Апмдз центурион руководство администратора

Группа исполнения аппаратуры (по ГОСТ РВ 20.39.304-98) 1.1 УХЛ 1.1 УХЛ 1.3 УХЛ (рабочая температура от -30 до +55 ͦС) 1.3 УХЛ (рабочая температура от -30 до +55 ͦС) 1.1 УХЛ 1.1 УХЛ 1.3 УХЛ (рабочая температура от -30 до +55 ͦС) 1.3 УХЛ (рабочая температура от -30 до +55 ͦС) 1.3 УХЛ (рабочая температура от -30 до +55 ͦС) 1.1 УХЛ 1.3 УХЛ (рабочая температура от -30 до +55 ͦС)

Применение Настольные ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PCI и возможность установки считывателя Touch Memory на корпусе Настольные ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PCI и не имеющие возможности установки считывателя Touch Memory на корпусе Индустриальные и носимые ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PCI, эксплуатирующиеся в климатических условиях, соответствующих группе 1.3 УХЛ, и имеющие возможность установки считывателя Touch Memory на корпусе Индустриальные и носимые ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PCI, эксплуатирующиеся в климатических условиях, соответствующих группе 1.3 УХЛ, и не имеющие возможности для установки считывателя Touch Memory на корпусе Настольные ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PCIe и возможность установки считывателя Touch Memory на корпусе Настольные ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PCIe и не имеющие возможности для установки считывателя Touch Memory на корпусе Индустриальные, мобильные, а также носимые ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PMC, эксплуатирующиеся в климатических условиях, соответствующих группе 1.3 УХЛ, и имеющие возможность установки считывателя Touch Memory на корпусе Индустриальные, мобильные, а также носимые ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PMC, эксплуатирующиеся в климатических условиях, соответствующих группе 1.3 УХЛ, и не имеющие возможности установки считывателя Touch Memory на корпусе Индустриальные и мобильные ПЭВМ и серверы архитектуры Intel, имеющие слот расширения mini PCI тип III, эксплуатирующиеся в климатических условиях, соответствующих группе 1.3 УХЛ Индустриальные и мобильные ПЭВМ и серверы архитектуры Intel, имеющие слот расширения mini PCIe (Full Size) Индустриальные и мобильные ПЭВМ и серверы архитектуры Intel, имеющие слот расширения mini PCIe (Full Size), эксплуатирующиеся в климатических условиях, соответствующих группе 1.3 УХЛ

Обновлено: 18.05.2023

• идентификацию и аутентификацию пользователей до начала загрузки ОС;
• предотвращение обхода АПМДЗ и загрузки ПЭВМ с любых внешних носителей, кроме штатного носителя;
• регистрацию попыток несанкционированного доступа в журнале событий;
• контроль целостности конфигурации ПЭВМ, ядра и загрузочных модулей ОС, программного обеспечения и данных с поддержкой файловых систем FAT, NTFS, EXT2, EXT3, а также реестра Windows;
• передачу информации о пользователе, прошедшем аутентификацию, в СЗИ поддерживаемой ОС;
• возможность настройки параметров политики безопасности.

В состав АПМДЗ входят следующие компоненты:

• плата АПМДЗ;
• устройство для подключения к плате АПМДЗ аутентифицирующих носителей пользователя (АНП) одного из двух типов (зависит от изделия);
• комплект аутентифицирующих носителей пользователя;
• управляющий кабель RST (зависит от изделия);
• технологическое ПО (загрузочный компакт-диск) для тестирования и подготовки АПМДЗ к инициализации.
• эксплуатационная документация на компакт-диске.

При старте рабочей станции АПМДЗ производит идентификацию и аутентификацию пользователя, обеспечивает блокировку загрузки нештатной копии операционной системы или программ с любых носителей информации, кроме штатного носителя, контроль целостности конфигурации компьютера, программной среды и критических областей. В случае успешной аутентификации и контроля целостности, становится возможной загрузка операционной системы.

В качестве аутентифицирующего носителя пользователя (АНП) используется устройство сенсорной памяти Touch Memory или Электронный ключ пользователя (ЭКП), в зависимости от варианта исполнения изделия. ЭКП – миниатюрный электронный модуль, содержащий память и контроллер, подключаемый через штатный порт USB. АПМДЗ поддерживает до 32-х пользователей и 2 АНП администратора.

АПМДЗ выполняет контроль целостности в соответствии с ГОСТ 28147‑89.

АПМДЗ имеет в своем составе аппаратный датчик случайных чисел (ДСЧ), который используется для генерации кодов доступа, паролей пользователей и другой служебной информации. Кроме того, он доступен для СЗИ поддерживаемой ОС.

В АПМДЗ реализованы аппаратные защищенные часы реального времени, в соответствии с которыми синхронизируются процедуры смены кодов доступа и паролей, а также контролируется несанкционированное изменение часов реального времени ПЭВМ.

Любые попытки несанкционированного доступа до загрузки ОС фиксируются в специальном журнале, который доступен только администратору АПМДЗ. Емкость журнала — 256 событий.

Администратор АПМДЗ может локально управлять пользователями (регистрация и изменение атрибутов), а также выполнять настройку общих параметров работы АПМДЗ. Кроме этого, администратору доступен набор сервисных функций, упрощающих процедуры инициализации и администрирования большого количества ПЭВМ, оснащенных АПМДЗ.

АПМДЗ предназначен для эксплуатации в составе ПЭВМ в соответствии требованиями, предъявляемыми к соответствующему климатическому исполнению, в режиме круглосуточной или сменной работы с возможностью многократного включения и отключения электропитания в течение суток.

Применяется в IBM-совместимых ПЭВМ архитектуры Intel на базе процессора Pentium IV (или выше) или совместимым с ним (группа исполнения 1.1). Системная плата ПЭВМ должна иметь свободный слот расширения стандарта PCI Express. Устройство для подключения аутентифицирующих носителей пользователя (АНП) подсоединяется непосредственно к плате АПМДЗ и выводится на переднюю панель ПЭВМ. Подключение АНП возможно и через USB интерфейс. Блокировка ПЭВМ осуществляется посредством управления сигналом RESET материнской платы.

Применяется в Мобильных ПЭВМ и серверах архитектуры Intel на базе процессора Intel Pentium IV (или выше), выполненная в конструктиве Евромеханика согласно группам исполнения 1.3 УХЛ и имеющая свободный слот расширения стандарта PCI (Rev 2.1, форм-фактор PMC 1.0). Данные ПЭВМ предназначены для установки и работы во временных сооружениях или в кунгах. Диапазон рабочих температур: от -40 до +55°С. Для подключения АНП возможно использовать встроенный интерфейс, а также интерфейс USB.

Центурион является лучшим отечественным модулем доверенной загрузки, предназначенным для работы с государственной и коммерческой тайной из представленных на рынке, потребителями этой техники являются государственные ведомства, госкорпорации, стратегические компании, частный бизнес.

Инновационные решения в области лицензированной разработки, производства и внедрения цифровых информационных систем ЦНИИ ЭИСУ

Семейство СУБД: Заря, Рассвет, Аврора
Рабочее окружение: гарантированный обмен данными, резервное копирование, IP видеосвязь, селекторные видео-совещания, удаленные рабочие столы, оптическое распознавание текста

Средства платформы позволяют создать защищенную, масштабируемую, высокопроизводительную среду для функционирования различных отечественных и зарубежных приложений.

ИТ-фабрика – это территориально-распределенный стенд с настроенным комплексом современных программ-инструментов, реализующих индустриальный подход к производству современного высокотехнологичного ПО.

Организация распределенной разработки не потребует от исполнителя закупки серверного оборудования, специализированного программного обеспечения. Сборка, отладка, тестирование автоматизированы, осуществляются в режиме онлайн с возможностью мнгновенного просмотра результатов.

Программные решения, предназначенные для эффективного управления стратегически важными для организации ресурсами и бизнес-процессами.

Мы создаем и адаптируем наши решения для Министерства обороны, федеральных органов исполнительной власти, государственных компаний/корпораций.

Программный комплекс реализует уникальную технологию DDM ( Distriduted data management — распределённое управление данными).

Данная технология предназначена для создания, обеспечения функционирования и развития АСУ с единой распределенной базой данных (ЕРБД) в сетецентрическом пространстве.

Благодаря технологии DDM интеграция данных разнородных автоматизированных систем управления осуществляется на основе семантических технологий.

«Паутина» – защита от вирусных атак в сетях TCP/IP.

Мобильные удостоверяющие центры – обеспечивают построения системы удостоверяющих центров подтверждения подлинности электронных документов в стационарных и полевых условиях на основе отечественных криптографических алгоритмов.

Система позволяет организовывать хранение геоданных в едином многопользовательском банке данных, с применением технологии многоуровневого доступа к пространственным объектам и информации, в том числе составляющую гостайну, имеющую различные уровни секретности.

Сертификация средств защиты информации

Институт имеет право на выполнение комплексных исследований функциональных свойств следующей продукции на соответствие следующим требованиям информационной безопасности:

1. Требования по защищённости от несанкционированного доступа (НСД) к информации;
2. На отсутствие не декларированных возможностей (НДВ);
3. На соответствие документации (ТУ) и стандартам предприятия;
4. На соответствие криптографическим и инженерно-криптографическим требованиям.

Телекоммуникационные услуги

Институт оказывает высококвалифицированные услуги в области разработки и создания защищенных телекоммуникационных систем.

Услуги в сфере экономики

Институт занимается исследованиями проблем развития оборонно-промышленного комплекса, разработкой и сопровождением инвестиционных проектов, экспертными исследованиями в области ценообразования продукции военного назначения.

Услуги в сфере IT

ЦНИИ ЭИСУ — поддерживает стратегию импортозамещения и работает в направлении повышения качества и конкурентоспособности отечественных программных продуктов. Компания разрабатывает собственные технологические платформы для быстрого создания готовых решений без привлечения сторонних специалистов.

Услуги в сфере безопасности

Институт занимается лицензированной Федеральной Службой Безопасности (ФСБ России) и Федеральной службой по техническому и экспортному контролю (ФСТЭК России) деятельностью по предоставлению профессиональных высококвалифицированных услуг в области информационной безопасности и государственной тайны.

Контакты

• идентификацию и аутентификацию пользователей до начала загрузки ОС;
• предотвращение обхода АПМДЗ и загрузки ПЭВМ с любых внешних носителей, кроме штатного носителя;
• регистрацию попыток несанкционированного доступа в журнале событий;
• контроль целостности конфигурации ПЭВМ, ядра и загрузочных модулей ОС, программного обеспечения и данных с поддержкой файловых систем FAT, NTFS, EXT2, EXT3, а также реестра Windows;
• передачу информации о пользователе, прошедшем аутентификацию, в СЗИ поддерживаемой ОС;
• возможность настройки параметров политики безопасности.

В состав АПМДЗ входят следующие компоненты:

• плата АПМДЗ;
• устройство для подключения к плате АПМДЗ аутентифицирующих носителей пользователя (АНП) одного из двух типов (зависит от изделия);
• комплект аутентифицирующих носителей пользователя;
• управляющий кабель RST (зависит от изделия);
• технологическое ПО (загрузочный компакт-диск) для тестирования и подготовки АПМДЗ к инициализации.
• эксплуатационная документация на компакт-диске.

При старте рабочей станции АПМДЗ производит идентификацию и аутентификацию пользователя, обеспечивает блокировку загрузки нештатной копии операционной системы или программ с любых носителей информации, кроме штатного носителя, контроль целостности конфигурации компьютера, программной среды и критических областей. В случае успешной аутентификации и контроля целостности, становится возможной загрузка операционной системы.

В качестве аутентифицирующего носителя пользователя (АНП) используется устройство сенсорной памяти Touch Memory или Электронный ключ пользователя (ЭКП), в зависимости от варианта исполнения изделия. ЭКП – миниатюрный электронный модуль, содержащий память и контроллер, подключаемый через штатный порт USB. АПМДЗ поддерживает до 32-х пользователей и 2 АНП администратора.

АПМДЗ выполняет контроль целостности в соответствии с ГОСТ 28147‑89.

АПМДЗ имеет в своем составе аппаратный датчик случайных чисел (ДСЧ), который используется для генерации кодов доступа, паролей пользователей и другой служебной информации. Кроме того, он доступен для СЗИ поддерживаемой ОС.

В АПМДЗ реализованы аппаратные защищенные часы реального времени, в соответствии с которыми синхронизируются процедуры смены кодов доступа и паролей, а также контролируется несанкционированное изменение часов реального времени ПЭВМ.

Любые попытки несанкционированного доступа до загрузки ОС фиксируются в специальном журнале, который доступен только администратору АПМДЗ. Емкость журнала — 256 событий.

Администратор АПМДЗ может локально управлять пользователями (регистрация и изменение атрибутов), а также выполнять настройку общих параметров работы АПМДЗ. Кроме этого, администратору доступен набор сервисных функций, упрощающих процедуры инициализации и администрирования большого количества ПЭВМ, оснащенных АПМДЗ.

АПМДЗ предназначен для эксплуатации в составе ПЭВМ в соответствии требованиями, предъявляемыми к соответствующему климатическому исполнению, в режиме круглосуточной или сменной работы с возможностью многократного включения и отключения электропитания в течение суток.

Применяется в IBM-совместимых ПЭВМ архитектуры Intel на базе процессора Pentium IV (или выше) или совместимым с ним (группа исполнения 1.1). Системная плата ПЭВМ должна иметь свободный слот расширения стандарта PCI Express. Устройство для подключения аутентифицирующих носителей пользователя (АНП) подсоединяется непосредственно к плате АПМДЗ и выводится на переднюю панель ПЭВМ. Подключение АНП возможно и через USB интерфейс. Блокировка ПЭВМ осуществляется посредством управления сигналом RESET материнской платы.

Применяется в Мобильных ПЭВМ и серверах архитектуры Intel на базе процессора Intel Pentium IV (или выше), выполненная в конструктиве Евромеханика согласно группам исполнения 1.3 УХЛ и имеющая свободный слот расширения стандарта PCI (Rev 2.1, форм-фактор PMC 1.0). Данные ПЭВМ предназначены для установки и работы во временных сооружениях или в кунгах. Диапазон рабочих температур: от -40 до +55°С. Для подключения АНП возможно использовать встроенный интерфейс, а также интерфейс USB.

