Transcript Юсупов Ренат, старший вице-президент Kraftway
Информационная безопасность облачных систем.
Новые угрозы и новые методы противодействия.
Москва, 2011
Угрозы нового поколения
2
Заражение кода BIOS
заражение загрузочного сектора MBR перехват управления в режиме «высоких привилегий» SMM интеграция компрометирующих гипервизоров
Управление компонентами системы через интегрированный сервисный процессор
корректировка микрокода процессоров контроль и управление системами жизнеобеспечения (питание, охлаждение, включение/выключение компонентов) организация дистанционного доступа
Угрозы нового поколения
3
Стандартизация BIOS – UEFI
стандартизация механизмов заражения Интеграция бинарных модулей Video и Management Engine подписывание запускаемых приложений неработоспособность существующих АПМДЗ, как следствие – снижение уровня безопасности
Примеры угроз
Вирус «Чернобыль/Chernobyl» 1998 г.
Trojan.Bioskit.1 2011 г.
Гипервизор уровня BIOS собственной разработки 2008 г.
4
Новые методы защиты BIOS
Создание собственной доверенной версии BIOS
Kraftway BIOS Altell HyperBIOS Intel
Интеграция в BIOS дополнительных средств защиты
СЗИ НСД – Trusted Security Module от Аладдин РД Доверенная программная среда – «З-Доверие» от Altell Trusted Platform Module от Intel средства контроля и защиты уровня EFI – DeepSAFE от Intel McAfee
Обеспечение ИТ безопасности c Kraftway BIOS и TSM
Включение ПК Инициализация BIOS Проверка оборудования (POST)
5
Поиск загрузочного устройства Считывание начального загрузчика ОС Передача управления загрузчику ОС
Благодаря тесной интеграции TSM с BIOS материнской платы обеспечивается максимальная безопасность и совместимость со всеми используемыми аппаратными средствами
Подтверждение легитимности
Обратная передача управления BIOS для дальнейшей загрузки компьютера осуществляется только после двухфактурной аутентификации пользователя.
Запуск embedded TSM Аутентификация пользователя Контроль целостности Передача управления BIOS
6
Особенности Kraftway BIOS
Невозможность перезаписи BIOS и установок CMOS неразрушающими методами Исключение области содержащей BIOS из общего адресного пространства Запуск TSM до запуска функции поиска загрузочного устройства (INT19) Проверка состава оборудования Проверка контрольной суммы BIOS Интегрированный сторожевой таймер Индивидуальная настройка портов USB
Обеспечение безопасности кода
В SPI Flash материнской платы Kraftway логически выделены пять регионов, которые независимо друг от друга могут быть защищены от записи: Boot Block Main BIOS SMBIOS Area (DMI Tables) Hole Area для хранения кода инициализации памяти и копии Video ROM, используемой для процедуры BIOS Recovery PDR - Platform Data Region для хранения кода TSM, журнала и контрольных сумм SPI Flash Boot Block BIOS SMBOIS (DMI Tables) Hole Area PDR embedded TSM контрольные суммы журнал регистрации событий 7 Защита кода приложения TSM осуществляется программно-аппаратными средствами материнской платы
8
Ролевая модель
Идентификация, аутентификация и авторизация
Администратор изменение настроек BIOS посредством BIOS SETUP включение/отключение TSM посредством BIOS SETUP продолжение загрузки компьютера изменение настроек TSM управление пользователями TSM изменение пароля подключенного пользователя выработка и запись дополнительного аутентификатора просмотр журнала событий инициализация контроля целостности программной среды компьютера запрос сводной информации о версии, настройках, содержании хранилища TSM Пользователь продолжение загрузки компьютера многофакторная аутентификация Идентификатор пользователя – USB-ключ eToken Аутентификатор – пароль пользователя изменение пароля пользователя
Контроль целостности
Подсистема контроля целостности обеспечивает контроль следующих объектов: • Файлы на компьютере для файловых систем NTFS/FAT32/FAT16; • Критичные секторы жестких дисков: Master Boot Record; 62 сектора после Master Boot Record; Volume (Partition) Boot Sector жесткого диска; для каждого раздела Extended Boot Record диска.
для каждого раздела жесткого 9 Режимы контроля целостности для пользователей: • • Жесткий, при нарушении загрузка операционной системы блокируется Мягкий, при нарушении загрузка операционной системы не блокируется
10
Журнал регистрации событий
TSM осуществляет регистрацию всех событий доступа к компьютеру Журнал регистрации содержит информацию о следующих событиях: Успешная аутентификация Неуспешная аутентификация с сохранением ID предъявленного eToken Изменения в учетных записях пользователей Блокировка/разблокировка пользователей Изменение настроек TSM События подсистемы контроля целостности Включение/отключение TSM Информация о служебных событиях TSM Журнал регистрации событий TSM предоставляет полную информацию о событиях доступа к компьютеру, в том числе о попытках несанкционированного доступа Служебная информация о пользователях (имя, описание, серийный номер eToken), а так же журналы регистрации событий хранятся в энергонезависимой памяти
Реализация защищённого BIOS в терминальном ПК.
