Москва, 2011 ОКБ САПР Если Вам есть что скрывать.

Почему защита должна быть аппаратной? Как обеспечить целостность программы, обеспечивающей целостность? Еще одной программой? А ее целостность? Еще…

Каким должно быть средство защиты от НСД? независимым от операционной и файловой системы ПК недоступным для внесения изменений аппаратным.

Базис: доверенная загрузка

Надстройка: доверенная среда

Надстройка: доверенная система

Надстройка: доверенная инфраструктура

Надстройка: доверенная виртуальная инфраструктура

СЗИ от НСД Стационарные На базе контроллеров АМДЗ семейства Аккорд Мобильные На базе контроллеров АМДЗ семейства Инаф

СКЗИ Стационарные Аккорд-У КВ2, Аккорд-У КС3 Мобильные ПСКЗИ ШИПКА, ПАК Privacy

Инфраструктурные решения Стационарные Аккорд-В., Аккорд-РАУ, СУЦУ Мобильные ПАК «Центр-Т», СОДС «МАРШ!»

Защищенные служебные носители СЕКРЕТ Для применения на автономных ПК и в ЛВС

АККОРД

пользователь именно тот, который имеет право работать на данном компьютере; компьютер именно тот, на котором имеет право работать данный пользователь. достигается обеспечением режима доверенной загрузки ОС, при котором подтверждено, что: Защищенность компьютера от НСД

Аккорд-АМДЗ: Аппаратный модуль доверенной загрузки Обеспечивает доверенную загрузку различных ОС (поддерживающих файловые системы: FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX) для аутентифицированного пользователя.

Доверенная загрузка

блокировка загрузки ОС с внешних носителей информации; проверка целостности технических и программных средств ПК с использованием алгоритма пошагового контроля целостности; идентификация/аутентификация пользователя. Загрузка ОС производится только после успешного завершения процедур:

Надежность в ненадежном мире: невозможность внесения изменений в firmware; невозможность сокрытия попытки НСД от администратора безопасности информации; возможность построения систем защиты информации на базе Аккорд-АМДЗ. Архитектура Аккорд-АМДЗ обеспечивает

Надежность в ненадежном мире: безупречная репутация: обеспечивает доверенную загрузку ОС уже более 10 лет; признанная научная база: основные положения методологии аппаратной защиты, разработанной ОКБ САПР опубликованы в монографиях и защищены в диссертациях, в том числе, докторских. Аккорд-АМДЗ – это

Разграничение доступа к данным

Аккорд-Win32, Аккорд-Win64 – для операционных систем семейства Windows; Аккорд-Х – для операционных систем Linux обеспечивают программно-аппаратные комплексы на базе Аккорд-АМДЗ и специального ПО

ПАК Аккорд проводит процедуры идентификации/аутентификации пользователей (как локальных, так и удаленных); обеспечивает изолированную программную среду; проводит взаимную проверку подлинности взаимодействующих технических средств; содержит собственный монитор разграничения доступа (мандатный и дискреционный механизмы).

Защищенность терминальных решений

пользователь работает только с защищенным терминальным сервером; с терминальным сервером работает пользователь только с защищенного «тонкого клиента». достигается обеспечением режима взаимодействия, при котором подтверждено, что Защищенность терминальных решений

со стороны сервера в момент создания терминальной сессии проверяется не только пользователь, но и «тонкий клиент»; со стороны «тонкого клиента» проверяется, что сервер именно тот, с которым должен работать данный пользователь. достигается, если Защищенность терминальных решений

защищенность терминальных серверов; защищенность «тонких клиентов»; взаимодействие этих защитных механизмов. достигается применением ПАК СЗИ НСД Аккорд TSE, обеспечивающим Защищенность терминальных решений взаимодействие сервера и терминала взаимодействие средств защиты

Компоненты ПАК Аккорд TSE RDP и ICA, что позволяет использовать для взаимодействия СЗИ уже установленный канал, а не организовывать новый. установленные на терминальных серверах и пользовательских терминалах взаимодействуют в рамках виртуальных каналов, построенных на протоколах:

