СДЗ Dallas Lock

доверенная загрузка ноутбуков, моноблоков, рабочих станций и серверов
(сертифицированная
версия: 348.1)

Возможности

Средство доверенной загрузки (СДЗ) Dallas Lock – решение уровня платы расширения, предназначенное для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно, и иной информации с ограниченным доступом. СДЗ Dallas Lock выполняет свои функции (включая администрирование параметров изделия и просмотр журнала) до начала загрузки штатной операционной системы (ШОС).

СДЗ Dallas Lock – программно-аппаратное средство, блокирующее попытки несанкционированной загрузки нештатной операционной системы. Также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы. Осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности.

3 форм-фактора
для удобной интеграции в различные модели АРМ

  • PCI Express

  • Mini PCI Express

  • M2

Ключевые возможности СДЗ Dallas Lock

Независимость от штатной ОС. Полное администрирование СДЗ проводится без использования ресурсов загружаемой штатной ОC (согласно новым требования ФСТЭК России об изолировании СДЗ), включая разграничение доступа к управлению СДЗ и централизованное управление файлами конфигурации и отчетами. Поддерживается авторизация с использованием доменных учетных записей.

Современное технологичное решение. Полноценная поддержка UEFI и безопасного режима загрузки UEFI («Secureboot»). Возможность подключения платы в разъем M.2. Собственные часы с независимым источником питания и возможность подключения датчика вскрытия корпуса (для варианта исполнения – PCIe «KT-500»). «Сторожевой таймер», необходимый в случае невозможности подключить провод аппаратного «сторожевого таймера» к разъему «Reset» или «Power» ЭВМ. Хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ. Возможность сохранения (восстановления) параметров конфигурации СДЗ на различные носители информации.

Поддерживается широкий спектр аппаратных идентификаторов. Обеспечена совместимость со следующими аппаратными идентификаторами: USB-ключи и смарт-карты Aladdin eToken Pro/Java, Рутокен, JaCarta (JaCarta ГОСТ, JaCarta PKI), электронные ключи Touch Memory (iButton), ESMART. Поддержка считывателя КТ-ТМ, предназначенного для работы с ключами Touch Memory.

Соответствует требованиям ФСТЭК России и Минобороны России:

Сертификат ФСТЭК России № 3666 от 25 ноября 2016 г.

Сертификат Минобороны России № 5695 от 31 марта 2022 г.

Сертификат по форме СТ-1 от 21 сентября 2020 г.

по 2 классу защиты СДЗ уровня платы расширения «Профиль защиты средства доверенной загрузки уровня платы
расширения второго класса защиты» ИТ.СДЗ.ПР2.ПЗ
(ФСТЭК России, 2013)

по 2 уровню доверия (УД 2) «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий
(ФСТЭК России, 2020)

по 2 уровню контроля отсутствия НДВ «Защита от несанкционированного доступа к информации.
Часть 1. Программное обеспечение средств защиты информации.
Классификация по уровню контроля отсутствия недекларированных возможностей»
(Гостехкомиссия России, 1999)

Назначение СДЗ Dallas Lock

Идентификация и аутентификация пользователя до выполнения действий по загрузке
операционной системы
или администратора до выполнения действий по управлению СДЗ;

Контроль целостности загружаемой операционной системы,блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды
(операционной системы);

Контроль состава компонентов аппаратного обеспечения ПК,основываясь на их идентификационной информации.
Блокирует загрузку операционной системы при обнаружении
несанкционированного изменения состава аппаратных компонентов АРМ.

Полная бесшовная интеграция
с комплексной системой защиты информации dallas lock 8.0

Заказать консультацию

Решите проблемы безопасности быстро и эффективно

В компании используются физические машины различного вида: ПК, ноутбуки, есть свой сервер. На некоторых СВТ установлены системные платы с UEFI BIOS. Нужно обеспечить доверенную загрузку СВТ с помощью единого решения.