Центурион является лучшим отечественным модулем доверенной загрузки, предназначенным для работы с государственной и коммерческой тайной из представленных на рынке, потребителями этой техники являются государственные ведомства, госкорпорации, стратегические компании, частный бизнес.

АПМДЗ КРИПТОН-ЗАМОК

КРИПТОН-ЗАМОК/mini

Модификация изделия для шины Mini PCI-E.

• требования к АПМДЗ — 3Б по ФСБ РФ
• сертификат ФСБ РФ
• интерфейс PCI Express Mini Card

АПМДЗ-И/Э

• требования к АПМДЗ — 1Б по ФСБ РФ
• сертификат ФСБ РФ
• специальный интерфейс связи с мат. платой

КРИПТОН-ЗАМОК И/М3 (М-526И3/М-526И4)

Устройство на базе передовых технологий, обеспечивающее функциональные свойства защиты от несанкционированного доступа к современной вычислительной технике.

• требования к АПМДЗ — 1А и 1Б по ФСБ РФ
• положительное заключение ФСБ РФ
• интерфейс спецразъем PCI Express M2

КРИПТОН-ЗАМОК/УМ2 (М-526Е3/М-526Е4)

Новое устройство на базе передовых технологий, обеспечивающее функциональные свойства защиты от несанкционированного доступа к современной вычислительной технике.

• требования к АПМДЗ — 1А/1Б по ФСБ РФ
• сертификат ФСБ РФ
• интерфейс PCI Express x1

КРИПТОН-ЗАМОК/E (М-526Е1)

АПМДЗ «КРИПТОН-ЗАМОК/E» — модификация изделия для шины PCI Express. В ней реализован ряд новых возможностей, включая удаленное управление.

• требования к АПМДЗ — 1Б по ФСБ РФ
• сертификат ФСБ РФ
• интерфейс PCI Express x1

АПМДЗ КРИПТОН-ЗАМОК/К (М-526А)

Многоконтурная модель, предназначенная для создания нескольких контуров безопасности.

• требования к АПМДЗ — 1Б по ФСБ РФ
• сертификат ФСБ РФ
• интерфейс PCI 2.1, 2.2

КРИПТОН-ЗАМОК/У (М-526Б)

АПМДЗ «КРИПТОН-ЗАМОК/У» (М-526Б в составеСРД «КРИПТОН-ЩИТ») — предназначен для работы с модулями криптографической защиты информации.

• идентификацию и аутентификацию пользователей до начала загрузки ОС;
• предотвращение обхода АПМДЗ и загрузки ПЭВМ с любых внешних носителей, кроме штатного носителя;
• регистрацию попыток несанкционированного доступа в журнале событий;
• контроль целостности конфигурации ПЭВМ, ядра и загрузочных модулей ОС, программного обеспечения и данных с поддержкой файловых систем FAT, NTFS, EXT2, EXT3, а также реестра Windows;
• передачу информации о пользователе, прошедшем аутентификацию, в СЗИ поддерживаемой ОС;
• возможность настройки параметров политики безопасности.

В состав АПМДЗ входят следующие компоненты:

• плата АПМДЗ;
• устройство для подключения к плате АПМДЗ аутентифицирующих носителей пользователя (АНП) одного из двух типов (зависит от изделия);
• комплект аутентифицирующих носителей пользователя;
• управляющий кабель RST (зависит от изделия);
• технологическое ПО (загрузочный компакт-диск) для тестирования и подготовки АПМДЗ к инициализации.
• эксплуатационная документация на компакт-диске.

При старте рабочей станции АПМДЗ производит идентификацию и аутентификацию пользователя, обеспечивает блокировку загрузки нештатной копии операционной системы или программ с любых носителей информации, кроме штатного носителя, контроль целостности конфигурации компьютера, программной среды и критических областей. В случае успешной аутентификации и контроля целостности, становится возможной загрузка операционной системы.

В качестве аутентифицирующего носителя пользователя (АНП) используется устройство сенсорной памяти Touch Memory или Электронный ключ пользователя (ЭКП), в зависимости от варианта исполнения изделия. ЭКП – миниатюрный электронный модуль, содержащий память и контроллер, подключаемый через штатный порт USB. АПМДЗ поддерживает до 32-х пользователей и 2 АНП администратора.

АПМДЗ выполняет контроль целостности в соответствии с ГОСТ 28147‑89.

АПМДЗ имеет в своем составе аппаратный датчик случайных чисел (ДСЧ), который используется для генерации кодов доступа, паролей пользователей и другой служебной информации. Кроме того, он доступен для СЗИ поддерживаемой ОС.

В АПМДЗ реализованы аппаратные защищенные часы реального времени, в соответствии с которыми синхронизируются процедуры смены кодов доступа и паролей, а также контролируется несанкционированное изменение часов реального времени ПЭВМ.

Любые попытки несанкционированного доступа до загрузки ОС фиксируются в специальном журнале, который доступен только администратору АПМДЗ. Емкость журнала — 256 событий.

Администратор АПМДЗ может локально управлять пользователями (регистрация и изменение атрибутов), а также выполнять настройку общих параметров работы АПМДЗ. Кроме этого, администратору доступен набор сервисных функций, упрощающих процедуры инициализации и администрирования большого количества ПЭВМ, оснащенных АПМДЗ.

АПМДЗ предназначен для эксплуатации в составе ПЭВМ в соответствии требованиями, предъявляемыми к соответствующему климатическому исполнению, в режиме круглосуточной или сменной работы с возможностью многократного включения и отключения электропитания в течение суток.

Применяется в IBM-совместимых ПЭВМ архитектуры Intel на базе процессора Pentium IV (или выше) или совместимым с ним (группа исполнения 1.1). Системная плата ПЭВМ должна иметь свободный слот расширения стандарта PCI Express. Устройство для подключения аутентифицирующих носителей пользователя (АНП) подсоединяется непосредственно к плате АПМДЗ и выводится на переднюю панель ПЭВМ. Подключение АНП возможно и через USB интерфейс. Блокировка ПЭВМ осуществляется посредством управления сигналом RESET материнской платы.

Применяется в Мобильных ПЭВМ и серверах архитектуры Intel на базе процессора Intel Pentium IV (или выше), выполненная в конструктиве Евромеханика согласно группам исполнения 1.3 УХЛ и имеющая свободный слот расширения стандарта PCI (Rev 2.1, форм-фактор PMC 1.0). Данные ПЭВМ предназначены для установки и работы во временных сооружениях или в кунгах. Диапазон рабочих температур: от -40 до +55°С. Для подключения АНП возможно использовать встроенный интерфейс, а также интерфейс USB.

Центурион является лучшим отечественным модулем доверенной загрузки, предназначенным для работы с государственной и коммерческой тайной из представленных на рынке, потребителями этой техники являются государственные ведомства, госкорпорации, стратегические компании, частный бизнес.

Есть проблема — полковник потерял логин и пароль на вход в МСВС. Я единственный из части, кто хоть как-то разбирается в IT. Необходимо либо сбросить пароль либо зайти без него. В сам компьютер вставлять ничего нельзя, он опечатан. Версия ядра — 2.4.32. Обещали за это 3 увала — очень хотелось бы с девушкой встретиться:) Помогите кто-нибудь! Пытался загрузить через boot single, но тоже требует пароль.

Пароль на grub (или что там есть) установлен?

Если систему не дураки настраивали/устанавливали, то никак.

В сам компьютер вставлять ничего нельзя, он опечатан.

А если по сети попробовать загрузить?

> А если по сети попробовать загрузить?

О! И на bios тоже. Пароль установлен?

>Пытался загрузить через boot single, но тоже требует пароль.

single да, требует. А вот init=/bin/bash нет. Надеюсь, в МСВС его не переименовывали

попробуй дать GRUB параметр init=/bin/sh

пароль на BIOS проще подобрать, чем на систему

Кстати, там, ЕМНИП, selinux включен, после таких фокусов может потребоваться relabel. Тут не подскажу — не знаю

Спасибо, сейчас попробую

Может я что не так делаю, просто нуб к сожалению. При загрузке жму Tab, вылезает консоль. Там сверху написано так

Если набрать МСВС то грузится обычная система и спрашивает пароль. Если набрать MСВС -init=/bin/bash, то сразу просит пароль, то же самое и с single и с /bin/sh. Может я что-то делаю не так? Или ещё есть какие методы? Чувствую не видать мне увалов. Всем спасибо, кто пытался помочь.

просто init=/bin/sh, без ‘-‘

>> MСВС -init=/bin/bash

init без ‘-‘. Похоже Lilo с установленным паролем, который запрашивается при любых дополнительных параметрах загрузки. Если нет физического доступа к носителям, то остаётся только перебор.

> MСВС -init=/bin/bash
init=/bin/bash
и всё не катит?

Однофигственно, тот же результат, система хочет пароль(

> Однофигственно, тот же результат, система хочет пароль(

А ты можешь сказать, система это или загрузчик? Если загрузчик, то без втыкания чего-нибудь в комп обойтись нельзя.

без МСВС что говорит?

Доступ к настройкам BIOS есть? Возможность загрузки по сети? Сетевуха интегрированная или дискретная?

Если возможности загрузки по сети нет, то я спокоен за российскую армию.

init=/bin/bash — команда просто не выполняется. Подбор нереален — пароль 10-12 символов в разных регистрах. В общем всё ясно, надо узнать, может, разрешат вскрыть комп.

Доступа к BIOS нет, по сети нельзя загрузиться, т.к. комп к ней нельзя подключать. Он подключен только непосредственно к комплексу радиоперехвата и выдачи целеуказания через сетевуху встроенную, Вытащить и вставить кабель из сетевухи или из комплекса нельзя, там хитрая конструкция. Это что-то типо пульта управления, называется пост начальника смены. Узнал только что, вскрывать нельзя. В руководстве пользователя в таких случаях написано вызвать специалиста ВНИИС, видимо так и поступят.

к комплексу радиоперехвата и выдачи целеуказания

Очень хорошо, я таки спокоен за российские вооружённые силы

> я таки спокоен за российские вооружённые силы

> В руководстве пользователя в таких случаях написано вызвать специалиста ВНИИС, видимо так и поступят.

Не забудьте потребовать с этого человека передачку за неявную рекламу ВНИИС!

Читайте также:

  

• Приора пахнет маслом в салоне

  

• Шерхан 5 турботаймер включить

  

• 24453627 доработка для крышки ford

  

• Обучение дроссельной заслонки тойота

  

• Проблемы мерседес r класс

Средства (модули) доверенной загрузки (СДЗ, МДЗ) предназначены для защиты данных от угроз несанкционированного доступа (НСД) и защиты от вирусных атак на базовую систему ввода-вывода (BIOS). Рост российского рынка в области СДЗ и МДЗ обусловлен не только необходимостью защиты от несанкционированного доступа к информации, но и необходимостью выполнения требований регуляторов и нормативно-правовых актов в области защиты информации. В обзоре расскажем про функциональность СДЗ и МДЗ, проанализируем рынок представленных решений, а также детально разберем наиболее интересные из них.

1. Введение
2. Рынок средств доверенной загрузки в России
3. Функции средств доверенной загрузки
4. Особенности средств доверенной загрузки
5. Обзор средств и модулей доверенной загрузки
1. 5.1. Аладдин Р.Д.
1. 5.1.1. Aladdin TSM (Trusted Security Module)
2. 5.2. АльтЭль
1. 5.2.1. ALTELL TRUST
3. 5.3. Анкад
1. 5.3.1. АПМДЗ «Криптон-замок»
4. 5.4. Газинформсервис
1. 5.4.1. SafeNode System Loader
5. 5.5. ИнфоТеКС
1. 5.5.1. ViPNet SafeBoot
6. 5.6. Код Безопасности
1. 5.6.1. ПАК «Соболь»
7. 5.7. Конфидент
1. 5.7.1. СДЗ Dallas Lock
8. 5.8. Kraftway
1. 5.8.1. ПК ЭЗ «Витязь»
9. 5.9. НПО «РусБИТех»
1. 5.9.1. АПМДЗ «Максим-М1»
10. 5.10. НПО «Эшелон»
1. 5.10.1. МДЗ-Эшелон
11. 5.11. ОКБ САПР
1. 5.11.1. СЗИ НСД «Аккорд-АМДЗ»
2. 5.11.2. МДЗ «Аккорд-МКТ»
3. 5.11.3. СЗИ НСД «Инаф»
12. 5.12. ЦНИИ ЭИСУ
1. 5.12.1. АПМДЗ «Центурион»
6. Выводы

Введение

Несанкционированный доступ (далее — НСД) к информации является наиболее часто встречающейся и наиболее вероятной угрозой информационной безопасности. НСД ведет к нежелательным последствиям в организации, таким как утечка защищаемой информации (персональные данные, служебная информация, государственная тайна), полное или частичное нарушение работоспособности системы. Все это ведет к снижению репутации компании, финансовым потерям и прекращению бизнес-процессов.

Наиболее часто НСД к информации происходит при использовании вредоносных программ, функционирующих до загрузки операционной системы, на уровне BIOS/UEFI, или при определенных действиях злоумышленника, который может получить доступ к информации, загрузившись с любого внешнего носителя информации.

Для снижения этих рисков применяются средства (модули) доверенной загрузки (далее — СДЗ, МДЗ), которые, во-первых, проводят контроль целостности загружаемых файлов и сверяют их с эталонными значениями, хранимые в недоступной для операционной системы памяти. Во-вторых, обеспечивают идентификацию и аутентификацию пользователей до загрузки операционной системы. В-третьих, осуществляют запрет загрузки нештатных копий операционной системы с недоверенных внешних носителей информации.

СДЗ и МДЗ созданы для усиления встроенных средств защиты операционных систем, а именно для усиления аутентификации и идентификации пользователей, и защиты от НСД к защищаемой информации. Регулятор в лице ФСТЭК России предъявляет жесткие требования для защиты от НСД к информации, среди которых обязательное использование СДЗ и МДЗ. Выполнение требований регуляторов в первую очередь необходимо для тех организаций, которые в своей деятельности сталкиваются с обработкой персональных данных, информации, содержащей сведения, составляющие государственную тайну, а также защиты существующих информационных систем. При невыполнении этих требований регулятор вправе наложить на организацию значительный штраф. А в случае с государственной тайной помимо штрафа возможен и отзыв лицензии на право обработки такой информации, что приведет к остановке деятельности организации.