Защищенная инфраструктура

обеспечивается применением полностью интегрированных с СЗИ НСД Аккорд системами «Центр-Т» и СОДС «МАРШ!» удаленного доступа Защищенная инфраструктура

Защищенная виртуальная инфраструктура

защита ESX серверов защита виртуальных машин защита серверов управления vCenter защита дополнительных серверов со службами VMware Защищенная виртуальная инфраструктура

Защита ESX серверов Доверенная загрузка ESX серверов Аппаратный контроль целостности гипервизора, Service Console и модулей защиты Аккорд-В Аппаратная идентификация администраторов безопасности и администраторов инфраструктуры виртуализации

Защита виртуальных машин Контроль целостности устройств, BIOS и конфигурации ВМ перед загрузкой Контроль целостности файлов ОС внутри ВМ перед загрузкой Аппаратная идентификация пользователей Дискреционный и мандатный механизмы разграничения доступа Контроль доступа к ресурсам Контроль печати

Защита элементов управления инфраструктурой виртуализации Доверенная загрузка vCenter Контроль целостности устройств, BIOS и файлов vCenter перед загрузкой ОС Аппаратная идентификация администраторов Дискреционный и мандатный механизмы разграничения доступа администраторов виртуальной инфраструктуры и администраторов безопасности Контроль доступа ко всем ресурсам, в т.ч. сетевым

Аккорд-В. Система защиты полностью интегрируется в инфраструктуру виртуализации, поэтому для ее функционирования не требуются дополнительные серверы. При этом Аккорд-В не ограничивает в целях безопасности возможностей виртуальной инфраструктуры, оставляя доступными все ее преимущества.

Удаленный доступ

Терминальный доступ (работа с терминальным сервером в терминальной сессии) Web-доступ (работа через web-интерфейс с web-ресурсом) Смешанная система, сочетающая возможность работы в одном и во втором режиме системы удаленного доступа могут строиться несколькими способами

Удаленный доступ Тонкие клиенты дешевле ПК Существенно меньше затрат на СЗИ при том же уровне защищенности В качестве клиентских рабочих мест могут использоваться самые разные СВТ целесообразен во многом потому, что он делает систему экономически выгоднее

Удаленный доступ Тонкие клиенты дешевле ПК Существенно меньше затрат на СЗИ при том же уровне защищенности В качестве клиентских рабочих мест могут использоваться самые разные СВТ целесообразен, если эти принципы при построении системы НЕ НАРУШАЮТСЯ

Удаленный доступ сам удаленный ресурс, клиентские рабочие места и их взаимодействие безопасен, если защищены причем компоненты СЗИ – части единой системы, а не разрозненные не связанные между собой средства

Тонкое место ПАК «Центр-Т»(работа с терминальным сервером в терминальной сессии) СОДС «МАРШ!»(работа через web-интерфейс с web-ресурсом и системы смешанного типа) системы удаленного доступа – это доверенная среда на клиентском рабочем месте ПАК «Центр-Т» и СОДС «МАРШ!» не конфликтуют между собой и могут использоваться в одной системе или в разных, доступ к которым осуществляется с одних и тех же клиентских мест.

Центр-Т Система защищенной сетевой загрузки программного обеспечения на терминальные станции

Назначение системы 1.Организация терминального доступа с бездисковых рабочих станций путем загрузки образов ПО терминальных станций (ПО ТС) по сети; 2.Обеспечение централизованного управления и аудита процесса загрузки образов; 3.Контроль целостности загружаемых образов; 4.Осуществление входа пользователя на терминальный сервер, защищенный ПАК СЗИ НСД Аккорд TSE, с использованием аппаратного идентификатора, в роли которого выступает ПСКЗИ ШИПКА.

Состав системы

Функционал Сервера хранения и защищенной загрузки Управление учетными записями пользователей; Редактирование сетевых настроек Клиентов; Просмотр журналов; Раздача образов ПО ТС Клиентам.

Функционал АРМ «Центр» Конструирование образов ПО ТС на основе задаваемых параметров; Вычисление ЭЦП для образов ПО ТС; Начальная инициализация устройств; Управление набором образов ПО ТС.

