Средства (модули) доверенной загрузки (СДЗ, МДЗ) предназначены для защиты данных от угроз несанкционированного доступа (НСД) и защиты от вирусных атак на базовую систему ввода-вывода (BIOS). Рост российского рынка в области СДЗ и МДЗ обусловлен не только необходимостью защиты от несанкционированного доступа к информации, но и необходимостью выполнения требований регуляторов и нормативно-правовых актов в области защиты информации. В обзоре расскажем про функциональность СДЗ и МДЗ, проанализируем рынок представленных решений, а также детально разберем наиболее интересные из них.
Введение
Несанкционированный доступ (далее — НСД) к информации является наиболее часто встречающейся и наиболее вероятной угрозой информационной безопасности. НСД ведет к нежелательным последствиям в организации, таким как утечка защищаемой информации (персональные данные, служебная информация, государственная тайна), полное или частичное нарушение работоспособности системы. Все это ведет к снижению репутации компании, финансовым потерям и прекращению бизнес-процессов.
Наиболее часто НСД к информации происходит при использовании вредоносных программ, функционирующих до загрузки операционной системы, на уровне BIOS/UEFI, или при определенных действиях злоумышленника, который может получить доступ к информации, загрузившись с любого внешнего носителя информации.
Для снижения этих рисков применяются средства (модули) доверенной загрузки (далее — СДЗ, МДЗ), которые, во-первых, проводят контроль целостности загружаемых файлов и сверяют их с эталонными значениями, хранимые в недоступной для операционной системы памяти. Во-вторых, обеспечивают идентификацию и аутентификацию пользователей до загрузки операционной системы. В-третьих, осуществляют запрет загрузки нештатных копий операционной системы с недоверенных внешних носителей информации.
СДЗ и МДЗ созданы для усиления встроенных средств защиты операционных систем, а именно для усиления аутентификации и идентификации пользователей, и защиты от НСД к защищаемой информации. Регулятор в лице ФСТЭК России предъявляет жесткие требования для защиты от НСД к информации, среди которых обязательное использование СДЗ и МДЗ. Выполнение требований регуляторов в первую очередь необходимо для тех организаций, которые в своей деятельности сталкиваются с обработкой персональных данных, информации, содержащей сведения, составляющие государственную тайну, а также защиты существующих информационных систем. При невыполнении этих требований регулятор вправе наложить на организацию значительный штраф. А в случае с государственной тайной помимо штрафа возможен и отзыв лицензии на право обработки такой информации, что приведет к остановке деятельности организации.
Далее расскажем о состоянии рынка СДЗ и МДЗ, поговорим об их основных функциях, каким требованиям они должны соответствовать и рассмотрим основные продукты, представленные на рынке.
Модули доверенной загрузки. Преимущества и особенности
Статья кратко описывает современные проблемы информационной безопасности, связанные с первыми шагами функционирования компьютера — работой UEFI BIOS, и рассказывает о необходимости использования модулей доверенной загрузки, которые обеспечивают высокий уровень доверия и безопасности устройств.
Производители средств информационной безопасности, разрабатывая свои системы защиты конечных точек, традиционно основное внимание уделяют программным продуктам, отвечающим за безопасность операционной системы (ОС). При этом часто упускается из вида ситуация, при которой угроза информационной безопасности может возникнуть еще до старта операционной системы, в процессе загрузки BIOS.
BIOS (Basic Input-Output system) и его современная «модификация», UEFI (Unified Extensible Firmware Interface), предназначены для корректной инициализации оборудования при включении устройства и передачи управления загрузчику или непосредственно ядру ОС.
Благодаря открытым спецификациям UEFI BIOS, любой разработчик может написать свой код для запуска в низкоуровневой среде. Необходимо отметить, что код могут создавать как производители компьютерного оборудования, которые адаптируют UEFI BIOS к конкретным аппаратным средствам или собственным задачам, так и злоумышленники, но уже с целью получения контроля над компьютером, например, путем создания bootkit. Размещаясь в BIOS bootkit способен внедряться в процесс загрузки ОС и запускать зловредный код. В последние годы случаи обнаружения подобных угроз учащаются и это становится серьезной проблемой:
Основной особенностью UEFI-bootkit является тот факт, что он запускается до операционной системы и контролирует все процессы «на старте», его практически невозможно обнаружить штатными средствами ОС или антивирусными программами. И его практически невозможно удалить, не помогают ни переустановка операционной системы, ни даже замена жесткого диска. Единственный способ — обновление BIOS.
