Разделы

Безопасность Стратегия безопасности Техническая защита Пользователю Новости поставщиков

АПМДЗ: классика компьютерной защиты

Несмотря на то, что существование модулей доверенной загрузки ОС насчитывает уже более 15 лет, этот тип решения не теряет популярность. Напротив, российский рынок данных устройств активно развивается, поскольку вопросы информационной безопасности становятся все более актуальными. Почти семнадцать лет прошло с тех пор, как на российском рынке компьютерной безопасности появился продукт с необычной аббревиатурой АПМДЗ – аппаратно-программный модуль доверенной загрузки, предназначенный для защиты автономных и сетевых компьютеров от несанкционированного доступа (НСД). По приблизительной оценке, за годы своего существования количество модулей доверенной загрузки (МДЗ), установленных в компьютеры, приблизилось к миллиону экземпляров.

Под доверенной загрузкой принято понимать реализацию загрузки операционной системы с определенного носителя (например, внутреннего жесткого диска защищаемого компьютера). Загрузка с других носителей должна блокироваться. Причем она происходит только после выполнения идентификации и аутентификации пользователя, а также проверки целостности программного и аппаратного обеспечения компьютера. Тем самым обеспечивается защита компьютера от НСД на важнейшей фазе его функционирования – этапе загрузки операционной системы.

Основные сведения о МДЗ

Модуль доверенной загрузки представляет собой комплекс аппаратно-программных средств (плата, аппаратные средства идентификации и аутентификации, программное обеспечение для поддерживаемых операционных систем), устанавливаемый на рабочее место вычислительной системы (персональный компьютер, сервер, ноутбук, специализированный компьютер и др.). Для примера на рисунке представлен базовый комплект поставки МДЗ "Программно-аппаратный комплекс "Соболь". Версия 3.0" для шины PCI Express.


Программно-аппаратный комплекс "Соболь" для шины PCI Express

Для установки МДЗ требуется свободный разъем материнской платы (для современных компьютеров – стандарты PCI, PCI-X, PCI Express, mini-PCI, mini-PCI Express) и незначительный объем памяти жесткого диска защищаемого компьютера.

Модули доверенной загрузки обеспечивают выполнение следующих основных функций. В первую очередь, это идентификация и аутентификация пользователей до загрузки операционной системы с помощью персональных электронных идентификаторов (USB-ключи, смарт-карты, идентификаторы iButton и др.), а также контроль целостности программного и аппаратного обеспечения компьютера до загрузки операционной системы. Затем - блокировка несанкционированной загрузки операционной системы с внешних съемных носителей, функционирование сторожевого таймера, позволяющего блокировать работу компьютера при условии, что после его включения и по истечении определенного времени управление не было передано плате МДЗ и контроль работоспособности основных компонентов МДЗ (энергонезависимой памяти, идентификаторов, датчика случайных чисел и др.). И наконец, регистрация действий пользователей и совместная работа с внешними приложениями (датчики случайных чисел, средства идентификации и аутентификации, программные средства защиты информации и др.).

Техподдержка «Базальт СПО» — гарантия надежной работы вашей ИТ-инфраструктуры
Маркет

При первичной настройке (инициализации) МДЗ осуществляется регистрация администратора модуля, которому в дальнейшем предоставляются права регистрировать и удалять учетные записи пользователей, управлять параметрами работы модуля, просматривать журнал событий и управлять списком объектов, целостность которых должна контролироваться до загрузки операционной системы. В случае появления нарушений при проверке целостности объектов возможность работы на компьютере для обычных пользователей блокируется. В некоторых МДЗ реализована поддержка возможности удаленного управления параметрами работы.

Российский рынок МДЗ и тенденции его развития

Родоначальником отечественных МДЗ является Особое конструкторское бюро систем автоматизированного проектирования (ОКБ САПР), разработавшее модуль доверенной загрузки "Аккорд-АМДЗ". Первый сертификат соответствия Гостехкомиссии России компания получила в декабре 1994 года. В 1999 году в стенах НИП "Информзащита" был создан первый МДЗ – "Электронный замок "Соболь", впоследствии получивший название "Программно-аппаратный комплекс "Соболь". В 2010 году было продано почти 25 тыс. МДЗ семейства "Соболь".

На российском рынке информационной безопасности можно встретить следующие изделия: программно-аппаратные комплексы (ПАК) семейства "Соболь" разработки "Код Безопасности", входящего в группу компаний "Информзащита"; ПАК средств защиты информации от несанкционированного доступа (СЗИ НСД) семейства "Аккорд-АМДЗ" – ОКБ САПР; АПМДЗ семейства "Криптон-Замок" – фирмы "Анкад"; АПМДЗ "Максим" – "НПО "РусБИТех"; АПМДЗ семейства "Цезарь" – Всероссийского НИИ автоматизации управления в непромышленной сфере им. В. В. Соломатина; аппаратный модуль Diamond ACS HW в составе средства контроля и разграничения доступа Diamond ACS – "ТСС".