Статья

Сторожевой "Соболь" защитит мобильные ПК

Безопасность Пользователю Новости поставщиков
мобильная версия

Защита данных на мобильных устройствах – вечная проблема корпоративных ИТ-специалистов. Сейчас у злоумышленников имеется богатый выбор "отмычек" для проникновения в компьютер. Они могут подобрать или украсть пароль, обойти установленные программные средства идентификации, произвести загрузку нештатной операционной системы с внешнего носителя, проникнуть в системный реестр и др. Один из вариантов защиты – программно-аппаратные модули доверенной загрузки. Компания "Код Безопасности" уже несколько лет поставляет такие устройства под маркой "Соболь", а недавно она модифицировала свое решение, сделав его пригодным для установки в мобильные устройства.

В настоящее время компании переводят свою ИТ-инфраструктуру на более компактные решения. Идет замена настольных компьютеров на портативные (ноутбуки, ультрабуки, моноблоки, неттопы и др.), громоздких серверов и специализированных устройств (криптографические шлюзы, маршрутизаторы, blade-серверы и др.) – на небольшие современные аналоги. Согласно прогнозам IDC, поставки портативных компьютеров за 2012 год увеличатся на 13,9%, а настольных всего на 2,6%. Безусловно, обновление техники не должно привести к снижению уровня корпоративной безопасности. Поэтому необходимо вовремя обновить используемые средства защиты или установить новые. В настоящее время на российском рынке информационной безопасности представлено большое количество разнообразных средств защиты информации, среди которых важное место занимают аппаратно-программные модули доверенной загрузки, которые нейтрализуют ряд угроз, таких как несанкционированный доступ, подбор пароля, загрузка нештатной операционной системы, модификация системных файлов и реестра Windows, изменение аппаратного обеспечения защищаемого компьютера и др.

Более десяти лет на российский рынок информационной безопасности поставляется разработанный в НИП "Информзащита" аппаратно-программный модуль доверенной загрузки "Соболь". Количество установок в рабочие станции, серверы, специализированные платформы составило более четвери миллиона. Конструкция модуля развивалась вслед за рынком, инженеры оперативно реагировали на появление новых типов компьютеров и комплектующих, совершенствуя аппаратную часть "Соболя", и увеличивая количество типов поддерживаемых идентификаторов. Появлялись новые угрозы, регламентирующие органы выдвигали соответствующие требования, в ответ разработчики развивали функционал и внедряли новые механизмы защиты.

В 2011 году в компании "Код Безопасности" было принято решение выпустить "Соболь" для компактных устройств вычислительной техники. В апреле 2012 года для компьютеров с системной шиной стандарта Mini PCI Express был разработан и передан на сертификацию модуль доверенной загрузки под официальным названием "Программно-аппаратный комплекс "Соболь". Версия 3.0".

Предыдущая реализация модуля на базе платы PCI-E, успешно поставляемая на российский рынок, сертифицирована ФСБ и ФСТЭК России. Полученные сертификаты позволяют использовать ПАК "Соболь" для защиты информации, составляющей коммерческую или государственную тайну в автоматизированных системах с классом защищенности до 1Б включительно и в ИСПДн до класса К1 включительно. Соответствующий уровень сертификации планируется сохранить и для новой реализации ПАК "Соболь".

Компьютер на замке

Для блокировки всех известных путей несанкционированного проникновения в компьютер на уровне загрузки операционной системы в "Соболе" реализовано множество защитных функций. Предусмотрена не только идентификация пользователя до старта операционной системы, но и реализована блокировка загрузки нештатной ОС с любых внешних носителей. Компьютер блокируется также, если после его включения управление не передается "Соболю". После включения компьютера "Соболем" проверяется целостность аппаратного и программного обеспечения.


Основные защитные функции ПАК "Соболь"

Реализация процедуры идентификации и аутентификации пользователей позволяет воздвигнуть почти непреодолимый барьер перед злоумышленниками, пытающимися получить доступ к данным, хранящимся в защищаемом компьютере. Распознавание и проверка подлинности осуществляется при каждом входе пользователя в систему с обязательным использованием персональных идентификаторов. При аутентификации осуществляется проверка правильности указанного пользователем пароля с использованием аутентификатора пользователя, хранящегося в персональном идентификаторе.


ПАК "Соболь" для шины Mini PCI-E и идентификатор iButton

В зависимости от типа предъявляемого идентификатора в ПАК "Соболь" поддерживаются двухфакторный (для iButton, iKey 2032, Rutoken, Rutoken RF) и усиленный двухфакторный (для eToken PRO, eToken PRO (Java)) способы аутентификации.

При реализации двухфакторной аутентификации сначала предъявляется персональный идентификатор, затем вводится пароль пользователя. При осуществлении усиленной двухфакторной аутентификации сначала предъявляется персональный идентификатор, затем вводятся его PIN-код и пароль пользователя.