Transcript ЗАГОЛОВОК ПРЕЗЕНТАЦИИ

«Ифофорум Евразия / Сити»
8-й Евразийский форум информационной безопасности
Методы создания
безопасной облачной
платформы
для подключения к централизованным
медицинским сервисам.
Константин Абатуров
Москва, 7 июня 2012
ОБЩЕСТВЕННОЕ СЛУЖЕНИЕ
Kraftway — крупнейшая российская производственная компания в сфере информационных технологий.
Успешно работая с 1993 г., Kraftway заслуженно пользуется репутацией одного из признанных
технологических лидеров компьютерного рынка России. Спектр выпускаемой продукции под торговой
маркой Kraftway чрезвычайно широк и включает персональные компьютеры для бизнеса и дома,
рабочие станции, терминальные системы, серверы, системы хранения данных, активные контрольнокассовые машины, мониторы, компьютерную периферию.
Одна из крупнейших российских ИТ-компаний, фокусирующаяся на рынке B2B;
Работает с 1993 г.;
Сертификация по международному стандарту ISO 9001 с 1996 г.
Сертификация по международному стандарту менеджмента услуг ISO/IEC 20000-1:2005
Оборот 6 млрд. руб. (2011);
Свыше 700 сотрудников;
Штаб квартира – Москва;
Две производственные площадки: опытное производство в г. Москва, основное производство в г. Обнинск
Уникальные производственные мощности;
Большой опыт реализации крупных интеграционных проектов
4
ПРОИЗВОДСТВО
Собственный завод в г.Обнинск.
Первое новое IT-предприятие,
построенное в России за последние 15 лет
Открытие в июне 2007 г.
Общие инвестиции 20 млн. дол.
100 км. от Москвы;
3 производственные линии
Участок сборки серверов;
Свыше 300 сотрудников ;
Общая площадь 22 тыс. кв. м.
Производственный цех 6 тыс.кв.м.
Складской терминал 12 тыс. кв. м.
Административный корпус 4 тыс. кв. м
Общая мощность первой очереди – 1 млн. изделий в год
29 апреля 2010 г. в производственном цехе завода электронного
оборудования Kraftway в г. Обнинск Президент РФ. Д.А.Медведев
провел
заседание Комиссии по модернизации и технологическому
5
развитию экономики России.
РЕАЛЬНЫЙ ОПЫТ
ОПИСАНИЕ ВНЕДРЯЕМОГО РЕШЕНИЯ С ПОДКЛЮЧЕНИЕМ К
ЦЕНТРАЛИЗОВАННЫМ МЕДИЦИНСКИМ СЕРВИСАМ С
ПРИМЕНЕНИЕМ ОБЛАЧНЫХ ТЕХНОЛОГИЙ.
6
ОБЩАЯ СХЕМА ВЗАИМОДЕЙСТВИЯ (ИТ БЕЗОПАСНОСТЬ)
Крипто маршрутизатор
Крипто
маршрутизатор
7
МИС. ПАРТНЕРСТВО.
ОАО «Ростелеком»
http://www.rt.ru/
ОАО «НПО РусБИТех»
(ГИС “Jemys-RBT”)
http://www.jemys-rbt.ru/
БАРС груп
http://www.bars-open.ru/
Корпоративные Информационные Рутины.
http://www.kirkazan.ru/
Аксимед
http://www.aksimed.ru/
SofTrust
http://www.softrust.ru/
8
ПОДСИСТЕМА БЕЗОПАСНОСТИ
Подсистема обеспечения безопасности и шифрования данных передаваемых по
общедоступным каналам связи.
Защищенная соединение по публичному каналу обеспечивается VIP Net координаторами,
туннель точка-точка (1 лицензия на один ЛПУ).
По защищенному туннелю проходит только одно VPN соединение. Данное соединение
обеспечивает связь Site to Site между ЛПУ и ЦОД.
VPN server в ЦОД, на него сходятся все соединения из всех ЛПУ.
VIP Net администратор и удостоверяющий центр в ЦОД.
Данная подсистема обеспечивает независимость внутренней инфраструктуры от настроек
системы обеспечения безопасности.
ЦОД и ЛПУ работают в одной подсети без привязки к физической
топологии, серверы VipNET, в этом случае, обеспечивают
защищенный канальный уровень.
9
Kraftway Credo VV20
Пассивное охлаждение в защищенном металлическом корпусе при очень
низком энергопотреблении было доведено до совершенства в
собственном дизайнерском центре специалистами Kraftway. Тем не
менее, модель VV20 выполнена на высокопроизводительном процессоре
со встроенной графикой, что позволяет ей без труда исполнять роль
универсального клиента. Доступность дополнительных внешних
носителей определяется административными настройками BIOS.
