телефоны: +7 (812) 325-1037, +7 (812) 677-9092

СДЗ Dallas Lock

Возможности

Средство доверенной загрузки (СДЗ) Dallas Lock – решение уровня платы расширения, предназначенное для защиты конфиденциальной информации, в том числе содержащейся в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), в значимых объектах критической информационной инфраструктуры (КИИ), а также для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно.

СДЗ Dallas Lock является программно-аппаратным средством, которое осуществляет блокирование попыток несанкционированной загрузки нештатной операционной системы, а также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы. Осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности.

СДЗ Dallas Lock предназначено для использования на персональных компьютерах, ноутбуках, моноблоках и серверах архитектуры intel х86-32, x86-64. Реализована поддержка наиболее распространенных файловых систем, включая: FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS3, VMFS5. Поддерживаются разъемы: PCI Express; Mini PCI Express; M.2.

Обеспечивает

  • идентификацию и аутентификацию пользователя до выполнения действий по загрузке операционной системы или администратора до выполнения действий по управлению СДЗ;

  • двухфакторную аутентификацию пользователей при совместном использовании СДЗ с аппаратными идентификаторами;

  • автоматическое прохождение идентификации и аутентификации в штатной операционной системе после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ;

  • контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);

  • блокирование загрузки операционной системы при выявлении попыток загрузки нештатной операционной системы;

  • блокировку пользователя при выявлении попыток обхода СДЗ;

  • автоматическую регистрацию событий, относящихся к безопасности компьютера и СДЗ, в соответствующих журналах аудита. Предоставляет возможность защищенного от несанкционированного уничтожения или модификации записей журнала аудита;

  • реагирование на обнаружение событий, указывающих на возможное нарушение безопасности;

  • недоступность ресурсов СДЗ из штатной операционной системы после завершения работы СДЗ;

  • контроль состава компонентов аппаратного обеспечения ПК, основываясь на их идентификационной информации. Блокирует загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов СВТ;

  • выполнение перезагрузки ПК при выявлении попыток обхода СДЗ.

Возможности при интеграции с СЗИ Dallas Lock

  • автоматическое прохождение идентификации и аутентификации в штатной ОС после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ.

Ключевые особенности

  • Полное администрирование СДЗ проводится без использования ресурсов загружаемой штатной ОC (согласно новым требования ФСТЭК России об изолировании СДЗ).
  • Хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ.
  • Полноценная поддержка UEFI.
  • Поддерживается широкий спектр аппаратных идентификаторов: USB-ключи и смарт-карты Aladdin eToken Pro/Java, Рутокен, JaCarta (JaCarta ГОСТ, JaCarta PKI), электронные ключи Touch Memory (iButton), ESMART.
  • Возможность сохранения (восстановления) параметров конфигурации СДЗ на различные носители информации.
  • Разграничение доступа к управлению СДЗ.
  • Датчик вскрытия корпуса (для варианта исполнения – PCIe «KT-500»).
  • Наличие собственных часов с независимым источником питания (для варианта исполнения – PCIe «KT-500»).
  • Поддержка разъема M.2.
  • «Сторожевой таймер», необходимый в случае невозможности подключить провод аппаратного «сторожевого таймера» к разъему «Reset» или «Power» ЭВМ.
  • Авторизация с использованием доменных учетных записей.
  • Поддержка считывателя КТ-ТМ, предназначенного для работы с ключами Touch Memory.
  • Централизованное управление файлами конфигурации и отчетами.
  • Поддержка безопасного режима загрузки UEFI («Secureboot»).
  • Возможность установки корректирующего коэффициента часов платы PCIe «КТ-500», что позволяет увеличить точность их хода.
  • Возможность проверки версии прошивки СДЗ Dallas Lock.

