Обзор рынка средств (модулей) доверенной загрузки (СДЗ, МДЗ)
Обзор с упоминанием продукта компании "Аладдин Р.Д." — TSM
Средства (модули) доверенной загрузки (СДЗ, МДЗ) предназначены для защиты данных от угроз несанкционированного доступа (НСД) и защиты от вирусных атак на базовую систему ввода-вывода (BIOS). Рост российского рынка в области СДЗ и МДЗ обусловлен не только необходимостью защиты от несанкционированного доступа к информации, но и необходимостью выполнения требований регуляторов и нормативно-правовых актов в области защиты информации. В обзоре расскажем про функциональность СДЗ и МДЗ, проанализируем рынок представленных решений, а также детально разберем наиболее интересные из них.
Введение
Несанкционированный доступ (далее — НСД) к информации является наиболее часто встречающейся и наиболее вероятной угрозой информационной безопасности. НСД ведет к нежелательным последствиям в организации, таким как утечка защищаемой информации (персональные данные, служебная информация, государственная тайна), полное или частичное нарушение работоспособности системы. Все это ведет к снижению репутации компании, финансовым потерям и прекращению бизнес-процессов.
Наиболее часто НСД к информации происходит при использовании вредоносных программ, функционирующих до загрузки операционной системы, на уровне BIOS/UEFI, или при определенных действиях злоумышленника, который может получить доступ к информации, загрузившись с любого внешнего носителя информации.
Для снижения этих рисков применяются средства (модули) доверенной загрузки (далее — СДЗ, МДЗ), которые, во-первых, проводят контроль целостности загружаемых файлов и сверяют их с эталонными значениями, хранимые в недоступной для операционной системы памяти. Во-вторых, обеспечивают идентификацию и аутентификацию пользователей до загрузки операционной системы. В-третьих, осуществляют запрет загрузки нештатных копий операционной системы с недоверенных внешних носителей информации.
СДЗ и МДЗ созданы для усиления встроенных средств защиты операционных систем, а именно для усиления аутентификации и идентификации пользователей, и защиты от НСД к защищаемой информации. Регулятор в лице ФСТЭК России предъявляет жесткие требования для защиты от НСД к информации, среди которых обязательное использование СДЗ и МДЗ. Выполнение требований регуляторов в первую очередь необходимо для тех организаций, которые в своей деятельности сталкиваются с обработкой персональных данных, информации, содержащей сведения, составляющие государственную тайну, а также защиты существующих информационных систем. При невыполнении этих требований регулятор вправе наложить на организацию значительный штраф. А в случае с государственной тайной помимо штрафа возможен и отзыв лицензии на право обработки такой информации, что приведет к остановке деятельности организации.
Далее расскажем о состоянии рынка СДЗ и МДЗ, поговорим об их основных функциях, каким требованиям они должны соответствовать и рассмотрим основные продукты, представленные на рынке.
Рынок средств доверенной загрузки в России
На современном российском рынке информационной безопасности представлено множество СДЗ и МДЗ российского производства. Это связано с тем, что отечественные производители на этапе разработки и производства своих решений руководствуются требованиями регуляторов и стремятся выполнять требования действующего законодательства в области защиты информации. Выполнение этих требований позволяет вендорам сертифицировать во ФСТЭК и ФСБ России свои продукты, что впоследствии дает возможность использовать их в информационных системах для обработки информации различных категорий конфиденциальности. Необходимость использования сертифицированных ФСТЭК решений МДЗ и СДЗ и является главной причиной их востребованности на российском рынке. Что же касается СДЗ и МДЗ зарубежного производства, то их на российском рынке практически нет, а те единичные экземпляры которые встречаются, имеет смысл использовать только на персональных компьютерах. Это связано с тем, что в решениях СДЗ и МДЗ зарубежных производителей не реализованы необходимые требования российского законодательства в области информационной безопасности, поэтому в рамках данной статьи мы их рассматривать не будем.
