Апмдз центурион руководство по эксплуатации

Группа исполнения аппаратуры (по ГОСТ РВ 20.39.304-98) 1.1 УХЛ 1.1 УХЛ 1.3 УХЛ (рабочая температура от -30 до +55 ͦС) 1.3 УХЛ (рабочая температура от -30 до +55 ͦС) 1.1 УХЛ 1.1 УХЛ 1.3 УХЛ (рабочая температура от -30 до +55 ͦС) 1.3 УХЛ (рабочая температура от -30 до +55 ͦС) 1.3 УХЛ (рабочая температура от -30 до +55 ͦС) 1.1 УХЛ 1.3 УХЛ (рабочая температура от -30 до +55 ͦС)
Применение Настольные ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PCI и возможность установки считывателя Touch Memory на корпусе Настольные ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PCI и не имеющие возможности установки считывателя Touch Memory на корпусе Индустриальные и носимые ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PCI, эксплуатирующиеся в климатических условиях, соответствующих группе 1.3 УХЛ, и имеющие возможность установки считывателя Touch Memory на корпусе Индустриальные и носимые ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PCI, эксплуатирующиеся в климатических условиях, соответствующих группе 1.3 УХЛ, и не имеющие возможности для установки считывателя Touch Memory на корпусе Настольные ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PCIe и возможность установки считывателя Touch Memory на корпусе Настольные ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PCIe и не имеющие возможности для установки считывателя Touch Memory на корпусе Индустриальные, мобильные, а также носимые ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PMC, эксплуатирующиеся в климатических условиях, соответствующих группе 1.3 УХЛ, и имеющие возможность установки считывателя Touch Memory на корпусе Индустриальные, мобильные, а также носимые ПЭВМ и серверы архитектуры Intel, имеющие слот расширения PMC, эксплуатирующиеся в климатических условиях, соответствующих группе 1.3 УХЛ, и не имеющие возможности установки считывателя Touch Memory на корпусе Индустриальные и мобильные ПЭВМ и серверы архитектуры Intel, имеющие слот расширения mini PCI тип III, эксплуатирующиеся в климатических условиях, соответствующих группе 1.3 УХЛ Индустриальные и мобильные ПЭВМ и серверы архитектуры Intel, имеющие слот расширения mini PCIe (Full Size) Индустриальные и мобильные ПЭВМ и серверы архитектуры Intel, имеющие слот расширения mini PCIe (Full Size), эксплуатирующиеся в климатических условиях, соответствующих группе 1.3 УХЛ
Источник

Приложение № 1
ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ

  1. Общие требования
    1. Оборудование должно поставляться в комплекте с эксплуатационно-технической документацией в соответствии с ГОСТ РВ 0002-601-2008 (формуляры установленного в ВС РФ образца, технические описания, руководство по эксплуатации, руководство пользователю программным обеспечением на русском языке).
    2. Конструкция оборудования должна обеспечивать ремонт и обслуживание в течение всего жизненного цикла.
    3. Излучение от технических средств не должно превышать санитарные нормы, установленные действующими техническими регламентами и стандартами (если таковые установлены).
    4. Оборудование должно сохранять полную работоспособность в следующих климатических условиях:
  • температура окружающей среды от +10С до +35С;
  • относительная влажность воздуха до 80% при температуре +25С без конденсации влаги;
  • атмосферное давление от 84 до 107 кПа (от 630 до 800 мм рт. ст.);
  • концентрация пыли в воздухе до 10 мг/м3.
    1. Оборудование должно сохранять свою работоспособность после транспортировки при воздействии температур в диапазоне -50С до +50С и перевозки в транспортной упаковке автомобильным, железнодорожным и авиационным видами транспорта.
    2. Оборудование должно быть рассчитано на непрерывную 24-часовую работу.
    3. Срок службы оборудования при круглосуточной работе – не менее 5 лет.
    4. Оборудование поставляется в собранном виде, готовое к эксплуатации, с установленными комплектующими и кабелями, оттестированными и промаркированными соединениями.
  1. Требования к сертификации и СП/СИ
    1. Средства вычислительной техники (СВТ) должны соответствовать требованиям Руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992 г.) — по 3 классу защищённости информации от несанкционированного доступа.
      1. Соответствие требований по п.2.1 должно быть подтверждено сертификатом 8 УГШ МО РФ.
      2. Для выполнения требований по п.2.1 должны применяться следующие средства:
  • операционная система (ОС) МСВС 3.0 ФЛИР.80001-12;
  • аппаратно-программный модуль доверенной загрузки (АПМДЗ) «Центурион-Е» ИТБВ.468266.002 или «Центурион» ИТБВ.468266.001;
  • комплекс средств защиты информации от ЕМАИ.461277.008;
  • антивирус Dr.Web 5.0 для ОС МСВС 3.0.
    1. Поставляемое программное обеспечение, предназначено для обработки информации, содержащей сведения, составляющие Государственную тайну, и должно соответствовать требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.) — по 2 уровню контроля.
    2. Для тех поставляемых СВТ, для которых в Таблице № 1 указано «СП», должны быть проведены установленным порядком специальные проверки на наличие возможно внедренных электронных устройств перехвата (уничтожения) информации.
    3. Для тех поставляемых СВТ, для которых в Таблице № 1 указано «СИ», должны быть проведены установленным порядком стендовые специальные исследования по выявлению возможных каналов утечки информации в организациях, имеющих соответствующие лицензии, выданные уполномоченными органами.
    4. Заключения по результатам проведения специальных проверок и предписания на эксплуатацию по результатам проведения специальных исследований должны быть оформлены для каждого автоматизированного рабочего места и каждого сервера в виде отдельного документа (документов).

