Защита данных. Новые подходы и решения.

Содержание

Слайд 2

Оглавление

Новые угрозы
Интегрированные электронные замки
Устройства для работы в независимых сетях
Вопросы

Оглавление Новые угрозы Интегрированные электронные замки Устройства для работы в независимых сетях Вопросы

Слайд 3

Несанкционированный доступ

Электронные замки (аппаратно-программные модули доверенной загрузки - АПМДЗ) решают следующие

Несанкционированный доступ Электронные замки (аппаратно-программные модули доверенной загрузки - АПМДЗ) решают следующие
задачи:
Предотвращение несанкционированного доступа к ресурсам компьютера
Предотвращение загрузки операционной системы с внешнего носителя
Контроль целостности программной среды компьютера
Регистрация событий доступа к ресурсам компьютера (в том числе несанкционированного)

Слайд 4

Электронный замок (АПМДЗ)

«Традиционные» АПМДЗ выполняются в виде cпециализированного контроллера, подключаемого к компьютеру

Электронный замок (АПМДЗ) «Традиционные» АПМДЗ выполняются в виде cпециализированного контроллера, подключаемого к
посредством шины PCI/PCI-X, PCI-E

Слайд 5

Архитектурные недостатки АПМДЗ на основе внешнего контроллера

Для использования АПМДЗ необходима установка платы

Архитектурные недостатки АПМДЗ на основе внешнего контроллера Для использования АПМДЗ необходима установка
внешнего контроллера в слот PCI/PCI-X. Данный контроллер выполняет все функции АПМДЗ
Установка внешних устройств и дополнительного программного обеспечения на компьютеры связана с неудобствами, временными и финансовыми затратами

Слайд 6

Внешний контроллер АПМДЗ использует «перехват» управления для блокирования загрузки операционной системы компьютера

Внешний контроллер АПМДЗ использует «перехват» управления для блокирования загрузки операционной системы компьютера
после окончания процедуры POST
RAID-контроллеры для работы используют механизмы, сходные с механизмами АПМДЗ. При их совместном использовании злоумышленник имеет возможность обхода защитных механизмов АПМДЗ

Архитектурные недостатки АПМДЗ на основе внешнего контроллера

Слайд 7

Архитектурные недостатки АПМДЗ на основе внешнего контроллера

Для осуществления контроля целостности внешние платы

Архитектурные недостатки АПМДЗ на основе внешнего контроллера Для осуществления контроля целостности внешние
АПМДЗ используют собственные средства работы с жесткими дисками компьютера
Это накладывает ограничения на работу с RAID-массивами, нестандартными конфигурациями, жесткими дисками большого объема

Слайд 8

Архитектурные недостатки АПМДЗ на основе внешнего контроллера

АПМДЗ не в состоянии контролировать наличие

Архитектурные недостатки АПМДЗ на основе внешнего контроллера АПМДЗ не в состоянии контролировать
гипервизора уровня BIOS
При внедрении стороннего кода, который подменяет содержание жесткого диска или эмулирует наличие определенных устройств, АПМДЗ на основе стороннего контроллера становится бесполезным

Слайд 9

Защищенный компьютер

Для противодействия современным угрозам и соответствия уровню развития техники, а так

Защищенный компьютер Для противодействия современным угрозам и соответствия уровню развития техники, а
же для максимального удобства использования и управления средствами защиты компаниями Kraftway и Aladdin был разработан Защищенный компьютер:
Современная аппаратная платформа и программное обеспечение (Intel Core 2, Windows XP/Vista)
Модифицированный BIOS
Интеграция с TSM для защиты от НСД
Разграничение прав доступа к секциям BIOS, TSM (защита от перезаписи, ограничение прав чтения)
Защита от несанкционированной модификации CMOS (область хранения настроек BIOS)
Ограничение доступа к BIOS SETUP
embedded TSM (Trusted Security Module)
Строгая двухфакторная аутентификация
Журнал регистрации событий

Слайд 10

Материнская плата Kraftway KWG 43

Производство осуществляется на сертифицированной площадке на территории России,

Материнская плата Kraftway KWG 43 Производство осуществляется на сертифицированной площадке на территории
что гарантирует отсутствие недекларированных возможностей, закладок и гипервизоров уровня BIOS
Имеет полностью русифицированный BIOS, обладает развитыми возможностями управления и самодиагностики

Слайд 11

Особенности реализации

В момент загрузки «Доверенный BIOS» проверяет целостность CMOS и загружаемых компонентов,

Особенности реализации В момент загрузки «Доверенный BIOS» проверяет целостность CMOS и загружаемых
которые располагаются в SPI Flash материнской платы KWG-43