Далее расскажем о состоянии рынка СДЗ и МДЗ, поговорим об их основных функциях, каким требованиям они должны соответствовать и рассмотрим основные продукты, представленные на рынке.

Рынок средств доверенной загрузки в России

На современном российском рынке информационной безопасности представлено множество СДЗ и МДЗ российского производства. Это связано с тем, что отечественные производители на этапе разработки и производства своих решений руководствуются требованиями регуляторов и стремятся выполнять требования действующего законодательства в области защиты информации. Выполнение этих требований позволяет вендорам сертифицировать во ФСТЭК и ФСБ России свои продукты, что впоследствии дает возможность использовать их в информационных системах для обработки информации различных категорий конфиденциальности. Необходимость использования сертифицированных ФСТЭК решений МДЗ и СДЗ и является главной причиной их востребованности на российском рынке. Что же касается СДЗ и МДЗ зарубежного производства, то их на российском рынке практически нет, а те единичные экземпляры которые встречаются, имеет смысл использовать только на персональных компьютерах. Это связано с тем, что в решениях СДЗ и МДЗ зарубежных производителей не реализованы необходимые требования российского законодательства в области информационной безопасности, поэтому в рамках данной статьи мы их рассматривать не будем.

С 1 января 2014 года ФСТЭК России установил требования, предъявляемые к средствам доверенной загрузки (приказ ФСТЭК России от 27.09.2013 года
№ 119), однако этот приказ имеет ограничительную пометку «для служебного пользования», что означает отсутствие его в свободном доступе. Поэтому приходится довольствоваться информационным сообщением ФСТЭК России от 06.02.2014 г. № 240/24/405 «Об утверждении Требований к средствам доверенной загрузки», в котором регулятор выделяет следующие типы СДЗ:

• средства доверенной загрузки уровня базовой системы ввода-вывода;
• средства доверенной загрузки уровня платы расширения;
• средства доверенной загрузки уровня загрузочной записи.

Для каждого типа СДЗ определено 6 классов защиты (класс 1 — самый высокий, класс 6 — самый низкий). Чем выше класс, тем больше требований к нему предъявляется, и его использование возможно в системах более высокого класса.

ФСТЭК России ввел такое понятие, как профили защиты СДЗ, которые соответствуют конкретному типу и классу защиты СДЗ. Профиль защиты — это набор обязательных требований, выполнение которых необходимо для сертификации продукта. В таблице 1 приведена спецификация профилей защиты.

Таблица 1. Спецификация профилей защиты СДЗ

Решения СДЗ и МДЗ представлены в программном и программно-аппаратном исполнении. Основное отличие — это использование платы расширения в программно-аппаратных комплексах.

Так как рынок СДЗ и МДЗ возник под влиянием требований регуляторов, то принципиальной характеристикой продукта является не только наличие минимально обязательного набора функциональных возможностей, но и соответствие типу доверенной загрузки и классу защиты, а следовательно и выполнение требований, указанных в соответствующих профилях защиты СДЗ, утвержденных ФСТЭК России.

В настоящее время среди основных игроков рынка сертифицированных СДЗ и МДЗ можно выделить:

• Aladdin TSM (компания «Аладдин Р.Д.»);
• АПМДЗ «Криптон-замок» (компания «АНКАД»);
• ALTELL TRUST (компания «АльтЭль»);
• SafeNode System Loader (компания «Газинформсервис», пришел на смену «Блокхост-МДЗ»);
• ViPNet SafeBoot (компания «ИнфоТеКС»);
• СЗД Dallas Lock (компания «Конфидент»);
• СЗИ НСД «Аккорд-АМДЗ», МДЗ «Аккорд-МКТ» и СЗИ НСД «Инаф» (ОКБ САПР);
• ПАК «Соболь» (компания «Код Безопасности»);
• АПМДЗ «Максим-М1» (НПО «РусБИТех»);
• АПМДЗ «Центурион» (ЦНИИ ЭИСУ);
• МДЗ-Эшелон (НПО «Эшелон»);
• ПК ЭЗ «Витязь» (компания «Крафтвей»).

Что же касается прогноза на будущее российского рынка в области СДЗ и МДЗ, то можно предположить, что он продолжит планомерно расти. В первую очередь рынок будет подогревать необходимость выполнения постоянно увеличивающихся требований регуляторов в области защиты информации. В качестве примера можно привести принятые требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 г. № 17 (с учетом изменений, внесенных приказом ФСТЭК России от 15.02.2017 г. № 27). Этот приказ вводит меру защиты УПД.17, в соответствии с которой использование доверенной загрузки в средствах вычислительной техники входит в базовый набор мер защиты для ГИС 1 и 2 классов защищенности.

Функции средств доверенной загрузки

В своих руководящих документах ФСТЭК России строго определяет минимально необходимую функциональность для СДЗ и МДЗ.

Итак, к основным функциям СДЗ и МДЗ относятся:

• Идентификация и аутентификация пользователя на этапе начальной загрузки до передачи управления операционной системе.

Пользователю помимо уникального логина и пароля выдается персональный идентификатор. Злоумышленник, даже зная логин и пароль пользователя, не сможет загрузить систему без физического доступа к персональному идентификатору.

• Контроль целостности базовой системы ввода-вывода, загрузочных областей жесткого диска, операционной системы и файлов.

Загрузка системы прекратится, если хотя бы у одного параметра или файла не совпадет значение контрольной суммы с эталонным значением, хранящимся в защищенной области системы доверенной загрузки.

• Осуществление загрузки операционной системы только с разрешенных носителей информации.

Злоумышленник, имея физический доступ к системе, но не зная учетных данных пользователя, может попытаться загрузить систему с внешнего носителя информации и вследствие чего получить полный доступ к хранимым данным. Но механизм сторожевого таймера, реализованный в средствах и модулях доверенной загрузки, перехватывает управление на себя, блокирует BIOS системы и не дает возможность злоумышленнику изменить его параметры для осуществления дальнейшей загрузки системы с внешнего носителя информации. Если же по каким‑либо причинам сторожевой таймер не перехватил управление и не передал его модулю или средству доверенной загрузки, то срабатывает система защиты и система либо перезагружается или полностью выключается. Таким образом, загрузить операционную систему в обход модуля или средства доверенной загрузки становится невозможно.

• Запись в журнал всех действий пользователей в системе.

Журналирование действий пользователей в системе позволяет администратору информационной безопасности оперативно реагировать на различные системные события и облегчает расследование инцидентов информационной безопасности.

Перечисленные функции являются базовыми для средств доверенной загрузки, но, как правило, в существующих решениях функциональность намного шире. Средства доверенной загрузки являются хорошим подспорьем для сотрудников службы безопасности как при расследовании инцидентов, так и при оперативном определении скомпрометированного рабочего места.

Особенности средств доверенной загрузки

Для наглядности в этом разделе попытаемся проанализировать основные характеристики рассмотренных СЗД и МДЗ в табличной форме. К основным параметрам сравнения отнесем: вид СДЗ по типу изготовления, тип СДЗ по классификации ФСТЭК России, поддерживаемые интерфейсы платы расширения СДЗ, наличие сертификатов, поддержка UEFI, используемый пользовательский интерфейс, необходимость установки агента в систему, поддерживаемые идентификаторы, прочие особенности.

Таблица 2. Особенности представленных в России средств доверенной загрузки СДЗ и МДЗ

Обзор средств и модулей доверенной загрузки

 

Аладдин Р.Д.

Aladdin TSM (Trusted Security Module)

«Аладдин Р.Д.» — отечественный разработчик продуктов информационной безопасности, является крупным поставщиком средств аутентификации. Компания основана в 1995 году. Основной вектор развития направлен на создание средств двухфакторной аутентификации пользователей, средств защиты баз данных и персональных данных, шифрование дисков, папок и съемных носителей с системой централизованного управления.

Встраиваемый модуль безопасности Aladdin TSM применяется для так называемой «стерилизации» ARM-процессоров серии i.MX6 компании NXP/Freesale.

Данный модуль аппаратно разделяет ARM-процессор на две изолированные друг от друга области — Secure World и Normal World. Позволяет запущенным в них приложениям работать независимо друг от друга на одном ядре процессора и набора периферии. Модуль заменяет загрузчик операционной системы на свой собственный доверенный загрузчик Secure OS, находящийся в Secure World. Это позволяет обеспечить контроль над коммуникациями и процессами, а также контроль загрузки и взаимодействия с любой гостевой системой. Встраивание модуля происходит либо на этапе производства системы, либо в лабораторных условиях.

Рисунок 1. Интерфейс Aladdin TSM. Режим администрирования

 

Рисунок 2. Интерфейс Aladdin TSM. Пользовательский режим

 

В состав Aladdin TSM входит:

• модуль доверенной загрузки, реализующий функции электронного замка. Удовлетворяет требованиям регулятора к средствам доверенной загрузки уровня BIOS второго класса защиты (до государственной тайны со степенью секретности «Совершенно секретно»);
• криптографический модуль, реализующий набор российских криптоалгоритмов и протоколов, используется как доверенное приложение (трастлет) в изолированной доверенной среде TrustZone с аппаратным доверенным хранилищем ключей;
• модуль доверенного ввода и вывода, позволяет цветами (зеленый/красный) отображать режим (безопасный/опасный) ввода и вывода информации;
• модуль централизованного управления, позволяющий при помощи системы JaCarta Management System (JMS) дистанционно управлять ключами и сертификатами, загрузкой доверенных приложений, безопасно обновлять прошивку железа, просматривать журналы аудита.

Модуль безопасности разделяет пользователей на пользователей системы безопасности и администратора системы безопасности. После встраивания Aladdin TSM доступ к настройкам возможен только администратору системы безопасности.

Основные возможности:

• аутентификация пользователей до загрузки операционной системы с использованием только пароля или пароля и USB-токена JaCarta;
• защита данных от несанкционированного доступа, утечек, искажения и перехвата;
• доверенная загрузка операционной системы Linux и операционных систем на основе Linux, Android и Sailfish;
• возможность встраивания в существующие разработки;
• проверка целостности объектов операционной системы перед ее загрузкой;
• регистрация событий безопасности системы в соответствующих журналах;
• механизм удаленного управления;
• возможность локального и удаленного обновления модуля.

В первую очередь этот продукт предназначен для разработчиков и производителей электронной техники и системных интеграторов.

Эта технология дает возможность использовать современное и эффективное оборудование там, где необходимо обеспечить высокий уровень безопасности, например в КИИ, АСУ ТП, в навигационном и коммуникационном оборудовании.

На момент написания обзора продукт проходит процедуру сертификации ФСТЭК России.

Подробнее с продуктом можно ознакомиться на сайте разработчика.

 

АльтЭль

ALTELL TRUST

«АльтЭль» — российский разработчик средств защиты информации, ведет свою деятельность 13 лет. Компания входит в рейтинг крупнейших компаний-разработчиков на рынке информационной безопасности.

ALTELL TRUST — программный модуль доверенной загрузки, который встраивается в UEFI BIOS. Может управляться удаленно, поддерживает многофакторную аутентификацию на AD/LDAP-серверах, а также обеспечивает контроль целостности BIOS. Благодаря наличию стека сетевых протоколов существует возможность организации безопасной работы с VDI-инфраструктурами и терминальными сервисами (например, по протоколу RDP/RemoteFX).

Изделие имеет модульную структуру. Модуль доверенной загрузки встраивается в энергонезависимую память материнской платы, заменяя стандартный UEFI BIOS, тем самым обеспечивая доверенную загрузку, аутентификацию пользователей с соблюдением установленной политики безопасности. Модуль удаленного управления разворачивается на сервере управления и позволяет осуществлять централизованное обновление компонентов системы и проводить аудит системы безопасности.

Благодаря гибкой архитектуре ALTELL TRUST существует возможность применения его как в небольших организациях, где не требуется централизованное управление, так и в территориально-распределенных компаниях, использующих системы класса Microsoft System Center Configuration Manager для управления инфраструктурой.

Рисунок 3. Интерфейс режима администрирования ALTELL TRUST

 

Рисунок 4. Удаленное управление с помощью консоли Microsoft System Center Configuration Manager

 

Основные возможности:

• контроль целостности BIOS, аппаратного и программного окружения, объектов файловой системы;
• многофакторная аутентификация пользователей до загрузки операционной системы;
• удаленное управление пользователями, конфигурациями, группами устройств, загрузкой обновлений программного обеспечения, включением/выключением защищаемых устройств;
• использование в качестве единственного программного обеспечения тонкого клиента (zero client);
• встроенный стек сетевых протоколов;
• централизованный сбор событий безопасности;
• доверенная загрузка виртуальных сред.

Доверенная загрузка достигается путем контроля целостности BIOS, объектов файловой системы и программно-аппаратного обеспечения. Контроль доступа пользователей организован по мандатному принципу, который позволяет гибко настраивать роли и отделить функции системного администратора от функций администратора безопасности.

ALTELL TRUST обеспечивает защиту BIOS как от уже существующих вредоносных программ, действующих на уровне firmware (аналогов Rakshasa, Mebromi, Tyupkin, LightEater и другого вредоносного кода, затрагивающего BIOS), так и будущих угроз, в том числе за счет снижения эффективности угроз класса APT.

Использование централизованной аутентификации позволяет освободить администратора безопасности от необходимости заводить одних и тех же пользователей в разных системах, а также оперативно реагировать на изменения в составе пользователей.

Модуль доверенной загрузки ALTELL TRUST соответствует требованиям документов «Требования к средствам доверенной загрузки» (ФСТЭК России, 2013), «Профиль защиты средств доверенной загрузки уровня базовой системы ввода-вывода второго класса защиты ИТ.СДЗ.УБ2.ПЗ»  (ФСТЭК России, 2014).   Также ALTELL TRUST имеет заключение Минобороны РФ о том, что ALTELL TRUST может использоваться для защиты информации, содержащей сведения, составляющие государственную тайну, и имеющей степень секретности не выше «совершенно секретно», при условии выполнения требований, приведённых в эксплуатационной документации, и наличия действующего сертификата соответствия ФСТЭК России.

Подробнее с продуктом можно ознакомиться на сайте разработчика.