С 1 января 2014 года ФСТЭК России установил требования, предъявляемые к средствам доверенной загрузки (приказ ФСТЭК России от 27.09.2013 года № 119), однако этот приказ имеет ограничительную пометку «для служебного пользования», что означает отсутствие его в свободном доступе. Поэтому приходится довольствоваться информационным сообщением ФСТЭК России от 06.02.2014 г. № 240/24/405 "Об утверждении Требований к средствам доверенной загрузки", в котором регулятор выделяет следующие типы СДЗ:
- средства доверенной загрузки уровня базовой системы ввода-вывода;
- средства доверенной загрузки уровня платы расширения;
- средства доверенной загрузки уровня загрузочной записи.
Для каждого типа СДЗ определено 6 классов защиты (класс 1 — самый высокий, класс 6 — самый низкий). Чем выше класс, тем больше требований к нему предъявляется, и его использование возможно в системах более высокого класса.
ФСТЭК России ввел такое понятие, как профили защиты СДЗ, которые соответствуют конкретному типу и классу защиты СДЗ. Профиль защиты — это набор обязательных требований, выполнение которых необходимо для сертификации продукта. В таблице 1 приведена спецификация профилей защиты.
Спецификация профилей защиты СДЗ
Решения СДЗ и МДЗ представлены в программном и программно-аппаратном исполнении. Основное отличие — это использование платы расширения в программно-аппаратных комплексах.
Так как рынок СДЗ и МДЗ возник под влиянием требований регуляторов, то принципиальной характеристикой продукта является не только наличие минимально обязательного набора функциональных возможностей, но и соответствие типу доверенной загрузки и классу защиты, а следовательно и выполнение требований, указанных в соответствующих профилях защиты СДЗ, утвержденных ФСТЭК России.
В настоящее время среди основных игроков рынка сертифицированных СДЗ и МДЗ можно выделить:
- Aladdin TSM (компания "Аладдин Р.Д.");
- АПМДЗ «Криптон-замок» (компания "АНКАД");
- ALTELL TRUST (компания "АльтЭл");
- SafeNode System Loader (компания "Газинформсервис", пришел на смену "Блокхост-МДЗ");
- ViPNet SafeBoot (компания "ИнфоТеКС");
- СЗД Dallas Lock (компания "Конфидент");
- СЗИ НСД "Аккорд-АМДЗ", МДЗ "Аккорд-МКТ" и СЗИ НСД "Инаф" (ОКБ САПР);
- ПАК "Соболь" (компания "Код Безопасности");
- АПМДЗ "Максим-М1" (НПО "РусБИТех");
- АПМДЗ "Центурион" (ЦНИИ ЭИСУ);
- МДЗ-Эшелон (НПО "Эшелон");
- ПК ЭЗ "Витязь" (компания "Крафтвей").
Что же касается прогноза на будущее российского рынка в области СДЗ и МДЗ, то можно предположить, что он продолжит планомерно расти. В первую очередь рынок будет подогревать необходимость выполнения постоянно увеличивающихся требований регуляторов в области защиты информации. В качестве примера можно привести принятые требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 г. № 17 (с учетом изменений, внесенных приказом ФСТЭК России от 15.02.2017 г. № 27). Этот приказ вводит меру защиты УПД.17, в соответствии с которой использование доверенной загрузки в средствах вычислительной техники входит в базовый набор мер защиты для ГИС 1 и 2 классов защищенности.
Функции средств доверенной загрузки
В своих руководящих документах ФСТЭК России строго определяет минимально необходимую функциональность для СДЗ и МДЗ.
Итак, к основным функциям СДЗ и МДЗ относятся:
- Идентификация и аутентификация пользователя на этапе начальной загрузки до передачи управления операционной системе.
Пользователю помимо уникального логина и пароля выдается персональный идентификатор. Злоумышленник, даже зная логин и пароль пользователя, не сможет загрузить систему без физического доступа к персональному идентификатору.
- Контроль целостности базовой системы ввода-вывода, загрузочных областей жесткого диска, операционной системы и файлов.
Загрузка системы прекратится, если хотя бы у одного параметра или файла не совпадет значение контрольной суммы с эталонным значением, хранящимся в защищенной области системы доверенной загрузки.
- Осуществление загрузки операционной системы только с разрешенных носителей информации.