Помимо внедрения bootkit, злоумышленники научились успешно использовать уязвимости UEFI. Например, уязвимость BootHole была найдена в загрузчике GRUB 2 (GRand Unified Bootloader version 2) протокола Secure Boot. Данный протокол отвечает за проверку электронной цифровой подписи выполняемых EFI-приложений с помощью ключевой информации, хранящейся в системе. Если ключи не совпадают, Secure Boot отказывается от выполнения любой загрузки. Уязвимость BootHole дает возможность управлять процессами загрузки оборудования в обход Secure Boot. Использование данной уязвимости позволяет, например, внедрить bootkit в UEFI BIOS или загрузить любую ОС. Даже включение режима безопасной загрузки, который должен проверять все подозрительные действия загрузчика, не защищает от уязвимости BootHole.
Принимая во внимание все вышесказанное, можно заключить, что среда UEFI BIOS может таить угрозы, поэтому ей требуется дополнительная защита. Одним из инструментов защиты могут выступать модули доверенной загрузки (МДЗ), позволяющие решать следующие задачи:
Рынок отечественных МДЗ
Рынок МДЗ в России формировался постепенно и при активном участии регуляторов сферы информационной безопасности. Первой требования к модулям доверенной загрузки выпустила ФСБ России, введя в том числе, определение аппаратно-программных модулей доверенной загрузки (АПМДЗ).
В 2013 году уже ФСТЭК России подготовила свои требования к средствам доверенной загрузки. В документе, опубликованном регулятором, появилось разделение на программные и аппаратно-программные средства доверенной загрузки.
Функционально программные и аппаратные модули доверенной загрузки схожи, многие механизмы защиты, предусмотренные в АПМДЗ, могут быть реализованы программно на уровне UEFI. Такое положение дел было зафиксировано в новых требованиях к модулям доверенной загрузки, выпущенных ФСБ России в 2020 году. Регулятор добавил в требования возможность сертификации не только аппаратно-программных, но и программных модулей.
Таким образом оба регулятора начали сертифицировать модули доверенной загрузки как в программном, так и в аппаратном исполнении.
Принимая во внимание дефицит комплектующих, с которым столкнулись российские производители аппаратных модулей в 2022 году, использование программных МДЗ может стать в ближайшем будущем единственным доступным вариантом.
Ниже мы подробнее рассмотрим особенности программных МДЗ на примере ViPNet SafeBoot от компании «ИнфоТеКС».
ViPNet SafeBoot
Сертифицированный высокотехнологичный программный модуль доверенной загрузки ViPNet SafeBoot, предназначенный для установки в UEFI BIOS различных производителей. Он обеспечивает защиту программных комплексов, мобильных устройств, серверов (в том числе и серверов виртуализации) от различных угроз несанкционированного доступа на этапе загрузки и от атак на BIOS.
ViPNet SafeBoot можно использовать для идентификации и аутентификации пользователей, разграничения доступа на основе ролей, а также организации доверенной загрузки операционной системы.
Программный модуль сертифицирован ФСТЭК России в соответствии с требованиями руководящих документов к средствам доверенной загрузки уровня базовой системы ввода-вывода 2 класса, что позволяет использовать продукт для защиты государственных информационных систем до класса защищенности К1 включительно, для обеспечения 1 и 2 уровня защищенности персональных данных и автоматизированных систем управления технологическим процессом до 1 класса защищенности.
В ViPNet SafeBoot 3.0 реализованы новые требования ФСБ России к механизмам доверенной загрузки ЭВМ, что значительно расширяет возможность применения данного продукта на российском рынке.
Преимущества программного МДЗ
Оперативность реагирования на угрозы
За счет того, что программные модули доверенной загрузки расположены внутри микросхемы BIOS, их запуск начинается раньше, чем запуск программного обеспечения из ROM плат расширения, это позволяет применять защиту от потенциального вредоносного программного обеспечения раньше, чем это можно было бы сделать с помощью АПМДЗ.