После прохождения процедуры Power On Self-Test (POST) вызывается на исполнение модуль TSM

Слайд 12

Работа TSM на этапе загрузки

Благодаря тесной интеграции TSM с BIOS материнской платы

Работа TSM на этапе загрузки Благодаря тесной интеграции TSM с BIOS материнской
обеспечивается максимальная безопасность и совместимость со всеми используемыми аппаратными средствами

Обратная передача управления BIOS для дальнейшей загрузки компьютера осуществляется только после аутентификации пользователя

Слайд 13

Управление доверенной загрузкой

Режим доверенной загрузки включается и отключается посредством специальных настроек

Управление доверенной загрузкой Режим доверенной загрузки включается и отключается посредством специальных настроек
BIOS SETUP
После включения этого режима доступ к настройкам BIOS SETUP возможен только для Администратора

Слайд 14

Обеспечение безопасности кода

В SPI Flash материнской платы KWG43 логически выделены пять регионов,

Обеспечение безопасности кода В SPI Flash материнской платы KWG43 логически выделены пять
которые независимо друг от друга могут быть защищены от записи:
Boot Block
Main BIOS
SMBIOS Area (DMI Tables)
Hole Area
для хранения кода инициализации памяти и копии Video ROM, используемой для процедуры BIOS Recovery
PDR - Platform Data Region
для хранения кода TSM, журнала и контрольных сумм
Защита кода приложения TSM осуществляется программно-аппаратными средствами материнской платы

Слайд 15

Ролевая модель Идентификация, аутентификация и авторизация

Администратор
изменение настроек BIOS посредством BIOS SETUP
включение/отключение TSM посредством

Ролевая модель Идентификация, аутентификация и авторизация Администратор изменение настроек BIOS посредством BIOS
BIOS SETUP
продолжение загрузки компьютера
изменение настроек TSM
управление пользователями TSM
изменение пароля подключенного пользователя
выработка и запись дополнительного аутентификатора
просмотр журнала событий
инициализация контроля целостности программной среды компьютера
запрос сводной информации о версии, настройках, содержании хранилища TSM
Пользователь
продолжение загрузки компьютера
многофакторная аутентификация
Идентификатор пользователя – USB-ключ eToken
Аутентификатор – пароль пользователя
изменение пароля пользователя

Слайд 16

Контроль целостности

Подсистема контроля целостности обеспечивает контроль следующих объектов:

Файлы на компьютере для файловых

Контроль целостности Подсистема контроля целостности обеспечивает контроль следующих объектов: Файлы на компьютере
систем NTFS/FAT32/FAT16;
Критичные секторы жестких дисков:
Master Boot Record;
62 сектора после Master Boot Record;
Volume (Partition) Boot Sector для каждого раздела жесткого диска;
Extended Boot Record для каждого раздела жесткого диска.

Режимы контроля целостности для пользователей:
Жесткий, при нарушении загрузка операционной системы блокируется
Мягкий, при нарушении загрузка операционной системы не блокируется

Слайд 17

Журнал регистрации событий

TSM осуществляет регистрацию всех событий доступа к компьютеру
Журнал регистрации

Журнал регистрации событий TSM осуществляет регистрацию всех событий доступа к компьютеру Журнал
содержит информацию о следующих событиях:
Успешная аутентификация
Неуспешная аутентификация с сохранением ID предъявленного eToken
Изменения в учетных записях пользователей
Блокировка/разблокировка пользователей
Изменение настроек TSM
События подсистемы контроля целостности
Включение/отключение TSM
Информация о служебных событиях TSM
Журнал регистрации событий TSM предоставляет полную информацию о событиях доступа к компьютеру, в том числе о попытках несанкционированного доступа
Служебная информация о пользователях (имя, описание, серийный номер eToken), а так же журналы регистрации событий хранятся в энергонезависимой памяти

Слайд 18

Сертификация

embedded TSM:
Сертификат соответствия требованиям руководящего документа «Защита от несанкционированного доступа к информации.