Характеристики

Характеристика СДЗ Dallas Lock
Тип СЗИ Программно-аппаратный комплекс
Сертификат соответствия ФСТЭК России № 3666 от 25 ноября 2016 г.
Действителен до 25 ноября 2019 г.
Сертификат соответствия Минобороны России № 3789 от 11 декабря 2017 г.
Действителен до 11 декабря 2020 г.
Уровень контроля отсутствия НДВ 2
Класс защиты СДЗ 2
Класс АС
Класс защищенности ГИС / АСУ ТП
Уровень защищенности ПДн
Категория значимых объектов КИИ		 до 1 вкл.
Современный графический интерфейс Да
Интерфейс подключения PCI Express, Mini PCI Express, M.2
Форм-фактор платы Full Size, Half Size
Единый реестр российских программ для ЭВМ и БД Приказ Минкомсвязи России № 487 от 07 октября 2016 г.

Тестовый образец

Для получения тестового образца СДЗ Dallas Lock необходимо заполнить заявку, отсканировать ее и отправить по электронной почте: isc@confident.ru или по факсу: (812) 325-10-37 доб. 322.

Если в течение одного рабочего дня ответ не последовал, необходимо связаться с менеджерами Коммерческого департамента ЦЗИ по телефону: (812) 325-10-37.

Документация

Представленные здесь документы входят в комплект поставки изделия. Информация, представленная в данном разделе, не может быть частично или полностью скопирована, распространена или передана любым другим способом для коммерческого использования без письменного согласия ООО «Конфидент».
Информация, содержащаяся в представленных документах, может быть изменена разработчиком без специального уведомления.

Описание применения

В документе содержатся общие сведения о назначении СДЗ Dallas Lock.

Скачать Описание применения СДЗ Dallas Lock

Руководство оператора

В документе содержатся сведения, необходимые пользователю для работы на защищенном СДЗ Dallas Lock компьютере.

Скачать Руководство оператора СДЗ Dallas Lock

Руководство по эксплуатации

В документе содержатся сведения по установке, настройке и эксплуатации СДЗ Dallas Lock.

Скачать Руководство по эксплуатации СДЗ Dallas Lock
Идентификация и аутентификация

Подсистема идентификации и аутентификации

Подсистема идентификации и аутентификации тесно переплетена с подсистемой управления доступом и осуществляет контроль пользователей до загрузки штатной ОС (при загрузке СДЗ).

Подсистема реализует следующие возможности:

  • усиленная (двухфакторная) аутентификация пользователей при помощи аппаратных идентификаторов;
  • проверка учетной записи пользователя на соответствие действующим политикам безопасности (парольным политикам, расписанию работы пользователей).

Регистрация и учет

Регистрация и учет

С помощью подсистемы регистрации и учета в СДЗ Dallas Lock происходит регистрация событий и их группировка, в зависимости от типов событий, подлежащих протоколированию. События регистрируются в следующих категориях:

  • входы;
  • администрирование;
  • учетные записи;
  • целостность.
События аудита в журналах СДЗ возможно фильтровать по различным параметрам, упорядочивать и экспортировать.

Управление доступом

Подсистема управления доступом

Подсистема управления доступом реализует механизмы, направленные на контроль доступа пользователей в штатную операционную систему и запрет несанкционированной загрузки нештатной ОС.

Самодиагностика

Подсистема самодиагностики

Подсистема управления самодиагностикой предназначена для выявления критических сбоев в работе СДЗ. Самодиагностика проводится при запуске оболочки функций безопасности, и при выявлении сбоев проводится выключение ЭВМ.

Контроль устройств

Подсистема контроля устройств

Подсистема контроля устройств тесно переплетена с подсистемой контроля целостности и реализует механизм контроля целостности аппаратного обеспечения средств вычислительной техники.

Контроль целостности

Подсистема контроля целостности

Подсистема обеспечивает контроль целостности для следующих категорий контролируемых объектов:

  • файловая система;
  • реестр;
  • области диска;
  • BIOS/CMOS;
  • аппаратная конфигурация.
Основу механизмов контроля целостности представляет проверка соответствия контролируемого объекта эталонному образцу (контрольным суммам).