Системная логика
Intel Atom
Системная шина, FSB MHz
1066
Процессор
Intel Atom 450 1,66ГГц
Память
DDR3, До 16GB. 2 SODIMM слота
Сеть
Gigabit Ethernet
Накопители
DOM, SSD, HDD,
Видеоадаптер
Intel GMA3150 (разрешение до 2048x1536)
Звуковой контроллер
Realtek ALC662
Блок питания
Внешний 150 Ватт
Корпус
202x52x133, экструдированный алюминий, с пассивным
охлаждением, в комплекте крепление на заднюю стенку
монитора.
10
Kraftway Studio BL11
Специализированное решение для информатизации неподготовленных объектов.
Высоко интегрированная серверная система в малошумящем исполнении.
Функциональная насыщенность и высокая плотность вычислений делают Kraftway Express Blade
BL11 отличным выбором практически для любых приложений малого и среднего бизнеса.
Удобные инструменты администрирования, дополненные KVM over LAN, максимально облегчают
эксплуатацию сервера.
Системная логика
Intel H61
Системная шина, FSB MHz
1066,1333
Процессор
Dual-core Intel Xeon серии 5xxx до 3,33 ГГц.
Память
DDR3, До 32GB. в каждом сервере
Сеть
Встроенные Gigabit Ethernet коммутаторы
Накопители
Общая RAID СХД с системой резервирования
Оптический привод
DVDRW, опция
Управление
IPMI 2,0, KVM over IP, ODD over IP
Блок питания
Модульная система с резервированием N+1
Корпус
Стоечное или напольное размещение в звукоизолирующем
корпусе.
11
НЕПРОВЕРЕННЫЙ BIOS КАК УГРОЗА
ОБЗОР ВОЗМОЖНОСТИ АТАКИ ЧЕРЕЗ АППАРАТНЫЕ
КОМПОНЕНТЫ ТИПИЧНОГО КОМПЬЮТЕРА
12
СМЕЩЕНИЕ ФОКУСА УГРОЗЫ
Благодаря организационным и техническим работам защита данных хранящихся и
обрабатывающихся в ЦОД предоставляет достаточный уровень защищенности.
Каналы связи оснащаются требуемым уровнем защиты данных при передаче по не
доверенной территории.
Идет значительный рост угрозы на уровне конечного оборудования АРМ.
R
!
13
Физическая защита
R
Защита от НСД
!
Защита от НСД
R
Защита от НСД
Шифрование
Частные сети
Структура хранения BIOS в SPI Flash
Уязвимость BIOS
Структура областей BIOS:
Boot Block
Main BIOS
SMBIOS Area (DMI Tables)
Hole Area
для хранения кода инициализации
памяти и копии Video ROM, используемой
для процедуры BIOS Recovery
PDR - Platform Data Region
Место для
размещения
кода пользователя
Нет доступа из ОС
7-я серия chipset – 32МБ
Следующе поколение: до256MБ;
возможность интеграции в PDR компрометирующего кода.
14
Актуальная модель угроз для компрометации BIOS
15
Компрометация BIOS. Реальные возможности.
Запуск вредоносных SMI обработчиков для обхода модулей доверенной
загрузки и др. средств защиты.
Модификация драйверов BIOS для создания скрытых областей памяти и
размещения в них вредоносного ПО.
Запуск в закрытых областях памяти вредоносных OPROM сетевых
контроллеров для предоставления удаленного доступа к данным и
дистанционного управления.
Модификация загрузочных областей устройств, смена последовательности
загрузочных устройств, создание скрытых областей на носителях.
Запуск скрытых виртуальных машин, фильтрация внутреннего и внешнего
трафика. Сбор паролей, теста и комбинаций нажатий клавиш.
Предоставление злоумышленнику на носитель или удаленно.
Низкоуровневый доступ через сервисный процессор (BMC) и
Management Engine для контроля и управления аппаратным
обеспечением, вплоть до загрузки системы с удаленного носителя.
Вывод из строя оборудования по удаленной команде.
16
Новые методы защиты BIOS
Создание собственной, доверенной платформы. Контроль
исходных кодов BIOS.
Создание в BIOS оболочки безопасности. Интеграция в BIOS
дополнительных средств защиты
 модули доверенной загрузки,
 гипервизоры уровня BIOS,
 межсетевые экраны,
 проверка сертификатов аппаратуры
и приложений




криптопровайдеры,
антивирусы уровня BIOS,
авторизация через СК,
single Sign-On;
Создание системы проверки сертификатов запускаемых модулей
(аналог TPM).
Использование собственных систем дистанционного мониторинга
и управления (в т.ч. пользователями) на уровне UEFI BIOS.