Функционал Клиента Аутентификация пользователя в ПСКЗИ ШИПКА посредством ввода PIN-кода; Получение образа ПО ТС с Сервера по сети; Проверка целостности полученного образа ПО ТС; Передача управления образу ПО ТС; Ведение журнала активности пользователя и отправка его на Сервер.

Функционал Образа ПО ТС Автоматическое подключение к терминальному серверу по протоколу Citrix ICA или RDP; Использование Клиентской ПСКЗИ ШИПКА в качестве аппаратного идентификатора при входе на терминальный сервер, защищенный ПАК СЗИ НСД Аккорд TSE; «Проброс» USB-принтеров и flash-носителей, подключенных к терминальной станции в рамках терминальной сессии.

Развертывание системы: количество устройств ШИПКА-А – 1-2 устройства. ШИПКА-С – количество устройств выбирается исходя из следующих критериев: –В каждом сегменте сети должен присутствовать как минимум 1 Сервер хранения и загрузки ПО ТС; –Количество устройств для каждого сегмента сети зависит от максимального числа клиентов в данном сегменте и пропускной способности сети; –Рекомендуется держать в запасе по одному устройству на каждый сегмент сети. ШИПКА-К – по количеству пользователей.

Развертывание системы: последовательность действий На ШИПКЕ-А через интерфейс АРМ «Центр» необходимо: –Сгенерировать ключевую пару на ШИПКА-А; –Выполнить начальную инициализацию всех ШИПОК-С и ШИПОК-К; –Осуществить сборку образов ПО ТС и вычислить для них ЭЦП; –Сформировать набор образов на ШИПКАХ-С. После этого на каждой из ШИПОК-С необходимо: –Настроить сетевые параметры Сервера хранения и сетевой загрузки; –Создать учетные записи пользователей, сопоставив им ШИПКИ-К; –Каждой учетной записи пользователя сопоставить образ ПО ТС; –Настроить сетевые параметры каждой ШИПКИ-К.

Порядок работы пользователей СТД 1.Пользователь запускает ТС с подключенной ШИПКА-К; 2.С ШИПКА-К загружается ОНЗ, запрашивается PIN-код; 3.После ввода PIN-кода с СХСЗ загружается образ ПО ТС, проверяется его целостность; 4.После успешной проверки целостности управление передается образу ПО ТС; 5.Запускается терминальная сессия.

Пример Организация состоит из центрального офиса (ЦО), филиалов и удаленных отделений (УО). Количество пользователей в ЦО: Имеется два филиала: –Ф1 – количество пользователей: 100. К филиалу относятся следующие УО: УО11 – количество пользователей: 100 УО12 – количество пользователей: 50 –Ф2 – количество пользователей: 200. К филиалу относятся 3 УО, в каждом 50 пользователей. Локальные сети ЦО имеют пропускную способность 1Гбит/с, локальные сети филиалов и УО – 100 Мбит/с Расчет минимального количества устройств: –Количество ШИПОК-А: 1-2. –Количество ШИПОК-С: 20 (ЦО 1Гбит/c) + 4 (Ф1 100Мбит/с) + 4 (УО1 100Мбит/с) + 2 (УО12 100Мбит/с) + 8 (Ф2 100Мбит/с) + 3 * 2 (3 УО 100Мбит/с) = 44 –Количество ШИПОК-К: *50 = 1600

СОДС «МАРШ!»

Распределенные информационные системы (РИС)

ДОВЕРЕННЫЕ СЕАНСЫ СВЯЗИ (ДСС)

Концепция ДСС Обеспечение достаточных условий для защищенной работы удаленных пользователей с сервисами доверенной РИС на определенный период времени без построения ИПС и без снижения класса защиты РИС Два режима работы компьютера: Обычный режим (без доступа к сервисам РИС) Режим ДСС (доверенный сеанс работы с сервисами РИС) Безопасная работа удаленных пользователей с сервисами доверенной РИС с недоверенного компьютера

Определение ДСС Доверенный сеанс связи (ДСС) – период работы компьютера, в рамках которого: обеспечивается доверенная загрузка ОС организуется защищенное соединение поддерживаются достаточные условия для работы с ЭЦП

Комплекс средств обеспечения ДСС «МАРШ!» Клиент ДСС Загрузочное USB-устройство с собственным микропроцессором Аппаратно разделенные области памяти с однократно назначаемыми атрибутами доступа Загрузочная ОС, СКЗИ и набор ФПО в защищённой от записи области памяти Сервер ДСС Доверенный сервер Создание и работа защищенных сетевых соединений с Клиентами ДСС Переключение Клиентов ДСС на сервисы РИС в соответствии с правами пользователей

Схема работы «МАРШ!»

