Доверенная загрузка — это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и аппаратной идентификации / аутентификации пользователя [1].
Доверенная загрузка обычно включает в себя:
Аутентификация пользователя может производиться различными способами и на разных этапах загрузки компьютера.
Для подтверждения личности запускающего компьютер могут требоваться различные факторы:
Аутентификация может быть многофакторной. Также аутентификация может быть многопользовательской с разделением прав доступа к компьютеру. Так, один пользователь сможет только запустить операционную систему с жёсткого диска, в то время как другому будет доступно изменение конфигурации CMOS и выбор загрузочного устройства.
Аутентификация может происходить:
Выполнение аутентификации на разных стадиях загрузки имеет свои преимущества.
На различных этапах загрузки компьютера доверенная загрузка может быть выполнена различными средствами, и, следовательно, будет обладать различной функциональностью.
Аппаратные модули доверенной загрузки имеют значительные преимущества перед чисто-программными средствами. Но обеспечение доверенной загрузки не может быть выполнено чисто аппаратно. Главные преимущества аппаратных средств:
Выпущена на рынок на год раньше Intel TXT
Технология доверенного выполнения от Intel.
Представляет собой скорее не средство доверенной загрузки, а защиту ресурсов любых отдельных приложений на аппаратном уровне в целом.
TXT является абсолютно новой концепцией безопасности компьютера на аппаратном уровне, включая работу с виртуальными ПК.
Технология TXT состоит из последовательно защищённых этапов обработки информации и основана на улучшенном модуле Trusted Platform Module. В основе системы лежит безопасное исполнение программного кода. Каждое приложение, работающее в защищённом режиме, имеет эксклюзивный доступ к ресурсам компьютера, и в его изолированную среду не сможет вмешаться никакое другое приложение. Ресурсы для работы в защищённом режиме физически выделяются процессором и набором системной логики. Безопасное хранение данных означает их шифрование при помощи всё того же TPM. Любые зашифрованные TPM данные могут быть извлечены с носителя только при помощи того же модуля, что осуществлял шифрование.
Intel также разработала систему безопасного ввода данных. У вредоносной программы не будет возможности отследить поток данных на входе компьютера, а кейлоггер получит только бессмысленный набор символов, поскольку все процедуры ввода (включая передачу данных по USB и даже мышиные клики) будут зашифрованы. Защищённый режим приложения позволяет передавать любые графические данные в кадровый буфер видеокарты только в зашифрованном виде, таким образом, вредоносный код не сможет сделать скриншот и послать его хакеру.
Представляет собой аппаратный контроллер, предназначенный для установки в слот PCI/ PCI-X/ PCI-express/ mini PCI/ mini PCI-express. Модули «Аккорд-АМДЗ» обеспечивают доверенную загрузку операционных систем (ОС) любого типа с файловой структурой FAT12, FAT16, FAT32, NTFS, HPFS, UFS, FreeBSD UFS/UFS2, EXT2FS, EXT3FS, EXT4FS, QNX 4 filesystem, Solaris UFS, MINIX, ReiserFS.
Вся программная часть модулей (включая средства администрирования), журнал регистрации и список пользователей размещены в энергонезависимой памяти контроллера. Этим обеспечивается возможность проведения идентификации/аутентификации пользователей, контроля целостности технических и программных средств ПЭВМ (РС), администрирования и аудита на аппаратном уровне, средствами контроллера до загрузки ОС.
Основные возможности:
Дополнительные возможности:
Комплекс применим для построения систем защиты информации от НСД в соответствии с руководящими документами (Гостехкомиссии) России по 2 уровню контроля на отсутствие недекларированных возможностей, может использоваться в автоматизированных системах до класса защищенности 1Д включительно и использоваться в качестве средства идентификации/аутентификации пользователей, контроля целостности программной и аппаратной среды (РС) при создании автоматизированных систем до класса 1Б включительно.
Также имеет сертификат ФСБ России, подтверждающий соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б, и может использоваться для защиты информации от НСД, не содержащей сведения, составляющие государственную тайну.
