Средство доверенной загрузки «SafeNode System Loader» (СДЗ) представляет собой программно-техническое средство, встраиваемое в UEFI BIOS, обеспечивающее защиту от несанкционированного доступа к рабочим станциям и серверам с момента их включения до момента старта операционной системы.
Решаемые задачи
- Защита от несанкционированного доступа на этапе загрузки устройства.
- Обеспечение блокировки загрузки нештатных операционных систем.
- Выполнение требований приказов ФСТЭК России:
- №17 по защите государственных информационных систем (ГИС);
- №21 по защите информационных систем персональных данных (ИСПДн);
- №31 по защите автоматизированных систем управления технологическим процессом (АСУ ТП);
- №239 по защите значимых объектов критической информационной инфраструктуры (КИИ).
- Обеспечение доверенной загрузки в автоматизированных системах, обрабатывающих государственную тайну.
Преимущества продукта
- Возможность установки в UEFI BIOS различных производителей.
- Программная установка без вскрытия корпуса ПК.
- Централизованная установка, применение шаблонов администрирования и сбор аудита.
- Контроль неизменности UEFI методом проверки целостности состава его модулей, а также целостности системных таблиц UEFI.
- Двухфакторная аутентификация до загрузки операционной системы.
- Контроль работоспособности ОЗУ.
Сертификация
«SafeNode System Loader» соответствует требованиям руководящих документов ФСТЭК России к средствам доверенной загрузки уровня базовой системы ввода-вывода 2 класса и может использоваться для построения:
- автоматизированных систем, обрабатывающих сведения, составляющие государственную тайну, до класса защищённости 2А включительно;
- автоматизированных систем, не обрабатывающих сведения, составляющие государственную тайну, до класса защищенности 1Г включительно;
- государственных информационных систем до класса защищенности К1 включительно;
- информационных систем персональных данных до 1 уровня защищенности включительно;
- автоматизированных систем технологическими процессами до 1 класса защищенности включительно;
- значимых объектов критической информационной инфраструктуры до 1 категории включительно.
Ключевые возможности
Двухфакторная аутентификация
Двухфакторная аутентификация пользователей с помощью аппаратных носителей (токенов), пароля и их сочетания. Обеспечивается поддержка носителей:
- JaCarta PKI, JaCarta ГОСТ (USB-носитель и смарт-карта), JaCarta PKI/ГОСТ, JaCarta-2 ГОСТ (USB-носитель и смарт-карта);
- Рутокен ЭЦП, Рутокен ЭЦП 2.0 (USB-носитель и смарт-карта), Рутокен Lite, Рутокен 2151, Рутокен ЭЦП PKI (смарт-карта);
- eToken Pro Java;
- SafeNet eToken 5100, SafeNet eToken 5105, SafeNet eToken 5200, SafeNet eToken 5205.
Журнал событий безопасности
Централизованный сбор событий аудита.
Шаблоны администрирования
СДЗ настраивается как локально, так и централизованно с помощью шаблонов настроек политик безопасности.
Управление политиками
СДЗ обеспечивает возможность администрирования механизма контроля целостности и аутентификации путем создания настроек групповых политик.
СДЗ предоставляет возможность назначения каждому пользователю нескольких политик контроля целостности. В случае обнаружения нарушения целостности в нескольких политиках одновременно, применяются правила наиболее строгого типа блокировки.
СДЗ обеспечивает возможность формирования отчета о настройках безопасности на объекте информатизации для создания его паспорта.
В СДЗ реализована возможность расчета контрольных сумм для анализа целостности объектов по алгоритмам MD4, MD5, SHA1, SHA256, SHA384, SHA512. Компоненты, целостность которых контролируется:
- загрузочные сектора устройств хранения данных ЭВМ;
- аппаратное обеспечение (аппаратная конфигурация) ЭВМ;
- переменные и драйвера среды UEFI;
- таблицы ACPI и SMBIOS;
- журналы транзакций файловых систем NTFS, EXT3, EXT4;
- пользовательские файлы и файлы ОС, расположенные на файловых системах Ext2/Ext3/Ext4, FAT32, NTFS;
- реестр для ОС семейства Microsoft Windows.
Отчеты по политикам
СДЗ обеспечивает возможность формирования отчета о настройках и политиках безопасности, применяемых на объекте информатизации, в котором содержатся:
- перечень применяемых политик аутентификации и контроля целостности;
- список учетных записей пользователей;
- перечень контролируемых файлов, объектов реестра ОС Windows; параметров среды UEFI;
- загрузочных секторов и устройств;
- перечень доступных операционных систем;
- дополнительную информация об АРМ пользователя (подразделение, рабочее место, номер и имя ЭВМ и т.п.).
Защита от обхода и самотестирование
СДЗ обеспечивает:
- невозможность загрузки нештатной операционной системы;
- блокировку загрузки с внешних носителей;
- блокировку возможности обхода процесса доверенной загрузки с помощью внешних органов управления;
- защиту BIOS Setup от несанкционированной модификации;
- защиту от доступа пользователей в BIOS Setup;
- возможность блокировки загрузки пользователями нештатных копий ОС с различных устройств ввода информации.
А также:
- контролирует свое состояние и исключает возможность доступа к системе, если целостность программных модулей нарушена;
- отслеживает выполнение программного кода собственных модулей в однозначно определенном порядке.
Установка СДЗ
- СДЗ может быть установлено на совместимые рабочие станции и серверы как локально, так и централизованно. Установка должна проводиться опытным сотрудником при поддержке технических специалистов «Газинформсервис».
- СДЗ может быть предустановлено на устройство, при выпуске совместных решений компании «Газинформсервис» и производителей рабочих станций и серверов.
Широкая поддержка платформ
СДЗ обеспечивает доверенную загрузку:
- ОС семейств Microsoft Windows 2008R2/7/8.1/10/2012/2012R2/2016/2019, установленных на совместимые с архитектурой Intel x86-64 ЭВМ;
- ОС семейств Linux/Unix, поддерживающих стандарт Linux Standard Base (LSB) версии не ниже 3.0, в том числе систем виртуализации VMware ESX, VMware ESXi, установленных на совместимые с архитектурой Intel x86-64
- ЭВМ;
- ОС на ЭВМ с EFI/UEFI BIOS с версией спецификации 2.0 и выше.
А также обеспечивает поддержку:
- доверенной загрузки ОС с MBR и GPT-разделов;
- работы с загрузчиками GRUB, LILO, NTLDR и пр.
Ознакомьтесь со списком совместимого оборудования
Отказоустойчивость и восстановление СДЗ
- СДЗ поддерживает возможность восстановления доступа учетной записи администратора к СДЗ с помощью мастер-ключа, сохранённого на аппаратном носителе.
- СДЗ обеспечивает надежное восстановление в автоматическом режиме модулей ПО СДЗ после обнаружения нарушений целостности модулей.
- СДЗ обеспечивает возможность создания резервной копии BIOS до установки изделия на ЭВМ при запуске инсталлятора.