Таблица №1

№ п/п Наименование оборудования Требование проведения СП и СИ
1 Автоматизированное рабочее место администратора обеспечения безопасности информации СП и СИ
2 Автоматизированное рабочее место ЛВС открытого сегмента с МФУ СП
3 Автоматизированное рабочее место ЛВС закрытого сегмента с МФУ СП и СИ
4 Автоматизированное рабочее место ЛВС закрытого сегмента СП и СИ
5 Сервер общего назначения ОС СП
6 Сервер общего назначения закрытого сегмента СП и СИ
  1. Технические требования к оборудованию
    1. Требования к Автоматизированному рабочему месту администратора обеспечения безопасности информации закрытого сегмента (далее АРМ ОБИ) с многофункциональным устройством печати (МФУ)
      1. В комплект поставки АРМ ОБИ должны входить:
  • системный блок АРМ ОБИ;
  • аппаратно-программный модуль доверенной загрузки (АПМДЗ);
  • клавиатура;
  • манипулятор;
  • видеомонитор;
  • источник бесперебойного питания;
  • сетевой фильтр;
  • flash-носитель;
  • комплект программного обеспечения;
  • многофункциональное устройство печати;
  • дополнительные соединительные кабеля.
      1. АРМ ОБИ комплектуется:
  • операционной системой МСВС 3.0;
  • комплектом программного обеспечения «Офис» ФЛИР.80003-05 с модулем распознавания текста.
      1. Программное обеспечение, входящее в комплект АРМ ОБИ, должно поставляться в комплекте с заводской эксплуатационно-технической документацией (формуляры установленного в ВС РФ образца, технические описания, руководства по эксплуатации, руководство пользователя программного обеспечения на русском языке).
      2. Оригинальные копии программного обеспечения в составе комплекта АРМ ОБИ должны поставляться на компакт-дисках.
      3. Программное обеспечение, входящее в комплект АРМ ОБИ, поставляется предустановленным и настроенным. Параметры настройки предустановленного программного обеспечения согласовываются с Заказчиком до начала поставки.
      4. Аппаратное обеспечение комплекта АРМ ОБИ должно быть совместимо и в полном объеме поддерживать работу входящего в комплект программного обеспечения.
      5. АПМДЗ в составе комплекта АРМ ОБИ должен:
  • обеспечивать доверенную загрузку операционной системы АРМ ОБИ;
  • поставляться предустановленным в системный блок АРМ ОБИ. Применение АПМДЗ в составе АРМ ОБИ должно соответствовать утвержденной производителем АПМДЗ схеме. Схема установки АПМДЗ должна исключать возможность несанкционированного вмешательства в систему доверенной загрузки;
  • поставляться перенастроенным. Параметры настройки согласовываются с Заказчиком до начала поставки;
  • считыватель ключа АПМДЗ должен быть выведен на переднюю панель корпуса системного блога АРМ ОБИ;
  • поставляться с не менее чем 3-мя ключами в комплекте;
  • поставляться с полным набором документации завода-производителя.
      1. Корпус в составе системный блока АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:
  • тип корпуса — MidiTower (ATX форм-фактор);
  • цвет исполнения корпуса – черный (или чёрный цвет должен преобладать);
  • корпус должен иметь не менее 4-х полимерных ножек (для предотвращения порчи мебели при эксплуатации);
  • корпус должен иметь функционирующие индикаторы наличия питания и активности жесткого диска на передней панели;
  • корпус должен иметь кнопку аппаратного сброса на передней панели;
  • корпус должен иметь индикаторы состояния и активности сетевых интерфейсов на задней панели;
  • корпус должен иметь как минимум один функционирующий интерфейс USB на передней панели;
  • на корпусе не должно быть боковых окон и прорезей, кроме окна вентиляции процессора (для исключения вмешательства в систему доверенной загрузки);
  • окно вентиляции процессора должно быть защищено кожухом изнутри системного блока (для исключения вмешательства в систему доверенной загрузки);
  • корпус должен быть оборудован съемным конструктивным модулем, предусматривающим снятие и установку НЖМД без вскрытия системного блока;
  • для корпуса системного блока должны быть проведены процедуры по опечатыванию съёмных панелей корпуса для предотвращения их бесконтрольного вскрытия.
      1. Блок питания в составе системный блока АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:
  • один блок питания мощностью не менее 400 Вт с активной системой охлаждения;
  • блок питания должен обеспечивать питание системного блока от однофазной сети переменного тока частотой 50 Гц (+/- 1 Гц), напряжением 220 В (+10%; -15%);
  • вентилятор охлаждения блока питания должен быть расположен в горизонтальной плоскости и иметь диаметр вентилятора охлаждения не менее 100 мм.
      1. Системный блок АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:
  • быть оборудованным процессором с тактовой частотой не менее 3.1 ГГц, количество ядер – не менее 2-х, с кэш-памятью 2-го уровня объемом не менее 1024 Кбайт;
  • иметь активную систему охлаждения процессора с управлением в зависимости от загруженности;
  • иметь объём оперативной памяти не менее 4096 Мбайт;
  • иметь предустановленный в съемный модуль НЖМД емкостью не менее 500 Гбайт;
  • иметь в своем составе дискретную видеокарту с интерфейсами DVI и D-SUB (VGA) с поддержкой одновременной работы двух мониторов в предустановленной операционной системе;
  • иметь в своем составе звуковой адаптер;
  • иметь в своем составе интегрированный в материнскую плату сетевой интерфейс 100/1000 Base-T;
  • иметь в своем составе дискретную плату сетевого адаптера с интерфейсом 100 Base-FX (согласно требованиям стандарта IEEE 802.3u) с разъемом SC;
  • иметь в своем составе встроенный привод для чтения и записи CD/DVD дисков;
  • иметь в своем составе не менее четырех функционирующих USB интерфейсов версии не ниже 2.0;
  • иметь в своем составе интерфейс порта RS-232 (9-контактный разъем типа DB-9M).
      1. Клавиатура в составе комплекта АРМ ОБИ конструктивно должна соответствовать следующим техническим требованиям:
  • стандартная компьютерная клавиатура типа PC/AT с русской (раскладкой типа «ЙЦУКЕН») и английской ( «QWERTY») раскладками;
  • наличие цифрового блока;
  • стандарт 104 клавиши;
  • интерфейс подключения к системному блоку ЭВМ – USB;
  • цвет исполнения корпуса клавиатуры – черный (или чёрный цвет должен преобладать);
  • цвет нанесения символьных обозначения на кнопках клавиатуры должен быть различным для символов русского и латинского алфавита.
      1. Манипулятор в составе комплекта АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:
  • манипулятор типа «мышь»;
  • по типу корпуса — полноразмерный;
  • исполнение манипулятора универсальное для правши и левши;
  • тип — оптический лазерный;
  • 3-х кнопочный;
  • с колесом прокрутки;
  • интерфейс подключения — USB;
  • цвет исполнения корпуса манипулятора – черный (или чёрный цвет должен преобладать);
  • наличие подложки в комплекте.
      1. Каждый из видеомониторов в составе комплекта АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:
  • тип — цветной LCD–монитор;
  • диагональ не менее 19 дюймов;
  • иметь интерфейс подключения DVI;
  • иметь интерфейс подключения D-SUB;
  • иметь разрешение по горизонтали не менее 1280 пикселей;
  • иметь встроенную акустическую систему;
  • иметь в комплекте поставки необходимые кабели для соединения с системным блоком.
      1. Источник бесперебойного питания в составе комплекта АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:
  • по типу организации защиты: резервный (offline);
  • мощность не менее 500 ВА;
  • источник бесперебойного питания обеспечивается комплектом кабелей, необходимых для включения его к электросети, а так же для подключения всех потребителей электропитания из состава комплекта АРМ ОБИ.
      1. Сетевой фильтр в составе комплекта АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:
  • сетевой фильтр с наличием не менее трех розеток стандарта CEE 7/4.
      1. Flash- носитель в составе комплекта АРМ ОБИ конструктивно должен соответствовать следующим техническим требованиям:
  • объём накопителя не менее 32 Гбайт;
  • интерфейс USB версии не ниже 2.0;
  • средняя скорость чтения данных не ниже 30 Мбайт/с;
  • пылезащищённый корпус.
      1. МФУ в составе комплекта АРМ ОБИ конструктивно должно соответствовать следующим техническим требованиям:
