Elektronisches Schloss. Elektronisches Schloss Sobol Hardware- und Softwarekomplex Sobol Version 3.0 PCI

Hardware- und Softwaresystem PAK „Sobol“ 4.0 ist ein elektronisches Schloss zum Schutz Ihres Computers vor unbefugtem Zugriff (vertrauenswürdiges Boot-Hardware- und Softwaremodul). Das elektronische Schloss Sobol kann sowohl als Gerät zum Schutz eines eigenständigen Computers als auch verwendet werden Arbeitsplatz oder Server, die Teil eines lokalen Netzwerks sind.
Das elektronische Schloss Sobol dient zum Schutz von Personalcomputern, einschließlich Desktops, Laptops, Ultrabooks, sowie Servern und einer Reihe spezialisierter Geräte (kryptografische Gateways, Router usw.).
Das Produkt hat die Inspektionskontrolle beim Föderalen Dienst für technische und Exportkontrolle Russlands auf Übereinstimmung mit den Richtlinien für die 2. Kontrollstufe für das Fehlen nichtkonformer Stoffe bestanden und kann in Kraftwerken bis einschließlich Klasse 1B und verwendet werden ISPDn der höchsten Sicherheitsstufe. Aktualisierte Version PAK „Sobol“ wurde auch an das FSB Russlands übergeben, wo thematische Kontrolltests durchgeführt werden, um die vorhandenen Konformitätszertifikate zu bestätigen.

Merkmale des elektronischen Schlosses Sobol:

• Benutzerauthentifizierung.
• Blockieren des Betriebssystemladens von Wechselmedien.
• Überwachung der Integrität der Softwareumgebung.
• Überwachung der Systemintegrität Windows-Registrierung.
• Computerkonfigurationskontrolle (PCI-Geräte, ACPI, SMBIOS).
• Watchdog-Timer.
• Registrierung von Zugriffsversuchen auf einen PC.

Vorteile des Sobol-Elektronikschlosses:

• Verfügbarkeit von FSB- und FSTEC-Zertifikaten Russlands.
• Schutz von Informationen, die Staatsgeheimnisse darstellen.
• Unterstützung beim Aufbau angewandter kryptografischer Anwendungen.
• Einfach zu installieren, zu konfigurieren und zu bedienen.
• Unterstützung für 64-Bit-Betriebssysteme Windows-Systeme(einschließlich Windows 8 und Windows Server 2012).
• Unterstützung für iButton-, iKey 2032-, eToken PRO-, eToken PRO (Java)- und Rutoken S/RF S-Identifikatoren.
• Flexible Auswahl an Platinenformaten (PCI, PCI-E, Mini PCI-E) und Konfigurationsoptionen.
• Unterstützung für das EXT 4-Dateisystem in Linux-Betriebssystemen.
• USB 2.0/3.0 Hi-Speed-Unterstützung für verbesserte Benutzerauthentifizierung.

Wichtigste Änderungen in Version 4.0 von PAK „Sobol“:

1. Betrieb in einer UEFI-Umgebung;
2. Unterstützung für Festplattenpartitionierung GPT-Format;
3. USB 3.0-kompatibel;
4. Unterstützung für Neue Betriebssysteme:

• Alt Linux SPT 7;
• Astra Linux Special Edition „Smolensk“ 1.5;
• VMware vSphere ESXi 5.5/6.

5. Die Anzahl der unterstützten Benutzer wurde von 32 auf 100 erhöht;
6. Die Anzahl der Sicherheitsprotokolleinträge wurde von 80 auf 2000 erhöht.
7. Die Liste der unterstützten Bezeichner wurde erweitert:\

• USB-Sticks JaCarta-2 GOST, JaCarta-2 PKI/GOST, JaCarta SF/GOST, Rutoken EDS und Rutoken Lite;
• Smartcards JaCarta-2 GOST, JaCarta-2 PKI/GOST.

PAK Sobol 3 ist ein elektronisches Schloss. Es handelt sich um eine Platine, die in einen Server oder eine Workstation eingesetzt wird. Sicherheit ist unser Alles. Dieses Produkt wird nicht auf Wunsch des Administrators installiert, sondern wenn entsprechende Anforderungen bestehen. Hersteller: Security Code LLC.

Lassen Sie uns HPE Proliant DL360 Gen10 auf dem Server installieren.

Links

Warum wird es benötigt?

• Schutz der Informationen vor unbefugtem Zugriff.
• Überwachung der Integrität von IS-Komponenten.
• Verbot des Ladens des Betriebssystems von externen Medien.
• Schutz vertraulicher Informationen und Staatsgeheimnisse gemäß den Anforderungen behördlicher Dokumente.
• Erhöhung der Schutzklasse von CIPF.

Vorteile

Hier habe ich aus der Broschüre kopiert und meine Kommentare hinzugefügt.

• Integritätskontrolle Systemregistrierung Windows, Computer-Hardwarekonfiguration und Dateien vor dem Laden des Betriebssystems.
• Erweiterte (was ist gestärkt? - Öl) Zwei-Faktor-Authentifizierung unter Verwendung moderner persönlicher elektronischer Identifikatoren (wenn wir den Intercom-Schlüssel als modernen elektronischen Identifikator betrachten).
• Einfach zu installieren, zu konfigurieren und zu verwalten.
• Möglichkeit der Software-Initialisierung ohne Öffnen Systemeinheit.
• Hardware-Sensor zufällige Zahlen, erfüllt die Anforderungen des FSB.

Möglichkeiten

• Überwachung der Integrität der Softwareumgebung. Kontrolle der Unveränderlichkeit von Dateien und physischen Daten Sektoren von hart Festplatte sowie Dateisysteme: NTFS, FAT16, FAT32, UFS, UFS2, EXT2, EXT3, EXT4 in Linux- und Windows-Betriebssystemen. Unterstützte Betriebssysteme:
  • Windows
    • Windows 7/8/8.1/10
    • Windows Server 2008/2008 R2/2012/2012 R2
  • Linux
    • MSWS 5.0 x64
    • Alt Linux 7.0 Centaur x86/x64
    • Astra Linux Special Edition „Smolensk“ 1.4 x64
    • CentOS 6.5 x86/x64
    • ContinentOS 4.2 x64
    • Debian 7.6 x86/x64
    • Mandriva ROSA „Nickel“ x86/x64
    • Red Hat Enterprise Linux 7.0 x64
    • Ubuntu 14.04 LTS Desktop/Server x86/x64
    • VMware vSphere ESXi 5.5 x64
  • Unterstützung für andere Betriebssysteme wird auf Anfrage beim Dienst bereitgestellt technische Unterstützung"Sicherheitscode".
• Identifikation und Authentifizierung.
  • Verwendung persönlicher elektronischer Identifikatoren:
    • iButton
    • eToken PRO
    • eToken PRO (Java)
    • Rutoken
    • Rutoken RF
    • eToken PRO-Smartcards
  • Booten des Betriebssystems von Festplatte erfolgt nur nach Vorlage der registrierten EI.
• Tagebuch schreiben. Führen eines Systemprotokolls, dessen Aufzeichnungen in einem speziellen nichtflüchtigen Speicher gespeichert werden. Die folgenden Ereignisse werden im Protokoll aufgezeichnet:
  • Die Tatsache, dass der Benutzer angemeldet ist und der Benutzername.
  • Vorlage eines nicht registrierten Ausweises.
  • Eingabe des falschen Passworts.
  • Die Anzahl der Anmeldeversuche wurde überschritten.
  • Datum und Uhrzeit der Registrierung von NSD-Veranstaltungen.
• Integritätskontrolle der Windows-Registrierung. Die Kontrolle der Unveränderlichkeit der Windows-Systemregistrierung erhöht den Schutz von Workstations unerlaubte Handlungen innerhalb des Betriebssystems.
• Hardware-Zufallszahlensensor. Erhöhung der Sicherheitsklasse von CIPF und Bereitstellung von Zufallszahlen für Anwendungssoftware.
• Konfigurationskontrolle.Überwachung der Konsistenz der Computerkonfiguration: PCI-Geräte, ACPI, SMBIOS und RAM.
• Verbot des Ladens von externen Medien. Verbot des Ladens des Betriebssystems von Wechselmedien (USB, FDD, DVD/CD-ROM, LPT, SCSI-Ports usw.).
• Watchdog-Timer. Blockieren des Zugriffs auf einen Computer mithilfe eines Watchdog-Timer-Mechanismus, wenn die Steuerung beim Einschalten nicht an den Sobol PAK übertragen wird.
• Software-Initialisierung. Möglichkeit, PAK „Sobol“ zu initialisieren programmatisch, ohne die Systemeinheit zu öffnen und den Jumper auf der Platine zu entfernen.