Изделие выпускается в 3 различных форм-факторах для подключения к системной плате с помощью разъемов PCI Express, mini PCI Express или M.2, что подходит для установки в СВТ различного вида. СДЗ Dallas Lock поддерживает системные платы как с Legacy BIOS, так и с UEFI BIOS.

Необходимо выполнить требования ФСТЭК России по обеспечению доверенной загрузки СВТ

СДЗ Dallas Lock сертифицирована в соответствии с последними требованиями ФСТЭК России к СДЗ уровня платы расширения. Так, например, согласно им полное администрирование СДЗ производится без использования ресурсов загружаемой штатной ОC.

Нужно защитить АРМ от возможности загрузки не штатной ОС, а также изменения программного или аппаратного обеспечения АРМ.

Загрузка СДЗ Dallas Lock производится до загрузки штатной операционной системы. Изделие блокирует несанкционированные попытки загрузки НШОС, обеспечивает контроль целостности ПО и аппаратных компонентов АРМ. Перезагружает компьютер в случае попыток обхода механизмов защиты.

В компании осуществляется централизованное управление защищенными продукцией Dallas Lock компьютерами с помощью Сервера безопасности Dallas Lock. Необходимо включить компьютеры, защищенные СДЗ, в единый Домен безопасности

СДЗ Dallas Lock можно управлять с помощью Сервера безопасности Dallas Lock. Для централизованного управления СДЗ Dallas Lock на компьютерах, где уже установлены Dallas Lock 8.0 или Dallas Lock Linux, не требуется приобретение каких-либо дополнительных лицензий

Необходимо обеспечить контроль за физическим изменением конфигурации СДЗ и АРМ.

Для варианта исполнения СДЗ Dallas Lock PCIe «KT-500» есть возможность установки датчика вскрытия корпуса. При каждой загрузке СДЗ определяет целостность параметров собственной платы и конфигурации АРМ. При обнаружении изменений происходит блокировка загрузки ОС.

Необходимо производить учет несанкционированных действий пользователя для принятия оперативных мер

В СДЗ Dallas Lock производится автоматическая регистрация событий, относящихся к безопасности, в соответствующих журналах аудита. Реализована защита от несанкционированного уничтожения или модификации записей журнала аудита.

Нужно обеспечить полную независимость СДЗ от компонентов системы.

В СДЗ Dallas Lock реализовано хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ. Обеспечивается недоступность ресурсов СДЗ из штатной ОС после завершения работы СДЗ.

В организации принято решение об обязательной двухфакторной аутентификации пользователя при входе в ОС.

СДЗ Dallas Lock позволяет использовать следующие распространенные виды аппаратных идентификаторов: USB-ключи и смарт-карты Aladdin eToken Pro/Java, Рутокен, JaCarta (JaCarta ГОСТ, JaCarta PKI), ESMART (ESMART Token, ESMART GOST) электронные ключи Touch Memory (iButton).
Связаться со специалистом

Совместимость с оборудованием

СДЗ Dallas Lock совместим с большинством сертифицированных моделей техники.

Вы можете проверить совместимость с вашим оборудованием, прямо сейчас отправив запрос в отдел разработки

Запросить информацию о совместимости

Комплексная защита СДЗ Dallas Lock

Идентификация и аутентификация

Управление доступом

Контроль целостности

Локальное удалённое и централизованное администрирование

Самодиагностика

Регистрация и учет

Контроль устройств

Все функции СДЗ Dallas Lock

Простое внедрение в сложных инфраструктурах
Сервер Безопасности (СБ) + Менеджер СБ + Сервер лицензий


Сервер безопасности позволяет объединять защищаемые компьютеры в Домен безопасности для централизованного и оперативного управления. Обеспечивает централизованное управление пользователями и группами пользователей на клиентах, политиками безопасности клиентов. Позволяет собирать журналы безопасности с клиентов, просматривать их состояние.

Менеджер СБ позволяет управлять несколькими Серверами безопасности через единую консоль.