Защита на уровне SMM
В ViPNet SafeBoot реализован механизм, который позволяет контролировать выполнение SMM (system management mode) и программных SMI (system management interrupt). Программный модуль может отслеживать эти прерывания и блокировать выполнение привилегированных команд.
Еще одним преимуществом программных замков является их неизвлекаемость, в отличие от аппаратных исполнений МДЗ.
Этот недостаток аппаратно-программных замков можно компенсировать за счет организационных мер, например, опечатывание корпуса автоматизированного рабочего места, но эта процедура несет дополнительные финансовые и временные затраты.
Аутентификация по сертификатам
Преимуществом программных МДЗ является возможность использования технологии единого входа (SSO) для аутентификации как в самом МДЗ, так и в операционных системах, LDAP или других продуктах. Более того, в ViPNet SafeBoot реализован вход по сертификату, записанному в память токена, защищенную пин-кодом и возможность работы как с российскими, так и западными сертификатами.
Последнее, но немаловажное преимущество — стоимость. Программные модули доверенной загрузки не требуют использования платы расширения, из-за отсутствия затрат на комплектующие, стоимость разработки и изготовления программного модуля, в том числе ViPNet SafeBoot, в разы ниже аппаратно-программных аналогов.
Это обусловлено тем, что отсутствуют затраты на покупку компонентной базы, логистику, как до места изготовления АПМЗД, так и до конечного потребителя. Отсутствует необходимость замены устройств по истечении срока службы. Программный МДЗ не имеет аппаратной составляющей, которая способна выйти из строя.
Подводя итоги вышесказанному, хочется отметить, что программные модули доверенной загрузки, не уступая по функциональности программно-аппаратным замкам, могут стать надежным, обладающим рядом преимуществ и более выгодным решением. А с учетом отсутствия комплектующих для АПМДЗ, в ближайшей перспективе, возможно и единственным.
Узнать подробнее о ViPNet SafeBoot
Всегда ли на замке? Как обезопасить компьютер модулем доверенной загрузки
При обеспечении контроля физического доступа к системным блокам и правильной эксплуатации модулей доверенной загрузки защищаемые компьютеры всегда находились на замке. Однако в компьютерном мире появились новые угрозы, способные нарушить сложившуюся ситуацию
В течение многих лет аппаратно-программный модуль доверенной загрузки (МДЗ) компьютера является одним из самых надежных и распространенных отечественных средств компьютерной безопасности. По приблизительной оценке, за годы своего существования количество МДЗ, установленных в компьютеры, приближается к миллиону экземпляров.
Под доверенной загрузкой обычно понимается загрузка операционной системы (ОС) с внутреннего жесткого диска компьютера, которая происходит только после выполнения процедур идентификации и аутентификации пользователя, а также проверки целостности программной и аппаратной среды рабочего места, в том числе целостности объектов загружаемой ОС. При этом должна обеспечиваться невозможность загрузки пользователем другой ОС (с внешних носителей информации и др.).
Модуль доверенной загрузки представляет собой комплекс аппаратно-программных средств, устанавливаемый в рабочее место вычислительной системы (персональный компьютер, сервер, ноутбук, специализированный компьютер и др.) и обеспечивающий контроль доступа пользователя к рабочему месту и контроль целостности программной среды рабочего места.
Развитие и совершенствование МДЗ осуществлялось практически в ногу с развитием компьютерной техники и с изменением угроз информационной безопасности. На компьютерном рынке появлялись новые типы компьютеров, новые материнские платы, новые идентификаторы, следом за ними совершенствовалась аппаратная часть МДЗ, увеличивалось количество типов поддерживаемых идентификаторов.
Появлялись новые угрозы, регламентирующие органы выдвигали соответствующие требования, в ответ разработчики МДЗ модернизировали функционал, совершенствовали и внедряли новые механизмы защиты.