Arbeitsprinzip

Die Aufstellung

• PCI-Express 57x80
• Mini-PCI-Express
• Mini PCI Express halbe Größe
• M.2 A-E

Gedanken des Administrators

Wenn es von einem Angreifer empfangen wird voller Zugriff Dieses elektronische Schloss hilft nicht beim Zugriff auf eine Remote-Serverkonsole. Es genügt, in den UEFI-Boot-Modus zu wechseln und Sobol pflügt nicht – das Zwei-Faktor-System verwandelt sich in einen Kürbis. Es scheint, dass Sobol Version 4 jetzt in der Lage ist, in UEFI zu arbeiten, ich habe mir nicht angesehen, was da ist.

Mir ist der Satz „Einfache Verwaltung“ aufgefallen. Nur? Ja, es ist nicht schwierig. Komfortabel? Es ist überhaupt nicht bequem. Der Server wurde neu gestartet – gehen Sie zum Rechenzentrum. Es gibt keine normalen Mittel zur Remote-Zwei-Faktor-Authentifizierung.

Die Kontrolle der Registrierungsintegrität ist eine zweifelhafte Sache. Ja, er kontrolliert. Windows wurde aktualisiert – ein Ausflug ins Rechenzentrum. Es ist im Allgemeinen unsicher, Windows ohne Updates zu lassen, und Sobol stört diese Updates.

Ausrüstung

Aussehen

Eine Seite. Es sind Jumper auf der Platine, die werden wir später brauchen. Jumper in der Platinenebene haben keinen Einfluss auf den Betrieb; davon sind nur diejenigen betroffen, die senkrecht zur Platinenebene liegen. Ein Jumper J0 ist verbaut – offenbar stand Sobol schon irgendwo. Theoretisch sollte es erkennen, dass sich die Hardware geändert hat, und verhindern, dass sie funktioniert; wir werden dies während der Installation überprüfen.

Andere Seite.

Ansicht des Steckers.

Installation

Installieren Sie es auf dem Server.

Rückansicht.

Wir schließen einen externen Leser für iButton an.

Wir schalten den Server ein. Wir rufen das BIOS auf und schalten den Bootmodus auf Legacy um.

Wir speichern und starten den Server neu.

Damit Sable funktioniert, muss das System versuchen zu booten. Ich habe gerade nichts auf der Festplatte, also werde ich es mounten ISO-Image mit dem Betriebssystem-Installer.

Und das Herunterladen ist nicht möglich.

Weil es früher auf einem anderen Server lag. Der Schutz funktioniert. Schalten Sie alles aus. Lasst uns alles klären. Wir kommen zu den Springern auf Sobol.

Entfernen Sie den Jumper J0. Wir sammeln alles.

Sable übernimmt die Kontrolle.

Sable ohne Jumper J0 geht in den Initialisierungsmodus. Wählen Sie „Board initialisieren“.

Das Fenster „Allgemeine Systemeinstellungen“ wird geöffnet. Sie können die notwendigen Parameter einstellen. Drücken Sie Esc.

Das Fenster „Integritätskontrolle“ öffnet sich. Sie können die notwendigen Parameter einstellen. Drücken Sie Esc.

Wir warten. Sobol testet gerne den Zufallszahlensensor.

Die Erstregistrierung des Administrators wird durchgeführt. Ja.

Geben Sie das Passwort an. Eingeben.

Wir wiederholen das Passwort. Eingeben.

Wir werden aufgefordert, den Schlüssel einzuführen. Wir stecken das erste aus dem Lieferumfang ein.

Warnung, dass der Schlüssel formatiert wird. Ja.

Sind sie sicher? Erinnert mich an Windu. Ja.