  • функциональность – копирование, сканирование, сетевая печать;
  • тип печати – монохромный, лазерный/светодиодный;
  • скорость печати – не менее 24 страниц формата А4 в минуту;
  • разрешение печати – не менее 600х600 точек на дюйм;
  • основной лоток бумаги – не менее 250 листов A4, обходной лоток: 1 лист;
  • интерфейсы сопряжения – USB 2.0, Fast Ethernet (IEEE 802.3u);
  • в составе поставки МФУ должен быть предусмотрен кабель USB типа A-B.
      1. Дополнительно в комплект АРМ ОБИ включаются:
  • кабель для подключения звукового адаптера из состава системного блока к акустической системе монитора;
  • кабель соединительный оптический дуплексный с разъёмами ST-SC — длина 3 метра.
    1. Общие требования к Автоматизированному рабочему месту локальной вычислительной сети открытого сегмента (далее АРМ ОС) с многофункциональным устройством печати (МФУ).
      1. В комплект поставки АРМ ОС должны входить:
  • системный блок АРМ ОС;
  • аппаратно-программный модуль доверенной загрузки (АПМДЗ);
  • клавиатура;
  • манипулятор;
  • видеомонитор;
  • источник бесперебойного питания;
  • сетевой фильтр;
  • flash-носитель;
  • комплект программного обеспечения;
  • многофункциональное устройство печати;
  • дополнительные соединительные кабеля.
      1. АРМ ОС комплектуется:
  • операционной системой МСВС 3.0;
  • комплектом программного обеспечения «Офис 1.0» ФЛИР.80003-01 с модулем распознавания текста.
      1. Программное обеспечение, входящее в комплект АРМ ОС, должно поставляться в комплекте с заводской эксплуатационно-технической документацией (формуляры установленного в ВС РФ образца, технические описания, руководства по эксплуатации, руководство пользователя программного обеспечения на русском языке).
      2. Оригинальные копии программного обеспечения, входящего в комплект АРМ ОС, должны поставляться на компакт-дисках;
      3. Программное обеспечение, входящее в комплект АРМ ОС, поставляется предустановленным и настроенным. Параметры настройки предустановленного программного обеспечения согласовываются с Заказчиком до начала поставки.
      4. Аппаратное обеспечение АРМ ОС должно быть совместимо и в полном объеме поддерживать работу входящего в комплект программного обеспечения.
      5. АПМДЗ в составе комплекта АРМ ОС должен:
  • обеспечивать доверенную загрузку операционной системы АРМ ОС;
  • поставляться предустановленным в системный блок АРМ ОС. Применение АПМДЗ в составе АРМ ОС должно соответствовать утвержденной производителем АПМДЗ схеме. Схема установки АПМДЗ должна исключать возможность несанкционированного вмешательства в систему доверенной загрузки;
  • считыватель ключа АПМДЗ должен быть выведен на переднюю панель корпуса системного блога АРМ ОС;
  • поставляться с не менее чем 3-мя ключами в комплекте;
  • поставляться с полным набором документации завода-производителя;
  • поставляться преднастроенным. Параметры настройки согласовываются с Заказчиком до начала поставки.
      1. Корпус в составе системный блока АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:
  • тип корпуса — MidiTower (ATX форм-фактор);
  • цвет исполнения корпуса – черный (или чёрный цвет должен преобладать);
  • корпус должен иметь не менее 4-х полимерных ножек (для предотвращения порчи мебели при эксплуатации);
  • корпус должен иметь функционирующие индикаторы наличия питания и активности жесткого диска на передней панели;
  • корпус должен иметь кнопку аппаратного сброса на передней панели;
  • корпус должен иметь индикаторы состояния и активности сетевых интерфейсов на задней панели;
  • корпус должен иметь как минимум один функционирующий интерфейс USB на передней панели;
  • на корпусе не должно быть боковых окон и прорезей, кроме окна вентиляции процессора (для исключения вмешательства в систему доверенной загрузки);
  • окно вентиляции процессора должно быть защищено кожухом изнутри системного блока (для исключения вмешательства в систему доверенной загрузки);
  • корпус должен быть оборудован съемным конструктивным модулем, предусматривающим снятие и установку НЖМД без вскрытия системного блока;
  • для корпуса системного блока должны быть проведены процедуры по опечатыванию съёмных панелей корпуса для предотвращения их бесконтрольного вскрытия.
      1. Блок питания в составе системный блока АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:
  • один блок питания мощностью не менее 400 Вт с активной системой охлаждения;
  • блок питания должен обеспечивать питание системного блока от однофазной сети переменного тока частотой 50 Гц (+/- 1 Гц), напряжением 220 В (+10%; -15%);
  • вентилятор охлаждения блока питания должен быть расположен в горизонтальной плоскости и иметь диаметр вентилятора охлаждения не менее 100 мм.
      1. Системный блок АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:
  • быть оборудованным процессором с тактовой частотой не менее 3.1 ГГц, количество ядер – не менее 2-х, с кэш-памятью 2-го уровня объемом не менее 1024 Кбайт;
  • иметь активную систему охлаждения процессора с управлением в зависимости от загруженности;
  • иметь объём оперативной памяти не менее 4096 Мбайт;
  • иметь предустановленный в съемный модуль НЖМД емкостью не менее 500 Гбайт;
  • иметь в своем составе дискретную видеокарту с интерфейсами DVI и D-SUB (VGA);
  • иметь в своем составе звуковой адаптер;
  • иметь в своем составе интегрированный в материнскую плату сетевой интерфейс 100/1000 Base-T;
  • иметь в своем составе дискретную плату сетевого адаптера с интерфейсом 100 Base-FX (согласно требованиям стандарта IEEE 802.3u) с разъемом SC;
  • иметь в своем составе встроенный привод для чтения и записи CD/DVD дисков;
  • иметь в своем составе не менее четырех функционирующих USB интерфейсов версии не ниже 2.0;
  • иметь в своем составе интерфейс порта RS-232 (9-контактный разъем типа DB-9M).
      1. Клавиатура в составе комплекта АРМ ОС конструктивно должна соответствовать следующим техническим требованиям:
  • стандартная компьютерная клавиатура типа PC/AT с русской (раскладкой типа «ЙЦУКЕН») и английской ( «QWERTY») раскладками;
  • наличие цифрового блока;
  • стандарт 104 клавиши;
  • интерфейс подключения к системному блоку ЭВМ – USB;
  • цвет исполнения корпуса клавиатуры – черный (или чёрный цвет должен преобладать);
  • цвет нанесения символьных обозначения на кнопках клавиатуры должен быть различным для символов русского и латинского алфавита.
      1. Манипулятор в составе комплекта АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:
  • манипулятор типа «мышь»;
  • по типу корпуса — полноразмерный;
  • исполнение манипулятора универсальное для правши и левши;
  • тип — оптический лазерный;
  • 3-х кнопочный;
  • с колесом прокрутки;
  • интерфейс подключения — USB;
  • цвет исполнения корпуса манипулятора – черный (или чёрный цвет должен преобладать);
  • наличие подложки в комплекте.
      1. Видеомонитор в составе комплекта АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:
  • тип — цветной LCD–монитор;
  • диагональ не менее 19 дюймов;
  • иметь интерфейс подключения DVI;
  • иметь интерфейс подключения D-SUB;
  • иметь разрешение по горизонтали не менее 1280 пикселей;
  • иметь встроенную акустическую систему;
  • иметь в комплекте поставки необходимые кабели для соединения с системным блоком.
      1. Источник бесперебойного питания в составе комплекта АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:
  • по типу организации защиты: резервный (offline);
  • мощность не менее 500 ВА;
  • источник бесперебойного питания обеспечивается комплектом кабелей, необходимых для включения его к электросети, а так же для подключения всех потребителей электропитания из состава комплекта АРМ ОС.
      1. Сетевой фильтр в составе комплекта АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:
  • сетевой фильтр с наличием не менее трех розеток стандарта CEE 7/4.
      1. Flash- носитель в составе комплекта АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:
  • объём накопителя не менее 32 Гбайт;
  • интерфейс USB версии не ниже 2.0;
  • средняя скорость чтения данных не ниже 30 Мбайт/с;
  • пылезащищённый корпус.
      1. МФУ в составе комплекта АРМ ОС конструктивно должно соответствовать следующим техническим требованиям:
  • функциональность – копирование, сканирование, сетевая печать;
  • тип печати – монохромный, лазерный/светодиодный;
  • скорость печати – не менее 24 страниц формата А4 в минуту;
  • разрешение печати – не менее 600х600 точек на дюйм;
  • основной лоток бумаги – не менее 250 листов A4, обходной лоток: 1 лист;
  • интерфейсы сопряжения – USB 2.0, Fast Ethernet (IEEE 802.3u);
  • в составе поставки МФУ должен быть предусмотрен кабель USB типа A-B.
      1. Дополнительно в комплект АРМ ОС включаются:
  • кабель для подключения звукового адаптера из состава системного блока к акустической системе монитора;
  • кабель соединительный оптический дуплексный с разъёмами ST-SC — длина 3 метра.
    1. Общие требования к Автоматизированному рабочему месту локальной вычислительной сети закрытого сегмента.
      1. К Автоматизированному рабочему месту локальной вычислительной сети закрытого сегмента применяются те же требования, что и к Автоматизированному рабочему месту локальной вычислительной сети закрытого сегмента с многофункциональным устройством печати ( п.3.4) за исключением п. 3.4.17.
    2. Общие требования к Автоматизированному рабочему месту локальной вычислительной сети закрытого сегмента (далее АРМ ЗС) с многофункциональным устройством печати (МФУ).
      1. В комплект поставки АРМ ЗС должны входить:
  • системный блок АРМ ЗС;
  • аппаратно-программный модуль доверенной загрузки (АПМДЗ);
  • клавиатура;
  • манипулятор;
  • видеомонитор;
  • источник бесперебойного питания;
  • сетевой фильтр;
  • flash-носитель;
  • комплект программного обеспечения;
  • многофункциональное устройство печати;
  • дополнительные соединительные кабеля.
      1. АРМ ЗС комплектуется:
  • операционной системой МСВС 3.0;
  • комплектом программного обеспечения «Офис 1.0» ФЛИР.80003-01 с модулем распознавания текста.
      1. Программное обеспечение, входящее в комплект АРМ ЗС, должно поставляться в комплекте с заводской эксплуатационно-технической документацией (формуляры установленного в ВС РФ образца, технические описания, руководства по эксплуатации, руководство пользователя программного обеспечения на русском языке).
      2. Оригинальные копии программного обеспечения, входящего в комплект АРМ ЗС, должны поставляться на компакт-дисках;
      3. Программное обеспечение, входящее в комплект АРМ ЗС, поставляется предустановленным и настроенным. Параметры настройки предустановленного программного обеспечения согласовываются с Заказчиком до начала поставки.
      4. Аппаратное обеспечение АРМ ЗС должно быть совместимо и в полном объеме поддерживать работу входящего в комплект программного обеспечения.
      5. АПМДЗ в составе комплекта АРМ ЗС должен:
  • обеспечивать доверенную загрузку операционной системы АРМ ЗС;
  • поставляться предустановленным в системный блок АРМ ЗС. Применение АПМДЗ в составе АРМ ЗС должно соответствовать утвержденной производителем АПМДЗ схеме. Схема установки АПМДЗ должна исключать возможность несанкционированного вмешательства в систему доверенной загрузки;
  • считыватель ключа АПМДЗ должен быть выведен на переднюю панель корпуса системного блога АРМ ЗС;
  • поставляться с не менее чем 3-мя ключами в комплекте;
  • поставляться с полным набором документации завода-производителя;
  • поставляться преднастроенным. Параметры настройки согласовываются с Заказчиком до начала поставки.
      1. Корпус в составе системный блока АРМ ЗС конструктивно должен соответствовать следующим техническим требованиям:
  • тип корпуса — MidiTower (ATX форм-фактор);
  • цвет исполнения корпуса – черный (или чёрный цвет должен преобладать);
  • корпус должен иметь не менее 4-х полимерных ножек (для предотвращения порчи мебели при эксплуатации);
  • корпус должен иметь функционирующие индикаторы наличия питания и активности жесткого диска на передней панели;
  • корпус должен иметь кнопку аппаратного сброса на передней панели;
  • корпус должен иметь индикаторы состояния и активности сетевых интерфейсов на задней панели;
  • корпус должен иметь как минимум один функционирующий интерфейс USB на передней панели;
  • на корпусе не должно быть боковых окон и прорезей, кроме окна вентиляции процессора (для исключения вмешательства в систему доверенной загрузки);
  • окно вентиляции процессора должно быть защищено кожухом изнутри системного блока (для исключения вмешательства в систему доверенной загрузки);
  • корпус должен быть оборудован съемным конструктивным модулем, предусматривающим снятие и установку НЖМД без вскрытия системного блока;
  • для корпуса системного блока должны быть проведены процедуры по опечатыванию съёмных панелей корпуса для предотвращения их бесконтрольного вскрытия.
      1. Блок питания в составе системный блока АРМ ЗС конструктивно должен соответствовать следующим техническим требованиям:
  • один блок питания мощностью не менее 400 Вт с активной системой охлаждения;
  • блок питания должен обеспечивать питание системного блока от однофазной сети переменного тока частотой 50 Гц (+/- 1 Гц), напряжением 220 В (+10%; -15%);
  • вентилятор охлаждения блока питания должен быть расположен в горизонтальной плоскости и иметь диаметр вентилятора охлаждения не менее 100 мм.
      1. Системный блок АРМ ЗС конструктивно должен соответствовать следующим техническим требованиям:
  • быть оборудованным процессором с тактовой частотой не менее 3.1 ГГц, количество ядер – не менее 2-х, с кэш-памятью 2-го уровня объемом не менее 1024 Кбайт;
  • иметь активную систему охлаждения процессора с управлением в зависимости от загруженности;
  • иметь объём оперативной памяти не менее 4096 Мбайт;
  • иметь предустановленный в съемный модуль НЖМД емкостью не менее 500 Гбайт;
  • иметь в своем составе дискретную видеокарту с интерфейсами DVI и D-SUB (VGA);
  • иметь в своем составе звуковой адаптер;
  • иметь в своем составе интегрированный в материнскую плату сетевой интерфейс 100/1000 Base-T;
  • иметь в своем составе дискретную плату сетевого адаптера с интерфейсом 100 Base-FX (согласно требованиям стандарта IEEE 802.3u) с разъемом SC;
  • иметь в своем составе встроенный привод для чтения и записи CD/DVD дисков;
  • иметь в своем составе не менее четырех функционирующих USB интерфейсов версии не ниже 2.0;
  • иметь в своем составе интерфейс порта RS-232 (9-контактный разъем типа DB-9M).
      1. Клавиатура в составе комплекта АРМ ЗС конструктивно должна соответствовать следующим техническим требованиям:
  • стандартная компьютерная клавиатура типа PC/AT с русской (раскладкой типа «ЙЦУКЕН») и английской ( «QWERTY») раскладками;
  • наличие цифрового блока;
  • стандарт 104 клавиши;
  • интерфейс подключения к системному блоку ЭВМ – USB;
  • цвет исполнения корпуса клавиатуры – черный (или чёрный цвет должен преобладать);
  • цвет нанесения символьных обозначения на кнопках клавиатуры должен быть различным для символов русского и латинского алфавита.
      1. Манипулятор в составе комплекта АРМ ЗС конструктивно должен соответствовать следующим техническим требованиям:
  • манипулятор типа «мышь»;
  • по типу корпуса — полноразмерный;
  • исполнение манипулятора универсальное для правши и левши;
  • тип — оптический лазерный;
  • 3-х кнопочный;
  • с колесом прокрутки;
  • интерфейс подключения — USB;
  • цвет исполнения корпуса манипулятора – черный (или чёрный цвет должен преобладать);
  • наличие подложки в комплекте.
      1. Видеомонитор в составе комплекта АРМ ЗС конструктивно должен соответствовать следующим техническим требованиям:
  • тип — цветной LCD–монитор;
  • диагональ не менее 19 дюймов;
  • иметь интерфейс подключения DVI;
  • иметь интерфейс подключения D-SUB;
  • иметь разрешение по горизонтали не менее 1280 пикселей;
  • иметь встроенную акустическую систему;
  • иметь в комплекте поставки необходимые кабели для соединения с системным блоком.
      1. Источник бесперебойного питания в составе комплекта АРМ ЗС конструктивно должен соответствовать следующим техническим требованиям:
  • по типу организации защиты: резервный (offline);
  • мощность не менее 500 ВА;