В настоящей статье описываются принципы функционирования МДЗ, проводится обзор современного отечественного рынка устройств, рассматриваются последние угрозы компьютерной безопасности и предлагаются ответные меры с использованием МДЗ, позволяющие сохранить компьютеры на замке.
Принцип работы МДЗ
Модули доверенной загрузки обеспечивают выполнение следующих основных функций:
При первичной настройке МДЗ назначается администратор модуля, который обладает привилегиями на регистрацию и удаление пользователей, управление параметрами работы модуля, просмотр журнала событий и управление списком объектов, целостность которых должна контролироваться до загрузки операционной системы. В случае появления нарушений при проверке целостности объектов возможность работы на компьютере для обычных пользователей блокируется. В некоторых МДЗ реализована поддержка возможности удаленного управления параметрами работы.
Модули доверенной загрузки, как правило, реализуются на базе плат с системными шинами PCI, PCI-X, PCI Express, mini-PCI, mini-PCI Express, которые могут включать следующие компоненты:
Кроме того, в состав МДЗ может входить программное обеспечение для поддерживаемых ОС, которое обычно включает драйвер, программу управления и интерфейсный модуль API для внешних приложений.
Современные МДЗ поддерживают работу на компьютерах как с ОС семейства MS Windows, так и с рядом ОС семейства UNIX/Linux.
Российский рынок МДЗ
На протяжении многих лет лидирующие позиции на российском рынке МДЗ занимают Особое конструкторское бюро систем автоматизированного проектирования (ОКБ САПР), Научно-инженерное предприятие (НИП) «Информзащита» и фирма «АНКАД».
ОКБ САПР (http://www.okbsapr.ru) является родоначальником отечественных МДЗ. Первый сертификат соответствия Гостехкомиссии России компания получила более 15 лет назад – в декабре 1994 года.
Выпускаемые в настоящее время ОКБ САПР модули доверенной загрузки носят общее наименование «Аккорд-АМДЗ» и реализуются в пяти модификациях:
Комплекс «Аккорд-АМДЗ» включает аппаратные и программные средства. В базовый комплект поставки аппаратных средств входят контроллер, два идентификатора iButton DS1992 и считывающее устройство.
Другие компоненты МДЗ (устройства блокировки каналов FDD, HDD (IDE), USB-портов, устройства отключения питания ATX, EATX и др.) поставляются дополнительно по требованию заказчиков.
Программное обеспечение «Аккорд-АМДЗ» (средства администрирования, средства идентификации и аутентификации, средства контроля целостности, журнал регистрации событий безопасности) размещается в энергонезависимой памяти контроллеров.
«Аккорд-АМДЗ» обеспечивает доверенную загрузку операционных систем, поддерживающих файловые системы FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX. В список операционных систем входят MS DOS, Windows 9x/ME/NT/2000/XP/2003/Vista, QNX, OS/2, UNIX, LINUX, BSD и др.
Для идентификации пользователей разработчики «Аккорд-АМДЗ» предлагают применять идентификаторы iButton, персональное средство криптографической защиты информации «ШИПКА» и другие устройства, тип которых уточняется при заказе средства защиты. Аутентификация осуществляется по паролю (длиной до 12 символов), вводимому пользователем с клавиатуры. В «Аккорд-АМДЗ» поддерживается регистрация до 126 пользователей.
Помимо традиционного контроля целостности файлов и служебных областей жестких дисков «Аккорд-АМДЗ» поддерживает проверку неизменности аппаратной части компьютера и ветвей реестра операционных систем семейства Windows.
В МДЗ «Аккорд-5.5» дополнительно внедрены аппаратно реализованные криптографические алгоритмы защиты информации: шифрование (ГОСТ Р 28147-89), хэширование (ГОСТ Р 34.11-94, MD5, SHA-1), выработка и проверка электронной цифровой подписи (ГОСТ Р 34.10-2001), защитных кодов аутентификации (на основе ГОСТ Р 31.11-94).
Контроллеры «Аккорд-АМДЗ» могут использоваться совместно со специальным программным обеспечением, предназначенным для реализации алгоритмов разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам. Также контроллеры функционируют совместно с изделием «Средство криптографической защиты информации «КриптоПро CSP».
