частей, что благоприятно сказывается на работоспособности всей сети в целом. Потерять какую-либо важную информацию становится практически невозможно. Удобство применения. Программное обеспечение устанавливается лишь на сервер, а операционная система Kraftway Terminal Linux служит только для установки и поддержания сессии соединения. Быстрая масштабируемость. Сеть, созданную на основе тонких клиентов Kraftway VV18, можно легко масштабировать до нужного количества терминалов, без постоянной переустановки ПО и перенастройки системы. Безопасность и защита от утечек информации. Все данные хранятся на сервере, Kraftway VV18 не имеет никаких носителей информации, а следовательно, и украсть с него какие-либо ценные данные невозможно. Кроме того, тонкий клиент VV18 может быть снабжен специальным ключом доступа к запуску самого клиента. Легкость замены. Если возникла необходимость заменить какой-либо из терминалов, выполнить подключение нового тонкого клиента можно быстро, без особых проблем. Простое техническое обслуживание. Минимальные затраты на модернизацию и починку терминалов благоприятно сказываются на всем рабочем процессе в целом.

14 Обеспечение безопасности Необходимо обеспечить выполнение требований Федерального закона 152 «О персональных данных» Исходя из моделей угроз предложенная нами система обеспечивает защищенный канал передачи данных с шифрованием и многофактурную аутентификацию пользователя работающего с персональными данными. Элементы обеспечения защиты являются не извлекаемыми что делает невозможным исключение их из системы. Далее будет рассмотрен механизм встроенного модуля обеспечения ограничения доступа более детально.

15 С чего начать? Заключить Договор на предпроектное обследование каждого автоматизируемого ЛПУ результат: отчет заказчик: само ЛПУ, региональное Министерство Здравоохранения, территориальный Фонд Обязательного мед. Страхования Заказчик утверждает программу (бюджет) по модернизации здравоохранения региона. Заказчик разрабатывает ТЗ на конкурс по модернизации здравоохранения региона. Заказчик публикует конкурсную документацию.

СПАСИБО ЗА ВНИМАНИЕ!