 

Анкад

АПМДЗ «Криптон-замок»

Фирма «Анкад» — российская компания, занимающаяся разработкой, производством аппаратных и программных средств криптографической защиты информации, средств электронной цифровой подписи, средств защиты от несанкционированного доступа и разграничения доступа к компьютерным ресурсам, средств построения защищенных сетей передачи данных и обеспечения безопасности беспроводных телекоммуникаций.

АПМДЗ «Криптон-замок» — это аппаратно-программный модуль доверенной загрузки, но его функции этим не ограничиваются. Это целый комплекс средств, который обеспечивает разграничение и контроль доступа пользователей, разграничение доступа к аппаратным средствам и контроль целостности программной среды.

Защита обеспечивается не только на рабочих станциях, но и на серверах, а также и на тонких клиентах. «Криптон-замок» имеет модульную структуру, которая позволяет настраивать его под различные требования.

Удаленное управление в пределах локальной сети позволяет проводить хранение профилей устройств и пользователей, проводить удаленную блокировку, аудит и мониторинг, осуществлять привязку пользователей к устройствам.

Поддерживаются файловые системы: FAT12, FAT16, FAT32, NTFS, EXT2, EXT3.

АПМДЗ «Криптон-замок» совместим с шинными интерфейсами: PCI, PCI-express, Mini PCI-express.

Алгоритм кодирования при аутентификации пользователей реализован в соответствии с требованиями ГОСТ 28147-89.

АПМДЗ «Криптон-замок» представлен в нескольких модификациях:

• АПМДЗ «Криптон-замок/К» (М-526А) — предназначен для создания нескольких контуров защиты;
• АПМДЗ «Криптон-замок/У» (М-526Б) — предназначен для работы с модулями криптографической защиты данных;
• АПМДЗ «Криптон-замок/Е» (М-526Е1) — модификация для шины PCI Express, также существует возможность удаленного управления;
• АПМДЗ «Криптон-замок/mini» — модификация для шины mini PCI Express.

Рисунок 5. Внешний вид платы расширения модификации «Криптон-замок/К»

 

Рисунок 6. Внешний вид платы расширения модификации «Криптон-замок/Е»

 

Рисунок 7. Внешний вид платы расширения модификации «Криптон-замок/mini»

 

Основные возможности:

• идентификация и аутентификация пользователя;
• ведение журналов инцидентов информационной безопасности и журнала действий пользователя. Журналы хранятся в энергонезависимой памяти аппаратной части устройства;
• контроль целостности программной среды;
• блокировка системы при обнаружении НСД;
• разграничение ресурсов системы и загрузка с выбранного устройства для каждого пользователя системы;
• организация бездисковых рабочих мест на базе встроенного флеш-накопителя.

Продукт сертифицирован ФСБ России, что позволяет его использовать для защиты информации, составляющей коммерческую или государственную тайну в автоматизированных системах до класса 1А включительно, в ИСПДн до УЗ1 включительно, в ГИС до 1-го класса защищенности включительно, в АСУ ТП до 1 класса защищенности и в КИИ до 1 категории значимости включительно.

Подробнее с продуктом можно ознакомиться на сайте разработчика.

 

Газинформсервис

SafeNode System Loader

Компания «Газинформсервис» создана в 2004 году и на сегодняшний день является крупным системным интегратором в области информационной безопасности и разработчиком средств защиты информации. Имеет территориальные представительства в крупных городах России и странах СНГ.

SafeNode System Loader является программным средством доверенной загрузки, пришедшим на замену хорошо известному программно-аппаратному комплексу Блокхост-АМДЗ. Его установка происходит в защищенную область материнской платы компьютера.

В СДЗ SafeNode System Loader реализованы следующие функции:

• защита BIOS системы от несанкционированного доступа и модификации;
• идентификация пользователей с помощью уникальных учетных записей и паролей;
• усиленная аутентификация пользователей с использованием персональных идентификаторов и уникальных PIN-кодов до загрузки операционной системы.

Поддерживается работа со следующими идентификаторами: JaCarta PKI, JaCarta ГОСТ (USB-носитель и смарт-карта), JaCarta PKI/ГОСТ, JaCarta-2 ГОСТ (USB-носитель и смарт-карта), Рутокен ЭЦП, Рутокен ЭЦП 2.0 (USB-носитель и смарт-карта), Рутокен Lite, Рутокен 2151, Рутокен ЭЦП PKI (смарт-карта), eToken Pro Java, SafeNet eToken 5100, SafeNet eToken 5105, SafeNet eToken 5200, SafeNet eToken 5205.

• идентификация пользователей и осуществление контроля целостности на уровне BIOS, до загрузки компонентов операционной системы;
• блокировка загрузки нештатных копий операционной системы с различных внешних носителей информации (FDD, CD-ROM, HDD, USB);
• блокировка возможности обхода процесса доверенной загрузки с помощью внешних органов управления;
• блокировка доверенной загрузки операционной системы при нарушении пользователями установленных политик безопасности (нарушения политик контроля целостности, аутентификации);
• обеспечение защищенности паролей пользователей и PIN-кодов при выполнении операций ввода-вывода;
• осуществление контроля целостности: файлов (файловые системы ext2/ext3/ext4, FAT, NTFS), завершенности журналов транзакций файловых систем, объектов реестра для операционных систем семейства Microsoft Windows, параметров среды UEFI, загрузочных секторов устройств хранения данных и аппаратного окружения в процессе доверенной загрузки системы;
• блокировка доверенной загрузки системы при нарушении пользователями установленной политики безопасности;
• доверенная загрузка операционных систем семейства Microsoft Windows версии 7 и выше, а также Microsoft Server 2012 R2 и выше, установленной на совместимое с архитектурой Intel x86-64 устройство;
• доверенная загрузка операционной системы семейств Linux/Unix, поддерживающих стандарт Linux Standard Base (LSB) версии 3.2 и новее, в том числе систем виртуализации VMware ESX, VMware ESXi, установленной на совместимое с архитектурой Intel x86-64 устройство;
• доверенная загрузка операционной системы на компьютере со стандартным Legacy/PnP BIOS (в режиме «Legacy Boot», спецификация PnP BIOS версии 1.0А);
• доверенная загрузка системы на компьютере с интерфейсами EFI/UEFI (спецификация UEFI версии 2.0 и выше);
• поддержка доверенной загрузки операционной системы с MBR и GPT-разделами;
• поддержка работы с загрузчиками GRUB, LILO, NTLDR и пр.;
• надежное восстановление изделия после критических сбоев или после нарушений его целостности, диагностика аппаратных и программных средств изделия;
• контроль исполнения программного кода собственных модулей в однозначно определенном порядке в соответствии с установленными правилами (с помощью механизма динамического контроля);
• поддержка доверенной загрузки в режиме Secure Boot;
• возможность удаленного администрирования и сбора аудита;
• управление параметрами (конфигурацией) СДЗ из целевой операционной системы (Windows 10) с помощью графического интерфейса;
• применение мастер-ключа для управления параметрами учетной записи администратора безопасности;
• хранение информации об удаленных пользователях в течение 3 лет с момента удаления;
• управление параметрами (конфигурацией) СДЗ из среды функционирования изделия с помощью псевдографического интерфейса;
• регистрация событий в журнале событий о действиях пользователей и администратора безопасности;
• проверка цифровой подписи модулей СДЗ при его старте;
• возможность использования универсальных шаблонов для настройки учетных записей пользователей, политик аутентификации пользователей и политик контроля целостности объектов;
• формирование отчета о настройках безопасности на объекте информатизации для создания его паспорта.

Программное средство доверенной загрузки SafeNode System Loader соответствует требованиям руководящих документов «Требования к средствам доверенной загрузки» (ФСТЭК России, 2013) и соответствует профилю защиты средства доверенной загрузки уровня базовой системы ввода-вывода второго класса защиты ИТ.СДЗ.УБ2.ПЗ (ФСТЭК России, 2013).

Получение сертификата соответствия ФСТЭК России планируется в 3-4 квартале 2019 года.

 

ИнфоТеКС

ViPNet SafeBoot

Компания ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») — ведущий российский разработчик и производитель высокотехнологичных программных и программно-аппаратных средств защиты информации. Основана в 1991 году.

ViPNet SafeBoot – сертифицированный высокотехнологичный программный модуль доверенной загрузки (МДЗ), устанавливаемый в UEFI BIOS различных производителей. Предназначен для защиты компьютеров, мобильных устройств, серверов (в том числе и серверов виртуализации) от различных угроз несанкционированного доступа (НСД) на этапе загрузки и от атак на BIOS.

ViPNet SafeBoot позволяет проводить авторизацию пользователей и контроль целостности программной и аппаратной части на уровне BIOS.

Рисунок 8. Внешний вид меню режима администрирования ViPNet SafeBoot

 

Основные возможности:

• строгая двухфакторная аутентификация (поддерживаются идентификаторы: JaCartaPKI, Rutoken ЭЦП, Rutoken ЭЦП 2.0, RutokenLite, GuardantID); интерфейс аутентификации пользователя по электронному идентификатору, по паролю, по паролю и электронному идентификатору, по паролю на электронном идентификаторе, аутентификация пользователя, зарегистрированного на LDAP;
• ролевой доступ (субъекты доступа делятся на администраторов, аудиторов системы и пользователей);
• чтение и запись конфигурации;
• функции записи в журнал событий для всех компонентов системы;
• проверка целостности:
• всех ключевых модулей UEFI BIOS;
• загрузочных секторов жесткого диска;
• таблиц ACPI, SMBIOS, карты распределения памяти;
• файлов на дисках с системами FAT32, NTFS, EXT2, EXT3, EXT4 (для любых операционных систем);
• реестра Windows;
• ресурсов конфигурационного пространства PCI/PCe;
• CMOS (содержимого энергонезависимой памяти);
• завершенности транзакций — NTFS, EXT3, EXT4.
• шаблоны администрирования;
• защита от обхода и самотестирование;
• обновление МДЗ (возможность гарантированного обновления МДЗ);
• запрет загрузки с неучтенных носителей информации.

Среди дополнительных функций стоит выделить возможность настройки шаблонов администрирования, импорт и экспорт конфигурации, самотестирование системы защиты и поддержку обновлений модуля доверенной загрузки.

Установка продукта предполагает обязательную консультацию с представителями компании-разработчика. Подобная консультация поможет выявить потенциальные проблемы, которые могут возникнуть при встраивании в платформы в систему и значительно снизить эти риски.

По требованиям ФСТЭК России, ViPNet SafeBoot является программным средством доверенной загрузки уровня базовой системы ввода-вывода, соответствует требованиям документов «Требования к средствам доверенной загрузки» и «Профиль защиты средства доверенной загрузки уровня базовой системы ввода-вывода второго класса защиты. ИТ.СДЗ.УБ2.ПЗ», что подтверждается выданным сертификатом соответствия.

Подробнее ознакомиться с продуктом ViPNet SafeBoot можно почитав обзор на нашем сайте и на сайте разработчика.

 

Код Безопасности

ПАК «Соболь»

Компания «Код Безопасности» является отечественным разработчиком сертифицированных средств, обеспечивающих безопасность информационных систем, а также их соответствие требованиям международных и отраслевых стандартов.

Электронный замок «Соболь» — сертифицированный программно-аппаратный комплекс (далее — ПАК), применяется для защиты конфиденциальных данных и государственной тайны. ПАК «Соболь» обеспечивает запрет загрузки операционной системы с недоверенных внешних носителей, позволяет проводить идентификацию и аутентификацию пользователей до загрузки операционной системы и блокирует доступ в систему при попытке отключения электронного замка с помощью модуля сторожевого таймера. Также продукт интегрирован со средствами защиты от несанкционированного доступа Secret Net Studio и Secret Net LSP, что обеспечивает комплексную защиту рабочим станциям и серверам.

Производитель постоянно совершенствует ПАК «Соболь» и активно проводит испытания на совместимость с различными производителями материнских плат. Это дает клиенту широкий выбор конфигураций компьютеров, используемых в особо значимых сегментах ИТ-инфраструктуры. На сегодняшний день есть версия электронного замка 4.0 актуальная для среды функционирования UEFI и версия 3.0 — для среды BIOS.

В настоящее время модельный ряд продукта позволяет его использовать с такими интерфейсами, как: PCI, PCI Express, Мin PCI Express, Mini PCI Express Half Size и M.2 (приведены слева направо на рисунке 9).

Рисунок 9. Различные варианты исполнения платы расширения ПАК «Соболь»

 

Основные возможности:

• контроль целостности программной среды;
• контроль целостности реестра Windows;
• контроль целостности аппаратной конфигурации;
• функционирование в среде UEFI/BIOS (в зависимости от версии) поддержка разметки диска GPT/MBR (в зависимости от версии);
• усиленная идентификация и аутентификация пользователей с помощью персональных идентификаторов;
• запрет загрузки со съемных носителей;
• программная инициализация платы расширения без вскрытия системного блока;
• ведение журналов событий, записи которого хранятся в специальной энергонезависимой памяти;
• блокировка доступа к компьютеру с помощью механизма сторожевого таймера, при условии, что после загрузки системы, управление UEFI/BIOS не передано комплексу «Соболь»;
• использование аппаратного датчика случайных чисел;
• контроль работоспособности основных компонентов комплекса, таких как: датчика случайных чисел, энергонезависимой памяти, персональных электронных идентификаторов.

В журналах событий фиксируются следующие события:

• время и дата события;
• попытка ввода неправильного пароля;
• предъявление незарегистрированного персонального идентификатора;
• превышение количества неудачных попыток входа в систему;
• вход в систему зарегистрированного пользователя.

ПАК «Соболь» функционирует с файловыми системами NTFS, FAT16, FAT32, EXT2, EXT3, EXT4. В качестве персональных идентификаторов возможно использовать USB-ключи eToken PRO, eToken PRO (Java), Rutoken, Rutoken RF, Rutoken ЭЦП, Rutoken Lite, JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta SF/ГОСТ, Guardant-ID, смарт-карты eToken PRO, eToken PRO (Java), Rutoken ЭЦП, Rutoken Lite, JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, Персональная электронная карта и iButton DS1992, DS1993, DS1994, DS1995, DS1996 .