Научно-инженерное предприятие «Информзащита»
НИП «Информзащита» (http://www.infosec.ru) создало свой первый МДЗ в 1999 году. Он получил название «Электронный замок «Соболь». С 2009 года разработку МДЗ осуществляет компания «Код Безопасности» (http://www.securitycode.ru), входящая в группу компаний «Информзащита».
В настоящее время «Код Безопасности» серийно выпускает следующие типы МДЗ:
Новая версия ПАК «Соболь 3.0» выпускается в двух вариантах:
Комплекс «Соболь 3.0» обеспечивает доверенную загрузку более 20 операционных систем компьютеров с 32- и 64-разрядной архитектурой, поддерживающих файловые системы FAT 16, FAT 32, NTFS, UFS, EXT2, EXT3. В их число входят Windows Server 2008/Server 2008 x64 Edition/Server 2008 R2, Windows 7, Windows Vista/Vista x64 Edition, Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition, VMware ESX, МСВС 3.0, Linux XP 2008 Secure Edition и др
Помимо основных функций МДЗ (идентификация и аутентификация пользователей, блокировка загрузки ОС с внешних носителей, контроль целостности, регистрация событий безопасности) в ПАК «Соболь» реализован ряд дополнительных возможностей:
Расчет контрольных сумм при реализации механизма контроля целостности осуществляется в соответствии с алгоритмом ГОСТ Р 28147-89 в режиме вычисления имитовставки.
Механизм идентификации и аутентификации, реализованный в ПАК «Соболь 3.0», дает возможность использования нескольких типов идентификаторов:
В зависимости от типа предъявляемого идентификатора в комплексе поддерживаются двухфакторный (для iButton, iKey 2032, Rutoken S, Rutoken RF S) и усиленный двухфакторный (для eToken PRO) способы аутентификации. Аутентификация пользователя осуществляется по паролю (длиной до 16 символов), вводимому с клавиатуры.
В ПАК «Соболь 3.0» поддерживается совместная работа с системами защиты семейства Secret Net, АПКШ «Континент», средствами защиты информации Security Code vGate for VMware Infrastructure, Security Studio Honeypot Manager, «Континент-АП» и «КриптоПро CSP».
В базовый комплект поставки ПАК «Соболь 2.1» входят плата для шины PCI, идентификаторы iButton DS1992 (2 шт.) с контактным устройством, кабель для механизма сторожевого таймера, компакт-диск с эксплуатационной документацией и программным обеспечением. В комплект поставки ПАК «Соболь 3.0» помимо iButton могут входить USB-идентификаторы.
Фирма «АНКАД» (www.ancud.ru) широко известна своими криптографическими аппаратными средствами защиты информации.
Желание разработчиков реализовать разграничение и контроль доступа пользователей к защищаемому компьютеру, разграничение доступа к аппаратным ресурсам компьютера, контроль целостности компьютерной программной среды привело их к созданию аппаратно-программных МДЗ семейства «КРИПТОН-ЗАМОК»:
Идентификация и аутентификация пользователей в МДЗ семейства «КРИПТОН-ЗАМОК» осуществляется с помощью идентификаторов iButton.
Контроль целостности программной среды (контрольные суммы рассчитываются по алгоритму вычисления хэш-функции по ГОСТ Р34.11-94) реализуется для файловых систем FAT 12, FAT 16, FAT 32, NTFS, EXT2FS, EXT3FS.
Устройство обеспечивает аппаратную блокировку от несанкционированной загрузки ОС с внешних носителей: дискет, CD/DVD-дисков, USB-дисков и USB flash-накопителей.
В МДЗ осуществляется ведение журнала регистрации и учета событий безопасности, расположенного в энергонезависимой памяти на плате изделия.
В настоящее время фирма «АНКАД» выпустила версию МДЗ для шины PCI-E х1 Rev 1.1 – «КРИПТОН-ЗАМОК/Е» (см. рис. 3), в которой реализован ряд новых возможностей. Например, разработчики повысили производительность устройства (на плате встроены процессор с тактовой частотой 200 МГц и память объемом 256 Мб), создали независимый USB-интерфейс для подключения внешних носителей, внедрили новый формфактор платы, позволяющий использовать устройство в системных блоках уменьшенного размера.
