Информационн ая безопасность облачных систем . Новые угрозы и новые методы противодействия.

1. Информационная безопасность облачных систем.Новые угрозы и новые методы противодействия. Москва, 2011

2. Угрозы нового поколения • Заражение кода BIOS • заражение загрузочного сектора MBR • перехват управления в режиме «высоких привилегий» SMM • интеграция компрометирующих гипервизоров • Управление компонентами системы через интегрированный сервисный процессор • корректировка микрокода процессоров • контроль и управление системами жизнеобеспечения (питание, охлаждение, включение/выключение компонентов) • организация дистанционного доступа

3. Угрозы нового поколения • Стандартизация BIOS – UEFI • стандартизация механизмов заражения • Интеграция бинарных модулей Video и Management Engine • подписывание запускаемых приложений • неработоспособность существующих АПМДЗ, как следствие – снижение уровня безопасности • Примеры угроз • Вирус «Чернобыль/Chernobyl» 1998 г. • Trojan.Bioskit.1 2011 г. • Гипервизор уровня BIOS собственной разработки 2008 г.

4. Новые методы защиты BIOS • Создание собственной доверенной версии BIOS • Kraftway BIOS • AltellHyperBIOS • Intel • Интеграция в BIOS дополнительных средств защиты • СЗИ НСД – Trusted Security Module от Аладдин РД • Доверенная программная среда – «З-Доверие» от Altell • Trusted Platform Module от Intel • средства контроля и защиты уровня EFI – DeepSAFEот Intel McAfee

5. Обеспечение ИТ безопасности c Kraftway BIOS и TSM Благодаря тесной интеграции TSMс BIOS материнской платы обеспечивается максимальная безопасность и совместимость со всеми используемыми аппаратными средствами Включение ПК Инициализация BIOS Обратная передача управления BIOS для дальнейшей загрузки компьютера осуществляется только после двухфактурной аутентификации пользователя. Подтверждение легитимности Проверка оборудования (POST) Запуск embedded TSM Поиск загрузочного устройства Аутентификация пользователя Считывание начального загрузчика ОС Контроль целостности Передача управления загрузчику ОС Передача управления BIOS

6. Особенности Kraftway BIOS • Невозможность перезаписи BIOS и установок CMOS неразрушающими методами • Исключение области содержащей BIOS из общего адресного пространства • Запуск TSM до запуска функции поиска загрузочного устройства (INT19) • Проверка состава оборудования • Проверка контрольной суммы BIOS • Интегрированный сторожевой таймер • Индивидуальная настройка портов USB

7. Обеспечение безопасности кода SPI Flash В SPI Flash материнской платы Kraftwayлогически выделены пять регионов, которые независимо друг от друга могут быть защищены от записи: • BootBlock • Main BIOS • SMBIOS Area (DMI Tables) • HoleArea для хранения кода инициализации памяти и копии Video ROM, используемой для процедуры BIOS Recovery • PDR - PlatformDataRegion для хранения кода TSM, журнала и контрольных сумм Защита кода приложения TSM осуществляется программно-аппаратными средствами материнской платы Boot Block BIOS SMBOIS (DMI Tables) Hole Area PDR embedded TSM контрольные суммы журнал регистрации событий

8. Ролевая модельИдентификация, аутентификация и авторизация • Администратор • изменение настроек BIOS посредством BIOS SETUP • включение/отключение TSM посредством BIOS SETUP • продолжение загрузки компьютера • изменение настроек TSM • управление пользователями TSM • изменение пароля подключенного пользователя • выработка и запись дополнительного аутентификатора • просмотр журнала событий • инициализация контроля целостности программной среды компьютера • запрос сводной информации о версии, настройках, содержании хранилища TSM • Пользователь • продолжение загрузки компьютера • многофакторная аутентификация • Идентификатор пользователя – USB-ключ eToken • Аутентификатор – пароль пользователя • изменение пароля пользователя

9. Контроль целостности Подсистема контроля целостности обеспечивает контроль следующих объектов: • Файлы на компьютере для файловых систем NTFS/FAT32/FAT16; • Критичные секторы жестких дисков: • Master Boot Record; • 62 сектора после Master Boot Record; • Volume (Partition) Boot Sector для каждого раздела жесткого диска; • Extended Boot Record для каждого раздела жесткого диска. Режимы контроля целостности для пользователей: • Жесткий, при нарушении загрузка операционной системы блокируется • Мягкий, при нарушении загрузка операционной системы не блокируется