  • источник бесперебойного питания обеспечивается комплектом кабелей, необходимых для включения его к электросети, а так же для подключения всех потребителей электропитания из состава комплекта АРМ ЗС.
      1. Сетевой фильтр в составе комплекта АРМ ОС конструктивно должен соответствовать следующим техническим требованиям:
  • сетевой фильтр с наличием не менее трех розеток стандарта CEE 7/4.
      1. Flash- носитель в составе комплекта АРМ ЗС конструктивно должен соответствовать следующим техническим требованиям:
  • объём накопителя не менее 32 Гбайт;
  • интерфейс USB версии не ниже 2.0;
  • средняя скорость чтения данных не ниже 30 Мбайт/с;
  • пылезащищённый корпус.
      1. МФУ в составе комплекта АРМ ЗС конструктивно должно соответствовать следующим техническим требованиям:
  • функциональность – копирование, сканирование, сетевая печать;
  • тип печати – монохромный, лазерный/светодиодный;
  • скорость печати – не менее 24 страниц формата А4 в минуту;
  • разрешение печати – не менее 600х600 точек на дюйм;
  • основной лоток бумаги – не менее 250 листов A4, обходной лоток: 1 лист;
  • интерфейсы сопряжения – USB 2.0, Fast Ethernet (IEEE 802.3u);
  • в составе поставки МФУ должен быть предусмотрен кабель USB типа A-B.
      1. Дополнительно в комплект АРМ ЗС включаются:
  • кабель для подключения звукового адаптера из состава системного блока к акустической системе монитора;
  • кабель соединительный оптический дуплексный с разъёмами ST-SC — длина 3 метра.
    1. Требования к Серверу общего назначения открытого сегмента (далее СОН ОС).
      1. В комплект поставки СОН ОС должны входить:
  • системный блок СОН ОС со средствами монтажа в 19” стойку;
  • аппаратно-программный модуль доверенной загрузки (АПМДЗ);
  • комплект программного обеспечения.
      1. СОН ОС комплектуется операционной системой МСВС 3.0.
      2. Программное обеспечение в составе комплекта СОН ОС должно поставляться в комплекте с заводской эксплуатационно-технической документацией (формуляры установленного в ВС РФ образца, технические описания, руководства по эксплуатации, руководство пользователя программного обеспечения на русском языке, в т.ч. в электронном виде).
      3. Оригинальные копии программного обеспечения в составе комплекта СОН ОС должны поставляться на компакт-дисках.
      4. Программное обеспечение, входящее в комплект СОН ОС, поставляется предустановленным и настроенным. Параметры настройки предустановленного программного обеспечения согласовываются с Заказчиком до начала поставки.
      5. Аппаратное обеспечение СОН ОС должно быть совместимо и в полном объеме поддерживать работу входящего в комплект программного обеспечения.
      6. АПМДЗ в составе комплекта СОН ОС должен:
  • обеспечивать доверенную загрузку операционной системы СОН ОС;
  • поставляться предустановленным в системный блок СОН ОС. Применение АПМДЗ в составе СОН ОС должно соответствовать утвержденной производителем АПМДЗ схеме. Схема установки АПМДЗ должна исключать возможность несанкционированного вмешательства в систему доверенной загрузки;
  • считыватель ключа АПМДЗ должен быть выведен на переднюю панель корпуса системного блога СОН ОС;
  • поставляться с не менее чем 3-мя ключами в комплекте;
  • поставляться с полным набором документации завода-производителя;
  • поставляться преднастроенным. Параметры настройки согласовываются с Заказчиком до начала поставки.
      1. Корпус в составе системный блока СОН ОС конструктивно должен соответствовать следующим техническим требованиям:
  • тип корпуса – 19”, rack-mount;
  • высота корпуса – не более 1U;
  • на переднюю панель корпуса сервера должна быть выведена визуальная сигнализацию о состоянии дисков;
  • в состав поставки должны быть включены штатные средства монтажа в 19” стойку.
      1. Блоки питания в составе системный блока СОН ОС конструктивно должны соответствовать следующим техническим требованиям:
  • сервер оборудуется двумя блоками питания с резервированием по схеме 1+1;
  • блоки питания должны обеспечивать питание системного блока от однофазной сети переменного тока частотой 50 Гц (+/- 1 Гц), напряжением 220 В (+10%; -15%).
      1. Системный блок СОН ОС конструктивно должен соответствовать следующим техническим требованиям:
  • быть оборудован процессорами – 2 штуки с не менее чем 2-мя ядрами каждый, частота не менее 1,8ГГц, пропускная способность шины не менее 4,8GT;
  • иметь оперативную память не менее 16ГБ;
  • быть оборудованным дисковой подсистемой с не менее чем 4 дисками емкостью не менее 300ГБ. Диски должны быть объединены в RAID-массив уровня 6;
  • должен быть оборудован сетевыми интерфейсами стандарта 10/100/1000Base-Т/TX в количестве не менее чем 2-х штук;
  • должен быть оборудован выделенным сетевым интерфейсом управления;
  • должен быть оборудован оптическим приводом стандарта DVD±RW.
    1. Требования к Серверу общего назначения закрытого сегмента (далее СОН ЗС).
      1. В комплект поставки СОН ЗС должны входить:
  • системный блок СОН ЗС со средствами монтажа в 19” стойку;
  • аппаратно-программный модуль доверенной загрузки (АПМДЗ);
  • комплект программного обеспечения.
      1. СОН ЗС комплектуется операционной системой МСВС 3.0.
      2. Программное обеспечение в составе комплекта СОН ЗС должно поставляться в комплекте с заводской эксплуатационно-технической документацией (формуляры установленного в ВС РФ образца, технические описания, руководства по эксплуатации, руководство пользователя программного обеспечения на русском языке, в т.ч. в электронном виде).
      3. Оригинальные копии программного обеспечения в составе комплекта СОН ЗС должны поставляться на компакт-дисках.
      4. Программное обеспечение, входящее в комплект СОН ЗС, поставляется предустановленным и настроенным. Параметры настройки предустановленного программного обеспечения согласовываются с Заказчиком до начала поставки.
      5. Аппаратное обеспечение СОН ЗС должно быть совместимо и в полном объеме поддерживать работу входящего в комплект программного обеспечения.
      6. АПМДЗ в составе комплекта СОН ЗС должен:
  • обеспечивать доверенную загрузку операционной системы СОН ЗС;
  • поставляться предустановленным в системный блок СОН ЗС. Применение АПМДЗ в составе СОН ЗС должно соответствовать утвержденной производителем АПМДЗ схеме. Схема установки АПМДЗ должна исключать возможность несанкционированного вмешательства в систему доверенной загрузки;
  • считыватель ключа АПМДЗ должен быть выведен на переднюю панель корпуса системного блога СОН ЗС;
  • поставляться с не менее чем 3-мя ключами в комплекте;
  • поставляться с полным набором документации завода-производителя;
  • поставляться преднастроенным. Параметры настройки согласовываются с Заказчиком до начала поставки.
      1. Корпус в составе системный блока СОН ЗС конструктивно должен соответствовать следующим техническим требованиям:
  • тип корпуса – 19”, rack-mount;
  • высота корпуса – не более 1U;
  • на переднюю панель корпуса сервера должна быть выведена визуальная сигнализацию о состоянии дисков;
  • в состав поставки должны быть включены штатные средства монтажа в 19” стойку.
      1. Блоки питания в составе системный блока СОН ЗС конструктивно должны соответствовать следующим техническим требованиям:
  • сервер оборудуется двумя блоками питания с резервированием по схеме 1+1;
  • блоки питания должны обеспечивать питание системного блока от однофазной сети переменного тока частотой 50 Гц (+/- 1 Гц), напряжением 220 В (+10%; -15%).
      1. Системный блок СОН ЗС конструктивно должен соответствовать следующим техническим требованиям:
  • быть оборудован процессорами – 2 штуки с не менее чем 2-мя ядрами каждый, частота не менее 1,8ГГц, пропускная способность шины не менее 4,8GT;
  • иметь оперативную память не менее 16ГБ;
  • быть оборудованным дисковой подсистемой с не менее чем 4 дисками емкостью не менее 300ГБ. Диски должны быть объединены в RAID-массив уровня 6;
  • должен быть оборудован сетевыми интерфейсами стандарта 10/100/1000Base-Т/TX в количестве не менее чем 2-х штук;
  • должен быть оборудован выделенным сетевым интерфейсом управления;
  • должен быть оборудован оптическим приводом стандарта DVD±RW.
Источник

