СЗИ НСД «ИНАФ»

Средство защиты информации от несанкционированного доступа (СЗИ НСД) «Инаф» представляет собой аппаратный модуль на шине USB, предназначенный для применения на автономных ПК, серверах и рабочих станциях локальной сети.

СЗИ НСД «ИНАФ»

Возможности

СЗИ НСД «Инаф» обеспечивает выполнение следующих основных функций:

  • аппаратный контроль целостности технических, программных средств, условно-постоянной информации СВТ до загрузки ОС, с реализацией пошагового алгоритма контроля;
  • возможность доверенной загрузки операционной системы, а также системного и прикладного ПО при одновременной установке на дисках или в логических разделах диска СВТ нескольких ОС;
  • автоматическое ведение протокола регистрируемых событий на этапе доверенной загрузки операционной системы (в системном журнале, размещенном в энергонезависимой памяти аппаратной части комплекса);
  • администрирование встроенного ПО комплекса (генерацию пароля администратора и определение его параметров; назначение файлов для контроля целостности и режимов контроля, работу с журналом регистрации системных событий, контроль аппаратной части СВТ) и разделение прав администратора безопасности информации комплекса и пользователя СВТ;
  • регистрация, сбор, хранение и выдача данных о событиях, происходящих в СВТ (РС) в части системы защиты от несанкционированного доступа.

Основные характеристики

Программно-информационная часть комплекса, включающая прошивку контроллера, базу контроля, журнал регистрации событий и средства администрирования, размещена в энергонезависимой памяти контроллера. Этим обеспечивается возможность проведения процедур контроля целостности технических и программных средств СВТ, администрирования и аудита средствами СЗИ НСД «Инаф» на аппаратном уровне до загрузки ОС.

Комплекс обеспечивает выполнение основных функций защиты от НСД как в составе локальной СВТ, так и на рабочих станциях ЛВС в составе комплексной системы защиты от НСД ЛВС, в том числе настройку, контроль функционирования и управление комплексом.

Комплекс СЗИ НСД «ИНАФ»:

  • может использоваться в составе СВТ с центральным процессором архитектуры x86 (IA-32) или x86-64 (AMD64), с объемом динамической оперативной памяти (RAM) не менее 128 Мб;
  • требует для установки соответствующий свободный USB-разъем СВТ;
  • предполагает наличие на СВТ любой из ОС, использующей поддерживаемую комплексом файловую систему (FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, FreeBSD UFS/UFS2, Solaris UFS, QNX4, MINIX);
  • поддерживает многопользовательский режим эксплуатации СВТ;
  • обеспечивает контроль целостности аппаратных средств СВТ (РС) до загрузки ОС;
  • обеспечивает контроль целостности программ и данных до загрузки ОС, защиту от внедрения разрушающих программных воздействий (РПВ);
  • обеспечивает контроль целостности отдельных ветвей реестра (для ОС семейства Windows);
  • обеспечивает администрирование системы (назначение файлов для контроля целостности, контроль аппаратной части СВТ, просмотр системного журнала);
  • имеет аппаратный датчик случайных чисел (ДСЧ).

В зависимости от конструктивных возможностей СВТ возможна как установка контроллера «Инаф» внутри корпуса СВТ в качестве штатного устройства с USB-разъемом типа А, так и подключение к штырьковому разъему непосредственно на материнской плате СВТ.

Поскольку контроллер «Инаф» реализован в форм-факторе USB-устройства, он не требует для своей установки наличия на СВТ свободного PCI-слота и может применяться в случаях, когда используются blade-серверы, в которых отсутствуют PCI-слоты, но имеются свободные внутренние или внешние USB-разъемы.

СЗИ НСД «ИНАФ»

Принцип и работы и особенности использования

Перед началом работы с СЗИ НСД «Инаф» пользователь «Инаф» настраивает в BIOS компьютера загрузку с контроллера «Инаф» как с жесткого диска.

Во время старта компьютера «Инаф» получает управление, проводит процедуры контроля целостности аппаратуры и файлов, и в случае успешного завершения данной процедуры передает управление ОС на диске.

«Инаф» может использоваться в рамках реализации двух типов сценариев:

Стационарная установка в СВТ.

Данный тип сценария используется в том случае, когда необходима непрерывная реализация функционала «Инаф». В этом случае контроллер соответствующим образом настроен и подключен к USB-порту СВТ постоянно. Каждый раз перед загрузкой ОС пользователем СВТ контроллер «Инаф» выполняет процедуру контроля целостности определенных заранее объектов. В случае нарушения целостности загрузка ОС блокируется и требуется вмешательство администратора безопасности информации (пользователя «Инаф»).

Для корректного осуществления работы по данному типу сценария необходимо:

  • установить в BIOS вариант загрузки с «Инаф» как с жесткого диска;
  • установить пароль на вход в BIOS;
  • принять административные меры, исключающие несанкционированное отключение устройства от USB-порта:
  • ограничить физический доступ к СВТ и/или
  • зафиксировать устройства с помощью специальных креплений и/или голографической наклейки или установить контроллер внутрь корпуса СВТ.

Использование в качестве мобильного устройства.

Данный тип сценария используется в том случае, когда нет необходимости выполнять процедуры контроля целостности объектов постоянно и запрещать для пользователей СВТ загрузку ОС в случае нарушения целостности, а нужно только выявить сам факт нарушения целостности установленных на контроль объектов.

В этом случае сначала выполняются все необходимые настройки подключенного к СВТ контроллера «Инаф», затем контроллер извлекается из СВТ и хранится в надежном месте (например, в сейфе). Пользователи СВТ работают в обычном режиме, а пользователь «Инаф» периодически подключает к СВТ свой контроллер «Инаф» с целью убедиться в неизменности состава СВТ и установленных ранее на контроль объектов.

Возможен также вариант работы с СЗИ НСД «Инаф», когда контроллер подключается к СВТ каждый раз перед началом сеанса работы и извлекается из СВТ после ее выключения.

Для корректного осуществления работы по данному типу сценария обязательно должны быть предусмотрены специальные регламенты действий пользователей, в чьи обязанности входит запуск СВТ, так как наличие «Инаф» в USB-порту должны контролировать именно они.

Следует помнить о том, что поскольку для работы с «Инаф» требуется настраивать порядок загрузки ОС в BIOS компьютера, необходимо накладывать определенные ограничения (особенно в случае стационарной установки СЗИ НСД «Инаф» в СВТ) на доступ пользователей СВТ к BIOS (путем установки пароля на BIOS), а также контролировать целостность BIOS средствами «Инаф».

Идентификаторы

В качестве идентификатора пользователя «Инаф» могут использоваться ТМ-идентификаторы, смарт-карты, ПСКЗИ ШИПКА (на базе ШИПКА-лайт или других моделей).

Если планируется использовать в качестве идентификатора ПСКЗИ ШИПКА (на базе ШИПКА-лайт или других моделей), то никаких дополнительных кабелей для этого не потребуется, ШИПКУ можно будет подключать напрямую в USB-порт, или через USB-удлинитель, если свободный USB-порт расположен неудобно.

Персональные идентификаторы и съемники информации заказываются отдельно.


Данный текст взят с сайта http://www.accord.ru