Sollte ich meine Admin-ID sichern? Natürlich haben wir zwei Schlüssel. Wir holen den ersten Schlüssel heraus. Wählen Sie Ja.

Wir stecken den zweiten Schlüssel ein.

Sie fordern uns auf, den Pullover zurückzugeben. OK. Der Server wird heruntergefahren.

Wir gelangen zum Zobelbrett und stecken den Jumper wieder auf J0.

Wir schalten den Server ein.

Laden in Legacy. Sable übernimmt die Kontrolle.

Wir werden aufgefordert, den Schlüssel einzuführen. Lass es uns reinstecken.

Geben Sie das Passwort ein.

Drücke irgendeine Taste.

PAK „Sobol“ 3.0 ist ein Software- und Hardwarekomplex, bei dem es sich um ein elektronisches Schloss handelt, das den Computer vor unbefugtem Zugriff und vertrauenswürdigem Booten schützt. Der Einsatz des elektronischen Schlosses Sobol ist zum Schutz eines angeschlossenen Computers, Arbeitsplatzrechners oder Servers möglich lokales Netzwerk. Version 3.0 ist mit hoher Geschwindigkeit kompatibel USB-Modus 2.0/3.0.

PAK „Sobol“ 3.0 erfüllt alle Anforderungen und Standards der Bundesgesetzgebung, was durch das Zertifikat Nr. 1967 und die bestandene Inspektionskontrolle durch das FSTEC der Russischen Föderation zur Einhaltung der maßgeblichen Dokumente für die zweite Kontrollebene bestätigt wird.

„Sobol“ 3.0 ist wie ein elektronisches Schloss zum Schutz von Personalcomputern (einschließlich Ultrabooks, Laptops, Desktops), Servern und Spezialgeräten wie Routern, kryptografischen Gateways und anderen konzipiert. Die verbesserte Version von Sobol PAK ist mit den Betriebssystemen Windows 8 und Windows Server 2012 sowie dem EXT4-Dateisystem in Linux-Betriebssystemen kompatibel.

Dank der bestandenen Inspektionskontrolle durch den Föderalen Dienst für technische und Exportkontrolle der Russischen Föderation kann dieses Produkt in verwendet werden automatisierte Systeme inklusive bis Klasse 1B und Informationssysteme personenbezogene Daten mit einem hohen Maß an Sicherheit. Jetzt PAK „Sobol“ 3.0 wird im FSB Russlands Kontrolltests unterzogen, um bestehende Konformitätszertifikate zu zertifizieren.

Funktionen des elektronischen Schlosses PAK Sobol:

• Verwalten von Computereinstellungen (ACPI, PCI-Geräte, SMBIOS);
• Blockieren des Ladens des Betriebssystems von externen Medien;
• Überwachung der Integrität der Windows-Systemregistrierung;
• Aufzeichnung von Zugriffsversuchen auf einen PC;
• Benutzerauthentifizierung;
• Überwachung der Systemintegrität;
• Watchdog-Timer.

Vorteile des elektronischen Schlosses PAK Sobol:

• Unterstützung für die Betriebssysteme Windows 8 und Windows Server 2012 mit einem 64-Bit-System;
• Kompatibel mit dem USB 2.0/3.0 Hi-Speed-Modus für verbesserte Benutzerauthentifizierung;
• Interaktion mit den Identifikatoren Rutoken S/RF S, eToken PRO, eToken PRO (Java), iKey 2032, iButton;
• technische Unterstützung bei der Erstellung einfacher kryptografischer Lösungen;
• Schutz von Daten, die ein Staatsgeheimnis sind;
• flexible Auswahl an Konfigurationsmöglichkeiten und Boardformaten (PCI-E, Mini PCI-E, PCI);
• einfache Bereitstellung, Optimierung und Betrieb;
• Zertifizierung durch FSTEC und FSB Russlands.

Zobel ist ein Mittel zum Schutz von Informationen vor unbefugtem Zugriff persönliche Computer. Sobol fungiert als Hardware-Software-vertrauenswürdiges Boot-Modul. PAK Sobol hergestellt für Schutz vertraulicher Informationen, Informationen, die Informationen enthalten, die darstellen Staatsgeheimnis mit einem gewissen Maß an Geheimhaltung“ streng geheim„einschließlich oder im Zusammenhang mit persönliche Daten.

