Возможности
Средство доверенной загрузки (СДЗ) Dallas Lock – решение уровня платы расширения, предназначенное для защиты конфиденциальной информации, в том числе содержащейся в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), в значимых объектах критической информационной инфраструктуры (КИИ), а также для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно.
СДЗ Dallas Lock является программно-аппаратным средством, которое осуществляет блокирование попыток несанкционированной загрузки нештатной операционной системы, а также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы. Осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности.
СДЗ Dallas Lock предназначено для использования на персональных компьютерах, ноутбуках, моноблоках и серверах архитектуры intel х86-32, x86-64. Реализована поддержка наиболее распространенных файловых систем, включая: FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS3, VMFS5. Поддерживаются разъемы: PCI Express; Mini PCI Express; M.2.
Обеспечивает
- идентификацию и аутентификацию пользователя до выполнения действий по загрузке операционной системы или администратора до выполнения действий по управлению СДЗ;
- двухфакторную аутентификацию пользователей при совместном использовании СДЗ с аппаратными идентификаторами;
- автоматическое прохождение идентификации и аутентификации в штатной операционной системе после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ;
- контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);
- блокирование загрузки операционной системы при выявлении попыток загрузки нештатной операционной системы;
- блокировку пользователя при выявлении попыток обхода СДЗ;
- автоматическую регистрацию событий, относящихся к безопасности компьютера и СДЗ, в соответствующих журналах аудита. Предоставляет возможность защищенного от несанкционированного уничтожения или модификации записей журнала аудита;
- реагирование на обнаружение событий, указывающих на возможное нарушение безопасности;
- недоступность ресурсов СДЗ из штатной операционной системы после завершения работы СДЗ;
- контроль состава компонентов аппаратного обеспечения ПК, основываясь на их идентификационной информации. Блокирует загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов СВТ;
- выполнение перезагрузки ПК при выявлении попыток обхода СДЗ.
Возможности при интеграции с СЗИ Dallas Lock
- автоматическое прохождение идентификации и аутентификации в штатной ОС после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ.
Ключевые особенности
- Полное администрирование СДЗ проводится без использования ресурсов загружаемой штатной ОC (согласно новым требования ФСТЭК России об изолировании СДЗ).
- Хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ.
- Полноценная поддержка UEFI.
- Поддерживается широкий спектр аппаратных идентификаторов: USB-ключи и смарт-карты Aladdin eToken Pro/Java, Рутокен, JaCarta (JaCarta ГОСТ, JaCarta PKI), электронные ключи Touch Memory (iButton), ESMART.
- Возможность сохранения (восстановления) параметров конфигурации СДЗ на различные носители информации.
- Разграничение доступа к управлению СДЗ.
- Датчик вскрытия корпуса (для варианта исполнения – PCIe «KT-500»).
- Наличие собственных часов с независимым источником питания (для варианта исполнения – PCIe «KT-500»).
- Поддержка разъема M.2.
- Централизованное управление.
Характеристики
| Характеристика | СДЗ Dallas Lock |
|---|---|
| Тип СЗИ | Программно-аппаратный комплекс |
| Сертификат соответствия ФСТЭК России | № 3666 от 25 ноября 2016 г. Действителен до 25 ноября 2019 г. |
| Сертификат соответствия Минобороны России | № 3789 от 11 декабря 2017 г. Действителен до 11 декабря 2020 г. |
| Уровень контроля отсутствия НДВ | 2 |
| Класс защиты СДЗ | 2 |
| Класс АС | 1Б |
| Класс защищенности ГИС / АСУ ТП Уровень защищенности ПДн Категория значимых объектов КИИ |
до 1 вкл. |
| Современный графический интерфейс | Да |
| Интерфейс подключения | PCI Express, Mini PCI Express, M.2 |
| Форм-фактор платы | Full Size, Half Size |
| Единый реестр российских программ для ЭВМ и БД | Приказ Минкомсвязи России № 487 от 07 октября 2016 г. |
Тестовый образец
Для получения тестового образца СДЗ Dallas Lock необходимо заполнить заявку, отсканировать ее и отправить по электронной почте: isc@confident.ru или по факсу: (812) 325-10-37 доб. 322.
Если в течение одного рабочего дня ответ не последовал, необходимо связаться с менеджерами Коммерческого департамента ЦЗИ по телефону: (812) 325-10-37.
Документация
Представленные здесь документы входят в комплект поставки изделия. Информация, представленная в данном разделе, не может быть частично или полностью скопирована, распространена или передана любым другим способом для коммерческого использования без письменного согласия ООО «Конфидент».
Информация, содержащаяся в представленных документах, может быть изменена разработчиком без специального уведомления.
Описание применения
В документе содержатся общие сведения о назначении СДЗ Dallas Lock.
Руководство оператора
В документе содержатся сведения, необходимые пользователю для работы на защищенном СДЗ Dallas Lock компьютере.
Руководство по эксплуатации
В документе содержатся сведения по установке, настройке и эксплуатации СДЗ Dallas Lock.
Идентификация и аутентификация
Подсистема идентификации и аутентификации
Подсистема идентификации и аутентификации тесно переплетена с подсистемой управления доступом и осуществляет контроль пользователей до загрузки штатной ОС (при загрузке СДЗ).
Подсистема реализует следующие возможности:
- усиленная (двухфакторная) аутентификация пользователей при помощи аппаратных идентификаторов;
- проверка учетной записи пользователя на соответствие действующим политикам безопасности (парольным политикам, расписанию работы пользователей).
Регистрация и учет
С помощью подсистемы регистрации и учета в СДЗ Dallas Lock происходит регистрация событий и их группировка, в зависимости от типов событий, подлежащих протоколированию. События регистрируются в следующих категориях:
- входы;
- администрирование;
- учетные записи;
- целостность.
Подсистема управления доступом
Подсистема управления доступом реализует механизмы, направленные на контроль доступа пользователей в штатную операционную систему и запрет несанкционированной загрузки нештатной ОС.
Подсистема самодиагностики
Подсистема управления самодиагностикой предназначена для выявления критических сбоев в работе СДЗ. Самодиагностика проводится при запуске оболочки функций безопасности, и при выявлении сбоев проводится выключение ЭВМ.
Подсистема контроля устройств
Подсистема контроля устройств тесно переплетена с подсистемой контроля целостности и реализует механизм контроля целостности аппаратного обеспечения средств вычислительной техники.
Подсистема контроля целостности
Подсистема обеспечивает контроль целостности для следующих категорий контролируемых объектов:
- файловая система;
- реестр;
- области диска;
- BIOS/CMOS;
- аппаратная конфигурация.
Подсистема администрирования
Подсистема администрирования позволяет настроить средство доверенной загрузки в соответствии с необходимыми требованиями.
В качестве интерфейса взаимодействия предоставляется оболочка администратора – современная графическая оболочка с интуитивно понятным интерфейсом, позволяющая просматривать и настраивать параметры безопасности СДЗ в едином приложении.
В главном окне оболочки администратора расположены вкладки, обеспечивающие доступ к соответствующим настройкам:
- «Пользователи» – управление учетными записями пользователей;
- «Контролируемые объекты» – контроль целостности компонентов СВТ;
- «Политики безопасности» – настройка авторизации в СДЗ Dallas Lock;
- «Журнал» – регистрация и аудит;
- «Параметры» – управление параметрами платы;
- «Сервис» – дополнительные функции СДЗ Dallas Lock.
Драйвер защиты
Представляет собой программное ядро средства доверенной загрузки и состоит из следующих компонентов:
- загрузчик среды исполнения;
- среда исполнения функций безопасности;
- оболочка функций безопасности.
При включении/перезагрузке ЭВМ BIOS системной платы передает управление исполняемой ROM СДЗ Dallas Lock, в которой записан загрузчик среды исполнения. Таким образом, загрузчик получает управление и производит загрузку среды исполнения функций безопасности.
Среда исполнения функций безопасности запускает оболочку функций безопасности.
Оболочка функций безопасности состоит из следующих модулей:
- идентификации и аутентификации;
- регистрации и учета;
- управления доступом;
- гарантированной зачистки информации;
- контроля устройств;
- контроля целостности.
Обновления
Компания «Конфидент» предоставляет своим клиентам оперативное и высококвалифицированное техническое сопровождение (техническую поддержку, обновления дистрибутива по результатам инспекционного контроля).
Обращаем Ваше внимание на то, что регуляторы рекомендуют актуализировать сертифицированные технические средства защиты информации по мере выпуска сертифицированных обновлений.
При первичном приобретении техническое сопровождение на срок 12 или 36 месяцев (в зависимости от условий договора) включено в стоимость изделия. Просим Вас своевременно продлевать срок действия технического сопровождения для возможности оперативного использования вышеуказанных сервисов.
Новое в СДЗ Dallas Lock (инспекционный контроль в 1 квартале 2017):
Технические характеристики
- Разработана модификация платы для разъёма М.2.
Для аппаратной части была разработана плата «КТ-550» формата М.2. - Реализована поддержка аппаратного идентификатора ESMART.
Добавлена поддержка USB-ключей и смарт-карт ESMART. - Реализована поддержка файловых систем VMFS3 и VMFS5 (ESXi).
К поддержке наиболее распространенных файловых систем (FAT32, NTFS, Ext2, Ext3, Ext4) добавлена поддержка файловых систем VMFS3 и VMFS5 (соответствующих версиям ESXi).
Сторожевой таймер
- Для плат, оснащенных батареей, реализована возможность изменения времени срабатывания сторожевого таймера.
Реализована возможность изменения времени срабатывания сторожевого таймера. Для сторожевого таймера возможно установить/изменить время срабатывания в секундах. - Для плат, оснащенных батареей, реализована возможность фиксации событий срабатывания сторожевого таймера.
Реализована возможность фиксации событий срабатывания сторожевого таймера в журнале. - Реализована дополнительная возможность подключения сторожевого таймера через разъём «Power» на ЭВМ.
Реализована возможность использования разъёма «Power» на ЭВМ для подключения сторожевого таймера.
Сертификаты
СДЗ Dallas Lock сертифицировано ФСТЭК России на соответствие требованиям к СДЗ по 2 классу защиты в соответствии с профилем защиты ИТ.СДЗ.ПР2.ПЗ и 2 уровню контроля отсутствия НДВ.
СДЗ Dallas Lock сертифицировано Минобороны России на соответствие требованиям к СДЗ по 2 классу защиты в соответствии с профилем защиты ИТ.СДЗ.ПР2.ПЗ, 2 уровню контроля отсутствия НДВ, РДВ, КИКТ.
Войти в личный кабинет или зарегистрироваться .
Сертификат ФСТЭК России № 3666 от 25 ноября 2016 г. Действителен до 25 ноября 2019 г.
Сертификат Минобороны России № 3789 от 11 декабря 2017 г. Действителен до 11 декабря 2020 г.
Системные требования
СДЗ Dallas Lock предназначено для использования на перcональных компьютерах, ноутбуках, моноблоках и серверах архитектуры Intel.
Поддерживаемые ОС
Работа продукта поддерживается в любых ОС, использующих файловые системы: FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS3, VMFS5.
Минимальная и оптимальная конфигурация ПК определяется требованиями операционной системы.
Для установки платы СДЗ Dallas Lock необходимо наличие одного свободного слота (PCI Express, mini PCI Express или М.2) на системной плате ПК.