Преимущества СОДС «МАРШ!» Приемлемая стоимость Необходимый функционал и достаточный уровень защиты доступа пользователя к доверенной РИС Мобильность, готовность к работе на произвольном (в т.ч. недоверенном) компьютере Отсутствие ограничений на работу пользователя с компьютером вне доверенного сеанса связи

Удаленный доступ Не требует существенного переоборудования самой АС или изменения регламента ее работы Затраты на защиту информации в разы меньше, чем при традиционных подходах Не влечет потерю инвестиций, так как в качестве клиентских рабочих мест могут использоваться самые разные СВТ при использовании СОДС «МАРШ!» и/или ПАК «Центр-Т» не теряет своих преимуществ

ПЕРСОНАЛЬНОЕ СКЗИ ШИПКА

(уровень ядра ОС) ШИПКА: software & hardware библиотека взаимодействия с firmware ШИПКИ виртуальный считыватель смарт-карт драйвер ШИПКИ приложение 1 приложение 2 криптопровайдер приложение 3приложение N библиотека API PKCS#11 (software) (hardware) память данных ФС USB-контроллер (функциональный Уровень) аппаратный ДСЧ (транспортный Уровень) (уровень приложений ОС) память команд firmware: криптографическая библиотека функции ФС память критичных данных ядро (ALU) SPI защищённый MCU

Функциональность ПСКЗИ ШИПКА Аппаратное СКЗИ Идентификация/аутентификация пользователя в ПАК Аккорд (локально и на терминальных серверах) Идентификация/аутентификация пользователя в ОС Windows Идентификация/аутентификация пользователя в Домене Хранение ключей программных СКЗИ, в том числе VPN Хранение паролей и автозаполнение форм авторизации ПСКЗИ ШИПКА является базой ПАК «Центр-Т» и Privacy

Криптографическая функциональность Шифрование и подпись данных Шифрование и подпись сообщений электронной почты Генерация самоподписанных цифровых сертификатов, получение сертификатов УЦ, хранение и применение сертификатов Выработка ключей и управление ими в трех парадигмах: -прямой обмен ключами и их использование -использование ключей в составе сертификатов -использование ключей в формате «сети доверия»

Совместимость Применением стандартов PKCS#11 и CryptoApi в соответствии с rfc 4357 Поддержкой криптографических преобразований в режиме терминального доступа на стороне клиента без передачи ключа по сети Сертификацией СВТ на совместимость и корректность работы с ПСКЗИ ШИПКА, проводимой на основе испытаний. с СКЗИ, прикладными системами и УЦ, а также СВТ разных типов обеспечивается

Мобильность использовании криптографических ключей и сертификатов, хранящихся в ШИПКЕ, в том числе в терминальном режиме загрузке образов ПО терминальных станций с помощью «Центр-Т» работе с АРМ «Центр» (загружается на любое СВТ с ШИПКИ-А) развертывании СХСЗ (загружается на любое СВТ с ШИПКИ-С) использовании настроенного профиля в Privacy использование ШИПКИ позволяет не привязываться к конкретным СВТ при

«Аккорд-У»

Аккорд-У – это программно-аппаратный комплекс, совмещающий функции АМДЗ с функциями криптографической защиты данных. Построен на контроллерах Аккорд-5.5, включающих в себя аппаратную криптографическую подсистему, и состоит из: контроллеров, оборудованных USB-хостом (Аккорд-5.5 или Аккорд-5.5.e) с периферией: -идентификаторы пользователя (в базовой версии - это ПСКЗИ ШИПКА), - cчитыватели (в базовой версии - USB), - EATX-прерыватель. СПО «Аккорд-У» на CD диске.