ПАК «Соболь» сертифицирован ФСТЭК России, ФСБ России и Минобороны России. Соответствует требованиям руководящих документов к средствам доверенной загрузки уровня платы расширения второго класса и может использоваться в автоматизированных системах до класса защищенности 1Б включительно, в ИСПДн до УЗ1 включительно и в ГИС до 1-го класса защищенности включительно. Соответствует требованиям документов «Требования к средствам доверенной загрузки» (ФСТЭК России, 2013) и «Профиль защиты средства доверенной загрузки уровня платы расширения второго класса защиты. ИТ.СДЗ.ПР2.П3» (ФСТЭК России, 2013).

Подробнее с продуктом можно ознакомиться на сайте разработчика.

 

Конфидент

СДЗ Dallas Lock

«Конфидент» — отечественный разработчик средств защиты информации. Продукты компании применяются для защиты конфиденциальной информации и сведений, составляющих государственную тайну. На рынке уже более 25 лет.

СДЗ Dallas Lock является аппаратно-программным средством, который предоставляет доступ к информационным ресурсам загружаемой штатной операционной системы в случае успешной аутентификации пользователей. Осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности. Изделие производится в 3 различных вариантах: работа по интерфейсу PCIExpress, miniPCIExpress и M.2. Реализована поддержка как BIOS, так и UEFI.

Рисунок 10. Различные варианты исполнения аппаратной части СДЗ Dallas Lock

 

Основные возможности:

• идентификация и аутентификация пользователей.

Двухфакторная аутентификация пользователей реализуется при помощи персональных идентификаторов до загрузки операционной системы. В качестве персональных идентификаторов поддерживаются следующие их виды: USB-ключи и смарт-карты Aladdine TokenPro/Java, Рутокен, eSmart, JaCarta, электронные ключи TouchMemory;

• контроль целостности ресурсов и контроль устройств.

Сравнение контрольных сумм с эталонными значениями аппаратной конфигурации, BIOS/CMOS, реестра, файловой системы и области диска. Поддерживаются файловые системы: FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS3, VMFS5;

• администрирование системы защиты.

Настройка СДЗ в соответствии с необходимыми требованиями, централизованное управление файлами конфигурации и отчетами, а также возможность настройки авторизации под доменными учетными записями Active Directory в СДЗ Dallas Lock;

• регистрация и учет событий.

Журналирование событий нарушения целостности ресурсов системы, событий администрирования, попыток несанкционированного доступа в систему;

• управление доступом.

Механизм, направленный на контроль доступа пользователей в штатную операционную систему и запрет загрузки с недоверенных носителей информации;

• самодиагностика системы защиты.

Самодиагностика предназначена для выявления критических сбоев. Проводится каждый раз при первоначальной загрузке, и при наличии ошибок загрузка системы прекращается;

• программный сторожевой таймер.

Реализован беспроводной (программный) сторожевой таймер, который необходим в случае невозможности подключения аппаратного сторожевого таймера к разъему Reset или Power компьютера.

СДЗ Dallas Lock сертифицировано ФСТЭК России и Минобороны России. Соответствует требованиям документов «Требования к средствам доверенной загрузки» (ФСТЭК России, 2013), «Профиль защиты средства доверенной загрузки уровня платы расширения второго класса защиты. ИТ.СДЗ.ПР2.П3» (ФСТЭК России, 2013) и может использоваться в автоматизированных системах до класса защищенности 1Б включительно, в ИСПДн до УЗ1 включительно, в ГИС до 1-го класса защищенности включительно, в АСУ ТП до 1 класса защищенности, в КИИ до 1 категории значимости включительно и для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно.

Подробнее ознакомиться с продуктом можно почитав обзор на нашем сайте и на сайте разработчика.

 

Kraftway

ПК ЭЗ «Витязь»

ЗАО «Крафтвейкорпорейшн ПЛС» — российская компания, работающая с 1993 года, занимается разработкой и производством доверенных платформ с интегрированными средствами защиты информации.

Программное средство доверенной загрузки Электронный замок «Витязь» (ПК ЭЗ «Витязь») соответствует 2 классу защиты уровня базовой системы ввода-вывода средств доверенной загрузки. На борту имеет встроенное средство антивирусной защиты. Предназначен для использования в автоматизированных системах обработки информации, содержащей сведения, составляющие государственную тайну, и в ИСПДн всех уровней защищенности.

Рисунок 11. Основное загрузочное меню ПК ЭЗ «Витязь»

 

Электронный замок «Витязь» противостоит следующим угрозам:

• нарушение целостности программного обеспечения СДЗ и программной среды средства вычислительной техники и (или) состава компонентов аппаратного обеспечения средств вычислительной техники в информационной системе;
• несанкционированный доступ к информации за счет загрузки нештатной операционной системы и обхода правил разграничения доступа;
• отключение и (или) обход нарушителями компонентов СДЗ;
• несанкционированное изменение конфигурации (параметров) СДЗ.

В электронном замке «Витязь» помимо базовых функций (контроль целостности программного обеспечения и среды функционирования, блокирование загрузки с посторонних носителей информации и контроль доступа пользователей) реализован механизм самотестирования средства доверенной загрузки, блокирование загрузки, при превышении числа неудачных попыток входа в систему или попытки загрузки нештатной операционной системы, регистрация действий пользователя и событий безопасности. И самое интересное решение, реализованное в этом продукте, — это встроенное антивирусное средство, которое позволяет обнаружить вредоносный код до передачи управления операционной системе.

ЭЗ «Витязь» поставляется исключительно в предустановленном виде. Интеграция производится в UEFI BIOS на этапе производства.

Для обеспечения двухфакторной аутентификации используются USB-ключи (Рутокен S, Рутокен ЭЦП, eToken PRO, eToken ГОСТ) и смарт-карты (Микрон, eToken PRO, eToken ГОСТ).

Субъекты доступа делятся на пользователей и администратора безопасности, а администратор безопасности подразделяется на 4 типа:

• администратор с разрешением доступа к настройкам UEFI, настройкам электронного замка и загрузки системы;
• администраторс разрешением доступа к настройкам UEFI и загрузки системы;
• администратор с разрешением доступа к настройкам электронного замка и загрузки системы;
• администратор с разрешением только загрузки системы, например, в случае нештатных ситуаций.

Продукт сертифицирован ФСТЭК России и является средством доверенной загрузки уровня базовой системы ввода-вывода второго класса защиты ИТ.СДЗ.УБ2.ПЗ.

Подробнее с продуктом можно ознакомиться на сайте разработчика.

 

НПО «РусБИТех»

АПМДЗ «Максим-М1»

«РусБИТех» — научно-производственное объединение, разработчик средств защиты информации и телекоммуникационных средств. Приоритетным направлением является выполнение государственных заказов в интересах федеральных органов исполнительной власти.

Программно-аппаратный комплекс СДЗ «Максим-М1» предназначен для использования в системах, обрабатывающих конфиденциальные данные и сведения, составляющие государственную тайну.

СДЗ «Максим-М1» разработан для защиты от несанкционированного доступа автономных рабочих мест пользователей, рабочих станций и серверов, входящих в единую сеть.

«Максим-М1» — комплекс, способный выполнять множество функций по защите информации от несанкционированного доступа, в процессе работы он обеспечивает: двухфакторную идентификацию и аутентификацию пользователей, контроль целостности аппаратных и программных средств защищаемой системы, аудит событий безопасности и доступа к ресурсам.

Рисунок 12. Плата расширения СДЗ «Максим-М1»

 

Основные возможности:

• двухфакторная аутентификация пользователей до передачи управления операционной системе;
• журналы регистрации событий аутентификации пользователей, хранятся в нестираемой энергонезависимой памяти;
• контроль целостности областей оперативной памяти, загрузочных областей жестких дисков, областей журнала файловой системы, файлов и реестра системы;
• контроль сроков действия ключей и служебной информации пользователей;
• возможность создания бездисковых станций;
• самотестирование функций.

В СДЗ «Максим-М1» реализован механизм защиты от подбора пользовательского пароля, который формируется с помощью датчика случайных чисел. Срок действия ключей и паролей пользователей ограничен и контролируется комплексом при помощи часов реального времени с автономным питанием.

Самотестирование СДЗ «Максим-М1» проводится с периодичностью 1 раз в сутки, при обнаружении ошибок комплекс блокирует дальнейшую работу системы.

Комплекс возможно применять на бездисковой рабочей станции, для работы с защищаемой информацией, на удаленном сервере.

Продукт соответствует требованиям к аппаратным модулям доверенной загрузки ЭВМ по классу 1Б и требованиям к средствам доверенной загрузки уровня платы расширения второго класса защиты ИТ.СДЗ.ПР2.ПЗ, что подтверждается выданными сертификатами ФСБ России и ФСТЭК России.

Важно отметить, что производство СДЗ «Максим-М1» с конца 2018 года прекращено. На сегодняшний момент происходит реализация складских остатков. Но, по заявлению разработчика продукта, техническое обслуживание и поддержка уже проданных экземпляров будет осуществляться вплоть до истечения сроков действия сертификатов соответствия, выданных регуляторами.

Подробнее с СДЗ «Максим-М1» можно ознакомиться на сайте разработчика.

 

НПО «Эшелон»

МДЗ-Эшелон

АО «НПО «Эшелон» — компания, специализирующаяся на комплексном обеспечении информационной безопасности. Основными направлениями деятельности компании, помимо проектирования, производства, внедрения и сопровождения систем обеспечения информационной безопасности, является и проведение аттестационных испытаний автоматизированных систем организаций, а также испытания, экспертизы и исследования в области безопасности информации.

Разработчик программного модуля «МДЗ-Эшелон» отмечает, что данный продукт является первым программным средством подобного класса. Модуль обеспечивает доверенную загрузку операционной системы, проведение контроля целостности ресурсов системы и выполнение идентификации и аутентификации пользователей.

«МДЗ-Эшелон» встраивается в UEFI либо BIOS (в зависимости от используемого железа) и не использует какие-либо аппаратные средства, эффективно используется для защиты виртуальных сред VMWare, Bochs, VirtualPC, KVM.

Программное исполнение «МДЗ-Эшелон» позволяет его использовать в устройствах таких классов как ноутбуки, тонкие клиенты и моноблоки, но не исключает его использование на стандартных серверных системах и на рабочих станциях пользователей.

«МДЗ-Эшелон» поддерживает архитектуру «Эльбрус» (SPARC), что позволяет использовать его в специфичных системах.

Рисунок 13. Окно авторизации пользователей в «МДЗ-Эшелон»

 

Основные возможности:

• авторизация пользователей системы до передачи управления операционной системе;
• загрузка операционной системы с доверенных носителей информации;
• ведение журнала событий информационной безопасности;
• контроль целостности информационных ресурсов.

В «МДЗ-Эшелон» характерно выделены несколько модулей:

• модуль встроенный в BIOS, либо UEFI;
• модуль, установленный на жестком диске;
• flash-накопитель администратора.

«МДЗ-Эшелон» возможно использовать для защиты ИСПДн до 1 уровня защищенности и для защиты ГИС и АС ТП до 1 класса защищенности включительно. На момент написания обзора у продукта отсутствует действующий сертификат соответствия ФСТЭК России.

Подробнее с продуктом можно ознакомиться на сайте разработчика.

 

ОКБ САПР

СЗИ НСД «Аккорд-АМДЗ»

ЗАО «ОКБ САПР»— российская организация по разработке различных средств защиты информации с тридцатилетним стажем.

Аппаратный модуль доверенной загрузки «Аккорд-АМДЗ» является модулем доверенной загрузки для рабочих станций и серверов локальной сети с аппаратным модулем (плата расширения, устанавливаемая в материнскую плату). По терминологии ФСТЭК России, «Аккорд-АМДЗ» является средством доверенной загрузки уровня платы расширения.

«Аккорд-АМДЗ» представляет собой программно-аппаратный комплекс доверенной загрузки для IBM-совместимых компьютеров — серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.

Рисунок 14. Плата расширения «Аккорд-АМДЗ» (вариант исполнения «Аккорд-GXM.2»)

 

Основные возможности:

• идентификация и аутентификация пользователей;
• осуществление загрузки системы только с указанного носителя информации;
• контроль целостности аппаратной части и программной среды включая ветви реестра операционной системы;
• разграничение доступа пользователей по времени;
• регистрация событий информационной безопасности в энергонезависимой памяти;
• разграничение доступа к съемным накопителям информации.

Комплекс начинает свою работу до загрузки операционной системы и поддерживает наиболее распространенные файловые системы: FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, Ext4, ReiserFS, FreeBSD UFS/UFS2, Solaris UFS, QNX4, MINIX.

Доверенная загрузка обеспечивается загрузкой операционной системы только с указанных носителей информации с проверкой целостности программных и технических компонентов системы, а также с проведением идентификации и аутентификации пользователя.

«Аккорд-АМДЗ» совместим с различными шинными интерфейсами, такими как: PCI или PCI–X, PCI-express, Mini PCI-express, Mini PCI-express halfcard, M.2.

В качестве персонального идентификатора могут использоваться ТМ-идентификаторы, USB-токены, USB-ключи, смарт-карты.

«Аккорд-АМДЗ» соответствует требованиям документов «Требования к средствам доверенной загрузки» (ФСТЭК России, 2013) и «Профиль защиты средства доверенной загрузки уровня платы расширения второго класса защиты. ИТ.СДЗ.ПР2.П3» (ФСТЭК России, 2013) и соответствует требованиям к аппаратным модулям доверенной загрузки ЭВМ по классу 3Б (ФСБ России).

Подробнее ознакомиться с продуктом «Аккорд-АМДЗ» можно почитав обзор на нашем сайте, а также на сайте разработчика.

МДЗ «Аккорд-МКТ»

«Аккорд-МКТ» — средство доверенной загрузки уровня базовой системы ввода-вывода (BIOS). Является программным продуктом, который прошивается в базовую систему ввода-вывода микрокомпьютеров.

Прошивка выполняется на этапе изготовления микрокомпьютеров, таким образом «Аккорд-МКТ» приобретается только в составе готового изделия.

Рисунок 15. Пример графического интерфейса «Аккорд-МКТ»

 

Основные возможности:

• идентификация и аутентификация пользователя;
• проверка целостности программных компонентов;
• регистрация и учет событий информационной безопасности, а также учет действий пользователя.

К дополнительным функциям можно отнести ограничение времени на вход в систему пользователям. Интерфейс и логика работы аналогична другим продуктам линейки «Аккорд».