Das FSTEC-Zertifikat Nr. 1967 bestätigt dies PAK Sobol Entspricht den Anforderungen der maßgeblichen Dokumente des Föderalen Dienstes für technische und Exportkontrolle Russlands für die 2. Kontrollebene für das Fehlen nichtkonformer Stoffe und kann in automatisierten Systemen der Sicherheitsstufe bis einschließlich 1B verwendet werden.

Das FSB-Zertifikat Nr. SF/027-1450 bestätigt dies PAK Sobol entspricht den Anforderungen des Hardware-Software-Moduls des vertrauenswürdigen Downloads (APMDZ) gemäß Klasse 1B.

Merkmale von PAK Sobol

PAK Sobol führt die folgenden Funktionen aus Sicherheit:

• Blockiert Versuche, das Betriebssystem von Wechselmedien zu starten. Nach erfolgreichem Laden einer Standardkopie des Betriebssystems wird der Zugriff auf diese Geräte wiederhergestellt. Das Downloadverbot gilt für alle Computerbenutzer mit Ausnahme des Administrators.
• Identifiziert und authentifiziert Benutzer.
• Überwacht die Integrität von Dateien und Sektoren der Festplatte (vor dem Laden des Betriebssystems). In Kombination verwendet Zobel Mit dem Integritätsüberwachungsmechanismus können Sie die Unveränderlichkeit von Dateien und physischen Sektoren der Festplatte vor dem Laden des Betriebssystems kontrollieren.
• Fungiert als Watchdog-Timer. Der Watchdog-Timer-Mechanismus stellt sicher, dass der Zugriff auf den Computer blockiert wird, sofern nach dem Einschalten des Computers und nach einem bestimmten Zeitintervall die Kontrolle nicht an die komplexe BIOS-Erweiterung übergeben wird. Zobel"
• Protokolliert Systemsicherheitsereignisse in seinem eigenen nichtflüchtigen Speicher.

PAK Sobol unterstützt die Arbeit mit den folgenden Betriebssystemen:

• Betriebssystem Windows-Familie(unterstützt sowohl 32 als auch 64 Bit)
• Betriebssystem MSWS 3.0
• Trustverse Linux XP Desktop 2008 Secure Edition
• FreeBSD-Version 5.3, 6.2, 6.3 oder 7.2, 8.0, 8.1, 8.2
• VMWare ESX 3.5 – 4.0

PAK Sobol unterstützt Dateisysteme: NTFS, FAT 32, FAT 16, UFS, EXT3, EXT2.

Vorteile PAK Sobol

• PAK Sobol erfüllt die FSTEC-Anforderungen zum Schutz personenbezogener Daten
• PAK Sobol erhielt das FSB-Zertifikat für APMDZ bis Klasse 1B
• PAK Sobol arbeitet erfolgreich in modernen Windows-Betriebssystemen (32 und 64 Bit)
• Unterstützung verschiedene Arten Identifikatoren (Rutoken, eToken, „Tablets“ DS iButton)
• Möglichkeit der Software-Initialisierung des Komplexes

Verwaltungsfunktionen

Für Einstellungen PAK Sobol Der Administrator hat die Möglichkeit:

• Bestimmen Sie die Mindestlänge eines Benutzerkennworts.
• Bestimmen Sie die maximale Anzahl erfolgloser Benutzeranmeldungen;
• Benutzernamen hinzufügen und entfernen;
• Blockieren Sie die Arbeit des Benutzers am Computer.
• Erstellen Backups Persönliche ID des Administrators.
• Initialisieren Sie den Komplex programmgesteuert.

Hardware-Spezifikationen

PAK Sobol ist in Form einer Platine erhältlich, die 3- und 5-Volt-PCI-Bus oder PCI-Express-Bus Version 1.0a und höher unterstützt. Zobel Erhältlich in zwei Hardware-Versionen:

Für Ausrüstung vorgesehen 1 Jahr Garantie ab Kaufdatum.

PAK Sobol verwendet in der Zentralbank der Russischen Föderation, im staatlichen automatisierten Wahlsystem, im Innenministerium Russlands, Bundesschatzkammer Russland, Pensionsfonds Russlands.