поиск по сайту
СЗИ НСД «ИНАФ»

СЗИ НСД «ИНАФ»

Средство защиты информации от несанкционированного доступа (СЗИ НСД) «Инаф» представляет собой аппаратный модуль на шине USB, предназначенный для применения на автономных ПК, серверах и рабочих станциях локальной сети.

СЗИ НСД «ИНАФ»

Возможности

СЗИ НСД «Инаф» обеспечивает выполнение следующих основных функций:

  • аппаратный контроль целостности технических, программных средств, условно-постоянной информации СВТ до загрузки ОС, с реализацией пошагового алгоритма контроля;
  • возможность доверенной загрузки операционной системы, а также системного и прикладного ПО при одновременной установке на дисках или в логических разделах диска СВТ нескольких ОС;
  • автоматическое ведение протокола регистрируемых событий на этапе доверенной загрузки операционной системы (в системном журнале, размещенном в энергонезависимой памяти аппаратной части комплекса);
  • администрирование встроенного ПО комплекса (генерацию пароля администратора и определение его параметров; назначение файлов для контроля целостности и режимов контроля, работу с журналом регистрации системных событий, контроль аппаратной части СВТ) и разделение прав администратора безопасности информации комплекса и пользователя СВТ;
  • регистрация, сбор, хранение и выдача данных о событиях, происходящих в СВТ (РС) в части системы защиты от несанкционированного доступа.

Основные характеристики

Программно-информационная часть комплекса, включающая прошивку контроллера, базу контроля, журнал регистрации событий и средства администрирования, размещена в энергонезависимой памяти контроллера. Этим обеспечивается возможность проведения процедур контроля целостности технических и программных средств СВТ, администрирования и аудита средствами СЗИ НСД «Инаф» на аппаратном уровне до загрузки ОС.

Комплекс обеспечивает выполнение основных функций защиты от НСД как в составе локальной СВТ, так и на рабочих станциях ЛВС в составе комплексной системы защиты от НСД ЛВС, в том числе настройку, контроль функционирования и управление комплексом.

Комплекс СЗИ НСД «ИНАФ»:

  • может использоваться в составе СВТ с центральным процессором архитектуры x86 (IA-32) или x86-64 (AMD64), с объемом динамической оперативной памяти (RAM) не менее 128 Мб;
  • требует для установки соответствующий свободный USB-разъем СВТ;
  • предполагает наличие на СВТ любой из ОС, использующей поддерживаемую комплексом файловую систему (FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, FreeBSD UFS/UFS2, Solaris UFS, QNX4, MINIX);
  • поддерживает многопользовательский режим эксплуатации СВТ;
  • обеспечивает контроль целостности аппаратных средств СВТ (РС) до загрузки ОС;
  • обеспечивает контроль целостности программ и данных до загрузки ОС, защиту от внедрения разрушающих программных воздействий (РПВ);
  • обеспечивает контроль целостности отдельных ветвей реестра (для ОС семейства Windows);
  • обеспечивает администрирование системы (назначение файлов для контроля целостности, контроль аппаратной части СВТ, просмотр системного журнала);
  • имеет аппаратный датчик случайных чисел (ДСЧ).

В зависимости от конструктивных возможностей СВТ возможна как установка контроллера «Инаф» внутри корпуса СВТ в качестве штатного устройства с USB-разъемом типа А, так и подключение к штырьковому разъему непосредственно на материнской плате СВТ.

Поскольку контроллер «Инаф» реализован в форм-факторе USB-устройства, он не требует для своей установки наличия на СВТ свободного PCI-слота и может применяться в случаях, когда используются blade-серверы, в которых отсутствуют PCI-слоты, но имеются свободные внутренние или внешние USB-разъемы.

СЗИ НСД «ИНАФ»

Принцип и работы и особенности использования

Перед началом работы с СЗИ НСД «Инаф» пользователь «Инаф» настраивает в BIOS компьютера загрузку с контроллера «Инаф» как с жесткого диска.

Во время старта компьютера «Инаф» получает управление, проводит процедуры контроля целостности аппаратуры и файлов, и в случае успешного завершения данной процедуры передает управление ОС на диске.

«Инаф» может использоваться в рамках реализации двух типов сценариев:

Стационарная установка в СВТ.

Данный тип сценария используется в том случае, когда необходима непрерывная реализация функционала «Инаф». В этом случае контроллер соответствующим образом настроен и подключен к USB-порту СВТ постоянно. Каждый раз перед загрузкой ОС пользователем СВТ контроллер «Инаф» выполняет процедуру контроля целостности определенных заранее объектов. В случае нарушения целостности загрузка ОС блокируется и требуется вмешательство администратора безопасности информации (пользователя «Инаф»).

Для корректного осуществления работы по данному типу сценария необходимо:

  • установить в BIOS вариант загрузки с «Инаф» как с жесткого диска;
  • установить пароль на вход в BIOS;
  • принять административные меры, исключающие несанкционированное отключение устройства от USB-порта:
  • ограничить физический доступ к СВТ и/или
  • зафиксировать устройства с помощью специальных креплений и/или голографической наклейки или установить контроллер внутрь корпуса СВТ.

Использование в качестве мобильного устройства.

Данный тип сценария используется в том случае, когда нет необходимости выполнять процедуры контроля целостности объектов постоянно и запрещать для пользователей СВТ загрузку ОС в случае нарушения целостности, а нужно только выявить сам факт нарушения целостности установленных на контроль объектов.

В этом случае сначала выполняются все необходимые настройки подключенного к СВТ контроллера «Инаф», затем контроллер извлекается из СВТ и хранится в надежном месте (например, в сейфе). Пользователи СВТ работают в обычном режиме, а пользователь «Инаф» периодически подключает к СВТ свой контроллер «Инаф» с целью убедиться в неизменности состава СВТ и установленных ранее на контроль объектов.

Возможен также вариант работы с СЗИ НСД «Инаф», когда контроллер подключается к СВТ каждый раз перед началом сеанса работы и извлекается из СВТ после ее выключения.

Для корректного осуществления работы по данному типу сценария обязательно должны быть предусмотрены специальные регламенты действий пользователей, в чьи обязанности входит запуск СВТ, так как наличие «Инаф» в USB-порту должны контролировать именно они.

Следует помнить о том, что поскольку для работы с «Инаф» требуется настраивать порядок загрузки ОС в BIOS компьютера, необходимо накладывать определенные ограничения (особенно в случае стационарной установки СЗИ НСД «Инаф» в СВТ) на доступ пользователей СВТ к BIOS (путем установки пароля на BIOS), а также контролировать целостность BIOS средствами «Инаф».

Идентификаторы

В качестве идентификатора пользователя «Инаф» могут использоваться ТМ-идентификаторы, смарт-карты, ПСКЗИ ШИПКА (на базе ШИПКА-лайт или других моделей).

Если планируется использовать в качестве идентификатора ПСКЗИ ШИПКА (на базе ШИПКА-лайт или других моделей), то никаких дополнительных кабелей для этого не потребуется, ШИПКУ можно будет подключать напрямую в USB-порт, или через USB-удлинитель, если свободный USB-порт расположен неудобно.

Персональные идентификаторы и съемники информации заказываются отдельно.