Информационная безопасность облачных систем.Новые угрозы и новые методы противодействия.

Москва, 2011

2

Угрозы нового поколения

Заражение кода BIOSзаражение загрузочного сектора MBRперехват управления в режиме «высоких привилегий» SMMинтеграция компрометирующих гипервизоров

Управление компонентами системы через интегрированный сервисный процессор

корректировка микрокода процессоровконтроль и управление системами жизнеобеспечения (питание, охлаждение, включение/выключение компонентов)организация дистанционного доступа

3

Угрозы нового поколения

Стандартизация BIOS – UEFIстандартизация механизмов зараженияИнтеграция бинарных модулей Video и Management Engineподписывание запускаемых приложенийнеработоспособность существующих АПМДЗ, как следствие – снижение уровня безопасности

Примеры угрозВирус «Чернобыль/Chernobyl» 1998 г.Trojan.Bioskit.1 2011 г.Гипервизор уровня BIOS собственной разработки 2008 г.

4

Новые методы защиты BIOS

Создание собственной доверенной версии BIOSKraftway BIOSAltell HyperBIOSIntel

Интеграция в BIOS дополнительных средств защиты

СЗИ НСД – Trusted Security Module от Аладдин РДДоверенная программная среда – «З-Доверие» от AltellTrusted Platform Module от Intelсредства контроля и защиты уровня EFI – DeepSAFE от Intel McAfee

5

Подтверждение легитимности

Обеспечение ИТ безопасности c Kraftway BIOS и TSM

Благодаря тесной интеграции TSM с BIOS материнской платы обеспечивается максимальная безопасность и совместимость со всеми используемыми аппаратными средствами

Обратная передача управления BIOS для дальнейшей загрузки

компьютера осуществляется только после двухфактурной

аутентификации пользователя.

Включение ПК

Инициализация BIOS

Проверка оборудования

(POST)

Поиск загрузочного устройства

Считывание начального

загрузчика ОС

Передача управления

загрузчику ОС

Запуск embedded TSM

Аутентификация пользователя

Контроль целостности

Передача управления BIOS

6

Особенности Kraftway BIOS

Невозможность перезаписи BIOS и установок CMOS неразрушающими методамиИсключение области содержащей BIOS из общего адресного пространстваЗапуск TSM до запуска функции поиска загрузочного устройства (INT19)Проверка состава оборудованияПроверка контрольной суммы BIOSИнтегрированный сторожевой таймерИндивидуальная настройка портов USB

7

Обеспечение безопасности кода

В SPI Flash материнской платы Kraftway логически выделены пять регионов, которые независимо друг от друга могут быть защищены от записи:

Boot BlockMain BIOSSMBIOS Area (DMI Tables)Hole Area

для хранения кода инициализации памяти и копии Video ROM, используемой для процедуры BIOS Recovery

PDR - Platform Data Regionдля хранения кода TSM, журнала и контрольных сумм

Защита кода приложения TSM осуществляется программно-аппаратными средствами материнской платы

SPI Flash

Boot Block

BIOS

SMBOIS (DMI Tables)

Hole Area

PDR

embedded TSMконтрольные суммы

журнал регистрации событий

8

Ролевая модельИдентификация, аутентификация и авторизация

Администраторизменение настроек BIOS посредством BIOS SETUPвключение/отключение TSM посредством BIOS SETUPпродолжение загрузки компьютераизменение настроек TSMуправление пользователями TSMизменение пароля подключенного пользователявыработка и запись дополнительного аутентификаторапросмотр журнала событийинициализация контроля целостности программной среды компьютеразапрос сводной информации о версии, настройках, содержании хранилища TSM

Пользовательпродолжение загрузки компьютерамногофакторная аутентификация

Идентификатор пользователя – USB-ключ eToken Аутентификатор – пароль пользователя

изменение пароля пользователя

9

Контроль целостности

Подсистема контроля целостности обеспечивает контроль следующих объектов:

• Файлы на компьютере для файловых систем NTFS/FAT32/FAT16;

• Критичные секторы жестких дисков: Master Boot Record;

62 сектора после Master Boot Record;

Volume (Partition) Boot Sector для каждого раздела жесткого диска;

Extended Boot Record для каждого раздела жесткого диска.

Режимы контроля целостности для пользователей:• Жесткий, при нарушении загрузка операционной системы

блокируется• Мягкий, при нарушении загрузка операционной системы не

блокируется

10

Журнал регистрации событий

TSM осуществляет регистрацию всех событий доступа к компьютеру Журнал регистрации содержит информацию о следующих событиях:

Успешная аутентификацияНеуспешная аутентификация с сохранением ID предъявленного eTokenИзменения в учетных записях пользователейБлокировка/разблокировка пользователейИзменение настроек TSMСобытия подсистемы контроля целостностиВключение/отключение TSMИнформация о служебных событиях TSM

Журнал регистрации событий TSM предоставляет полную информацию о событиях доступа к компьютеру, в том числе о попытках несанкционированного доступаСлужебная информация о пользователях (имя, описание, серийный номер eToken), а так же журналы регистрации событий хранятся в энергонезависимой памяти

11

Реализация защищённого BIOS в терминальном ПК.

Компактность, безопасность и безотказность – таковы основные требования к качественной современной технике. А, добавив к ним бесшумность, прочность, защищенность и продуманную эргономичность, мы получаем новый тонкий клиент от компании Kraftway.Никаких вентиляторов, шпинделей и роторов: всё необходимое для работы записано на твердотельный промышленный накопитель.

Характеристика

значение

Процессор Intel Atom N450/N2600 (1.66/1.8ГГц 512/1024кБ кэш)

Оперативная память

до 2 ГБ

Сетевой адаптер

1/2 интегрированный 10/100/1000 Мбит/с

Видеоадаптер Интегрированная в процессор графическая подсистема Intel с поддержкой 3D, 2D и DX9/DX10

Жесткий диск: твердотельный

Гарантия 3 года

Корпус Специальный, металлический, с креплением на обратную сторону монитора, в черной цветовой гамме

12

Терминальный ПК.

На задней панели клиента расположен весьма внушительный набор интерфейсов для такого небольшого корпуса, выполненного целиком из металла:- Разъем для подключения источника питания.- PS/2 разъем для клавиатуры.- DB15 VGA разъем для подключения монитора

высокого разрешения.- RJ45 гнездо для локальной сети стандарта - Ethernet 10/100/1000- 4 порта USB 2.0 для дополнительных устройств- И два порта для аудиоустройств.

На обратной стороне расположены дополнительные гнезда для подключения USB-устройств: клавиатуры, мыши, а также порты для подключения гарнитуры.

На нижней стороне расположен специальная переходная пластина для установки на LCD-мониторы с VESA 100 креплением.

13

Терминальный ПК.

Применяемый в решении тонкий клиент Kraftway VV18 представляет собой бездисковую рабочую станцию, подключаемую по сети непосредственно к серверу. Kraftway VV18 служит для ввода информации и отображения рабочего стола. Все операции выполняются только на сервере. Преимущества тонких клиентов Kraftway:

Базовый комплект программного обеспечения. Каждый терминал обладает одним и тем же встроенным ПО, благодаря чему рабочий процесс становится более скоординированным и упорядоченным.Простота установки. Все необходимые настройки производятся при помощи централизованного информационного управления, в результате чего необходимость в точечной настройке каждого отдельного компьютера отпадает.Надежность. Вероятность выхода из строя тонкого клиента близка к нулю, в связи с отсутствием движущихся частей, что благоприятно сказывается на работоспособности всей сети в целом. Потерять какую-либо важную информацию становится практически невозможно.

Удобство применения. Программное обеспечение устанавливается лишь на сервер, а операционная система Kraftway Terminal Linux служит только для установки и поддержания сессии соединения.Быстрая масштабируемость. Сеть, созданную на основе тонких клиентов Kraftway VV18, можно легко масштабировать до нужного количества терминалов, без постоянной переустановки ПО и перенастройки системы.Безопасность и защита от утечек информации. Все данные хранятся на сервере, Kraftway VV18 не имеет никаких носителей информации, а следовательно, и украсть с него какие-либо ценные данные невозможно. Кроме того, тонкий клиент VV18 может быть снабжен специальным ключом доступа к запуску самого клиента.Легкость замены. Если возникла необходимость заменить какой-либо из терминалов, выполнить подключение нового тонкого клиента можно быстро, без особых проблем.Простое техническое обслуживание. Минимальные затраты на модернизацию и починку терминалов благоприятно сказываются на всем рабочем процессе в целом.

14

Обеспечение безопасности

Необходимо обеспечить выполнение требований Федерального закона №152 «О персональных

данных»

Исходя из моделей угроз предложенная нами система обеспечивает защищенный канал передачи данных с шифрованием и многофактурную аутентификацию пользователя работающего с персональными данными.Элементы обеспечения защиты являются не извлекаемыми что делает невозможным исключение их из системы.

Далее будет рассмотрен механизм встроенного модуля обеспечения ограничения доступа более детально.

15

С чего начать?

Заключить Договор на предпроектное обследование каждого автоматизируемого ЛПУ

результат: отчет заказчик: само ЛПУ, региональное Министерство Здравоохранения, территориальный Фонд Обязательного мед. Страхования

Заказчик утверждает программу (бюджет) по модернизации здравоохранения региона.Заказчик разрабатывает ТЗ на конкурс по модернизации здравоохранения региона.Заказчик публикует конкурсную документацию.

СПАСИБО ЗА ВНИМАНИЕ!