Злоумышленник, имея физический доступ к системе, но не зная учетных данных пользователя, может попытаться загрузить систему с внешнего носителя информации и вследствие чего получить полный доступ к хранимым данным. Но механизм сторожевого таймера, реализованный в средствах и модулях доверенной загрузки, перехватывает управление на себя, блокирует BIOS системы и не дает возможность злоумышленнику изменить его параметры для осуществления дальнейшей загрузки системы с внешнего носителя информации. Если же по каким‑либо причинам сторожевой таймер не перехватил управление и не передал его модулю или средству доверенной загрузки, то срабатывает система защиты и система либо перезагружается или полностью выключается. Таким образом, загрузить операционную систему в обход модуля или средства доверенной загрузки становится невозможно.
- Запись в журнал всех действий пользователей в системе.
Журналирование действий пользователей в системе позволяет администратору информационной безопасности оперативно реагировать на различные системные события и облегчает расследование инцидентов информационной безопасности.
Перечисленные функции являются базовыми для средств доверенной загрузки, но, как правило, в существующих решениях функциональность намного шире. Средства доверенной загрузки являются хорошим подспорьем для сотрудников службы безопасности как при расследовании инцидентов, так и при оперативном определении скомпрометированного рабочего места.
Особенности средств доверенной загрузки
Для наглядности в этом разделе попытаемся проанализировать основные характеристики рассмотренных СЗД и МДЗ в табличной форме. К основным параметрам сравнения отнесем: вид СДЗ по типу изготовления, тип СДЗ по классификации ФСТЭК России, поддерживаемые интерфейсы платы расширения СДЗ, наличие сертификатов, поддержка UEFI, используемый пользовательский интерфейс, необходимость установки агента в систему, поддерживаемые идентификаторы, прочие особенности.
Таблица 2. Особенности представленных в России средств доверенной загрузки СДЗ и МДЗ
| Параметр сравнения | Aladdin TSM | АПМДЗ "Криптон-замок" | ALTELL TRUST | SafeNode System Loader | ViPNet SafeBoot | СДЗ Dallas Lock | ПАК "Соболь" |
|---|---|---|---|---|---|---|---|
| Вид СДЗ по типу изготовления | Программный модуль | Плата расширения | Программный модуль | Программный модуль | Программный модуль | Плата расширения | Плата расширения |
| Тип СДЗ по классификации ФСТЭК России | СДЗ уровня базовой системы ввода-вывода | СДЗ уровня платы расширения | СДЗ уровня базовой системы ввода-вывода | СДЗ уровня базовой системы ввода-вывода | СДЗ уровня базовой системы ввода-вывода | СДЗ уровня платы расширения | СДЗ уровня платы расширения |
| Поддерживаемые интерфейсы платы расширения СДЗ | - | PCI, PCI-express, Mini PCI-express | - | - | - | PCIExpress, miniPCIExpress и M.2. | PCI, PCI Express, Мin PCI Express, Mini PCI Express Half Size и M.2 |
| Наличие сертификатов соответствия регуляторов | В процессе получения ФСТЭК России | ФСБ России | ФСТЭК России; в процессе получения ФСБ России | В процессе получения ФСТЭК России | ФСТЭК России | ФСТЭК, МО России | ФСТЭК ФСБ, МО России |
| Поддержка UEFI | Да | Нет | Да | Да | Да | Да | Да |
| Используемый пользовательский интерфейс | Графический | Текстовый | Текстовый | Текстовый | Текстовый | Графический | Графический |
| Необходимость установки агента в систему | Нет | Да | Да | Да | Да | Да | Да |
| Поддерживаемые идентификаторы | USB-токен JaCarta | iButton (Touch Memory) и Smartcard | eToken PRO (Java), смарт-карты, Rutoken ЭЦП | JaCarta PKI, ГОСТ (USB-носитель и смарт-карта), JaCarta PKI/ГОСТ, JaCarta-2 ГОСТ (USB-носитель и смарт-карта), Рутокен ЭЦП, ЭЦП 2.0 (USB-носитель и смарт-карта), Рутокен Lite, 2151, ЭЦП PKI (смарт-карта), eToken Pro Java, SafeNet eToken 5100, SafeNet eToken 5105, 5200, 5205 | JaCartaPKI, Rutoken ЭЦП, Rutoken ЭЦП 2.0, RutokenLite, GuardantID | USB-ключи и смарт-карты Aladdin eTokenPro / Java, Рутокен, eSmart, JaCarta, электронные ключи Touch Memory | USB-ключи eToken PRO, eToken PRO (Java), Rutoken, Rutoken RF, Rutoken ЭЦП, Rutoken Lite, JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta SF/ГОСТ, Guardant-ID, смарт-карты eToken PRO, eToken PRO (Java), Rutoken ЭЦП, Rutoken Lite, JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, электронная карта и iButton DS1992 - DS1996 |
| Прочие особенности | Применим только для ARM-процессоров, встраивание модуля происходит на этапе производства или в лабораторных условиях | Модульная структура продукта позволяет строить защищенные сети | Может использоваться в качестве единственного ПО в тонких клиентах | - | Необходима консультация с представителями компании-разработчика при установке продукта | Беспроводный (программный) сторожевой таймер в дополнение к аппаратному. Возможность подключения датчика вскрытия корпуса. Собственные часы для генерации меток времени. Сохранение настроек и журналов в энергонезависимой памяти. Централизованное управление через Сервер безопасности Dallas Lock (без агента). | Возможность программной инициализации без вскрытия системного блока, централизованное управление пользователями через Secret Net Studio |
Обзор средств и модулей доверенной загрузки
"Аладдин Р.Д." — отечественный разработчик продуктов информационной безопасности, является крупным поставщиком средств аутентификации. Компания основана в 1995 году. Основной вектор развития направлен на создание средств двухфакторной аутентификации пользователей, средств защиты баз данных и персональных данных, шифрование дисков, папок и съемных носителей с системой централизованного управления.
Встраиваемый модуль безопасности Aladdin TSM применяется для так называемой "стерилизации" ARM-процессоров серии i.MX6 компании NXP/Freesale.
Данный модуль аппаратно разделяет ARM-процессор на две изолированные друг от друга области — Secure World и Normal World. Позволяет запущенным в них приложениям работать независимо друг от друга на одном ядре процессора и набора периферии. Модуль заменяет загрузчик операционной системы на свой собственный доверенный загрузчик Secure OS, находящийся в Secure World. Это позволяет обеспечить контроль над коммуникациями и процессами, а также контроль загрузки и взаимодействия с любой гостевой системой. Встраивание модуля происходит либо на этапе производства системы, либо в лабораторных условиях.
Интерфейс Aladdin TSM. Режим администрирования
Интерфейс Aladdin TSM. Пользовательский режим
В состав Aladdin TSM входит:
- модуль доверенной загрузки, реализующий функции электронного замка. Удовлетворяет требованиям регулятора к средствам доверенной загрузки уровня BIOS второго класса защиты (до государственной тайны со степенью секретности "Совершенно секретно");
- криптографический модуль, реализующий набор российских криптоалгоритмов и протоколов, используется как доверенное приложение (трастлет) в изолированной доверенной среде TrustZone с аппаратным доверенным хранилищем ключей;
- модуль доверенного ввода и вывода, позволяет цветами (зеленый/красный) отображать режим (безопасный/опасный) ввода и вывода информации;
- модуль централизованного управления, позволяющий при помощи системы JaCarta Management System (JMS) дистанционно управлять ключами и сертификатами, загрузкой доверенных приложений, безопасно обновлять прошивку железа, просматривать журналы аудита.
Модуль безопасности разделяет пользователей на пользователей системы безопасности и администратора системы безопасности. После встраивания Aladdin TSM доступ к настройкам возможен только администратору системы безопасности.
Основные возможности:
- аутентификация пользователей до загрузки операционной системы с использованием только пароля или пароля и USB-токена JaCarta;
- защита данных от несанкционированного доступа, утечек, искажения и перехвата;
- доверенная загрузка операционной системы Linux и операционных систем на основе Linux, Android и Sailfish;
- возможность встраивания в существующие разработки;
- проверка целостности объектов операционной системы перед ее загрузкой;
- регистрация событий безопасности системы в соответствующих журналах;
- механизм удаленного управления; возможность локального и удаленного обновления модуля.
В первую очередь этот продукт предназначен для разработчиков и производителей электронной техники и системных интеграторов.
Эта технология дает возможность использовать современное и эффективное оборудование там, где необходимо обеспечить высокий уровень безопасности, например в КИИ, АСУ ТП, в навигационном и коммуникационном оборудовании.