17
Материнские платы Kraftway
Особенности BIOS
Невозможность перезаписи неразрушающими методами:
кода BIOS
установок CMOS
MBR накопителя
Исключение области содержащей МДЗ из общего адресного
пространства (после загрузки ос нет доступа)
Запуск МДЗ до запуска функции поиска загрузочного устройства
(INT19), и опроса OPROM
Контроль состава оборудования (аппаратная целостность)
Проверка контрольной суммы BIOS
Интегрированный сторожевой таймер
Хранение журнала событий в закрытой области
18
UEFI – ПАНАЦЕЯ БЕЗОПАСНОСТИ?
ОБЗОР ОЖИДАЕМЫХ ИНДУСТРИАЛЬНЫХ АЛГОРИТМОВ
КОНТРОЛЯ ПРОГРАММНО - АППАРАТНОЙ СОСТАВЛЯЮЩЕЙ
АРМ НА ОСНОВЕ КОМПОНЕНТТОВ С ОТКРЫТОГО РЫНКА
19
Предыдущая схема старта BIOS
зона работы типичных
антивирусных программ
зона высокого
риска
20
Логическая схема UEFI BIOS
Независимые
драйверы
контроль
стартовых
процедур
зона работы
типичных
антивирусных
программ
21
Компания Kraftway является полноправным членом международной некоммерческой
организацию UEFI Forum, разрабатывающую стандарты для интерфейса между
операционной системой и микропрограммами, которые управляют низкоуровневыми
функциями компьютерного оборудования.
Логическая схема UEFI BIOS
Kraftway входит в две рабочие группы: Platform Initialization и UEFI Specification.
Интерес Kraftway к деятельности организации связан с активной деятельностью компании
по разработке
контроль
собственных материнских плат и собственных версий BIOS с интегрированным средствами
контроля и
стартовых
Независимые
защиты информации, что позволяет обеспечить высокий уровень информационной
защищённости
процедур
драйверы
продукции Kraftway и создать у заказчиков доверенную информационную инфраструктуру.
Kraftway заинтересован в соответствии своих разработок современным международным отраслевым
зона работы
стандартам. Благодаря тесной интеграции программного комплекса «Электронный замок» типичных
с BIOS
антивирусных
материнской платы обеспечивается максимальная безопасность и совместимость со всеми используемыми
программ
аппаратными средствами. Материнские платы Kraftway широко используются компанией для производства
серийной компьютерной техники, в том числе защищенных терминальных станций и ПК.
22
ПОЛОЖИТЕЛЬНЫЕ ОТЗЫВЫ
МИС, реализованные
на оборудовании
компании Kraftway получают положительную
оценку сотрудников ЛПУ.
Высокий уровень качества оборудования и
оперативность обслуживания является
причиной выбора интеграторов.
23
МИНЗРАВ. МОДЕРНИЗАЦИЯ. ОПЫТ и ПРИЗНАНИЕ.
Созданное в компании универсальное масштабируемое инфраструктурное решение предназначено для
комплексной автоматизации ЛПУ и служит инфраструктурной подосновой для различных медицинских
информационных систем, хранения медицинских данных, визуализации результатов функциональных
исследований, внедрения электронного документооборота.
Использование решения Kraftway позволяет быстро автоматизировать
рабочие места медработников.
Обкатка и оптимизация разработанного комплекса проходят на
опытных площадках в крупнейших учреждениях здравоохранения
совместно
с
ведущими
разработчиками
медицинских
информационных систем (МИС).
В настоящее время в Министерстве здравоохранения и социального
развития завершается процедура регистрации комплекса Kraftway как
изделия медицинского назначения.
Программно-аппаратный комплекс получил
высокую
оценку
специалистов
на
состоявшейся в Москве специализированной
выставке «Medsoft-2011».
Заместитель министра здравоохранения РФ
В.И. Скворцова вручила Kraftway почетный диплом
24
ЛАБОРАТОРИЯ СПЕЦИАЛЬНЫХ РАБОТ
ШИРОКИЙ СПЕКТР УСЛУГ ПО ЗАЩИТЕ ИНФОРМАЦИИ
Основные задачи:
Проведение специальных проверок – комплекса инженернотехнических мероприятий, направленных на выявление
электронных закладочных устройств;
Проведение специальных исследований – выявление
возможных каналов утечки защищаемой информации;
Аттестация рабочих мест и помещений, где используется
информация, составляющая государственную тайну
Объем инвестиций – свыше 1 млн. дол.
Штат лаборатории – 46 чел.
Все необходимые лицензии
Статус органа по сертификации в системе СКЗИ и СЗИГТ по линии ФСБ РФ.
Интеграция в производственный процесс:
Проверки выполняются до постановки изделия на конвейер
Оперативность выполнения работ
25
БЛАГОДАРИМ
ОТВЕТЫ НА ВОПРОСЫ
26