Новые угрозы компьютерной безопасности
Известно, что основные угрозы компьютерной безопасности исходят от вредоносных программ, размещаемых на уровне ядра операционной системы, реже – от загрузочных программных модулей. Для борьбы с вредоносными программами достаточно иметь средства контроля состояния файловой системы и сканирования пространства оперативной памяти.
В последние годы появились новые способы проникновения в компьютерные системы. Их реализация стала возможной благодаря произошедшим существенным архитектурным изменениям современных компьютерных платформ. К основным аппаратным изменениям можно отнести:
К сожалению, в настоящий момент многие аппаратные решения не поддерживаются операционными системами, что приводит к появлению новых компьютерных уязвимостей и значительному повышению вероятности реализации злонамеренных действий, не контролируемых со стороны ОС.
Весьма показательной является 4-уровневая классификация способов проникновения и скрытого функционирования, предложенная сотрудниками компании Invisible Things Lab (http://www.invisiblethingslab.com) Alexander Tereshkin и Rafal Wojtczuk:
Аппаратура виртуализации в настоящее время является неотъемлемой частью практически любой вычислительной системы – от ноутбука до сервера. С одной стороны, аппаратура необходима гипервизорам систем виртуализации, за счет ее использования они существенно повышают свою эффективность. С другой стороны, эта же аппаратура может использоваться нелегальными программами для контроля над системой и для скрытия собственного присутствия на компьютере.
Гипервизор системы виртуализации позволяет создавать не только мультисистемные среды, но и среды доверенного и контролируемого исполнения одной ОС, при этом обеспечивается контроль всех компонентов ОС и прикладного программного обеспечения. Помимо этого гипервизор предоставляет возможность создавать виртуальные устройства, полностью имитирующие наличие реального устройства в системе. Поскольку в концепции виртуализации заложена ее прозрачность для любых программных и аппаратных средств, современные средства защиты неспособны обнаружить гипервизор, оставляя злоумышленнику возможность скрытого проникновения в любую систему.
Режим SMM был введен в компьютерные архитектуры х86 с целью управления режимами «горячей» замены устройств и энергосберегающими функциями. Этот режим полностью прозрачен для ОС (средства ОС останавливаются на время работы процессора в режиме SMM), программы его обслуживания инициализируются BIOS. В SMM-режиме код, записанный в микросхему BIOS, может контролировать работу системы в любой момент ее функционирования, а не только до момента загрузки ОС (как было ранее).
Поскольку микросхемы BIOS могут иметь емкость десятки мегабайт, программные модули в BIOS можно без особого труда снабдить вредоносным кодом. Проконтролировать функционирование программ системного управления работой процессора средствами антивирусных систем и систем защиты от несанкционированного доступа невозможно, так как их работа аппаратно изолирована друг от друга.
Технология АМТ (vPRO – для десктопов и ноутбуков) предназначена для удаленного управления компьютерными системами, причем она активна даже в выключенном состоянии компьютера (подается только дежурное напряжение). Удаленное управление осуществляется через Интернет с использованием сетевого проводного или беспроводного доступа. Управляющим элементом технологии является специальный внедренный микроконтроллер с собственной памятью и хранящимися в ней управляющими программными модулями.
Таким образом, внедрение и работа вредоносных программных модулей, выполняемых микроконтроллером, никак не контролируется средствами ОС и антивирусными программами. Значит, имеется возможность тотального скрытого контроля над компьютером из любой точки мира через Интернет.
Рассмотренные выше способы проникновения в компьютерные системы возникли после внедрения новых аппаратных решений, которые привели как к повышению эффективности систем, так и к снижению их безопасности. Появившиеся пути проникновения вредоносных программ и сами программы в настоящий момент не могут быть обнаружены и блокированы традиционными способами.
Для повышения уровня безопасности необходимо обеспечить надежный контроль ряда важных компьютерных ресурсов и их параметров. К ним следует отнести:
Реализацию такого контроля можно возложить на независимые аппаратные средства, вынесенные за пределы области управления и контроля со стороны потенциально опасной аппаратуры и программного кода. В качестве такого устройства предлагается использовать МДЗ, дополнив его специальными модулями контроля аппаратной платформы.