«Аккорд-МКТ» соответствует требованиям документов «Требования к средствам доверенной загрузки» (ФСТЭК России, 2013) и «Профиль защиты средства доверенной загрузки уровня базовой системы ввода-вывода четвертого класса защиты. ИТ.СДЗ. УБ4.ПЗ» (ФСТЭК России, 2013)

Подробнее с продуктом можно ознакомиться на нашем сайте и на сайте разработчика.

СЗИ НСД «Инаф»

СДЗ «Инаф» программно-аппаратный модуль средства доверенной загрузки, реализованный на USB-шине. По классификации ФСТЭК России, относится к средствам доверенной загрузки уровня платы расширения.

Так как СДЗ «Инаф» реализован в USB-форм-факторе, то нет необходимости искать свободный разъем на материнской плате, нужен лишь один свободный USB-слот.

В зависимости от технических особенностей рабочего места контроллер СДЗ «Инаф», помимо подключения к внешнему USB-порту (мобильная установка), может подключаться непосредственно и к материнской плате (стационарная установка).

Рисунок 16. Внешний вид СДЗ «Инаф» для стационарной установки (слева) и для мобильной установки (справа)

 

Основные возможности:

• возможность доверенной загрузки операционной системы, а также системного и прикладного программного обеспечения при одновременной установке на дисках или в логических разделах диска нескольких операционных систем;
• аппаратный контроль целостности технических, программных средств, условно-постоянной информации до загрузки операционной системы, с пошаговым контролем;
• автоматическое ведение протокола регистрируемых событий в энергонезависимой памяти аппаратной части комплекса;
• администрирование программного обеспечения комплекса (генерация пароля администратора, создание списка файлов для контроля целостности, работа с журналом регистрации системных событий, контроль аппаратной части) и разделение прав администратора безопасности и пользователя системы.

Стационарная установка СДЗ «Инаф» прежде всего нужна тем, кому ежедневно необходимо проводить контроль целостности загружаемых данных и проводить их непрерывный контроль. Мобильный тип установки используется, когда нет необходимости ежедневного контроля данных, а нужно лишь выявить сам факт нарушения целостности данных. В этом случае «Инаф» периодически подключается к рабочему месту с целью подтверждения неизменности данных.

Для корректной работы «Инаф» необходимо установить в BIOS системы загрузку с контролера «Инаф» как с жесткого диска системы.

Во время загрузки системы СДЗ «Инаф» перехватывает управление на себя и начинает проводить процедуры по проверке целостности аппаратной и программной части. После успешной проверки происходит идентификация пользователя и загрузка операционной системы.

Продукт имеет действующий сертификат ФСТЭК России и соответствует требованиям по безопасности информации, установленным в документах «Требования к средствам доверенной загрузки» (ФСТЭК России, 2013) и «Профиль защиты средства доверенной загрузки уровня платы расширения четвертого класса защиты. ИТ.СДЗ.ПР4.П3» (ФСТЭК России, 2013).

Подробнее ознакомиться с продуктом «Инаф» можно в обзоре на нашем сайте и на сайте разработчика.

 

ЦНИИ ЭИСУ

АПМДЗ «Центурион»

История Центрального научно-исследовательского института экономики, информатики и систем управления (ЦНИИ ЭИСУ) берет свое начало с 1969 года. Главной задачей Института является организация и выполнение ключевых работ по проблемам совершенствования, модернизации, развития технической основы управления и связи.

Аппаратно-программный модуль доверенной загрузки «Центурион» обеспечивает доверенную загрузку в системах, предназначенных для обработки сведений, составляющих государственную тайну.

В семейство программно-аппаратных комплексов доверенной загрузки «Центурион» входят:

• модификация «Центурион-Е». Применяется на рабочих станциях архитектуры Intel, взаимодействие с платой расширения осуществляется по интерфейсу PCIExpress;
• модификация «Центурион-Н». Применяется на ноутбуках. Плата расширения подключается по интерфейсу miniPCIExpress;
• модификация «Центурион-М». Модификация применима в мобильных рабочих станциях и серверах, которые устанавливаются во временных сооружениях и т. п. Поддерживается архитектура Intel, аппаратная часть подключается по интерфейсу PCI;
• модификация «Центурион». Применяется на средствах вычислительной техники архитектуры Intel, взаимодействие с платой расширения осуществляется по интерфейсу PCI.

Рисунок 17. Платы расширения семейства ПАК «Центурион» (слева направо) модификация «Центурион», модификация «Центурион-Е», модификация «Центурион-Н», модификация «Центурион-М»

 

Основные возможности:

• предотвращение обхода модуля доверенной загрузки и загрузки с любых внешних носителей, кроме штатного носителя;
• регистрация попыток несанкционированного доступа в журнале событий;
• идентификация и аутентификация пользователей до начала загрузки операционной системы;
• настройка параметров политики безопасности;
• контроль целостности аппаратной конфигурации, ядра и загрузочных модулей системы, программного обеспечения и данных с поддержкой файловых систем FAT, NTFS, EXT2, EXT3 и реестра системы.

Комплекс позволяет регистрировать на одном рабочем месте не более 32 пользователей и 2 администраторов безопасности. В качестве персональных идентификаторов используются ключи Touch Memory.

Датчик случайных чисел позволяет использовать его для генерации кодов доступа, паролей пользователей и другой служебной информации, а аппаратные защищенные часы реального времени позволяют синхронизировать и своевременно проводить смену этих кодов и паролей.

Отличительной особенностью комплекса «Центурион» является применение его в системах, отвечающих требованиям, предъявляемых к соответствующему климатическому исполнению, в режиме круглосуточной работы с отсутствием стабильного электропитания.

Изделие «Центурион» сертифицировано ФСБ России и соответствует требованиям к средствам доверенной загрузки по классу 1Б и может использоваться для защиты информации, содержащий сведения, составляющие государственную тайну.

Подробнее с программно-аппаратным модулем доверенной загрузки «Центурион» и с его модификациями можно ознакомиться на сайте разработчика.

Выводы

Мы рассмотрели основные продукты, обеспечивающие доверенную загрузку, представленные на российском рынке, и рассказали про их функциональность. СДЗ и МДЗ, представленные на рынке, успешно решают поставленные перед ними задачи. Наиболее востребованы на сегодняшний день программно-аппаратные средства. Это можно связать с требованиями регуляторов, которые строго указывают использовать только программно-аппаратные решения для защиты информации в определенных системах, как например в ГИС 1 класса. Также стоит отметить, что СДЗ уровня платы расширения могут функционировать как с BIOS, так и UEFI, в то время как СДЗ уровня базовой системы ввода-вывода, как правило, функционируют только с UEFI определенной редакции.

Но если есть выбор в применении различных типов СДЗ и МДЗ, то может возникнуть ситуация, что использование аппаратной части, а именно платы расширения — будет невозможно, так как может отсутствовать необходимый или свободный интерфейс, а на некоторых системах это может быть и вовсе неосуществимо. Исходя из этого можно утверждать, что у программно-аппаратных и программных средств всегда будет своя ниша на рынке.

Движущей силой развития российского рынка СДЗ и МДЗ является необходимость выполнения постоянно растущих требований законодательства и нормативно-правовых актов в области защиты информации.

Для комплексной защиты системы от НСД использование только модуля или средства доверенной загрузки, как правило, недостаточно, поэтому в большинстве случаев применяется системный подход, т. е. совместное использование различных типов продуктов для защиты информации.

В дальнейшем для более детального анализа представленных решений СДЗ и МДЗ, мы проведем более глубокое сравнение рассматриваемых продуктов и попытаемся разобраться во всех особенностях.

Статус внесения в реестр Минпромторга:
«»

Приложение № 1
ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ

1. Общие требования
   1. Оборудование должно поставляться в комплекте с эксплуатационно-технической документацией в соответствии с ГОСТ РВ 0002-601-2008 (формуляры установленного в ВС РФ образца, технические описания, руководство по эксплуатации, руководство пользователю программным обеспечением на русском языке).
   2. Конструкция оборудования должна обеспечивать ремонт и обслуживание в течение всего жизненного цикла.
   3. Излучение от технических средств не должно превышать санитарные нормы, установленные действующими техническими регламентами и стандартами (если таковые установлены).
   4. Оборудование должно сохранять полную работоспособность в следующих климатических условиях:

• температура окружающей среды от +10С до +35С;
• относительная влажность воздуха до 80% при температуре +25С без конденсации влаги;
• атмосферное давление от 84 до 107 кПа (от 630 до 800 мм рт. ст.);
• концентрация пыли в воздухе до 10 мг/м3.

1. Оборудование должно сохранять свою работоспособность после транспортировки при воздействии температур в диапазоне -50С до +50С и перевозки в транспортной упаковке автомобильным, железнодорожным и авиационным видами транспорта.
2. Оборудование должно быть рассчитано на непрерывную 24-часовую работу.
3. Срок службы оборудования при круглосуточной работе – не менее 5 лет.
4. Оборудование поставляется в собранном виде, готовое к эксплуатации, с установленными комплектующими и кабелями, оттестированными и промаркированными соединениями.
1. Требования к сертификации и СП/СИ
   1. Средства вычислительной техники (СВТ) должны соответствовать требованиям Руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992 г.) — по 3 классу защищённости информации от несанкционированного доступа.
      1. Соответствие требований по п.2.1 должно быть подтверждено сертификатом 8 УГШ МО РФ.
      2. Для выполнения требований по п.2.1 должны применяться следующие средства:

• операционная система (ОС) МСВС 3.0 ФЛИР.80001-12;
• аппаратно-программный модуль доверенной загрузки (АПМДЗ) «Центурион-Е» ИТБВ.468266.002 или «Центурион» ИТБВ.468266.001;
• комплекс средств защиты информации от ЕМАИ.461277.008;
• антивирус Dr.Web 5.0 для ОС МСВС 3.0.

1. Поставляемое программное обеспечение, предназначено для обработки информации, содержащей сведения, составляющие Государственную тайну, и должно соответствовать требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.) — по 2 уровню контроля.
2. Для тех поставляемых СВТ, для которых в Таблице № 1 указано «СП», должны быть проведены установленным порядком специальные проверки на наличие возможно внедренных электронных устройств перехвата (уничтожения) информации.
3. Для тех поставляемых СВТ, для которых в Таблице № 1 указано «СИ», должны быть проведены установленным порядком стендовые специальные исследования по выявлению возможных каналов утечки информации в организациях, имеющих соответствующие лицензии, выданные уполномоченными органами.
4. Заключения по результатам проведения специальных проверок и предписания на эксплуатацию по результатам проведения специальных исследований должны быть оформлены для каждого автоматизированного рабочего места и каждого сервера в виде отдельного документа (документов).

Таблица №1

№ п/п	Наименование оборудования	Требование проведения СП и СИ
1	Автоматизированное рабочее место администратора обеспечения безопасности информации	СП и СИ
2	Автоматизированное рабочее место ЛВС открытого сегмента с МФУ	СП
3	Автоматизированное рабочее место ЛВС закрытого сегмента с МФУ	СП и СИ
4	Автоматизированное рабочее место ЛВС закрытого сегмента	СП и СИ
5	Сервер общего назначения ОС	СП
6	Сервер общего назначения закрытого сегмента	СП и СИ

1. Технические требования к оборудованию
   1. Требования к Автоматизированному рабочему месту администратора обеспечения безопасности информации закрытого сегмента (далее АРМ ОБИ) с многофункциональным устройством печати (МФУ)
      1. В комплект поставки АРМ ОБИ должны входить:

• системный блок АРМ ОБИ;
• аппаратно-программный модуль доверенной загрузки (АПМДЗ);
• клавиатура;
• манипулятор;
• видеомонитор;
• источник бесперебойного питания;
• сетевой фильтр;
• flash-носитель;
• комплект программного обеспечения;
• многофункциональное устройство печати;
• дополнительные соединительные кабеля.

1. АРМ ОБИ комплектуется:

• операционной системой МСВС 3.0;
• комплектом программного обеспечения «Офис» ФЛИР.80003-05 с модулем распознавания текста.

1. Программное обеспечение, входящее в комплект АРМ ОБИ, должно поставляться в комплекте с заводской эксплуатационно-технической документацией (формуляры установленного в ВС РФ образца, технические описания, руководства по эксплуатации, руководство пользователя программного обеспечения на русском языке).
2. Оригинальные копии программного обеспечения в составе комплекта АРМ ОБИ должны поставляться на компакт-дисках.
3. Программное обеспечение, входящее в комплект АРМ ОБИ, поставляется предустановленным и настроенным. Параметры настройки предустановленного программного обеспечения согласовываются с Заказчиком до начала поставки.
4. Аппаратное обеспечение комплекта АРМ ОБИ должно быть совместимо и в полном объеме поддерживать работу входящего в комплект программного обеспечения.
5. АПМДЗ в составе комплекта АРМ ОБИ должен:

• обеспечивать доверенную загрузку операционной системы АРМ ОБИ;
• поставляться предустановленным в системный блок АРМ ОБИ. Применение АПМДЗ в составе АРМ ОБИ должно соответствовать утвержденной производителем АПМДЗ схеме. Схема установки АПМДЗ должна исключать возможность несанкционированного вмешательства в систему доверенной загрузки;
• поставляться перенастроенным. Параметры настройки согласовываются с Заказчиком до начала поставки;
• считыватель ключа АПМДЗ должен быть выведен на переднюю панель корпуса системного блога АРМ ОБИ;
• поставляться с не менее чем 3-мя ключами в комплекте;
• поставляться с полным набором документации завода-производителя.

1. Корпус в составе системный блока АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:

• тип корпуса — MidiTower (ATX форм-фактор);
• цвет исполнения корпуса – черный (или чёрный цвет должен преобладать);
• корпус должен иметь не менее 4-х полимерных ножек (для предотвращения порчи мебели при эксплуатации);
• корпус должен иметь функционирующие индикаторы наличия питания и активности жесткого диска на передней панели;
• корпус должен иметь кнопку аппаратного сброса на передней панели;
• корпус должен иметь индикаторы состояния и активности сетевых интерфейсов на задней панели;
• корпус должен иметь как минимум один функционирующий интерфейс USB на передней панели;
• на корпусе не должно быть боковых окон и прорезей, кроме окна вентиляции процессора (для исключения вмешательства в систему доверенной загрузки);
• окно вентиляции процессора должно быть защищено кожухом изнутри системного блока (для исключения вмешательства в систему доверенной загрузки);
• корпус должен быть оборудован съемным конструктивным модулем, предусматривающим снятие и установку НЖМД без вскрытия системного блока;
• для корпуса системного блока должны быть проведены процедуры по опечатыванию съёмных панелей корпуса для предотвращения их бесконтрольного вскрытия.