Применение:

АПМДЗ это комплект программно-аппаратных средств, устанавливаемый в ПЭВМ, предназначенную для обработки конфиденциальной информации или информации, составляющей Государственную тайну, и обеспечивающий доверенную загрузку операционной системы (ОС)

Отрасль/Область применения:

Описание:

Функциональные возможности
— идентификация и аутентификация пользователей до начала загрузки ОС;
— предотвращение обхода АПМДЗ и загрузки ПЭВМ с любых внешних носителей, кроме штатного носителя;
— регистрация попыток несанкционированного доступа в журнале событий;
— контроль целостности конфигурации ПЭВМ, ядра и загрузочных модулей ОС, программного обеспечения и данных с поддержкой файловых систем FAT, NTFS, EXT2, EXT3, а также реестра Windows;
— передача информации о пользователе, прошедшем аутентификацию, в СЗИ поддерживаемой ОС;
— настройка параметров политики безопасности.
— в операционных системах «Заря», МСВС 3.0 или ОС Windows XP/7 обеспечивается совместная работа программных средств защиты информации (СЗИ) и АПМДЗ.
АПМДЗ «Центурион»
Шина: PCI.
АПМДЗ «Центурион-Е»
Шина: PCIE.
АПМДЗ «Центурион-М»
Шина: Mini-PCIE (тип III)
Технические характеристики.
Целевая платформа: настольная ПЭВМ или сервер архитектуры INTEL.
Тип аутентифицирующего носителеля пользователя (АНП) — Тouch Memory или электронный ключ пользователя (ЭКП) (зависит от варианта исполнения).
Количество ПЭВМ, на которых может использоваться один АНП неограниченно.
Алгоритм аутентификации пользователей на основе ГОСТ 28147-89.
Длина пароля от 8 до 16 символов.
Количество пользователей допущенных к ПЭВМ: до 32 обычных пользователей и 2-х администраторов АПМДЗ.
Количество записей в журнале регистрации не более 256 (журнал закольцован).
Поддерживаемые операционные системы: МСВС 3.0, ОС Windows XP/7, ОС «Заря».
Производится контроль всех интерфейсов ПЭВМ, с которых поддерживается загрузка ОС (SATA, ATA, SCSI, USB).
Комплект поставки:
— плата АПМДЗ;
— аутентифицирующие носители пользователя (2 шт.);
— устройство подключения АНП;
— кабель управления сигналом RESET;
— программное обеспечение АПМДЗ;
— эксплуатационная документация;
— паспорт;
— упаковка.
Поставка и потребители
— литера О1, изделия поставляются серийно;
— государственные ведомства, госкорпорации,   стратегические компании, частный бизнес.

Дополнительные материалы:

Дата завершения разработки:

10.05.2011

Дата старта продаж:

10.05.2011

Характеристики продукта (ТТХ):

Характеристика Единица измерения Значение
Шина подключения платы АПМДЗ PCI
Тип АНП Тouch Memory или ЭКП (зависит от изделия)
Количество ПЭВМ, на которых может использоваться один АНП Неограниченно
Алгоритм аутентификации пользователей На основе ГОСТ 28147-89
Длина пароля От 8 до 16
Количество пользователей допущенных к ПЭВМ До 32-х обычных пользователей и 2-х администраторов АПМДЗ
Количество записей в журнале регистрации Не более 256 (журнал закольцован)
Поддерживаемые ОС ОС «Заря», ОС МСВС 3.0, ОС Windows XP/7
Контролируемые интерфейсы ПЭВМ, с которых возможна загрузка ОС SATA, ATA, SCSI, USB

Наличие слота для микро SD карты:

Нет

Статус внесения в реестр Минпромторга:
«»

Источник

Опубликовано: 18.05.2023

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) в информационных системах.

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

В настоящей методике безопасности приведены следующие варианты нейтрализации угроз безопасности:

    Обновление загрузчика grub2. Полностью устраняет обнаруженные уязвимости;

Нейтрализовать возможность эксплуатации уязвимостей можно применив любой из указанных способов или применив их совместно в любом сочетании.

Обновление загрузчика grub2

Проверить соответствие контрольной суммы архива, выполнив команду:

Распаковать архив, выполнив команду:

Перейти в распакованный каталог :

Выполнить обновление установленных пакетов:

Включение контроля целостности при помощи АПМДЗ

Использование контроля целостности при помощи АПМДЗ нейтрализует возможность эксплуатации существующих уязвимостей для пользователей, не являющихся администраторами АПМДЗ.

При возможности использовать АПМДЗ настроить контроль целостности средствами АПМДЗ в соответствии с документацией. Для АПМДЗ Максим-М1 рекомендации приведены в документе «Руководство администратора РУСБ.468266.003 И1» пункт 7.5 «Контроль целостности». Для АПМДЗ других производителей необходимая информация должна быть приведена в прилагаемой эксплуатационной документации. Минимальный набор контролируемых файлов:

  1. Файл /boot/grub/grub.cfg
  2. Образы ядра /boot/*vmlinuz*
  3. Файл /boot/efi/EFI/astralinuxse/grubx64.efi
  4. Загрузчик /boot/efi/EFI/Boot/bootx64.efi

При корректном применении настроек, доступ к операционной системе при изменении файла grub.cfg будет только у администратора АПМДЗ.

Переключение загрузочного раздела /boot в режим «только чтение» (read-only)

Переключение загрузочного раздела /boot в режим «только чтение» (read-only) нейтрализует возможность эксплуатации существующих уязвимостей.

Для перевода раздела в режим «только чтение» (read-only) отредактировать конфигурационный файл /etc/fstab добавив опцию монтирования ro:

После перезагрузки или перемонтирования дискового раздела файловая система в каталоге /boot будет доступна только для чтения.

Установка высокого уровня целостности на файловую систему.

Установка высокого уровня целостности на файловую систему нейтрализует возможность эксплуатации существующих уязвимостей.

Для установки высокого уровня целостности на файловую систему выполнить команду:

Или воспользоваться графической утилитой «Политика безопасности»:

  1. Выбрать раздел Мандатный контроль целостности → Режим эксперта;
  2. Выставить чек-бокс «Целостность файловой системы — Включено»:
  3. После установки мандатного контроля целостности на файловую систему выполнить перезагрузку системы.
  • grub2

CVE-2020-10713 CVE-2020-14308 CVE-2020-14309 CVE-2020-14310 CVE-2020-14311 CVE-2020-15706 CVE-2020-15707

Продолжаем знакомство с изделиями АО «ЦНИИ ЭИСУ», планируемыми к показу на Международном военно-техническом форуме АРМИЯ-2017, который пройдет в КВЦ «Патриот», полигоне Алабино и подмосковном аэродроме Кубинка 22-27 августа 2017 года

Семейство АПМДЗ «Центурион»

Аппаратно-программный модуль доверенной загрузки (АПМДЗ) это комплект программно-аппаратных средств, устанавливаемый в ПЭВМ и обеспечивающий доверенную загрузку операционной системы (ОС) на ПЭВМ, предназначенную для обработки информации, составляющей Государственную тайну. В ОС (ОС «Заря», ОС МСВС 3.0 или ОС Windows XP/7) обеспечивается совместная работа программных средств защиты информации (СЗИ) и АПМДЗ.

  • идентификацию и аутентификацию пользователей до начала загрузки ОС;
  • предотвращение обхода АПМДЗ и загрузки ПЭВМ с любых внешних носителей, кроме штатного носителя;
  • регистрацию попыток несанкционированного доступа в журнале событий;
  • контроль целостности конфигурации ПЭВМ, ядра и загрузочных модулей ОС, программного обеспечения и данных с поддержкой файловых систем FAT, NTFS, EXT2, EXT3, а также реестра Windows;
  • передачу информации о пользователе, прошедшем аутентификацию, в СЗИ поддерживаемой ОС;
  • возможность настройки параметров политики безопасности.

В семейство АПМДЗ «Центурион» входят следующие модификации:

Cent models1

В состав АПМДЗ входят следующие компоненты:

  • плата АПМДЗ;
  • устройство для подключения к плате АПМДЗ аутентифицирующих носителей пользователя (АНП) одного из двух типов (зависит от изделия);
  • комплект аутентифицирующих носителей пользователя;
  • управляющий кабель RST (зависит от изделия);
  • технологическое ПО (загрузочный компакт-диск) для тестирования и подготовки АПМДЗ к инициализации.
  • эксплуатационная документация на компакт-диске.