Сертификация embedded TSM: Сертификат соответствия требованиям руководящего документа «Защита от несанкционированного доступа
Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) по 3 уровню контроля;
Сертификат соответствия требованиям Положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного приказом ФСТЭК России от 5 февраля 2010 г. № 58, - для применения в ИСПДн до 1 класса включительно.
Сертификат соответствия требованиям руководящего документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», Гостехкомиссия России, 1992г., для применения в АС до класса 1В включительно
Сертификат соответствия требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации” (Гостехкомиссия России, 1992) – по 4 классу.
Электронный ключ eToken 5:
Сертификат соответствия ФСТЭК России № 1883 от 11.08.2009 года на применение в АС до класса 1Г включительно и ИСПДн до 1 класса включительно.
Операционная система компьютера:
MS Windows XP Professional: Сертификат № 844/2 / Сертификат № 844/3 на соответствие Заданию по Безопасности и имеет оценочный уровень доверия ОУД 1 (усиленный) в соответствии с руководящим документом "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехкомиссия России, 2002);
MS Windows Vista Business/Ultimate: Сертификат 1516/1 на соответствие Заданию по Безопасности и имеет оценочный уровень доверия ОУД 1 (усиленный) в соответствии с руководящим документом "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехкомиссия России, 2002);

Слайд 19

Перспективы развития

Защищенный компьютер
Интеграция в серверные решения
Интеграция в терминальные решения
Перенос на другие аппаратные

Перспективы развития Защищенный компьютер Интеграция в серверные решения Интеграция в терминальные решения
платформы (AMD, Intel Core i*)
embedded TSM
Удаленное управление
Централизованное администрирование
Интеграция криптографических функций
Поддержка расширенного модельного ряда смарт-карт и считывателей

Слайд 20

Базальт БД Моноблочный ПК для безопасной работы в двух независимых сетях.

Базальт БД Моноблочный ПК для безопасной работы в двух независимых сетях.

Слайд 21

Требования по защите данных

Указ Президента РФ от 17 мая 2008 г. №

Требования по защите данных Указ Президента РФ от 17 мая 2008 г.
351
Не допускается подключение к сети Интернет средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) от 30.08.2002 г.
использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
использование сертифицированных средств защиты информации;
развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;
Информация, составляющая служебную тайну и персональные данные, может обрабатываться только в изолированных ЛВС;

Слайд 22

Типовое решение

Два компьютера на одном рабочем месте
Защищенный ПК для работы с данными
Незащищенный

Типовое решение Два компьютера на одном рабочем месте Защищенный ПК для работы
ПК для выхода в Интернет
Недостатки типового решения
Дополнительное рабочее место
Увеличенное энергопотребление
Затраты на техническое обслуживание

Одно рабочее место

ПК №2 для работы в сети Интернет

ПК №1 для работы в защищенной сети

Незащищенная сеть

Защищенная сеть

Слайд 23

Постановка задачи

Создание единого устройства для работы в двух независимых сетях в компактном

Постановка задачи Создание единого устройства для работы в двух независимых сетях в
и эргономичном исполнении.
Минимизация уровня ЭМ излучения.
Ограничение физического доступа к устройствам съёма информации.
Использование общего комплекта мультимедийных и периферийных устройств для работы в независимых сетях.

Слайд 24

Одно рабочее место

Типичное рабочее место

Для обеспечения возможности работы и в защищенной сети

Одно рабочее место Типичное рабочее место Для обеспечения возможности работы и в
и с данными из незащищенной сети, например с данными из сети Интернет обычно используется два независимых ПК, каждый в полной комплектации.
Основная причина – в недостаточной защищенности критичных данных от внешних информационных угроз.
Два ПК на одном рабочем месте помимо низкой эргономики влекут за собой ряд дополнительных работ как по обслуживанию так и по подготовке данного оборудования к возможности использования на таких рабочих местах.

ПК №2 для работы в сети Интернет

ПК №1 для работы в защищенной сети

Незащищенная сеть

Защищенная сеть

Слайд 25

Решение "Kraftway Базальт ВД"

Два независимых вычислительных модуля, монитор и мультимедийные устройства

Решение "Kraftway Базальт ВД" Два независимых вычислительных модуля, монитор и мультимедийные устройства
в одном корпусе
Незащищенный вычислительный модуль
построен по стандартной схеме компьютера
Защищенный вычислительный модуль имеет дополнительные элементы защиты
Гальванические развязки сигнальных линий
Экранирование питающих и сигнальных кабелей
Устранение паразитных перекрестных наводок
Развязывающий фильтр между землями

Слайд 26

Внешний вид

Спереди

Сзади

Справа

Слева

Справа. Большой наклон

Слева. Большой наклон

Внешний вид Спереди Сзади Справа Слева Справа. Большой наклон Слева. Большой наклон

Слайд 27

Функциональная схема устройства

Наследуя свойства серия моноблочных ПК Kraftway Studio модель Базальт ВМ

Функциональная схема устройства Наследуя свойства серия моноблочных ПК Kraftway Studio модель Базальт
представляет собой высокотехнологичный класс компьютерных персональных устройств. В едином стильном корпусе размерами немногим более обычного ЖК-монитора объединяются: высококачественная широкоэкранная TFT-матрица, два традиционных компьютера, один из которых оборудован средствами видеоконференций (веб-камера, акустическая система, микрофон), DVD, считывателем карт памяти, средствами аппаратной аутентификации. Второй ПК представляет из себя платформу для создания терминальной станции или ПК начального уровня.