За годы своего существования модули доверенной загрузки зарекомендовали себя надежными, простыми в администрировании и недорогими средствами защиты от несанкционированного доступа к компьютерам. Поэтому они получили столь широкое распространение в системах информационной безопасности на многих российских предприятиях.
В последнее время мир компьютерных угроз пополнился новыми способами проникновения, использующими аппаратные уязвимости современных вычислительных платформ. Появившиеся угрозы заставляют разработчиков средств защиты информации принимать меры по усилению контроля над аппаратными средствами компьютеров и программными модулями, использующими эти средства. Как показали последние исследования, на модули доверенной загрузки могут быть возложены дополнительные функции контроля аппаратной платформы защищаемых компьютеров. Ближайшее будущее покажет эффективность принятого решения.
Рынок средств доверенной загрузки в России
На современном российском рынке информационной безопасности представлено множество СДЗ и МДЗ российского производства. Это связано с тем, что отечественные производители на этапе разработки и производства своих решений руководствуются требованиями регуляторов и стремятся выполнять требования действующего законодательства в области защиты информации. Выполнение этих требований позволяет вендорам сертифицировать во ФСТЭК и ФСБ России свои продукты, что впоследствии дает возможность использовать их в информационных системах для обработки информации различных категорий конфиденциальности. Необходимость использования сертифицированных ФСТЭК решений МДЗ и СДЗ и является главной причиной их востребованности на российском рынке. Что же касается СДЗ и МДЗ зарубежного производства, то их на российском рынке практически нет, а те единичные экземпляры которые встречаются, имеет смысл использовать только на персональных компьютерах. Это связано с тем, что в решениях СДЗ и МДЗ зарубежных производителей не реализованы необходимые требования российского законодательства в области информационной безопасности, поэтому в рамках данной статьи мы их рассматривать не будем.
С 1 января 2014 года ФСТЭК России установил требования, предъявляемые к средствам доверенной загрузки (приказ ФСТЭК России от 27.09.2013 года № 119), однако этот приказ имеет ограничительную пометку «для служебного пользования», что означает отсутствие его в свободном доступе. Поэтому приходится довольствоваться информационным сообщением ФСТЭК России от 06.02.2014 г. № 240/24/405 «Об утверждении Требований к средствам доверенной загрузки», в котором регулятор выделяет следующие типы СДЗ:
Для каждого типа СДЗ определено 6 классов защиты (класс 1 — самый высокий, класс 6 — самый низкий). Чем выше класс, тем больше требований к нему предъявляется, и его использование возможно в системах более высокого класса.
ФСТЭК России ввел такое понятие, как профили защиты СДЗ, которые соответствуют конкретному типу и классу защиты СДЗ. Профиль защиты — это набор обязательных требований, выполнение которых необходимо для сертификации продукта. В таблице 1 приведена спецификация профилей защиты.
Таблица 1. Спецификация профилей защиты СДЗ
Решения СДЗ и МДЗ представлены в программном и программно-аппаратном исполнении. Основное отличие — это использование платы расширения в программно-аппаратных комплексах.
Так как рынок СДЗ и МДЗ возник под влиянием требований регуляторов, то принципиальной характеристикой продукта является не только наличие минимально обязательного набора функциональных возможностей, но и соответствие типу доверенной загрузки и классу защиты, а следовательно и выполнение требований, указанных в соответствующих профилях защиты СДЗ, утвержденных ФСТЭК России.
В настоящее время среди основных игроков рынка сертифицированных СДЗ и МДЗ можно выделить:
Что же касается прогноза на будущее российского рынка в области СДЗ и МДЗ, то можно предположить, что он продолжит планомерно расти. В первую очередь рынок будет подогревать необходимость выполнения постоянно увеличивающихся требований регуляторов в области защиты информации. В качестве примера можно привести принятые требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 г. № 17 (с учетом изменений, внесенных приказом ФСТЭК России от 15.02.2017 г. № 27). Этот приказ вводит меру защиты УПД.17, в соответствии с которой использование доверенной загрузки в средствах вычислительной техники входит в базовый набор мер защиты для ГИС 1 и 2 классов защищенности.