Сервер лицензий позволяет гибко распределять квоты клиентских лицензий между Серверами безопасности и создавать отказоустойчивые терминальные системы и кластеры безопасности.

Узнать подробнее

Результат внедрения СДЗ Dallas Lock – комплексная защита АРМ от загрузки нештатной операционной системы, программного или физического изменения параметров составных частей АРМ, в соответствии с требованиями ФСТЭК России.


Протестируйте комплексную защиту СДЗ Dallas Lock прямо сейчас

Получить образец

Запросите информацию о совместимости

Отправить запрос

Обзор и практическая демонстрация СДЗ Dallas Lock

0,8 Мб Общие сведения о назначении
СЗИ НСД Dallas Lock Linux
5.3 Мб Сведения по установке, настройке и эксплуатации
СЗИ НСД Dallas Lock Linux
0,7 Мб Сведения, необходимые пользователю для работы
СЗИ НСД Dallas Lock Linux
3,6 Мб Руководство системного программиста
СЗИ НСД Dallas Lock Linux

Полный список вопросов и ответов по СДЗ Dallas Lock

Перейти в Базу знаний

Реализует двухфакторную аутентификацию пользователей при помощи аппаратных идентификаторов. Осуществляет контроль пользователей до загрузки штатной ОС (при загрузке СДЗ).

Предназначена для выявления критических сбоев в работе СДЗ. Самодиагностика проводится при запуске оболочки функций безопасности, и при выявлении сбоев проводится выключение ЭВМ.

Обеспечивает контроль целостности посредством проверки контрольных сумм для файловой системы, реестра, области диска, BIOS/CMOS, аппаратной конфигурации.

Обеспечивает контроль целостности посредством проверки контрольных сумм для файловой системы, реестра, области диска, BIOS/CMOS, аппаратной конфигурации.

Регистрирует и группирует события, подлежащие протоколированию, в зависимости от их типов. Регистрирует категории событий: входы, администрирование, учетные записи и целостность.

Позволяет настроить средство доверенной загрузки в соответствии с необходимыми требованиями.

Реализует механизмы, направленные на контроль доступа пользователей в штатную операционную систему и запрет несанкционированной загрузки нештатной ОС.

С полным описанием каждого компонента системы
вы можете ознакомиться в руководстве по эксплуатации СДЗ Dallas Lock

Скачать документ

Новое в СДЗ Dallas Lock, сборка 348.1 (инспекционный контроль во 2-м квартале 2022):

Технические характеристики

  • Ускорение загрузки СДЗ Dallas Lock
    Увеличена скорость загрузки СДЗ Dallas Lock по сравнению с предыдущими версиями (более чем на 20 %, в зависимости от платформы).
  • Датчик вскрытия корпуса
    Датчик вскрытия корпуса теперь доступен не только для плат «КТ 500», но также и для плат в новом исполнении: «КТ 500 r3», «КТ-521 r3», «КТ-550 r3».
  • Аппаратный датчик случайных чисел
    В соответствии с требованиями ФСБ России к АПМДЗ реализован аппаратный датчик случайных чисел для плат: «КТ 500 r3», «КТ-521 r3», «КТ-550 r3».
  • Программный сторожевой таймер, не требующий подключения физического провода
    Обновлена реализация программного сторожевого таймера, который будет срабатывать при нештатном отключении злоумышленником аппаратного сторожевого таймера.
    Для плат «КТ-500», «КТ-550», «КТ-500 r3», «КТ 521 r3», «КТ-550 r3» реализована возможность изменять время срабатывания сторожевого таймера, а также в журнале СДЗ Dallas Lock фиксируется количество срабатываний сторожевого таймера.
    Для плат «КТ-500», «КТ-500 r3», «КТ 521 r3», «КТ-550 r3» в журнале СДЗ Dallas Lock фиксируется время последнего срабатывания сторожевого таймера.
Подсистема администрирования