Администрирование

Подсистема администрирования

Подсистема администрирования позволяет настроить средство доверенной загрузки в соответствии с необходимыми требованиями.

В качестве интерфейса взаимодействия предоставляется оболочка администратора – современная графическая оболочка с интуитивно понятным интерфейсом, позволяющая просматривать и настраивать параметры безопасности СДЗ в едином приложении.

В главном окне оболочки администратора расположены вкладки, обеспечивающие доступ к соответствующим настройкам:

  • «Пользователи» – управление учетными записями пользователей;
  • «Контролируемые объекты» – контроль целостности компонентов СВТ;
  • «Политики безопасности» – настройка авторизации в СДЗ Dallas Lock;
  • «Журнал» – регистрация и аудит;
  • «Параметры» – управление параметрами платы;
  • «Сервис» – дополнительные функции СДЗ Dallas Lock.

Драйвер защиты

Драйвер защиты

Представляет собой программное ядро средства доверенной загрузки и состоит из следующих компонентов:

  • загрузчик среды исполнения;
  • среда исполнения функций безопасности;
  • оболочка функций безопасности.

При включении/перезагрузке ЭВМ BIOS системной платы передает управление исполняемой ROM СДЗ Dallas Lock, в которой записан загрузчик среды исполнения. Таким образом, загрузчик получает управление и производит загрузку среды исполнения функций безопасности.

Среда исполнения функций безопасности запускает оболочку функций безопасности.

Оболочка функций безопасности состоит из следующих модулей:

  • идентификации и аутентификации;
  • регистрации и учета;
  • управления доступом;
  • гарантированной зачистки информации;
  • контроля устройств;
  • контроля целостности.

Обновления

Компания «Конфидент» предоставляет своим клиентам оперативное и высококвалифицированное техническое сопровождение (техническую поддержку, обновления дистрибутива по результатам инспекционного контроля).

Обращаем Ваше внимание на то, что регуляторы рекомендуют актуализировать сертифицированные технические средства защиты информации по мере выпуска сертифицированных обновлений.

При первичном приобретении техническое сопровождение на срок 12 или 36 месяцев (в зависимости от условий договора) включено в стоимость изделия. Просим Вас своевременно продлевать срок действия технического сопровождения для возможности оперативного использования вышеуказанных сервисов.

Новое в СДЗ Dallas Lock (инспекционный контроль в 1 квартале 2017):

Технические характеристики

  • Разработана модификация платы для разъёма М.2.
    Для аппаратной части была разработана плата «КТ-550» формата М.2.

  • Реализована поддержка аппаратного идентификатора ESMART.
    Добавлена поддержка USB-ключей и смарт-карт ESMART.

  • Реализована поддержка файловых систем VMFS3 и VMFS5 (ESXi).
    К поддержке наиболее распространенных файловых систем (FAT32, NTFS, Ext2, Ext3, Ext4) добавлена поддержка файловых систем VMFS3 и VMFS5 (соответствующих версиям ESXi).

Сторожевой таймер

  • Для плат, оснащенных батареей, реализована возможность изменения времени срабатывания сторожевого таймера.
    Реализована возможность изменения времени срабатывания сторожевого таймера. Для сторожевого таймера возможно установить/изменить время срабатывания в секундах.

  • Для плат, оснащенных батареей, реализована возможность фиксации событий срабатывания сторожевого таймера.
    Реализована возможность фиксации событий срабатывания сторожевого таймера в журнале.

  • Реализована дополнительная возможность подключения сторожевого таймера через разъём «Power» на ЭВМ.
    Реализована возможность использования разъёма «Power» на ЭВМ для подключения сторожевого таймера.