Компактность, безопасность и безотказность – таковы основные требования к качественной современной технике. А, добавив к ним бесшумность, прочность, защищенность и продуманную эргономичность, мы получаем новый тонкий клиент от компании Kraftway.
Никаких вентиляторов, шпинделей и роторов: всё необходимое для работы записано на твердотельный промышленный накопитель.
Характеристика
Процессор Оперативная память Сетевой адаптер Видеоадаптер Жесткий диск: Гарантия Корпус
значение
Intel Atom N450/N2600 (1.66/1.8ГГц 512/1024кБ кэш) до 2 ГБ 1/2 интегрированный 10/100/1000 Мбит/с Интегрированная в процессор графическая подсистема Intel с поддержкой 3D, 2D и DX9/DX10 твердотельный 3 года Специальный, металлический, с креплением на обратную сторону монитора, в черной цветовой гамме 11
Терминальный ПК.
На задней панели клиента расположен весьма внушительный набор интерфейсов для такого небольшого корпуса, выполненного целиком из металла: Разъем для подключения источника питания.
PS/2 разъем для клавиатуры.
DB15 VGA разъем для подключения монитора высокого разрешения.
RJ45 гнездо для локальной сети стандарта Ethernet 10/100/1000 4 порта USB 2.0 для дополнительных устройств И два порта для аудиоустройств.
На обратной стороне расположены дополнительные гнезда для подключения USB устройств: клавиатуры, мыши, а также порты для подключения гарнитуры.
На нижней стороне расположен специальная переходная пластина для установки на LCD мониторы с VESA 100 креплением.
12
Терминальный ПК.
Применяемый в решении тонкий клиент Kraftway VV18 представляет собой бездисковую рабочую станцию, подключаемую по сети непосредственно к серверу. Kraftway VV18 служит для ввода информации и отображения рабочего стола. Все операции выполняются только на сервере. Преимущества тонких клиентов Kraftway: Базовый комплект программного обеспечения. Каждый терминал обладает одним и тем же встроенным ПО, благодаря чему рабочий процесс становится более скоординированным и упорядоченным.
Простота
установки.
компьютера отпадает.
Все необходимые настройки информацию становится практически невозможно.
производятся при помощи централизованного информационного управления, в результате чего необходимость в точечной настройке каждого отдельного Надежность. Вероятность выхода из строя тонкого клиента близка к нулю, в связи с отсутствием движущихся частей, что благоприятно сказывается на работоспособности всей сети в целом. Потерять какую-либо важную Удобство применения. Программное обеспечение устанавливается лишь на сервер, а операционная система Kraftway Terminal Linux служит только для установки и поддержания сессии соединения.
Быстрая масштабируемость. Сеть, созданную на основе тонких клиентов Kraftway VV18, можно легко масштабировать до нужного количества терминалов, без постоянной переустановки ПО и перенастройки системы.
Безопасность и защита от утечек информации. Все данные хранятся на сервере, Kraftway VV18 не имеет никаких носителей информации, а следовательно, и украсть с него какие-либо ценные данные невозможно.
Кроме того, тонкий клиент VV18 может быть снабжен
специальным ключом доступа к запуску самого клиента
.
Легкость замены. Если возникла необходимость заменить какой-либо из терминалов, выполнить подключение нового тонкого клиента можно быстро, без особых проблем.
Простое техническое обслуживание. Минимальные затраты на модернизацию и починку терминалов благоприятно сказываются на всем рабочем процессе в целом.
13
Обеспечение безопасности Необходимо обеспечить выполнение требований Федерального закона №152 «О персональных данных»
Исходя из моделей угроз предложенная нами система обеспечивает защищенный канал передачи данных с шифрованием и многофактурную аутентификацию пользователя работающего с персональными данными.
Элементы обеспечения защиты являются не извлекаемыми что делает невозможным исключение их из системы.
14 Далее будет рассмотрен механизм встроенного модуля обеспечения ограничения доступа более детально.
15
С чего начать?
Заключить Договор на предпроектное обследование каждого автоматизируемого ЛПУ результат: отчет заказчик: само ЛПУ, региональное Министерство Здравоохранения, территориальный Фонд Обязательного мед. Страхования Заказчик утверждает программу (бюджет) по модернизации здравоохранения региона.
Заказчик разрабатывает ТЗ на конкурс по модернизации здравоохранения региона.
Заказчик публикует конкурсную документацию.