  • Усиленный режим работы для повышенных требований к безопасности
    В соответствии с требованиями ФСБ России к АПМДЗ реализован усиленный режим, который включает в себя:
    • усиленную авторизацию;
    • использование секретного ключа аутентификации в аппаратном идентификаторе;
    • принудительную двухфакторную аутентификацию по паролю и аппаратному идентификатору;
    • первичную и повторную регистрацию учетной записи пользователя;
    • хранение в аппаратном идентификаторе служебной информации о регистрации учетной записи;
    • установку срока действия ключа аутентификации в политиках авторизации для каждой учетной записи.
  • Работа с заблокированными учетными записями пользователей
    Улучшена работа со списком заблокированных пользователей. Появилась возможность просмотра списка заблокированных пользователей и разблокировка конкретного пользователя или всех пользователей одновременно.
  • Совместимость с новыми АИ
    Поддержка новых АИ: Aladdin eToken ГОСТ, Рутокен Lite, Рутокен WEB, Esmart 64k, Esmart USB ГОСТ, JaCarta SF/ГОСТ, JaCarta LT, JaCarta PKI/BIO, JaCarta PKI/ГОСТ, JaCarta PRO, JaCarta-2 PKI/ГОСТ, JaCarta-2 ГОСТ, JaCarta-2 PKI/BIO/ГОСТ, JaCarta-2 PRO/ГОСТ, JaCarta-2 SE/PKI/ГОСТ.
  • Тестирование памяти платы
    В соответствии с требованиями ФСБ России к АПМДЗ реализована проверка работоспособности памяти платы СДЗ. Подробные результаты регистрируются в журнале администрирования.
  • Работа с файлами конфигурации
    Расширены возможности работы с файлами конфигурации. Реализован выбор параметров сохранения конфигурации.
  • Виртуальная клавиатура
    Реализована виртуальная клавиатура для ввода учетных данных в окне авторизации при отсутствии клавиатуры в составе ТС.
Централизованное управление

  • Возможность удаленного выключения и перезагрузки ТС с установленной платой СДЗ
    В рамках данного обновления реализован отдельный модуль — «Агент ШОС», который поддерживает ОС семейств Windows и Linux и позволяет удаленно перезагрузить или выключить ТС отдельных клиентов или целой группы.
    Установка Агента ШОС не является обязательной для централизованного управления СДЗ Dallas Lock.
  • Интеграция с Единым центром управления (ЕЦУ) Dallas Lock
    ЕЦУ Dallas Lock предназначен для решения задач контроля сетевой инфраструктуры, контроля и управления информационными активами, проверки настроек конфигурации сетевого оборудования и организации централизованного управления решениями продуктовой линейки ООО «Конфидент».

    Обеспечены следующие возможности:
    • ввод/вывод в/из Домен(а) безопасности ЕЦУ;
    • отображение текущего статуса/состояния СДЗ;
    • оперативное выключение/перезагрузка;
    • синхронизация политик/пользователей;
    • получение журналов;
    • получение отчетов об аппаратном обеспечении;
    • получение событий сигнализации о НСД в реальном времени.
Аудит и контроль целостности

  • Генерация паспорта аппаратного обеспечения
    Реализована функция генерации паспорта аппаратного обеспечения рабочей станции в виде отчета. Отчет может быть сформирован локально, а также средствами СБ или ЕЦУ.
  • Контроль целостности программной части платы СДЗ
    В новой версии СДЗ Dallas Lock фиксируются контрольные суммы (КС) системной памяти платы, далее при входе пользователя на ТС производится их проверка. В случае нарушения КС производится сигнализация и блокировка компьютера (для пользователей, которым запрещена работа при нарушенной целостности). В журналах СДЗ Dallas Lock появляется соответствующая запись.
  • Расширение списка поддерживаемых файловых систем
    Доступен контроль целостности файлов в рамках файловой системы «XFS» для менеджера логических томов (LVM).