10. Журнал регистрации событий • TSM осуществляет регистрацию всех событий доступа к компьютеру • Журнал регистрации содержит информацию о следующих событиях: • Успешная аутентификация • Неуспешная аутентификация с сохранением ID предъявленного eToken • Изменения в учетных записях пользователей • Блокировка/разблокировка пользователей • Изменение настроек TSM • События подсистемы контроля целостности • Включение/отключение TSM • Информация о служебных событиях TSM • Журнал регистрации событий TSM предоставляет полную информацию о событиях доступа к компьютеру, в том числе о попытках несанкционированного доступа • Служебная информация о пользователях (имя, описание, серийный номер eToken), а так же журналы регистрации событий хранятся в энергонезависимой памяти

11. РеализациязащищённогоBIOS в терминальномПК. Компактность, безопасность и безотказность – таковы основные требования к качественной современной технике. А, добавив к ним бесшумность, прочность, защищенность и продуманную эргономичность, мы получаем новый тонкий клиент от компании Kraftway. Никаких вентиляторов, шпинделей и роторов: всё необходимое для работы записано на твердотельный промышленный накопитель.

12. Терминальный ПК. • На задней панели клиента расположен весьма внушительный набор интерфейсов для такого небольшого корпуса, выполненного целиком из металла: • Разъем для подключения источника питания. • PS/2 разъем для клавиатуры. • DB15 VGA разъем для подключения монитора высокого разрешения. • RJ45 гнездо для локальной сети стандарта • Ethernet 10/100/1000 • 4 порта USB 2.0 для дополнительных устройств • И два порта для аудиоустройств. На обратной стороне расположены дополнительные гнезда для подключения USB-устройств: клавиатуры, мыши, а также порты для подключения гарнитуры. На нижней стороне расположен специальная переходная пластина для установки на LCD-мониторы с VESA 100 креплением.

13. Терминальный ПК. Применяемый в решении тонкий клиент Kraftway VV18 представляет собой бездисковую рабочую станцию, подключаемую по сети непосредственно к серверу. Kraftway VV18 служит для ввода информации и отображения рабочего стола. Все операции выполняются только на сервере. Преимущества тонких клиентов Kraftway: • Базовый комплект программного обеспечения. Каждый терминал обладает одним и тем же встроенным ПО, благодаря чему рабочий процесс становится более скоординированным и упорядоченным. • Простота установки. Все необходимые настройки производятся при помощи централизованного информационного управления, в результате чего необходимость в точечной настройке каждого отдельного компьютера отпадает. • Надежность. Вероятность выхода из строя тонкого клиента близка к нулю, в связи с отсутствием движущихся частей, что благоприятно сказывается на работоспособности всей сети в целом. Потерять какую-либо важную информацию становится практически невозможно. • Удобство применения. Программное обеспечение устанавливается лишь на сервер, а операционная система KraftwayTerminal Linux служит только для установки и поддержания сессии соединения. • Быстрая масштабируемость. Сеть, созданную на основе тонких клиентовKraftway VV18, можно легко масштабировать до нужного количества терминалов, без постоянной переустановки ПО и перенастройки системы. • Безопасность и защита от утечек информации. Все данные хранятся на сервере, Kraftway VV18 не имеет никаких носителей информации, а следовательно, и украсть с него какие-либо ценные данные невозможно. Кроме того, тонкий клиент VV18 может быть снабжен специальным ключом доступа к запуску самого клиента. • Легкость замены. Если возникла необходимость заменить какой-либо из терминалов, выполнить подключение нового тонкого клиента можно быстро, без особых проблем. • Простое техническое обслуживание. Минимальные затраты на модернизацию и починку терминалов благоприятно сказываются на всем рабочем процессе в целом.

14. Обеспечение безопасности Необходимо обеспечить выполнение требований Федерального закона №152 «О персональных данных» • Исходя из моделей угроз предложенная нами система обеспечивает защищенный канал передачи данных с шифрованием и многофактурную аутентификацию пользователя работающего с персональными данными. • Элементы обеспечения защиты являются не извлекаемыми что делает невозможным исключение их из системы. • Далее будет рассмотрен механизм встроенного модуля обеспечения ограничения доступа более детально.

15. С чего начать? • Заключить Договор на предпроектное обследование каждого автоматизируемого ЛПУ • результат: отчет • заказчик: само ЛПУ, региональное Министерство Здравоохранения, территориальный Фонд Обязательного мед. Страхования • Заказчик утверждает программу (бюджет) по модернизации здравоохранения региона. • Заказчик разрабатывает ТЗ на конкурс по модернизации здравоохранения региона. • Заказчик публикует конкурсную документацию.

16. СПАСИБО ЗА ВНИМАНИЕ!