При старте рабочей станции АПМДЗ производит идентификацию и аутентификацию пользователя, обеспечивает блокировку загрузки нештатной копии операционной системы или программ с любых носителей информации, кроме штатного носителя, контроль целостности конфигурации компьютера, программной среды и критических областей. В случае успешной аутентификации и контроля целостности, становится возможной загрузка операционной системы.

В качестве аутентифицирующего носителя пользователя (АНП) используется устройство сенсорной памяти Touch Memory или Электронный ключ пользователя (ЭКП), в зависимости от варианта исполнения изделия. ЭКП – миниатюрный электронный модуль, содержащий память и контроллер, подключаемый через штатный порт USB. АПМДЗ поддерживает до 32-х пользователей и 2 АНП администратора.

АПМДЗ выполняет контроль целостности в соответствии с ГОСТ 28147‑89.

АПМДЗ имеет в своем составе аппаратный датчик случайных чисел (ДСЧ), который используется для генерации кодов доступа, паролей пользователей и другой служебной информации. Кроме того, он доступен для СЗИ поддерживаемой ОС.

В АПМДЗ реализованы аппаратные защищенные часы реального времени, в соответствии с которыми синхронизируются процедуры смены кодов доступа и паролей, а также контролируется несанкционированное изменение часов реального времени ПЭВМ.

Любые попытки несанкционированного доступа до загрузки ОС фиксируются в специальном журнале, который доступен только администратору АПМДЗ. Емкость журнала — 256 событий.

Администратор АПМДЗ может локально управлять пользователями (регистрация и изменение атрибутов), а также выполнять настройку общих параметров работы АПМДЗ. Кроме этого, администратору доступен набор сервисных функций, упрощающих процедуры инициализации и администрирования большого количества ПЭВМ, оснащенных АПМДЗ.

АПМДЗ предназначен для эксплуатации в составе ПЭВМ в соответствии требованиями, предъявляемыми к соответствующему климатическому исполнению, в режиме круглосуточной или сменной работы с возможностью многократного включения и отключения электропитания в течение суток.

Изделие АПМДЗ «Центурион» соответствует требованиям ФСБ России к АПМДЗ ЭВМ по классу 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну

АПМДЗ «Центурион»

cent2

АПМДЗ «Центурион» применяется в IBM-совместимых ПЭВМ архитектуры Intel на базе процессора Pentium IV (или выше) или совместимым с ним (группа исполнения 1.1). Системная плата ПЭВМ должна иметь свободный слот расширения стандарта PCI 2.1 или 2.2 (3,3 В или 5,0 В, 32 bit, 33 MHz). Устройство для подключения аутентифицирующих носителей пользователя (АНП) подсоединяется непосредственно к плате АПМДЗ и выводится на переднюю панель ПЭВМ. Подключение АНП возможно через USB интерфейс. Блокировка ПЭВМ осуществляется посредством управления сигналом RESET материнской платы.

АПМДЗ «Центурион-Е»

cent e

Применяется в IBM-совместимых ПЭВМ архитектуры Intel на базе процессора Pentium IV (или выше) или совместимым с ним (группа исполнения 1.1). Системная плата ПЭВМ должна иметь свободный слот расширения стандарта PCI Express. Устройство для подключения аутентифицирующих носителей пользователя (АНП) подсоединяется непосредственно к плате АПМДЗ и выводится на переднюю панель ПЭВМ. Подключение АНП возможно и через USB интерфейс. Блокировка ПЭВМ осуществляется посредством управления сигналом RESET материнской платы.

АПМДЗ «Центурион-Н»

cent n

Применяется в Носимых рабочих станциях (ноутбуках) и индустриальных ПЭВМ архитектуры Intel на базе процессора Intel Pentium IV (или выше), выполненных в конструктиве notebook. Группа исполнения 1.1 и 1.3 УХЛ. Носимая рабочая станция может подвергаться значительным климатическим и механическим воздействиям (например, вибрация) в процессе транспортировки. АПМДЗ «Центурион‑Н» подключается к шине miniPCI (тип III) (Rev 2.1, 32 bit, 33 MHz) и имеет габаритные размеры 60мм х 45мм х 4мм. Подключение АНП возможно через USB-интерфейс. Блокировка ПЭВМ осуществляется посредством управления сигналом POWER.

АПМДЗ «Центурион-М»

cent m

Применяется в Мобильных ПЭВМ и серверах архитектуры Intel на базе процессора Intel Pentium IV (или выше), выполненная в конструктиве Евромеханика согласно группам исполнения 1.3 УХЛ и имеющая свободный слот расширения стандарта PCI (Rev 2.1, форм-фактор PMC 1.0). Данные ПЭВМ предназначены для установки и работы во временных сооружениях или в кунгах. Диапазон рабочих температур: от -40 до +55°С. Для подключения АНП возможно использовать встроенный интерфейс, а также интерфейс USB.

Центурион является лучшим отечественным модулем доверенной загрузки, предназначенным для работы с государственной и коммерческой тайной из представленных на рынке, потребителями этой техники являются государственные ведомства, госкорпорации, стратегические компании, частный бизнес.

Есть проблема — полковник потерял логин и пароль на вход в МСВС. Я единственный из части, кто хоть как-то разбирается в IT. Необходимо либо сбросить пароль либо зайти без него. В сам компьютер вставлять ничего нельзя, он опечатан. Версия ядра — 2.4.32. Обещали за это 3 увала — очень хотелось бы с девушкой встретиться:) Помогите кто-нибудь! Пытался загрузить через boot single, но тоже требует пароль.

Пароль на grub (или что там есть) установлен?

Если систему не дураки настраивали/устанавливали, то никак.

В сам компьютер вставлять ничего нельзя, он опечатан.

у меня для тебя плохие новости.

А если по сети попробовать загрузить?

> А если по сети попробовать загрузить?

О! И на bios тоже. Пароль установлен?

>Пытался загрузить через boot single, но тоже требует пароль.

single да, требует. А вот init=/bin/bash нет. Надеюсь, в МСВС его не переименовывали :)

попробуй дать GRUB параметр init=/bin/sh

пароль на BIOS проще подобрать, чем на систему :)

Кстати, там, ЕМНИП, selinux включен, после таких фокусов может потребоваться relabel. Тут не подскажу — не знаю

Спасибо, сейчас попробую

Может я что не так делаю, просто нуб к сожалению. При загрузке жму Tab, вылезает консоль. Там сверху написано так

Если набрать МСВС то грузится обычная система и спрашивает пароль. Если набрать MСВС -init=/bin/bash, то сразу просит пароль, то же самое и с single и с /bin/sh. Может я что-то делаю не так? Или ещё есть какие методы? Чувствую не видать мне увалов. Всем спасибо, кто пытался помочь.

просто init=/bin/sh, без ‘-‘

>> MСВС -init=/bin/bash

init без ‘-‘. Похоже Lilo с установленным паролем, который запрашивается при любых дополнительных параметрах загрузки. Если нет физического доступа к носителям, то остаётся только перебор.

> MСВС -init=/bin/bash
init=/bin/bash
и всё не катит?

Однофигственно, тот же результат, система хочет пароль(

> Однофигственно, тот же результат, система хочет пароль(

А ты можешь сказать, система это или загрузчик? Если загрузчик, то без втыкания чего-нибудь в комп обойтись нельзя.

без МСВС что говорит?

Доступ к настройкам BIOS есть? Возможность загрузки по сети? Сетевуха интегрированная или дискретная?

Если возможности загрузки по сети нет, то я спокоен за российскую армию.

init=/bin/bash — команда просто не выполняется. Подбор нереален — пароль 10-12 символов в разных регистрах. В общем всё ясно, надо узнать, может, разрешат вскрыть комп.

Доступа к BIOS нет, по сети нельзя загрузиться, т.к. комп к ней нельзя подключать. Он подключен только непосредственно к комплексу радиоперехвата и выдачи целеуказания через сетевуху встроенную, Вытащить и вставить кабель из сетевухи или из комплекса нельзя, там хитрая конструкция. Это что-то типо пульта управления, называется пост начальника смены. Узнал только что, вскрывать нельзя. В руководстве пользователя в таких случаях написано вызвать специалиста ВНИИС, видимо так и поступят.