Новое в СДЗ Dallas Lock, сборка 222 (инспекционный контроль во 2-м квартале 2018):

Технические характеристики

  • Увеличена скорость загрузки СДЗ Dallas Lock.
    В ходе планового обновления СДЗ Dallas Lock скорость загрузки СДЗ Dallas Lock существенно увеличена.
  • Реализован беспроводной (программный) «сторожевой таймер».
    Реализован беспроводной (программный) «сторожевой таймер», необходимый в случае невозможности подключить провод аппаратного “сторожевого таймера” к разъему «Reset» или «Power» ЭВМ.
Совместимость

  • Увеличена совместимость СДЗ Dallas Lock с аппаратными платформами.
    Существенно расширен ряд аппаратных платформ, с которыми совместим СДЗ Dallas Lock.
  • Реализована поддержка безопасного режима загрузки UEFI.
    Реализована поддержка безопасного режима загрузки UEFI («Secureboot»).
Авторизация

  • Реализована интеграция с доменными учётными записями.
    В обновленной версии СДЗ Dallas Lock реализована возможность авторизации с использованием доменных учетных записей.
Аппаратная идентификация

  • Добавлена поддержка считывателя КТ-ТМ, предназначенного для работы с ключами Touch Memory.
    Преимущества считывателя КТ-ТМ:
    • возможность работать с памятью ключей Touch Memory;
    • более низкая цена по сравнению со считывателем USB-TM;
    • подключение считывателя непосредственно к плате PCIe «КТ-500», что позволяет освободить лишний разъём USB;
    • возможность внутреннего монтажа в корпусе компьютера.
Централизованное управление

  • Реализовано централизованное управление файлами конфигурации и отчетами.
    Реализована доработка централизованного управления. Для файлов конфигурации реализованы следующие возможности:
    • получение файлов конфигурации с клиентов на сервер безопасности по запросу администратора безопасности;
    • хранение и удаление файлов конфигурации в базе данных сервера безопасности;
    • применение файлов конфигурации на клиентском АРМ при синхронизации с сервером безопасности.
    Для отчетов реализованы следующие возможности:
    • получение отчетов клиентов с помощью сервера безопасности;
    • просмотр отчетов на сервере безопасности;
    • хранение и удаление отчетов в базе данных сервера безопасности.
Прочие доработки и улучшения

  • добавлена возможность установки корректирующего коэффициента часов платы PCIe «КТ-500», что позволяет увеличить точность их хода;
  • добавлена возможность проверки версии прошивки СДЗ Dallas Lock;
  • добавлена новая политика входов «Автоматически выбирать аппаратный идентификатор»;
  • добавлена новая политика входов «Использовать авторизационную информацию из аппаратного ключа».

Новое в СДЗ Dallas Lock, сборка 146 (инспекционный контроль в 1 квартале 2017):

Технические характеристики

  • Разработана модификация платы для разъёма М.2.
    Для аппаратной части была разработана плата «КТ-550» формата М.2.

  • Реализована поддержка аппаратного идентификатора ESMART.
    Добавлена поддержка USB-ключей и смарт-карт ESMART.

  • Реализована поддержка файловых систем VMFS3 и VMFS5 (ESXi).
    К поддержке наиболее распространенных файловых систем (FAT32, NTFS, Ext2, Ext3, Ext4) добавлена поддержка файловых систем VMFS3 и VMFS5 (соответствующих версиям ESXi).

Сторожевой таймер

  • Для плат, оснащенных батареей, реализована возможность изменения времени срабатывания сторожевого таймера.
    Реализована возможность изменения времени срабатывания сторожевого таймера. Для сторожевого таймера возможно установить/изменить время срабатывания в секундах.

  • Для плат, оснащенных батареей, реализована возможность фиксации событий срабатывания сторожевого таймера.
    Реализована возможность фиксации событий срабатывания сторожевого таймера в журнале.

  • Реализована дополнительная возможность подключения сторожевого таймера через разъём «Power» на ЭВМ.
    Реализована возможность использования разъёма «Power» на ЭВМ для подключения сторожевого таймера.