Предназначен для разграничения и контроля доступа пользователей к аппаратным ресурсам автономных рабочих мест, рабочих станций и серверов локальной вычислительной сети. Позволяют проводить контроль целостности программной среды в ОС, использующих файловые системы FAT12, FAT16, FAT32 и NTFS.
Особенности:
Это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки). Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.
Возможности:
Имеет сертификат ФСТЭК России, который подтверждает соответствие требованиям руководящих документов к средствам доверенной загрузки уровня платы расширения второго класса и возможность использования в автоматизированных системах до класса защищенности 1Б включительно (гостайна с грифом «совершенно секретно»), в государственных информационных системах до 1 класса включительно и в информационных системах обработки персональных данных до УЗ1 включительно. Также имеет сертификат ФСБ России, подтверждающий соответствие электронного замка "Соболь" требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и возможность использования для защиты информации содержащей сведения, составляющие государственную тайну.
АПМДЗ «Максим-М1» (изделие М643М1) может использоваться для защиты от НСД к ресурсам ПЭВМ (РС) со сведениями, содержащим государственную тайну (до «совершенно секретно»), а также конфиденциальной информацией с уровнем защиты до КА1 включительно. Возможности:
ViPNet SafeBoot — сертифицированный высокотехнологичный программный модуль доверенной загрузки (МДЗ), устанавливаемый в UEFI BIOS различных производителей. Предназначен для защиты ПК, мобильных устройств, серверов (в том числе и серверов виртуализации) от различных угроз несанкционированного доступа (НСД) на этапе загрузки и от атак на BIOS.
Защита для компьютеров и серверов должна действовать с момента их включения. Время с момента включения до старта операционной системы является ключевым для доверия к системе в целом. На самых ранних этапах загрузки есть риск:
Все это может привести к обходу всех установленных в операционной системе средств защиты и краже информации. Встраивание модуля доверенной загрузки ViPNet SafeBoot защищает компьютер от этих угроз и делает систему доверенной.
ViPNet SafeBoot предназначен для идентификации и аутентификации пользователей, разграничения доступа на основе ролей, а также организации доверенной загрузки операционной системы.
ViPNet SafeBoot повышает уровень безопасности устройств и компьютеров за счёт:
Предназначен для доверенной загрузки компьютера, контроля целостности, идентификации и аутентификации пользователя до передачи управления операционной системе. Позволяет проводить контроль целостности программной среды в ОС, использующих файловые системы FAT12, FAT16, FAT32, NTFS, ext2, ext3, ext4, XFS, ReiserFS, JFS, UFS.
Особенности:
Встраиваемый модуль безопасности TSM (Trusted Security Module) отвечает требованиям ФСТЭК о защите информации, не составляющей государственную тайну, содержащейся в государственных автоматизированных системах[2], и защите персональных данных при их обработке в информационных системах персональных данных[3] в части, касающейся обеспечения доверенной загрузки средства вычислительной техники.
Возможности:
Особенности:
Сертификация:
Сертификат соответствия ФСТЭК №2542 от 30 декабря 2011 года переоформлен 22 октября 2013 года[4].
Предназначен для обеспечения доверенной загрузки операционных систем семейства Windows и Linux. Комплекс позволяет предотвратить несанкционированный доступ к программным и техническим ресурсам компьютера до загрузки операционной системы.
Возможности:
Особенности:
«Блокхост АМДЗ 2.0» имеет сертификат ФСТЭК России № 3700 от 8 февраля 2017г.
Наличие сертификата подтверждает, что средство защиты информации от несанкционированного доступа «Блокхост-АМДЗ 2.0» является средством доверенной загрузки уровня платы расширения 2 класса защиты согласно «Требованиям к средствам доверенной загрузки» (приказ ФСТЭК России №119 от 27.09.2013) и профилю защиты ИТ.СДЗ.ПР2.ПЗ.
Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".
Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.
Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .