Средство доверенной загрузки «SafeNode System Loader» (СДЗ) представляет собой программно-техническое средство, встраиваемое в UEFI BIOS, обеспечивающее защиту от несанкционированного доступа к рабочим станциям и серверам с момента их включения до момента старта операционной системы.

Решаемые задачи

  • Защита от несанкционированного доступа на этапе загрузки устройства.
  • Обеспечение блокировки загрузки нештатных операционных систем.
  • Выполнение требований приказов ФСТЭК России:
    • №17 по защите государственных информационных систем (ГИС);
    • №21 по защите информационных систем персональных данных (ИСПДн);
    • №31 по защите автоматизированных систем управления технологическим процессом (АСУ ТП);
    • №239 по защите значимых объектов критической информационной инфраструктуры (КИИ).
  • Обеспечение доверенной загрузки в автоматизированных системах, обрабатывающих государственную тайну.

Преимущества продукта

  • Возможность установки в UEFI BIOS различных производителей.
  • Программная установка без вскрытия корпуса ПК.
  • Централизованная установка, применение шаблонов администрирования и сбор аудита.
  • Контроль неизменности UEFI методом проверки целостности состава его модулей, а также целостности системных таблиц UEFI.
  • Двухфакторная аутентификация до загрузки операционной системы.
  • Контроль работоспособности ОЗУ.

Сертификация

«SafeNode System Loader» соответствует требованиям руководящих документов ФСТЭК России к средствам доверенной загрузки уровня базовой системы ввода-вывода 2 класса и может использоваться для построения:

  • автоматизированных систем, обрабатывающих сведения, составляющие государственную тайну, до класса защищённости 2А включительно;
  • автоматизированных систем, не обрабатывающих сведения, составляющие государственную тайну, до класса защищенности 1Г включительно;
  • государственных информационных систем до класса защищенности К1 включительно;
  • информационных систем персональных данных до 1 уровня защищенности включительно;
  • автоматизированных систем технологическими процессами до 1 класса защищенности включительно;
  • значимых объектов критической информационной инфраструктуры до 1 категории включительно.

Ключевые возможности

Двухфакторная аутентификацияДвухфакторная аутентификация

Двухфакторная аутентификация пользователей с помощью аппаратных носителей (токенов), пароля и их сочетания. Обеспечивается поддержка носителей:

  • JaCarta PKI, JaCarta ГОСТ (USB-носитель и смарт-карта), JaCarta PKI/ГОСТ, JaCarta-2 ГОСТ (USB-носитель и смарт-карта);
  • Рутокен ЭЦП, Рутокен ЭЦП 2.0 (USB-носитель и смарт-карта), Рутокен Lite, Рутокен 2151, Рутокен ЭЦП PKI (смарт-карта);
  • eToken Pro Java;
  • SafeNet eToken 5100, SafeNet eToken 5105, SafeNet eToken 5200, SafeNet eToken 5205.

Журнал событий безопасностиЖурнал событий безопасности

Централизованный сбор событий аудита.

Шаблоны администрированияШаблоны администрирования

СДЗ настраивается как локально, так и централизованно с помощью шаблонов настроек политик безопасности.

Управление политикамиУправление политиками

СДЗ обеспечивает возможность администрирования механизма контроля целостности и аутентификации путем создания настроек групповых политик.

СДЗ предоставляет возможность назначения каждому пользователю нескольких политик контроля целостности. В случае обнаружения нарушения целостности в нескольких политиках одновременно, применяются правила наиболее строгого типа блокировки.

СДЗ обеспечивает возможность формирования отчета о настройках безопасности на объекте информатизации для создания его паспорта.

В СДЗ реализована возможность расчета контрольных сумм для анализа целостности объектов по алгоритмам MD4, MD5, SHA1, SHA256, SHA384, SHA512. Компоненты, целостность которых контролируется:

  • загрузочные сектора устройств хранения данных ЭВМ;
  • аппаратное обеспечение (аппаратная конфигурация) ЭВМ;
  • переменные и драйвера среды UEFI;
  • таблицы ACPI и SMBIOS;
  • журналы транзакций файловых систем NTFS, EXT3, EXT4;
  • пользовательские файлы и файлы ОС, расположенные на файловых системах Ext2/Ext3/Ext4, FAT32, NTFS;
  • реестр для ОС семейства Microsoft Windows.

Отчеты по политикамОтчеты по политикам

СДЗ обеспечивает возможность формирования отчета о настройках и политиках безопасности, применяемых на объекте информатизации, в котором содержатся:

  • перечень применяемых политик аутентификации и контроля целостности;
  • список учетных записей пользователей;
  • перечень контролируемых файлов, объектов реестра ОС Windows; параметров среды UEFI;
  • загрузочных секторов и устройств;
  • перечень доступных операционных систем;
  • дополнительную информация об АРМ пользователя (подразделение, рабочее место, номер и имя ЭВМ и т.п.).

Защита от обхода и самотестированиеЗащита от обхода и самотестирование

СДЗ обеспечивает:

  • невозможность загрузки нештатной операционной системы;
  • блокировку загрузки с внешних носителей;
  • блокировку возможности обхода процесса доверенной загрузки с помощью внешних органов управления;
  • защиту BIOS Setup от несанкционированной модификации;
  • защиту от доступа пользователей в BIOS Setup;
  • возможность блокировки загрузки пользователями нештатных копий ОС с различных устройств ввода информации.

А также:

  • контролирует свое состояние и исключает возможность доступа к системе, если целостность программных модулей нарушена;
  • отслеживает выполнение программного кода собственных модулей в однозначно определенном порядке.

Установка СДЗУстановка СДЗ

 

  • СДЗ может быть установлено на совместимые рабочие станции и серверы как локально, так и централизованно. Установка должна проводиться опытным сотрудником при поддержке технических специалистов «Газинформсервис».
  • СДЗ может быть предустановлено на устройство, при выпуске совместных решений компании «Газинформсервис» и производителей рабочих станций и серверов.

Широкая поддержка платформШирокая поддержка платформ

СДЗ обеспечивает доверенную загрузку:

  • ОС семейств Microsoft Windows 2008R2/7/8.1/10/2012/2012R2/2016/2019, установленных на совместимые с архитектурой Intel x86-64 ЭВМ;
  • ОС семейств Linux/Unix, поддерживающих стандарт Linux Standard Base (LSB) версии не ниже 3.0, в том числе систем виртуализации VMware ESX, VMware ESXi, установленных на совместимые с архитектурой Intel x86-64
  • ЭВМ;
  • ОС на ЭВМ с EFI/UEFI BIOS с версией спецификации 2.0 и выше.

А также обеспечивает поддержку:

  • доверенной загрузки ОС с MBR и GPT-разделов;
  • работы с загрузчиками GRUB, LILO, NTLDR и пр.

Ознакомьтесь со списком совместимого оборудования

Отказоустойчивость и восстановление СДЗОтказоустойчивость и восстановление СДЗ

 

  • СДЗ поддерживает возможность восстановления доступа учетной записи администратора к СДЗ с помощью мастер-ключа, сохранённого на аппаратном носителе.
  • СДЗ обеспечивает надежное восстановление в автоматическом режиме модулей ПО СДЗ после обнаружения нарушений целостности модулей.
  • СДЗ обеспечивает возможность создания резервной копии BIOS до установки изделия на ЭВМ при запуске инсталлятора.

 

Документы
opisanie-primeneniya.pdf pdf, 524.04 КБ

Свяжитесь с нами

Заполняя эту форму, вы соглашаетесь с Политикой обработки персональных данных