Лекция: Программно-аппаратный комплекс
«Соболь» (версия 3.0)
Программно-аппаратный комплекс «Соболь» – это средство защиты компьютера от несанкционированного доступа, обеспечивающее доверенную загрузку.
ПАК «Соболь» обеспечивает контроль и регистрацию доступа пользователей к компьютерам, осуществляет контроль целостности программной среды и доверенную загрузку установленных операционных систем.
ПАК «Соболь» версия 3.0 сертифицирован ФСБ РФ (сертификат No СФ/027–1450 от 01.04.2010) и ФСТЭК России (сертификат No 1967 от 07.12.2009, переоформлен 11.03.2010), что позволяет использовать «Соболь» для защиты информации, составляющей коммерческую или государственную тайну в автоматизированных системах с классом защищенности до 1Б включительно.
Назначение:
ПАК «Соболь» может быть использован для того, чтобы:
• Доступ к информации на компьютере получили только те сотрудники, которые имеют на это право.
• В случае повреждения ОС или важных информационных массивов, хранящихся на компьютере, администратор мог вовремя принять меры по восстановлению информации.
Основные возможности:
Аутентификация пользователей.
Идентификация и усиленная (двухфакторная) аутентификация пользователей с использованием персональных идентификаторов. В качестве персональных идентификаторов пользователей могут применяться:
— iButton
— eToken PRO
— iKey 2032
— Rutoken S
— Rutoken RF S
Блокировка загрузки ОС со съёмных носителей.
— После успешной загрузки штатной копии ОС доступ к этим устройствам восстанавливается.
— Запрет распространяется на всех пользователей компьютера, за исключением администратора.
Контроль целостности функционирует под управлением операционных систем, использующих следующие файловые системы: NTFS5, NTFS, FAT32, FAT16 и FAT12.
Администратор имеет возможность задать режим работы электронного замка, при котором будет блокирован вход пользователей в систему при нарушении целостности контролируемых файлов.
Электронный замок «Соболь» обеспечивает запрет загрузки операционной системы со съемных носителей на аппаратном уровне для всех пользователей компьютера, кроме администратора.
Контроль целостности.
Используемый в комплексе «Соболь» механизм контроля целостности позволяет контролировать неизменность файлов и физических секторов жесткого диска до загрузки операционной системы.
— Для этого вычисляются некоторые контрольные значения проверяемых объектов и сравниваются с ранее рассчитанными для каждого из этих объектов эталонными значениями.
— Формирование списка подлежащих контролю объектов с указанием пути к каждому контролируемому файлу и координат каждого контролируемого сектора производится с помощью программы управления шаблонами контроля целостности.
Сторожевой таймер.
Механизм сторожевого таймера обеспечивает блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса «Соболь».
Регистрация попыток доступа к ПЭВМ.
ПАК «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. Таким образом, электронный замок «Соболь» предоставляет администратору информацию обо всех попытках доступа к ПЭВМ. В системном журнале фиксируются следующие события:
— факт входа пользователя и имя пользователя;
— предъявление незарегистрированного идентификатора пользователя;
— введение неправильного пароля;
— превышение числа попыток входа в систему;
— число и дата НСД.
Поддержка платы PCI-Express.
Достоинства ПАК «Соболь»:
• Наличие сертификатов ФСБ и ФСТЭК России;
• Защита информации, составляющей государственную тайну;
• Помощь в построении прикладных криптографических приложений;
• Простота в установке, настройке и эксплуатации;
• Поддержка 64х битных операционных систем Windows;
• Поддержка идентификаторов iKey 2032, eToken PRO и Rutoken v.2.0.
Преимущества ПАК «Соболь»:
• соответствие законодательным требованиям;
• защита от угроз связанных с получением доступа к компонентам ИСПДн (разграничение доступа, запрет загрузки с внешних носителей и т.д.);
• обеспечивает защиту от НСД и защиту персональных данных;
• соответствие условиям эксплуатации, прописанным в формулярах на продукты Secret Net, «Континент-АП», «КриптоПро CSP», СКЗИ М506А-2000 и М506А-ХР.