Монитор

DVD*

Микрофон*

Колонки

Клавиатура

Мышь

Переключатель с гальванической изоляцией

220в

Блок питания #2

Активатор*

220в

Блок питания #2

Не безопасная сеть Ethernet

Безопасная сеть Ethernet

Модуль #1

Модуль #2

АМДЗ*

Карта доступа*

Съемный HDD*

Съемный HDD*

* опция

Веб-камера*

Слайд 28

Платформа

Компания Kraftway разработала универсальную платформу для создания продуктов для оснащения рабочих мест.
Накопленный

Платформа Компания Kraftway разработала универсальную платформу для создания продуктов для оснащения рабочих
опыт разработки и целый ряд уникальных решений позволяют в короткий срок создавать продукт под конкретную задачу заказчика.
Большой набор опций.
Изоляция электрических цепей ПК при переключении.
Цветовая индикация состояния.

Слайд 29

Улучшенная эргономика

Моноблочный ПК даже при комплектации двумя вычислительными модулями занимает место одного

Улучшенная эргономика Моноблочный ПК даже при комплектации двумя вычислительными модулями занимает место
монитора, что позволяет значительно увеличить свободное пространство и уменьшить количество проводов на рабочем месте.

Слайд 30

Дополнительные элементы защиты

Фильтр электромагнитных излучений монитора
Радиочастотный идентификатор пользователя
Гальваническая развязка блоков питания
Электронный замок,

Дополнительные элементы защиты Фильтр электромагнитных излучений монитора Радиочастотный идентификатор пользователя Гальваническая развязка
интегрированный
в BIOS.

Слайд 31

Назначение элементов

Встроенная камера
Встроенные динамики
Встроенный микрофон
Кнопка включения питания и переключения между вычислительными модулями
Встроенный

Назначение элементов Встроенная камера Встроенные динамики Встроенный микрофон Кнопка включения питания и
бесконтактный считыватель RFID карт
Вентиляторы принудительного охлаждения
Наклейка с серийным номером
Опорная подставка
Гнездо замка KengsingtonLock
19” LCD экран
Маркер контроля вскрытия корпуса

1

2

4

3

2

10

6

8

5

7

9

11

Слайд 32

Назначение элементов (продолжение)

DVDRW привод
Кнопки управления настройками монитора
Разъемы подключения клавиатуры, мыши и порты

Назначение элементов (продолжение) DVDRW привод Кнопки управления настройками монитора Разъемы подключения клавиатуры,
Ethernet
Модуль сменных жестких дисков
Разъемы для наушников и внешнего микрофона

2

3

1

8

7

4

Имя файла: Защита-данных.-Новые-подходы-и-решения..pptx
Количество просмотров: 309
Количество скачиваний: 1
- Предыдущая
Масляные обогреватели
Следующая -
Генрих Рудольф Герц (1857 – 1894)

Похожие презентации

Структура курса
Континентальна модель економічного розвитку
Об управлении разработками в наших краях
Интеллектуально-правовая игра
Василий Кандинский (1866-1944)
Устройство компьютера
Презентация на тему Строение и работа сердца
Театры Бурятии
4 ноября — день Казанской иконы Божией Матери — с 2005 года отмечается как День народного единства
Направление магистерской подготовки 190500.68 «ЭКСПЛУАТАЦИЯ ТРАНСПОРТНЫХ СРЕДСТВ»Степень (квалификация) - магистртехники и технол
Інструменти соціальних медіа в роботі Центрів соціальних служб для дітей, сімї та молоді Київ, 2009. - презентация
События в мире и в Беларуси
Состав розничной часовой цены поставки электроэнергии
Исторические персонажи в романе М.А.Шолохова «Тихий Дон»
Информационная система учета движения материалов на складах Приборостроительного предприятия
Презентация на тему Химическая промышленность России
Юный фермер-предприниматель
ПЛЕНАРНЫЙ ДОКЛАД А.Ю.РоманченкоЗаместителя Руководителя Федерального агентства по печати и массовым коммуникациям22 марта 2006
Параллельное соединение проводников
Содружество независимых государств 9 класс
Фрактал – это голографическая матрица, каждая часть которой отражает Целое. Фракталы могут быть геометрическими, алгебраическими
Продажи на автопилоте
Условия развития ДОО
Соединение проводников
2 Э Т А П
Живая и неживая природа. Человек - часть живой природы
Учебники для ФГОС
PRОПАГАНДА
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть