Код Безопасности

понедельник, 28 ноября 2011 г.

Обеспечение доверенной загрузки в сертифицированных Linux-системах


Иван Кадыков,
менеджер по продуктам
компании "Код Безопасности"

Сегодня ОС Linux по ряду объективных причин обладает большим потенциалом для использования в коммерческих и государственных организациях. Удобная система с возможностью модификации ПО под нужды организации и высокий уровень защищенности и работоспособности делают ОС Linux весьма привлекательной для пользователей.

Одной из задач обеспечения безопасности информации, обрабатываемой в информационных системах, построенных на основе сертифицированных Linux-систем, является задача обеспечения доверенной загрузки.

В соответствии с документом ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», пункт 5.3 и 6.1, угроза недоверенной загрузки признается актуальной практически для всех АС государственных компаний, в которых обрабатывается информация ограниченного доступа с грифами «секретно», «совершенно секретно» и для информационных систем, в которых обрабатываются персональные данные.

Как можно защититься от данной угрозы?

Во-первых, необходимо разграничить доступ к рабочим станциям, иначе любой сотрудник (добросовестный или нет) имеет возможность включить компьютер и начать загрузку штатной операционной системы или ОС, находящейся на съемном носителе. Соответственно, нужна идентификация и аутентификация пользователя при начале работы с ПК. Этим шагом мы ограничиваем список сотрудников, имеющих право работать с данной рабочей станцией.

Во-вторых, необходимо заблокировать все внешние устройства, так как потенциальный нарушитель, допущенный к работе, имеет возможность загрузки ОС с внешних устройств, а именно: с CD, DVD, USB Flash, USB Token, внешнего USB-винчестера и т. д. При реализации данной угрозы он получает доступ к критически важным конфиденциальным данным, не производя при этом загрузку операционной системы того компьютера, на котором эти данные хранятся и обрабатываются. Программные средства защиты при таком сценарии реализации угрозы оказываются бесполезными, так как операционная система, в которую они интегрированы, не запускается.

В-третьих, желательно проверить целостность загружаемой операционной системы и секторов жесткого диска, чтобы удостовериться, что в предыдущий сеанс работы важные системные файлы не были изменены.
Таким образом, для реализации механизмов защиты от недоверенной загрузки необходимо использовать программно-аппаратные решения, которые гарантированно могут нейтрализовать данную угрозу.

Компания «Код Безопасности» много лет поставляет на российский рынок информационной безопасности программно-аппаратный комплекс (ПАК) доверенной загрузки «Соболь». В октябре 2011 года компанией «Код Безопасности» было объявлено, что подтверждена совместимость ПАК «Соболь» и сертифицированных Linux-платформ (таких как Trustverse Linux XP Desktop 2008 Secure Edition, МСВС 3.0, Mandriva 2008 Spring x86/x64, ALT Linux Desktop 4.0.2 Secure Edition x86/Lite x86, ALT Linux Server 4.0.0 Secure Edition x86/x64, Red Hat Enterprise Linux 4.1 Update 1 Secure Edition x64, Debian 5.0.3 x86, Альт Линукс СПТ 6.0*, Astra Linux Special Edition «Смоленск»*).

Для организаций – пользователей данных платформ это означает, что проблема доверенной загрузки в таких системах уже имеет решение.

* ПО для контроля целостности данных ОС находится на инспекционном контроле в ФСТЭК России

Электронный замок "Соболь"это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки).

Электронный замок "Соболь" может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Комментариев нет:

Отправить комментарий