ViPNet SafeBoot
Защита для компьютеров и серверов должна действовать с момента их включения. Время с момента включения до старта операционной системы является ключевым для доверия к системе в целом. На самых ранних этапах загрузки есть риск:
- Передачи управления недоверенному загрузчику;
- Загрузки вредоносного кода в UEFI;
- Перехвата данных и отключения базовых защитных механизмов.
Назначение:
ViPNet SafeBootпредназначен для идентификации и аутентификации пользователей, разграничения доступа на основе ролей, а также организации доверенной загрузки операционной системы. ViPNet SafeBoot повышает уровень безопасности устройств и компьютеров за счёт:
- Авторизации на уровне BIOS, до загрузки основных компонентов операционной системы;
- Контроля целостности BIOS, защищаемых компонентов операционной системы и аппаратного обеспечения;
- Блокировки загрузки нештатной копии операционной системы.
Сценарии использования
Продукт ViPNet SafeBoot может использовать, как совместно с другими продуктами ViPNet, так и отдельно. Основные задачи которые могут быть решены:- Выполнение требований приказов ФСТЭК*:
- №17 по защите государственных информационных систем (ГИС);
- №21 по защите информационных систем персональных данных (ИСПДн);
- №31 по защите автоматизированных систем управления технологическим процессом (АСУ ТП);
- Защита от НСД на самых ранних этапах загрузки компьютеров или устройств с UEFI BIOS.
Преимущества
- Программный МДЗ с возможностью установки в UEFI BIOS различных производителей.
- Неизвлекаемость, в отличие от аппаратных исполнений МДЗ.
- Упрощенные методы настройки МДЗ за счет шаблонов администрирования.
- Полный контроль целостности UEFI за счет проверки целостности всех его модулей.
- Российский продукт.
Сертификация во ФСТЭК России
ViPNet SafeBoot соответствует требованиям руководящих документов к средствам доверенной загрузки уровня базовой системы ввода-вывода 2 класса, что позволяет использовать продукт для построения:- ИСПДн до УЗ1 включительно;
- ГИС до 1 класса защищенности включительно;
- АСУ ТП до 1 класса защищенности включительно.
Строгая двухфакторная аутентификация — Аутентификация пользователя с помощью токена с сертификатом формата x.509 (двухфакторная), пароля или их сочетания. Поддерживаемые идентификаторы:
- JaCarta PKI
- Rutoken ЭЦП
- Rutoken ЭЦП 2.0
- Rutoken Lite
Ролевой доступ
- Пользователь.
- Администратор.
- Аудитор.
Контроль целостности. Чтобы платформе можно было доверять, нужна гарантия, что все важные модули, загружаемые при старте системы, неизменны. Поэтому ViPNet SafeBoot проверяет целостность:
- всех ключевых модулей UEFI BIOS;
- загрузочных секторов жесткого диска;
- таблиц ACPI, SMBIOS, карты распределения памяти;
- файлов на дисках с системами FAT32, NTFS, EXT2, EXT3, EXT4 (ViPNet SafeBoot не важно какая операционная система установлена);
- ресурсов конфигурационного пространства PCI/PCe;
- CMOS (содержимого энергонезависимой памяти);
- завершенности транзакций — NTFS, EXT3, EXT4.
Журнал событий безопасности. Для удобства предусмотрены несколько режимов ведения журнала с разным уровнем детализации.
Шаблоны администрирования. МДЗ настраивается локально на защищаемом компьютере. С помощью шаблонов настроек это можно делать в несколько раз быстрее.
Защита от обхода и самотестирование. МДЗ контролирует свое состояние и исключает возможность доступа к системе, если его целостность нарушена.
Обновление МДЗ. Имеется возможность доверенного обновления МДЗ администратором системы.
Запрет загрузки с внешних носителей. Невозможность загрузки нештатной операционной системы.
Сертификаты
Сертификат соответствия ФСТЭК России № 3823 на МДЗ ViPNet SafeBoot
Сертификат ФСТЭК России № 3823 от 14.11.2017 на соответствие продукта МДЗ ViPNet SafeBoot требованиям к средствам доверенной загрузки по «Профилю защиты средства доверенной загрузки уровня базовой системы ввода-вывода второго класса защиты. ИТ.СДЗ.УБ2.ПЗ»2020