Новое в СДЗ Dallas Lock (инспекционный контроль во 2-м квартале 2018):

Технические характеристики

  • Увеличена скорость загрузки СДЗ Dallas Lock.
    В ходе планового обновления СДЗ Dallas Lock скорость загрузки СДЗ Dallas Lock существенно увеличена.
  • Реализован беспроводной (программный) «сторожевой таймер».
    Реализован беспроводной (программный) «сторожевой таймер», необходимый в случае невозможности подключить провод аппаратного “сторожевого таймера” к разъему «Reset» или «Power» ЭВМ.

Совместимость

  • Увеличена совместимость СДЗ Dallas Lock с аппаратными платформами.
    Существенно расширен ряд аппаратных платформ, с которыми совместим СДЗ Dallas Lock.
  • Реализована поддержка безопасного режима загрузки UEFI.
    Реализована поддержка безопасного режима загрузки UEFI («Secureboot»).

Авторизация

  • Реализована интеграция с доменными учётными записями.
    В обновленной версии СДЗ Dallas Lock реализована возможность авторизации с использованием доменных учетных записей.

Аппаратная идентификация

  • Добавлена поддержка считывателя КТ-ТМ, предназначенного для работы с ключами Touch Memory.
    Преимущества считывателя КТ-ТМ:
    • возможность работать с памятью ключей Touch Memory;
    • более низкая цена по сравнению со считывателем USB-TM;
    • подключение считывателя непосредственно к плате PCIe «КТ-500», что позволяет освободить лишний разъём USB;
    • возможность внутреннего монтажа в корпусе компьютера.

Централизованное управление

  • Реализовано централизованное управление файлами конфигурации и отчетами.
    Реализована доработка централизованного управления. Для файлов конфигурации реализованы следующие возможности:
    • получение файлов конфигурации с клиентов на сервер безопасности по запросу администратора безопасности;
    • хранение и удаление файлов конфигурации в базе данных сервера безопасности;
      • применение файлов конфигурации на клиентском АРМ при синхронизации с сервером безопасности.
    Для отчетов реализованы следующие возможности:
    • получение отчетов клиентов с помощью сервера безопасности;
    • просмотр отчетов на сервере безопасности;
      • хранение и удаление отчетов в базе данных сервера безопасности.

Прочие доработки и улучшения

  • добавлена возможность установки корректирующего коэффициента часов платы PCIe «КТ-500», что позволяет увеличить точность их хода;
  • добавлена возможность проверки версии прошивки СДЗ Dallas Lock;
  • добавлена новая политика входов «Автоматически выбирать аппаратный идентификатор»;
  • добавлена новая политика входов «Использовать авторизационную информацию из аппаратного ключа».

Сертификаты

СДЗ Dallas Lock сертифицировано ФСТЭК России на соответствие требованиям к СДЗ по 2 классу защиты в соответствии с профилем защиты ИТ.СДЗ.ПР2.ПЗ и 2 уровню контроля отсутствия НДВ.

СДЗ Dallas Lock сертифицировано Минобороны России на соответствие требованиям к СДЗ по 2 классу защиты в соответствии с профилем защиты ИТ.СДЗ.ПР2.ПЗ, 2 уровню контроля отсутствия НДВ, РДВ, КИКТ.


Документы в хорошем качестве доступны из Личного кабинета пользователя после авторизации.
Войти в личный кабинет или зарегистрироваться .

Сертификат ФСТЭК России № 3666 от 25 ноября 2016 г. Действителен до 25 ноября 2019 г.

Сертификат Минобороны России № 3789 от 11 декабря 2017 г. Действителен до 11 декабря 2020 г.

Системные требования

СДЗ Dallas Lock предназначено для использования на перcональных компьютерах, ноутбуках, моноблоках и серверах архитектуры Intel.

Поддерживаемые ОС

Работа продукта поддерживается в любых ОС, использующих файловые системы: FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS3, VMFS5.

Минимальная и оптимальная конфигурация ПК определяется требованиями операционной системы.
Для установки платы СДЗ Dallas Lock необходимо наличие одного свободного слота (PCI Express, mini PCI Express или М.2) на системной плате ПК.