1. Блок питания в составе системный блока АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:

• один блок питания мощностью не менее 400 Вт с активной системой охлаждения;
• блок питания должен обеспечивать питание системного блока от однофазной сети переменного тока частотой 50 Гц (+/- 1 Гц), напряжением 220 В (+10%; -15%);
• вентилятор охлаждения блока питания должен быть расположен в горизонтальной плоскости и иметь диаметр вентилятора охлаждения не менее 100 мм.

1. Системный блок АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:

• быть оборудованным процессором с тактовой частотой не менее 3.1 ГГц, количество ядер – не менее 2-х, с кэш-памятью 2-го уровня объемом не менее 1024 Кбайт;
• иметь активную систему охлаждения процессора с управлением в зависимости от загруженности;
• иметь объём оперативной памяти не менее 4096 Мбайт;
• иметь предустановленный в съемный модуль НЖМД емкостью не менее 500 Гбайт;
• иметь в своем составе дискретную видеокарту с интерфейсами DVI и D-SUB (VGA) с поддержкой одновременной работы двух мониторов в предустановленной операционной системе;
• иметь в своем составе звуковой адаптер;
• иметь в своем составе интегрированный в материнскую плату сетевой интерфейс 100/1000 Base-T;
• иметь в своем составе дискретную плату сетевого адаптера с интерфейсом 100 Base-FX (согласно требованиям стандарта IEEE 802.3u) с разъемом SC;
• иметь в своем составе встроенный привод для чтения и записи CD/DVD дисков;
• иметь в своем составе не менее четырех функционирующих USB интерфейсов версии не ниже 2.0;
• иметь в своем составе интерфейс порта RS-232 (9-контактный разъем типа DB-9M).

1. Клавиатура в составе комплекта АРМ ОБИ конструктивно должна соответствовать следующим техническим требованиям:

• стандартная компьютерная клавиатура типа PC/AT с русской (раскладкой типа «ЙЦУКЕН») и английской ( «QWERTY») раскладками;
• наличие цифрового блока;
• стандарт 104 клавиши;
• интерфейс подключения к системному блоку ЭВМ – USB;
• цвет исполнения корпуса клавиатуры – черный (или чёрный цвет должен преобладать);
• цвет нанесения символьных обозначения на кнопках клавиатуры должен быть различным для символов русского и латинского алфавита.

1. Манипулятор в составе комплекта АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:

• манипулятор типа «мышь»;
• по типу корпуса — полноразмерный;
• исполнение манипулятора универсальное для правши и левши;
• тип — оптический лазерный;
• 3-х кнопочный;
• с колесом прокрутки;
• интерфейс подключения — USB;
• цвет исполнения корпуса манипулятора – черный (или чёрный цвет должен преобладать);
• наличие подложки в комплекте.

1. Каждый из видеомониторов в составе комплекта АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:

• тип — цветной LCD–монитор;
• диагональ не менее 19 дюймов;
• иметь интерфейс подключения DVI;
• иметь интерфейс подключения D-SUB;
• иметь разрешение по горизонтали не менее 1280 пикселей;
• иметь встроенную акустическую систему;
• иметь в комплекте поставки необходимые кабели для соединения с системным блоком.

1. Источник бесперебойного питания в составе комплекта АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:

• по типу организации защиты: резервный (offline);
• мощность не менее 500 ВА;
• источник бесперебойного питания обеспечивается комплектом кабелей, необходимых для включения его к электросети, а так же для подключения всех потребителей электропитания из состава комплекта АРМ ОБИ.

1. Сетевой фильтр в составе комплекта АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:

• сетевой фильтр с наличием не менее трех розеток стандарта CEE 7/4.

1. Flash- носитель в составе комплекта АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:

• объём накопителя не менее 32 Гбайт;
• интерфейс USB версии не ниже 2.0;
• средняя скорость чтения данных не ниже 30 Мбайт/с;
• пылезащищённый корпус.

1. МФУ в составе комплекта АРМ ОБИ конструктивно должно соответствовать следующим техническим требованиям:

• функциональность – копирование, сканирование, сетевая печать;
• тип печати – монохромный, лазерный/светодиодный;
• скорость печати – не менее 24 страниц формата А4 в минуту;
• разрешение печати – не менее 600х600 точек на дюйм;
• основной лоток бумаги – не менее 250 листов A4, обходной лоток: 1 лист;
• интерфейсы сопряжения – USB 2.0, Fast Ethernet (IEEE 802.3u);
• в составе поставки МФУ должен быть предусмотрен кабель USB типа A-B.

1. Дополнительно в комплект АРМ ОБИ включаются:

• кабель для подключения звукового адаптера из состава системного блока к акустической системе монитора;
• кабель соединительный оптический дуплексный с разъёмами ST-SC — длина 3 метра.

1. Общие требования к Автоматизированному рабочему месту локальной вычислительной сети открытого сегмента (далее АРМ ОС) с многофункциональным устройством печати (МФУ).
   1. В комплект поставки АРМ ОС должны входить:

• системный блок АРМ ОС;
• аппаратно-программный модуль доверенной загрузки (АПМДЗ);
• клавиатура;
• манипулятор;
• видеомонитор;
• источник бесперебойного питания;
• сетевой фильтр;
• flash-носитель;
• комплект программного обеспечения;
• многофункциональное устройство печати;
• дополнительные соединительные кабеля.

1. АРМ ОС комплектуется:

• операционной системой МСВС 3.0;
• комплектом программного обеспечения «Офис 1.0» ФЛИР.80003-01 с модулем распознавания текста.

1. Программное обеспечение, входящее в комплект АРМ ОС, должно поставляться в комплекте с заводской эксплуатационно-технической документацией (формуляры установленного в ВС РФ образца, технические описания, руководства по эксплуатации, руководство пользователя программного обеспечения на русском языке).
2. Оригинальные копии программного обеспечения, входящего в комплект АРМ ОС, должны поставляться на компакт-дисках;
3. Программное обеспечение, входящее в комплект АРМ ОС, поставляется предустановленным и настроенным. Параметры настройки предустановленного программного обеспечения согласовываются с Заказчиком до начала поставки.
4. Аппаратное обеспечение АРМ ОС должно быть совместимо и в полном объеме поддерживать работу входящего в комплект программного обеспечения.
5. АПМДЗ в составе комплекта АРМ ОС должен:

• обеспечивать доверенную загрузку операционной системы АРМ ОС;
• поставляться предустановленным в системный блок АРМ ОС. Применение АПМДЗ в составе АРМ ОС должно соответствовать утвержденной производителем АПМДЗ схеме. Схема установки АПМДЗ должна исключать возможность несанкционированного вмешательства в систему доверенной загрузки;
• считыватель ключа АПМДЗ должен быть выведен на переднюю панель корпуса системного блога АРМ ОС;
• поставляться с не менее чем 3-мя ключами в комплекте;
• поставляться с полным набором документации завода-производителя;
• поставляться преднастроенным. Параметры настройки согласовываются с Заказчиком до начала поставки.

1. Корпус в составе системный блока АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:

• тип корпуса — MidiTower (ATX форм-фактор);
• цвет исполнения корпуса – черный (или чёрный цвет должен преобладать);
• корпус должен иметь не менее 4-х полимерных ножек (для предотвращения порчи мебели при эксплуатации);
• корпус должен иметь функционирующие индикаторы наличия питания и активности жесткого диска на передней панели;
• корпус должен иметь кнопку аппаратного сброса на передней панели;
• корпус должен иметь индикаторы состояния и активности сетевых интерфейсов на задней панели;
• корпус должен иметь как минимум один функционирующий интерфейс USB на передней панели;
• на корпусе не должно быть боковых окон и прорезей, кроме окна вентиляции процессора (для исключения вмешательства в систему доверенной загрузки);
• окно вентиляции процессора должно быть защищено кожухом изнутри системного блока (для исключения вмешательства в систему доверенной загрузки);
• корпус должен быть оборудован съемным конструктивным модулем, предусматривающим снятие и установку НЖМД без вскрытия системного блока;
• для корпуса системного блока должны быть проведены процедуры по опечатыванию съёмных панелей корпуса для предотвращения их бесконтрольного вскрытия.

1. Блок питания в составе системный блока АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:

• один блок питания мощностью не менее 400 Вт с активной системой охлаждения;
• блок питания должен обеспечивать питание системного блока от однофазной сети переменного тока частотой 50 Гц (+/- 1 Гц), напряжением 220 В (+10%; -15%);
• вентилятор охлаждения блока питания должен быть расположен в горизонтальной плоскости и иметь диаметр вентилятора охлаждения не менее 100 мм.

1. Системный блок АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:

• быть оборудованным процессором с тактовой частотой не менее 3.1 ГГц, количество ядер – не менее 2-х, с кэш-памятью 2-го уровня объемом не менее 1024 Кбайт;
• иметь активную систему охлаждения процессора с управлением в зависимости от загруженности;
• иметь объём оперативной памяти не менее 4096 Мбайт;
• иметь предустановленный в съемный модуль НЖМД емкостью не менее 500 Гбайт;
• иметь в своем составе дискретную видеокарту с интерфейсами DVI и D-SUB (VGA);
• иметь в своем составе звуковой адаптер;
• иметь в своем составе интегрированный в материнскую плату сетевой интерфейс 100/1000 Base-T;
• иметь в своем составе дискретную плату сетевого адаптера с интерфейсом 100 Base-FX (согласно требованиям стандарта IEEE 802.3u) с разъемом SC;
• иметь в своем составе встроенный привод для чтения и записи CD/DVD дисков;
• иметь в своем составе не менее четырех функционирующих USB интерфейсов версии не ниже 2.0;
• иметь в своем составе интерфейс порта RS-232 (9-контактный разъем типа DB-9M).

1. Клавиатура в составе комплекта АРМ ОС конструктивно должна соответствовать следующим техническим требованиям:

• стандартная компьютерная клавиатура типа PC/AT с русской (раскладкой типа «ЙЦУКЕН») и английской ( «QWERTY») раскладками;
• наличие цифрового блока;
• стандарт 104 клавиши;
• интерфейс подключения к системному блоку ЭВМ – USB;
• цвет исполнения корпуса клавиатуры – черный (или чёрный цвет должен преобладать);
• цвет нанесения символьных обозначения на кнопках клавиатуры должен быть различным для символов русского и латинского алфавита.

1. Манипулятор в составе комплекта АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:

• манипулятор типа «мышь»;
• по типу корпуса — полноразмерный;
• исполнение манипулятора универсальное для правши и левши;
• тип — оптический лазерный;
• 3-х кнопочный;
• с колесом прокрутки;
• интерфейс подключения — USB;
• цвет исполнения корпуса манипулятора – черный (или чёрный цвет должен преобладать);
• наличие подложки в комплекте.

1. Видеомонитор в составе комплекта АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:

• тип — цветной LCD–монитор;
• диагональ не менее 19 дюймов;
• иметь интерфейс подключения DVI;
• иметь интерфейс подключения D-SUB;
• иметь разрешение по горизонтали не менее 1280 пикселей;
• иметь встроенную акустическую систему;
• иметь в комплекте поставки необходимые кабели для соединения с системным блоком.

1. Источник бесперебойного питания в составе комплекта АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:

• по типу организации защиты: резервный (offline);
• мощность не менее 500 ВА;
• источник бесперебойного питания обеспечивается комплектом кабелей, необходимых для включения его к электросети, а так же для подключения всех потребителей электропитания из состава комплекта АРМ ОС.

1. Сетевой фильтр в составе комплекта АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:

• сетевой фильтр с наличием не менее трех розеток стандарта CEE 7/4.

1. Flash- носитель в составе комплекта АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:

• объём накопителя не менее 32 Гбайт;
• интерфейс USB версии не ниже 2.0;
• средняя скорость чтения данных не ниже 30 Мбайт/с;
• пылезащищённый корпус.

1. МФУ в составе комплекта АРМ ОС конструктивно должно соответствовать следующим техническим требованиям:

• функциональность – копирование, сканирование, сетевая печать;
• тип печати – монохромный, лазерный/светодиодный;
• скорость печати – не менее 24 страниц формата А4 в минуту;
• разрешение печати – не менее 600х600 точек на дюйм;
• основной лоток бумаги – не менее 250 листов A4, обходной лоток: 1 лист;
• интерфейсы сопряжения – USB 2.0, Fast Ethernet (IEEE 802.3u);
• в составе поставки МФУ должен быть предусмотрен кабель USB типа A-B.

1. Дополнительно в комплект АРМ ОС включаются:

• кабель для подключения звукового адаптера из состава системного блока к акустической системе монитора;
• кабель соединительный оптический дуплексный с разъёмами ST-SC — длина 3 метра.

1. Общие требования к Автоматизированному рабочему месту локальной вычислительной сети закрытого сегмента.
   1. К Автоматизированному рабочему месту локальной вычислительной сети закрытого сегмента применяются те же требования, что и к Автоматизированному рабочему месту локальной вычислительной сети закрытого сегмента с многофункциональным устройством печати ( п.3.4) за исключением п. 3.4.17.
2. Общие требования к Автоматизированному рабочему месту локальной вычислительной сети закрытого сегмента (далее АРМ ЗС) с многофункциональным устройством печати (МФУ).
   1. В комплект поставки АРМ ЗС должны входить:

• системный блок АРМ ЗС;
• аппаратно-программный модуль доверенной загрузки (АПМДЗ);
• клавиатура;
• манипулятор;
• видеомонитор;
• источник бесперебойного питания;
• сетевой фильтр;
• flash-носитель;
• комплект программного обеспечения;
• многофункциональное устройство печати;
• дополнительные соединительные кабеля.

1. АРМ ЗС комплектуется:

• операционной системой МСВС 3.0;
• комплектом программного обеспечения «Офис 1.0» ФЛИР.80003-01 с модулем распознавания текста.