Компания «Конфидент» предоставляет своим клиентам оперативное и высококвалифицированное техническое сопровождение (техническую поддержку, обновления дистрибутива по результатам инспекционного контроля).

Обращаем Ваше внимание на то, что регуляторы рекомендуют актуализировать сертифицированные технические средства защиты информации по мере выпуска сертифицированных обновлений.

При первичном приобретении, техническое сопровождение на срок 12 или 36 месяцев (в зависимости от условий договора) включено в стоимость изделия. Просим Вас своевременно продлевать срок действия технического сопровождения для возможности оперативного использования вышеуказанных сервисов.

СДЗ Dallas Lock сертифицировано ФСТЭК России на соответствие требованиям к СДЗ по 2 классу защиты в соответствии с профилем защиты ИТ.СДЗ.ПР2.ПЗ и 2 уровню доверия (УД 2).

Сертификат ФСТЭК России № 3666 от 25 ноября 2016 г.

СДЗ Dallas Lock сертифицировано Минобороны России на соответствие требованиям к СДЗ по 2 классу защиты в соответствии с профилем защиты ИТ.СДЗ.ПР2.ПЗ, 2 уровню контроля отсутствия НДВ, РДВ, КИКТ.

Сертификат Минобороны России № 5695 от 31 марта 2022 г.

СДЗ Dallas Lock сертифицировано союзом «Санкт-Петербургская торгово-промышленная палата» по форме СТ-1. Сертификат официально подтверждает, что Российская Федерация является страной происхождения СДЗ Dallas Lock,
а также то, что оно соответствует всем требованиям к происхождению, установленным к таким товарам.

Сертификат СТ-1 от 25 мая 2022 г.

Чтобы посмотреть цифровые копии сертификатов

Войдите в личный кабинет

Или

Отправьте запрос в коммерческий департамент ЦЗИ

Запросить информацию о совместимости

Отправить запрос

Работа продукта поддерживается в любых ОС, использующих файловые системы: FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS3, VMFS5.

СИСТЕМНЫЕ ТРЕБОВАНИЯ
Минимальная и оптимальная конфигурация ПК определяется требованиями операционной системы.

Для установки платы СДЗ Dallas Lock необходимо наличие одного свободного слота (PCI Express, mini PCI Express или М.2 ключ А/E) на системной плате ПК.

СДЗ Dallas Lock предназначено для использования на персональных компьютерах, ноутбуках, моноблоках и серверах архитектуры Intel x86-32 и х86-64.

Изделие поддерживает следующие виды аппаратных идентификаторов*:

  • USB-ключи и смарт-карты Aladdin eToken Pro/Java;
  • USB-ключи и смарт-карты Рутокен:
    • Рутокен S;
    • Рутокен ЭЦП;
    • Рутокен Lite;
    • Рутокен Lite RF;
    • Рутокен WEB;
    • Рутокен ЭЦП 2.0;
    • Рутокен ЭЦП mini;
    • Рутокен ЭЦП Flash;
    • Рутокен ЭЦП 2.0 Flash.
  • электронные ключи Touch Memory (iButton);
  • USB-ключи и смарт-карты eSmart:
    • eSmart Token;
    • eSmart GOST;
    • EToken Java;
    • EToken NG-Flash;
    • EToken NG-OTP;
    • EToken PRO;
    • eSmart 64k;
    • eSmart ГОСТ.
  • USB-ключи и смарт-карты JaCarta:
    • JaCarta ГОСТ;
    • JaCarta PKI;
    • JaCarta BIO;
    • JaCarta SecurLogon.
Требования по ограничению применения идентификаторов совместно с СДЗ Dallas Lock определяются из сертификатов соответствия на данные идентификаторы.

* Аппаратная идентификация в изделиях продуктовой линейки Dallas Lock не является обязательной, а служит для усиления механизма аутентификации и может применяться дополнительно к основному способу аутентификации пользователя с помощью пароля. Приведённый перечень представляет собой список тестируемых и проверяемых на совместимость идентификаторов в каждой версии нового продукта.