Журнал "Information Security/ Информационная безопасность" #6, 2020

пьютером с собственным процессором и собственной памятью, поэтому пере- программированные USB-накопители стали считаться важными и весьма веро- ятными каналами утечки. USB-накопи- тель "Транзит" не имеет никакой допол- нительной функциональности, это имен- но флешка, но флешка, которую нельзя перепрограммировать, которая точно не сможет быть использована иным спосо- бом, кроме как по прямому назначению. Новая гарвардская архитектура Существует два пути устранения уязвимости, заложенной в архитектуру компьютера, – установка в уязвимый компьютер специального устройства (такого, как "Аккорд-АМДЗ") или изме- нение архитектуры и создание компью- тера уже без уязвимости. Такая совер- шенная, не имеющая базовой уязвимо- сти машины Тьюринга архитектура суще- ствует – это разработанная ОКБ САПР Новая гарвардская архитектура [1]. Она обеспечивает: 1. Вирусный иммунитет. В основе дей- ствия программ, которые принято назы- вать "вирусами", лежит процесс "зара- жения". То есть они сначала в систему попадают, потом в нее записываются, стартуют и начинают действовать в соот- ветствии со своим предназначением. Антивирусы преимущественно борются с попаданием вирусов на компьютер. СЗИ с контролем запуска задач способны предотвратить работу вируса, даже если он заразил ПК. Новая гарвардская архи- тектура исключает сам факт заражения. 2. Доступная и контролируемая ком- плектация. В компьютерах Новой гар- вардской архитектуры не используются процессоры Intel, в которых есть Intel ME и другие ограничения. 3. Доверенная среда для СКЗИ. Одним из основных требований к среде функ- ционирования СКЗИ является ее зафик- сированность. В обычных компьютерах все очень легко изменяется и неизмен- ность среды обеспечивается большими техническими и организационными уси- лиями. В случае с Новой гарвардской архитектурой неизменность является одним из базовых признаков. Основной платформой для решений на базе Новой Гарвардской архитектуры на сегодняшний день является микро- компьютер с аппаратной защитой дан- ных m-TrusT. Специализированные АРМ По мере того как СВТ и средства защиты становятся сложнее, задача соз- дания защищенного автоматизирован- ного рабочего места (АРМ) из СВТ и средств защиты должна переходить от эксплуатирующей организации спе- циалистам. ОКБ САПР выпускает защи- щенные АРМ на базе своих продуктов: 1. Планшет СКЗИ ready "ПКЗ 2020", в котором установлен сертифицирован- ный ФСБ России "Аккорд-АМДЗ" на базе контроллера Аккорд-GXm.2 – средство доверенной загрузки (СДЗ) уровня платы расширения. В связи с этим на планшете создается требуемая среда функциони- рования криптографии и на нем можно использовать криптографию класса СКЗИ КС3. 2. ПАК "Ноутбук руководителя" пред- назначен для обеспечения защищенной работы удаленных пользователей с сер- висами доверенной распределенной информационной системы через сеть Интернет в рамках доверенного сеанса связи. В комплексе сохранены все пре- имущества мобильной рабочей станции, но при этом обеспечивается загрузка ОС в одном из режимов (защищенный и незащищенный). При выборе защищен- ного режима ОС загружается из защи- щенной от записи (RO) памяти комплекса СЗИ НСД "Аккорд-АМДЗ", жесткий диск ноутбука при этом не используется. Поль- зователю предоставляется изолирован- ная среда, в которой единственным доступным соединением является соеди- нение, разрешенное администратором. Незащищенный (обычный) режим харак- теризуется тем, что безопасность сете- вых соединений не контролируется, дей- ствия пользователя не ограничены, а ОС загружается из памяти ноутбука. Режим выбирается пользователем при включе- нии ноутбука: сначала загружается сер- висная ОС из состава ПАК "Ноутбук руководителя", которая проверяет нали- чие идентификатора, указывающего на выбор защищенного режима. В против- ном случае загружается обычная ОС. Аналогичным образом может быть реа- лизован "Планшет руководителя". 3. Двухконтурный моноблок – это моноблок, позволяющий пользователю работать в одной из двух защищен- ных ОС. Одна загружает- ся с жесткого диска моно- блока. При работе в этом режиме пользователь может устанав- ливать любое ПО и инициировать любые подключения в рамках заданных для него правил разграничения доступа: в ОС установлен ПАК "Аккорд-Win64". Вторая ОС загружается из защищенного от записи раздела памяти микроком- пьютера m-TrusT, то есть не просто с другого жесткого диска, а с другого компьютера. Работа в этих режимах может вестись параллельно, для пере- ключения не требуется ни перезагрузка, ни смена сеанса, все процессы продол- жаются в каждой ОС своим чередом. Инфраструктурные решения Задачи защиты информации уверенно смещаются от защиты отдельных рабо- чих мест к защите инфраструктур. На это направлены, в частности, все "двух- контурные" решения ОКБ САПР. Кроме того, есть инфраструктурные продукты, построенные на основе описанных тех- нологий и подходов: 1. ПАК "Центр-Т" – комплекс, обеспечи- вающий защищенное хранение и загрузку ОС на пользовательские СВТ системы удаленного доступа. В его основе – раз- деление ОС клиентского рабочего места на универсальную и изменяемую части. Универсальная часть образа ОС загру- жается с отчуждаемого персонального устройства пользователя, а затем со спе- циального сервера хранения и сетевой загрузки на клиент скачивается и (после успешной проверки целостности) загру- жается та его часть, которая требует администрирования. 2. Комплексы средств для защиты виртуализации – "Аккорд-В" и "Сегмент- В" (для VMware), "Аккорд-KVM" (для KVM), предназначенные для решения различных задач защиты информации в инфраструктурах виртуализации. 3. Система интеграции СЗИ НСД со СКУД и видеонаблюдением "Рассвет" позволяет интегрировать системы на нескольких уровнях, объединяя в одну подсистему идентификаторы, объекты доступа, оборудование контроля доступа к АРМ. Представленный спектр платформен- ных решений позволяет нам подходить к задачам заказчика индивидуально, а это всегда в радость и им, и нам. Список литературы: 1. Конявский В.А., Конявская С.В. Доверенные информационные техноло- гии: от архитектуры к системам и сред- ствам. М.: ЛЕНАНД, 2019. – 264 с. 2. Продукты и решения // ОКБ САПР. Официальный сайт. [Электронный ресурс]. URL: https://www.okbsapr.ru/prod- ucts/ (дата обращения: 11.12.2020). l • 45 ТЕХНОЛОГИИ www.itsec.ru Рис. 3 АДРЕСА И ТЕЛЕФОНЫ "ОКБ САПР" см. стр. 56 NM Реклама Рис. 2