Обзор средств и модулей доверенной загрузки
«Аладдин Р.Д.» — отечественный разработчик продуктов информационной безопасности, является крупным поставщиком средств аутентификации. Компания основана в 1995 году. Основной вектор развития направлен на создание средств двухфакторной аутентификации пользователей, средств защиты баз данных и персональных данных, шифрование дисков, папок и съемных носителей с системой централизованного управления.
Встраиваемый модуль безопасности Aladdin TSM применяется для так называемой «стерилизации» ARM-процессоров серии i.MX6 компании NXP/Freesale.
Данный модуль аппаратно разделяет ARM-процессор на две изолированные друг от друга области — Secure World и Normal World. Позволяет запущенным в них приложениям работать независимо друг от друга на одном ядре процессора и набора периферии. Модуль заменяет загрузчик операционной системы на свой собственный доверенный загрузчик Secure OS, находящийся в Secure World. Это позволяет обеспечить контроль над коммуникациями и процессами, а также контроль загрузки и взаимодействия с любой гостевой системой. Встраивание модуля происходит либо на этапе производства системы, либо в лабораторных условиях.
Рисунок 1. Интерфейс Aladdin TSM. Режим администрирования
Рисунок 2. Интерфейс Aladdin TSM. Пользовательский режим
В состав Aladdin TSM входит:
Модуль безопасности разделяет пользователей на пользователей системы безопасности и администратора системы безопасности. После встраивания Aladdin TSM доступ к настройкам возможен только администратору системы безопасности.
В первую очередь этот продукт предназначен для разработчиков и производителей электронной техники и системных интеграторов.
Эта технология дает возможность использовать современное и эффективное оборудование там, где необходимо обеспечить высокий уровень безопасности, например в КИИ, АСУ ТП, в навигационном и коммуникационном оборудовании.
Особенности средств доверенной загрузки
Для наглядности в этом разделе попытаемся проанализировать основные характеристики рассмотренных СЗД и МДЗ в табличной форме. К основным параметрам сравнения отнесем: вид СДЗ по типу изготовления, тип СДЗ по классификации ФСТЭК России, поддерживаемые интерфейсы платы расширения СДЗ, наличие сертификатов, поддержка UEFI, используемый пользовательский интерфейс, необходимость установки агента в систему, поддерживаемые идентификаторы, прочие особенности.
Таблица 2. Особенности представленных в России средств доверенной загрузки СДЗ и МДЗ
Функции средств доверенной загрузки
В своих руководящих документах ФСТЭК России строго определяет минимально необходимую функциональность для СДЗ и МДЗ.
Итак, к основным функциям СДЗ и МДЗ относятся:
Загрузка системы прекратится, если хотя бы у одного параметра или файла не совпадет значение контрольной суммы с эталонным значением, хранящимся в защищенной области системы доверенной загрузки.
Злоумышленник, имея физический доступ к системе, но не зная учетных данных пользователя, может попытаться загрузить систему с внешнего носителя информации и вследствие чего получить полный доступ к хранимым данным. Но механизм сторожевого таймера, реализованный в средствах и модулях доверенной загрузки, перехватывает управление на себя, блокирует BIOS системы и не дает возможность злоумышленнику изменить его параметры для осуществления дальнейшей загрузки системы с внешнего носителя информации. Если же по каким‑либо причинам сторожевой таймер не перехватил управление и не передал его модулю или средству доверенной загрузки, то срабатывает система защиты и система либо перезагружается или полностью выключается. Таким образом, загрузить операционную систему в обход модуля или средства доверенной загрузки становится невозможно.
Журналирование действий пользователей в системе позволяет администратору информационной безопасности оперативно реагировать на различные системные события и облегчает расследование инцидентов информационной безопасности.
Перечисленные функции являются базовыми для средств доверенной загрузки, но, как правило, в существующих решениях функциональность намного шире. Средства доверенной загрузки являются хорошим подспорьем для сотрудников службы безопасности как при расследовании инцидентов, так и при оперативном определении скомпрометированного рабочего места.
