Embed Size (px)
Citation preview
Импортозамещение. Доверенная платформа как основа построения безопасной информационно-телекоммуникационной инфраструктуры.”
Александр ИгнатовскийРуководитель направленияДепартамент развития бизнеса
2
Проблемы импортозамещения
Высокий уровень «импортозависимости» в области ИТ-отрасли является серьезной угрозой устойчивости функционирования информационных систем.
Подавляющее большинство используемых вычислительных систем построено на компонентах импортного производства. Поэтому нельзя исключать возможность наличия в них недекларированных возможностей и скрытых каналов управления, позволяющих обойти любые наложенные средства зашиты.
3
Угроза "Закладок“ установленных производителями.
По информации Эдварда Сноудена Американские спецслужбы получают доступ к электронным комплектующим ведущих производителей компьютерной техники в то время, когда они проходят по технологической цепочке. При этом, в комплектующие внедряются «закладки», предназначенные для перехвата информации.Cреди компаний, оборудование которых начинялось шпионской начинкой, оказались такие электронные гиганты, как Samsung, Cisco и Dell.Закладки позволяют полностью управлять вычислительными устройствами, используя скрытые каналы передачи информации. Сохраняются при перезагрузке, перепрошивке и переустановке операционной системы.
4
Проблемы импортозамещения
На сегодняшний день локально производится более 70% простейшей компонентной базы
(резисторы, конденсаторы, диоды и т.д).
При этом импортозамещение в области управляющей логики (транзисторы, микросхемы, микроконтроллеры)
стремится к нулю.
Полная локализация производства компонентной базы на территории России не является выполнимой
задачей на ближайшие годы
5
Подход к выпуску доверенной продукции
Цель: Построение доверенной платформы на недоверенной компонентной базе импортного производства.
Проектирование и разработка материнских плат в России;Закупки компонентной базы большими партиями;Проведение специальных проверок компонентной базы;Максимально возможная локализация производства (поверхностный монтаж материнских плат);Переработка и локализация прошивок микроконтроллеров (BIOS, Firmware);Интеграция Средств защиты информации на самый низкий уровень (в аппаратную часть платформы и в прошивку BIOS).Централизованное сетевое управление безопасностью и ИТ-инфраструктурой
6
ПРОИЗВОДСТВЕННЫЕ МОЩНОСТИ
Линия поверхностного монтажа материнских плат;
Испытательная лаборатория аккредитованная ФСБ
3 производственные линии;
Участок серверной сборки;
Участок тестирования.
7
ЛИНИЯ ПОВЕРХНОСТНОГО МОНТАЖА ПЕЧАТНЫХ ПЛАТ
Ввод в эксплуатацию: лето 2013 г.Оперативное производство небольших партий печатных плат, защищенной спецпродукцииМощность до 500 плат в смену
8
НИЦ СПЕЦТЕСТШИРОКИЙ СПЕКТР УСЛУГ ПО ЗАЩИТЕ ИНФОРМАЦИИ
Основные возможности:Проведение специальных проверок – комплекса инженерно-технических мероприятий, направленных на выявление электронных закладочных устройств;Проведение специальных исследований – выявление возможных каналов утечки защищаемой информации;
Интеграция в производственный процесс:Все проверки выполняются до постановки изделия на сборочный конвейер.Оперативность выполнения работ.
9
Подход к выпуску доверенной продукции
ПРОЕКТИРОВАНИЕ И РАЗРАБОТКА
ПРОИЗВОДСТВО ВНЕДРЕНИЕ И ЭКСПЛУАТАЦИЯ
Проведение в цикле производства специальных проверок и специальных исследований;
Гарантия качества, сквозной 100% контроль продукции
Доверенная платформа: контроль всех стадий жизненного цикла продукта / решения
Интеграция на уровень BIOS (UEFI) программных средств защиты информации;
Интеграция в конструкцию материнской платы программно-аппаратных средств защиты информации
10
Интегрированные СЗИ уровня BIOS (UEFI)в решениях Kraftway
Средства защиты информации интегрированные в вычислительные платформы Kraftway функционируют на самом низком уровне BIOS (UEFI), до загрузки операционной системы,
что позволяет принципиально повысить уровень безопасности вычислительной инфраструктуры.
Средство доверенной загрузки - обеспечивает защиту от несанкционированного доступа
за счет двухфакторной аутентификации до старта Операционной системы.
Средство контроля конфигурации – обеспечивает контроль целостности программной и
аппаратной среды компьютера.
Антивирус «Касперский для UEFI» - обеспечивает своевременное обнаружение и
блокирование вирусных атак до загрузки операционной системы.
Kraftway Security Center – обеспечивает централизованное
дистанционное управления средствами защиты на уровне BIOS (UEFI).
11
Принцип работы средств защиты информацииинтегрированных на уровень BIOS (UEFI)
Включение ПК
Инициализация BIOS
Проверка оборудования (POST)
Аппаратное прерывание стартовой процедуры BIOS до начала
инициализации PCI устройства
Поиск загрузочного устройства
Считывание начального загрузчика ОС
Передача управления загрузчику ОС
Загрузка ОС
Типичный процесс загрузки ПК Применение доверенных платформ с сертифицированными интегрированными
на уровень BIOS СЗИ
Двухфакторная идентификация и аутентификация пользователей
Антивирусная защита
Контроль целостности программного обеспечения
Контроль целостности аппаратного обеспечения
Регистрация событий безопасности
Загрузка традиционных СЗИ
Запуск вредоносного кода
Традиционные СЗИ
12
Технологические преимущества интегрированных СЗИ перед традиционными
СЗИ интегрированные на уровень BIOS (UEFI)
Превентивная защита (запуск на самой ранней стадии работы компьютера);
Нейтрализация низкоуровневых угроз; Невозможность извлечения, отключения
или обнуления настроек даже при наличии физического доступа;
Не требуется отдельный порт расширения; Полная совместимость с любым
аппаратным обеспечением компьютера (платы расширения, контроллеры и т.д.);
Унификация СЗИ для всей продуктовой линейки независимо от типа вычислительной техники и форм-фактора.
Традиционные (внешние) СЗИ
«Традиционные» средства защиты информации выполняются в виде внешней платы
Более низкий уровень безопасности: из-за запуска на более позднем этапе
загрузки; из-за возможности извлечения
Требуется порт расширения (шины PCI/PCI-X, PCI-E)
Требуется адаптация под конкретную материнскую плату
13
Экономические преимущества примененияинтегрированных средств защиты информации
Интегрированные на уровень BIOS (UEFI) СЗИ
Более низкая стоимость за счет отсутствия внешних плат и контроллеров;Поставка «под ключ», предустановка и настройка всего парка ПК и средств защиты на этапе производства;Централизованное удаленное управление и мониторинг всего парка вычислительных средств;Уменьшение эксплуатационных расходов и расходов на разворачивание системы.
Традиционные (внешние) СЗИ
Дополнительными временные и финансовые затраты на установку СЗИ и администрирование инфраструктуры информационной безопасности из-за отсутствия унификации СЗИ и централизации управления и сбора статистики
14
Единые средства защиты информации для всей линейки вычислительных средств
Тонкие клиенты Сервера
Моноблочные компьютерыРабочие станции
Планшеты
Ноутбуки
Спасибо за внимание!