1. Программное обеспечение, входящее в комплект АРМ ЗС, должно поставляться в комплекте с заводской эксплуатационно-технической документацией (формуляры установленного в ВС РФ образца, технические описания, руководства по эксплуатации, руководство пользователя программного обеспечения на русском языке).
2. Оригинальные копии программного обеспечения, входящего в комплект АРМ ЗС, должны поставляться на компакт-дисках;
3. Программное обеспечение, входящее в комплект АРМ ЗС, поставляется предустановленным и настроенным. Параметры настройки предустановленного программного обеспечения согласовываются с Заказчиком до начала поставки.
4. Аппаратное обеспечение АРМ ЗС должно быть совместимо и в полном объеме поддерживать работу входящего в комплект программного обеспечения.
5. АПМДЗ в составе комплекта АРМ ЗС должен:

• обеспечивать доверенную загрузку операционной системы АРМ ЗС;
• поставляться предустановленным в системный блок АРМ ЗС. Применение АПМДЗ в составе АРМ ЗС должно соответствовать утвержденной производителем АПМДЗ схеме. Схема установки АПМДЗ должна исключать возможность несанкционированного вмешательства в систему доверенной загрузки;
• считыватель ключа АПМДЗ должен быть выведен на переднюю панель корпуса системного блога АРМ ЗС;
• поставляться с не менее чем 3-мя ключами в комплекте;
• поставляться с полным набором документации завода-производителя;
• поставляться преднастроенным. Параметры настройки согласовываются с Заказчиком до начала поставки.

1. Корпус в составе системный блока АРМ ЗС конструктивно должен соответствовать следующим техническим требованиям:

• тип корпуса — MidiTower (ATX форм-фактор);
• цвет исполнения корпуса – черный (или чёрный цвет должен преобладать);
• корпус должен иметь не менее 4-х полимерных ножек (для предотвращения порчи мебели при эксплуатации);
• корпус должен иметь функционирующие индикаторы наличия питания и активности жесткого диска на передней панели;
• корпус должен иметь кнопку аппаратного сброса на передней панели;
• корпус должен иметь индикаторы состояния и активности сетевых интерфейсов на задней панели;
• корпус должен иметь как минимум один функционирующий интерфейс USB на передней панели;
• на корпусе не должно быть боковых окон и прорезей, кроме окна вентиляции процессора (для исключения вмешательства в систему доверенной загрузки);
• окно вентиляции процессора должно быть защищено кожухом изнутри системного блока (для исключения вмешательства в систему доверенной загрузки);
• корпус должен быть оборудован съемным конструктивным модулем, предусматривающим снятие и установку НЖМД без вскрытия системного блока;
• для корпуса системного блока должны быть проведены процедуры по опечатыванию съёмных панелей корпуса для предотвращения их бесконтрольного вскрытия.

1. Блок питания в составе системный блока АРМ ЗС конструктивно должен соответствовать следующим техническим требованиям:

• один блок питания мощностью не менее 400 Вт с активной системой охлаждения;
• блок питания должен обеспечивать питание системного блока от однофазной сети переменного тока частотой 50 Гц (+/- 1 Гц), напряжением 220 В (+10%; -15%);
• вентилятор охлаждения блока питания должен быть расположен в горизонтальной плоскости и иметь диаметр вентилятора охлаждения не менее 100 мм.

1. Системный блок АРМ ЗС конструктивно должен соответствовать следующим техническим требованиям:

• быть оборудованным процессором с тактовой частотой не менее 3.1 ГГц, количество ядер – не менее 2-х, с кэш-памятью 2-го уровня объемом не менее 1024 Кбайт;
• иметь активную систему охлаждения процессора с управлением в зависимости от загруженности;
• иметь объём оперативной памяти не менее 4096 Мбайт;
• иметь предустановленный в съемный модуль НЖМД емкостью не менее 500 Гбайт;
• иметь в своем составе дискретную видеокарту с интерфейсами DVI и D-SUB (VGA);
• иметь в своем составе звуковой адаптер;
• иметь в своем составе интегрированный в материнскую плату сетевой интерфейс 100/1000 Base-T;
• иметь в своем составе дискретную плату сетевого адаптера с интерфейсом 100 Base-FX (согласно требованиям стандарта IEEE 802.3u) с разъемом SC;
• иметь в своем составе встроенный привод для чтения и записи CD/DVD дисков;
• иметь в своем составе не менее четырех функционирующих USB интерфейсов версии не ниже 2.0;
• иметь в своем составе интерфейс порта RS-232 (9-контактный разъем типа DB-9M).

1. Клавиатура в составе комплекта АРМ ЗС конструктивно должна соответствовать следующим техническим требованиям:

• стандартная компьютерная клавиатура типа PC/AT с русской (раскладкой типа «ЙЦУКЕН») и английской ( «QWERTY») раскладками;
• наличие цифрового блока;
• стандарт 104 клавиши;
• интерфейс подключения к системному блоку ЭВМ – USB;
• цвет исполнения корпуса клавиатуры – черный (или чёрный цвет должен преобладать);
• цвет нанесения символьных обозначения на кнопках клавиатуры должен быть различным для символов русского и латинского алфавита.

1. Манипулятор в составе комплекта АРМ ЗС конструктивно должен соответствовать следующим техническим требованиям:

• манипулятор типа «мышь»;
• по типу корпуса — полноразмерный;
• исполнение манипулятора универсальное для правши и левши;
• тип — оптический лазерный;
• 3-х кнопочный;
• с колесом прокрутки;
• интерфейс подключения — USB;
• цвет исполнения корпуса манипулятора – черный (или чёрный цвет должен преобладать);
• наличие подложки в комплекте.

1. Видеомонитор в составе комплекта АРМ ЗС конструктивно должен соответствовать следующим техническим требованиям:

• тип — цветной LCD–монитор;
• диагональ не менее 19 дюймов;
• иметь интерфейс подключения DVI;
• иметь интерфейс подключения D-SUB;
• иметь разрешение по горизонтали не менее 1280 пикселей;
• иметь встроенную акустическую систему;
• иметь в комплекте поставки необходимые кабели для соединения с системным блоком.

1. Источник бесперебойного питания в составе комплекта АРМ ЗС конструктивно должен соответствовать следующим техническим требованиям:

• по типу организации защиты: резервный (offline);
• мощность не менее 500 ВА;
• источник бесперебойного питания обеспечивается комплектом кабелей, необходимых для включения его к электросети, а так же для подключения всех потребителей электропитания из состава комплекта АРМ ЗС.

1. Сетевой фильтр в составе комплекта АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:

• сетевой фильтр с наличием не менее трех розеток стандарта CEE 7/4.

1. Flash- носитель в составе комплекта АРМ ЗС конструктивно должен соответствовать следующим техническим требованиям:

• объём накопителя не менее 32 Гбайт;
• интерфейс USB версии не ниже 2.0;
• средняя скорость чтения данных не ниже 30 Мбайт/с;
• пылезащищённый корпус.

1. МФУ в составе комплекта АРМ ЗС конструктивно должно соответствовать следующим техническим требованиям:

• функциональность – копирование, сканирование, сетевая печать;
• тип печати – монохромный, лазерный/светодиодный;
• скорость печати – не менее 24 страниц формата А4 в минуту;
• разрешение печати – не менее 600х600 точек на дюйм;
• основной лоток бумаги – не менее 250 листов A4, обходной лоток: 1 лист;
• интерфейсы сопряжения – USB 2.0, Fast Ethernet (IEEE 802.3u);
• в составе поставки МФУ должен быть предусмотрен кабель USB типа A-B.

1. Дополнительно в комплект АРМ ЗС включаются:

• кабель для подключения звукового адаптера из состава системного блока к акустической системе монитора;
• кабель соединительный оптический дуплексный с разъёмами ST-SC — длина 3 метра.

1. Требования к Серверу общего назначения открытого сегмента (далее СОН ОС).
   1. В комплект поставки СОН ОС должны входить:

• системный блок СОН ОС со средствами монтажа в 19” стойку;
• аппаратно-программный модуль доверенной загрузки (АПМДЗ);
• комплект программного обеспечения.

1. СОН ОС комплектуется операционной системой МСВС 3.0.
2. Программное обеспечение в составе комплекта СОН ОС должно поставляться в комплекте с заводской эксплуатационно-технической документацией (формуляры установленного в ВС РФ образца, технические описания, руководства по эксплуатации, руководство пользователя программного обеспечения на русском языке, в т.ч. в электронном виде).
3. Оригинальные копии программного обеспечения в составе комплекта СОН ОС должны поставляться на компакт-дисках.
4. Программное обеспечение, входящее в комплект СОН ОС, поставляется предустановленным и настроенным. Параметры настройки предустановленного программного обеспечения согласовываются с Заказчиком до начала поставки.
5. Аппаратное обеспечение СОН ОС должно быть совместимо и в полном объеме поддерживать работу входящего в комплект программного обеспечения.
6. АПМДЗ в составе комплекта СОН ОС должен:

• обеспечивать доверенную загрузку операционной системы СОН ОС;
• поставляться предустановленным в системный блок СОН ОС. Применение АПМДЗ в составе СОН ОС должно соответствовать утвержденной производителем АПМДЗ схеме. Схема установки АПМДЗ должна исключать возможность несанкционированного вмешательства в систему доверенной загрузки;
• считыватель ключа АПМДЗ должен быть выведен на переднюю панель корпуса системного блога СОН ОС;
• поставляться с не менее чем 3-мя ключами в комплекте;
• поставляться с полным набором документации завода-производителя;
• поставляться преднастроенным. Параметры настройки согласовываются с Заказчиком до начала поставки.

1. Корпус в составе системный блока СОН ОС конструктивно должен соответствовать следующим техническим требованиям:

• тип корпуса – 19”, rack-mount;
• высота корпуса – не более 1U;
• на переднюю панель корпуса сервера должна быть выведена визуальная сигнализацию о состоянии дисков;
• в состав поставки должны быть включены штатные средства монтажа в 19” стойку.

1. Блоки питания в составе системный блока СОН ОС конструктивно должны соответствовать следующим техническим требованиям:

• сервер оборудуется двумя блоками питания с резервированием по схеме 1+1;
• блоки питания должны обеспечивать питание системного блока от однофазной сети переменного тока частотой 50 Гц (+/- 1 Гц), напряжением 220 В (+10%; -15%).

1. Системный блок СОН ОС конструктивно должен соответствовать следующим техническим требованиям:

• быть оборудован процессорами – 2 штуки с не менее чем 2-мя ядрами каждый, частота не менее 1,8ГГц, пропускная способность шины не менее 4,8GT;
• иметь оперативную память не менее 16ГБ;
• быть оборудованным дисковой подсистемой с не менее чем 4 дисками емкостью не менее 300ГБ. Диски должны быть объединены в RAID-массив уровня 6;
• должен быть оборудован сетевыми интерфейсами стандарта 10/100/1000Base-Т/TX в количестве не менее чем 2-х штук;
• должен быть оборудован выделенным сетевым интерфейсом управления;
• должен быть оборудован оптическим приводом стандарта DVD±RW.

1. Требования к Серверу общего назначения закрытого сегмента (далее СОН ЗС).
   1. В комплект поставки СОН ЗС должны входить:

• системный блок СОН ЗС со средствами монтажа в 19” стойку;
• аппаратно-программный модуль доверенной загрузки (АПМДЗ);
• комплект программного обеспечения.

1. СОН ЗС комплектуется операционной системой МСВС 3.0.
2. Программное обеспечение в составе комплекта СОН ЗС должно поставляться в комплекте с заводской эксплуатационно-технической документацией (формуляры установленного в ВС РФ образца, технические описания, руководства по эксплуатации, руководство пользователя программного обеспечения на русском языке, в т.ч. в электронном виде).
3. Оригинальные копии программного обеспечения в составе комплекта СОН ЗС должны поставляться на компакт-дисках.
4. Программное обеспечение, входящее в комплект СОН ЗС, поставляется предустановленным и настроенным. Параметры настройки предустановленного программного обеспечения согласовываются с Заказчиком до начала поставки.
5. Аппаратное обеспечение СОН ЗС должно быть совместимо и в полном объеме поддерживать работу входящего в комплект программного обеспечения.
6. АПМДЗ в составе комплекта СОН ЗС должен:

• обеспечивать доверенную загрузку операционной системы СОН ЗС;
• поставляться предустановленным в системный блок СОН ЗС. Применение АПМДЗ в составе СОН ЗС должно соответствовать утвержденной производителем АПМДЗ схеме. Схема установки АПМДЗ должна исключать возможность несанкционированного вмешательства в систему доверенной загрузки;
• считыватель ключа АПМДЗ должен быть выведен на переднюю панель корпуса системного блога СОН ЗС;
• поставляться с не менее чем 3-мя ключами в комплекте;
• поставляться с полным набором документации завода-производителя;
• поставляться преднастроенным. Параметры настройки согласовываются с Заказчиком до начала поставки.

1. Корпус в составе системный блока СОН ЗС конструктивно должен соответствовать следующим техническим требованиям:

• тип корпуса – 19”, rack-mount;
• высота корпуса – не более 1U;
• на переднюю панель корпуса сервера должна быть выведена визуальная сигнализацию о состоянии дисков;
• в состав поставки должны быть включены штатные средства монтажа в 19” стойку.

1. Блоки питания в составе системный блока СОН ЗС конструктивно должны соответствовать следующим техническим требованиям:

• сервер оборудуется двумя блоками питания с резервированием по схеме 1+1;
• блоки питания должны обеспечивать питание системного блока от однофазной сети переменного тока частотой 50 Гц (+/- 1 Гц), напряжением 220 В (+10%; -15%).

1. Системный блок СОН ЗС конструктивно должен соответствовать следующим техническим требованиям:

• быть оборудован процессорами – 2 штуки с не менее чем 2-мя ядрами каждый, частота не менее 1,8ГГц, пропускная способность шины не менее 4,8GT;
• иметь оперативную память не менее 16ГБ;
• быть оборудованным дисковой подсистемой с не менее чем 4 дисками емкостью не менее 300ГБ. Диски должны быть объединены в RAID-массив уровня 6;
• должен быть оборудован сетевыми интерфейсами стандарта 10/100/1000Base-Т/TX в количестве не менее чем 2-х штук;
• должен быть оборудован выделенным сетевым интерфейсом управления;
• должен быть оборудован оптическим приводом стандарта DVD±RW.