«Аккорд-У» ШИПКА полностью совместимы с точки зрения работы навстречу: могут обмениваться ключами; могут производить все встречные криптогра- фические операции; пользовательские программы полностью аналогичны. Целесообразно построение систем, сочетающих эти два типа устройств. Это позволит получить достаточно гибкое в смысле стоимости и дружественности решение.

Сертификат соотвествия требованиям ФСБ России Варианты исполнения «Аккорд-У» сертифицированы по требованиям класса: КС3 и КB2

«Автограф» удостверяющий центр, построенный на базе разработок ОКБ САПР: ПСКЗИ ШИПКА АККОРД-У ПАК Аккорд

ВСЕ криптографические операции и на стороне клиента, и на стороне УЦ выполняются аппаратно

Обмен данными между элементами УЦ является защищенным и может производится по открытым каналам Интернет

УЦ «Автограф» своей подписью гарантирует качество ключей пользователя и ЭЦП

Дополнительное программное обеспечение делает процесс подписи документа простым и интуитивным.

ПСКЗИ ШИПКА Выдается ВСЕМ пользователям УЦ «Автограф» Используется для аутентификации и авторизации пользователя Выполняет ВСЕ криптографические операции, предусмотренные работой УЦ

АККОРД-У Устанавливается обязательно на стороне УЦ и на определенных видах клиентских АРМ Выполняет ВСЕ криптографические операции УЦ при защите трафика Используется для защиты от НСД

Аппаратная реализация криптографической подсистемы Все ключи создаются, хранятся, используются и уничтожаются ТОЛЬКО внутри криптоустройств Сеансовый ключ шифрования передается между криптоустройствами только в защищенном виде

Защищенный обмен данными Клиент Центр регистрации Центр сертификации Оригинальный защищенный протокол обмена с шифрованием TCP пакетов на сеансовом симметричном ключе

Гарантия качества ключа и ЭЦП Данные владельца сертификата содержат информацию об устройстве, средствами которого был создан сертификат

Гарантия качества ключа и ЭЦП: заявление поставщика Сертификат, выданный УЦ «Автограф», содержит заявление поставщика с указанием класса защищенности самого УЦ: КС3 с правом работы через Интернет

Подпись документов Набор плагинов, разработанных для Microsoft Office позволяет легко поставить подпись под документом

Подпись документов

Подпись документа: статус подписи Статус подписи документа (верна или нет) не заставляет себя искать

Подпись документа: невозможность редактирования

СЛУЖЕБНЫЙ НОСИТЕЛЬ СЕКРЕТ

Угрозы при использовании внешних носителей данных Возможность потери. Реализация внутренних угроз ИБ (нерегламентированное копирование, «утечка» информации). Заражение вредоносным ПО компьютеров корпоративной сети. В защите от данных угроз заинтересованы как отдельные физические лица, так и организации, в которых сотрудники используют внешние носители данных!

Основные способы защиты носителей информации Использование PIN-кода или биометрических данных (отпечатки пальцев и пр.). Программное шифрование содержимого носителя информации, при котором все данные при записи/чтении с носителя зашифровываются/ расшифровываются в «фоновом» режиме после прохождения процедуры аутентификации пользователя (по паролю). Использование USB-фильтров (запрещают работать с «неразрешенными» носителями).

Служебный носитель «Секрет» специальный USB-носитель (mass storage), который можно использовать только на разрешенных администратором АРМ: только на разрешенных изолированных АРМ; только на разрешенных АРМ в составе корпоративной сети (после прохождения процедуры регистрации на сервере аутентификации); на АРМ, входящих в состав другого сегмента корпоративной сети (после процедуры повторной регистрации на сервере аутентификации этого сегмента сети).

Какие бывают «Секреты» По профилю использования: Локальная модификация «Личный Секрет» Распределенная модификация «Секрет фирмы» «Профессиональный Секрет» По хранению данных на флеш-диске: Обычный – данные хранятся в открытом виде С аппаратным шифрованием всего флеш-диска

Москва, 2011 ОКБ САПР Если Вам есть что скрывать. Предложения?