к комплексу радиоперехвата и выдачи целеуказания

Очень хорошо, я таки спокоен за российские вооружённые силы :)

> я таки спокоен за российские вооружённые силы :)

> В руководстве пользователя в таких случаях написано вызвать специалиста ВНИИС, видимо так и поступят.

Не забудьте потребовать с этого человека передачку за неявную рекламу ВНИИС!

Под доверенной загрузкой принято понимать реализацию загрузки операционной системы с определенного носителя (например, внутреннего жесткого диска защищаемого компьютера). Загрузка с других носителей должна блокироваться. Причем она происходит только после выполнения идентификации и аутентификации пользователя, а также проверки целостности программного и аппаратного обеспечения компьютера. Тем самым обеспечивается защита компьютера от НСД на важнейшей фазе его функционирования – этапе загрузки операционной системы.

Основные сведения о МДЗ

Модуль доверенной загрузки представляет собой комплекс аппаратно-программных средств (плата, аппаратные средства идентификации и аутентификации, программное обеспечение для поддерживаемых операционных систем), устанавливаемый на рабочее место вычислительной системы (персональный компьютер, сервер, ноутбук, специализированный компьютер и др.). Для примера на рисунке представлен базовый комплект поставки МДЗ «Программно-аппаратный комплекс «Соболь». Версия 3.0″ для шины PCI Express.

Программно-аппаратный комплекс «Соболь» для шины PCI Express

Для установки МДЗ требуется свободный разъем материнской платы (для современных компьютеров – стандарты PCI, PCI-X, PCI Express, mini-PCI, mini-PCI Express) и незначительный объем памяти жесткого диска защищаемого компьютера.

Модули доверенной загрузки обеспечивают выполнение следующих основных функций. В первую очередь, это идентификация и аутентификация пользователей до загрузки операционной системы с помощью персональных электронных идентификаторов (USB-ключи, смарт-карты, идентификаторы iButton и др.), а также контроль целостности программного и аппаратного обеспечения компьютера до загрузки операционной системы. Затем — блокировка несанкционированной загрузки операционной системы с внешних съемных носителей, функционирование сторожевого таймера, позволяющего блокировать работу компьютера при условии, что после его включения и по истечении определенного времени управление не было передано плате МДЗ и контроль работоспособности основных компонентов МДЗ (энергонезависимой памяти, идентификаторов, датчика случайных чисел и др.). И наконец, регистрация действий пользователей и совместная работа с внешними приложениями (датчики случайных чисел, средства идентификации и аутентификации, программные средства защиты информации и др.).

При первичной настройке (инициализации) МДЗ осуществляется регистрация администратора модуля, которому в дальнейшем предоставляются права регистрировать и удалять учетные записи пользователей, управлять параметрами работы модуля, просматривать журнал событий и управлять списком объектов, целостность которых должна контролироваться до загрузки операционной системы. В случае появления нарушений при проверке целостности объектов возможность работы на компьютере для обычных пользователей блокируется. В некоторых МДЗ реализована поддержка возможности удаленного управления параметрами работы.

Российский рынок МДЗ и тенденции его развития

Родоначальником отечественных МДЗ является Особое конструкторское бюро систем автоматизированного проектирования (ОКБ САПР), разработавшее модуль доверенной загрузки «Аккорд-АМДЗ». Первый сертификат соответствия Гостехкомиссии России компания получила в декабре 1994 года. В 1999 году в стенах НИП «Информзащита» был создан первый МДЗ – «Электронный замок «Соболь», впоследствии получивший название «Программно-аппаратный комплекс «Соболь». В 2010 году было продано почти 25 тыс. МДЗ семейства «Соболь».

На российском рынке информационной безопасности можно встретить следующие изделия: программно-аппаратные комплексы (ПАК) семейства «Соболь» разработки «Код Безопасности», входящего в группу компаний «Информзащита»; ПАК средств защиты информации от несанкционированного доступа (СЗИ НСД) семейства «Аккорд-АМДЗ» – ОКБ САПР; АПМДЗ семейства «Криптон-Замок» – фирмы «Анкад»; АПМДЗ «Максим» – «НПО «РусБИТех»; АПМДЗ семейства «Цезарь» – Всероссийского НИИ автоматизации управления в непромышленной сфере им. В. В. Соломатина; аппаратный модуль Diamond ACS HW в составе средства контроля и разграничения доступа Diamond ACS – «ТСС».

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) в информационных системах.

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

В настоящей методике безопасности приведены следующие варианты нейтрализации угроз безопасности:

    Обновление загрузчика grub2. Полностью устраняет обнаруженные уязвимости;

Нейтрализовать возможность эксплуатации уязвимостей можно применив любой из указанных способов или применив их совместно в любом сочетании.

Обновление загрузчика grub2

Проверить соответствие контрольной суммы архива, выполнив команду:

Распаковать архив, выполнив команду:

Перейти в распакованный каталог :

Выполнить обновление установленных пакетов:

Включение контроля целостности при помощи АПМДЗ

Использование контроля целостности при помощи АПМДЗ нейтрализует возможность эксплуатации существующих уязвимостей для пользователей, не являющихся администраторами АПМДЗ.

При возможности использовать АПМДЗ настроить контроль целостности средствами АПМДЗ в соответствии с документацией. Для АПМДЗ Максим-М1 рекомендации приведены в документе «Руководство администратора РУСБ.468266.003 И1» пункт 7.5 «Контроль целостности». Для АПМДЗ других производителей необходимая информация должна быть приведена в прилагаемой эксплуатационной документации. Минимальный набор контролируемых файлов:

  1. Файл /boot/grub/grub.cfg
  2. Образы ядра /boot/*vmlinuz*
  3. Файл /boot/efi/EFI/astralinuxse/grubx64.efi
  4. Загрузчик /boot/efi/EFI/Boot/bootx64.efi

При корректном применении настроек, доступ к операционной системе при изменении файла grub.cfg будет только у администратора АПМДЗ.

Переключение загрузочного раздела /boot в режим «только чтение» (read-only)

Переключение загрузочного раздела /boot в режим «только чтение» (read-only) нейтрализует возможность эксплуатации существующих уязвимостей.

Для перевода раздела в режим «только чтение» (read-only) отредактировать конфигурационный файл /etc/fstab добавив опцию монтирования ro:

После перезагрузки или перемонтирования дискового раздела файловая система в каталоге /boot будет доступна только для чтения.

Установка высокого уровня целостности на файловую систему.

Установка высокого уровня целостности на файловую систему нейтрализует возможность эксплуатации существующих уязвимостей.

Для установки высокого уровня целостности на файловую систему выполнить команду:

Или воспользоваться графической утилитой «Политика безопасности»:

  1. Выбрать раздел Мандатный контроль целостности → Режим эксперта;
  2. Выставить чек-бокс «Целостность файловой системы — Включено»:
  3. После установки мандатного контроля целостности на файловую систему выполнить перезагрузку системы.
  • grub2

CVE-2020-10713 CVE-2020-14308 CVE-2020-14309 CVE-2020-14310 CVE-2020-14311 CVE-2020-15706 CVE-2020-15707

Читайте также:

      

  • Сколько катушек зажигания акцент тагаз

    •   

  • Противоугонка своими руками на поло

    •   

  • Лопнул корпус термостата шевроле

    •   

  • Тойота платц не включается вентилятор охлаждения

    •   

  • Может ли дымить двигатель из за лямбда зонда
Источник

Понравилась статья? Поделить с друзьями:
  • Набор инструкций описывающих порядок действий исполнителя для достижения некоторого результата
  • Санвал инструкция по применению цена отзывы аналоги цена
  • Виасил таблетки для мужчин инструкция по применению
  • 8dc9 руководство по ремонту
  • Инструкция к стиральной машине медея mwt 70101