1 / 24

Методы создания безопасной облачной платформы

« Ифофорум Евразия / Сити» 8-й Евразийский форум информационной безопасности. Методы создания безопасной облачной платформы. Константин Абатуров. для подключения к централизованным медицинским сервисам. Москва, 7 июня 2012. ОБЩЕСТВЕННОЕ СЛУЖЕНИЕ.

gigi
Download Presentation

Методы создания безопасной облачной платформы

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. «Ифофорум Евразия / Сити» 8-й Евразийский форум информационной безопасности Методы создания безопасной облачной платформы Константин Абатуров • для подключения к централизованным медицинским сервисам. Москва, 7 июня 2012

  2. ОБЩЕСТВЕННОЕ СЛУЖЕНИЕ Kraftway — крупнейшая российская производственная компания в сфере информационных технологий. Успешно работая с 1993 г., Kraftway заслуженно пользуется репутацией одного из признанных технологических лидеров компьютерного рынка России. Спектр выпускаемой продукции под торговой маркой Kraftway чрезвычайно широк и включает персональные компьютеры для бизнеса и дома, рабочие станции, терминальные системы, серверы, системы хранения данных, активные контрольно-кассовые машины, мониторы, компьютерную периферию. • Одна из крупнейших российских ИТ-компаний, фокусирующаяся на рынке B2B; • Работает с 1993 г.; • Сертификация по международному стандарту ISO 9001 с 1996 г. • Сертификация по международному стандартуменеджмента услуг ISO/IEC 20000-1:2005 • Оборот 6 млрд. руб. (2011); • Свыше 700 сотрудников; • Штаб квартира – Москва; • Две производственные площадки: опытное производство в г. Москва, основное производство в г. Обнинск • Уникальные производственные мощности; • Большой опыт реализации крупных интеграционных проектов

  3. ПРОИЗВОДСТВО • Первое новое IT-предприятие, построенное в России за последние 15 лет • Открытие в июне 2007 г. • Общие инвестиции 20 млн. дол. • 100 км. от Москвы; • 3 производственные линии • Участок сборки серверов; • Свыше 300 сотрудников ; • Общая площадь 22 тыс. кв. м. • Производственный цех 6тыс.кв.м. • Складской терминал 12 тыс. кв. м. • Административный корпус 4 тыс. кв. м • Общая мощность первой очереди – 1 млн. изделий в год Собственный завод в г.Обнинск. 29 апреля 2010 г. в производственном цехе завода электронного оборудования Kraftway в г. Обнинск Президент РФ. Д.А.Медведев провел заседание Комиссии по модернизации и технологическому развитию экономики России.

  4. ОПИСАНИЕ ВНЕДРЯЕМОГО РЕШЕНИЯ С ПОДКЛЮЧЕНИЕМ К ЦЕНТРАЛИЗОВАННЫМ МЕДИЦИНСКИМ СЕРВИСАМ С ПРИМЕНЕНИЕМ ОБЛАЧНЫХ ТЕХНОЛОГИЙ. РЕАЛЬНЫЙ ОПЫТ

  5. ОБЩАЯ СХЕМА ВЗАИМОДЕЙСТВИЯ (ИТ БЕЗОПАСНОСТЬ) Криптомаршрутизатор Крипто маршрутизатор

  6. МИС. ПАРТНЕРСТВО. ОАО «Ростелеком» http://www.rt.ru/ Корпоративные Информационные Рутины. http://www.kirkazan.ru/ ОАО «НПО РусБИТех»(ГИС “Jemys-RBT”) http://www.jemys-rbt.ru/ БАРС груп http://www.bars-open.ru/ Аксимед http://www.aksimed.ru/ SofTrust http://www.softrust.ru/

  7. ПОДСИСТЕМА БЕЗОПАСНОСТИ • Подсистема обеспечения безопасности и шифрования данных передаваемых по общедоступным каналам связи. • Защищенная соединение по публичному каналу обеспечивается VIP Net координаторами, туннель точка-точка (1 лицензия на один ЛПУ). • По защищенному туннелю проходит только одно VPN соединение. Данное соединение обеспечивает связь Site to Site между ЛПУ и ЦОД. • VPN server в ЦОД, на него сходятся все соединения из всех ЛПУ. • VIP Net администратор и удостоверяющий центр в ЦОД. • Данная подсистема обеспечивает независимость внутренней инфраструктуры от настроек системы обеспечения безопасности. • ЦОД и ЛПУ работают в одной подсети без привязки к физической топологии, серверы VipNET, в этом случае, обеспечивают защищенный канальный уровень.

  8. Kraftway Credo VV20 Пассивное охлаждение в защищенном металлическом корпусе при очень низком энергопотреблении было доведено до совершенства в собственном дизайнерском центре специалистами Kraftway. Тем не менее, модель VV20 выполнена на высокопроизводительном процессоре со встроенной графикой, что позволяет ей без труда исполнять роль универсального клиента. Доступность дополнительных внешних носителей определяется административными настройками BIOS. 152ФЗ СООТВЕСТВУЕТ

  9. Kraftway Studio BL11 Специализированное решение для информатизации неподготовленных объектов. Высоко интегрированная серверная система в малошумящем исполнении. Функциональная насыщенность и высокая плотность вычислений делают KraftwayExpressBlade BL11 отличным выбором практически для любых приложений малого и среднего бизнеса. Удобные инструменты администрирования, дополненные KVM over LAN, максимально облегчают эксплуатацию сервера. 152ФЗ СООТВЕСТВУЕТ

  10. ОБЗОР ВОЗМОЖНОСТИ АТАКИ ЧЕРЕЗ АППАРАТНЫЕ КОМПОНЕНТЫ ТИПИЧНОГО КОМПЬЮТЕРА НЕПРОВЕРЕННЫЙ BIOS КАК УГРОЗА

  11. СМЕЩЕНИЕ ФОКУСА УГРОЗЫ • Благодаря организационным и техническим работам защита данных хранящихся и обрабатывающихся в ЦОД предоставляет достаточный уровень защищенности. • Каналы связи оснащаются требуемым уровнем защиты данных при передаче по не доверенной территории. • Идет значительный рост угрозы на уровне конечного оборудования АРМ. R Физическая защита R Защита от НСД ! Защита от НСД ! Защита от НСД R Шифрование Частные сети

  12. Структура хранения BIOS в SPI FlashУязвимость BIOS Структура областей BIOS: • Boot Block • Main BIOS • SMBIOS Area (DMI Tables) • HoleArea для хранения кода инициализации памяти и копии Video ROM, используемой для процедуры BIOS Recovery • PDR - PlatformDataRegion Место для размещения кода пользователя • Нет доступа из ОС • 7-я серия chipset – 32МБ • Следующе поколение: до256MБ; • возможность интеграции в PDR компрометирующего кода.

  13. Актуальная модель угроз для компрометации BIOS

  14. Компрометация BIOS. Реальные возможности. • Запуск вредоносных SMI обработчиков для обхода модулей доверенной загрузки и др. средств защиты. • Модификация драйверов BIOS для создания скрытых областей памяти и размещения в них вредоносного ПО. • Запуск в закрытых областях памяти вредоносных OPROM сетевых контроллеров для предоставления удаленного доступа к данным и дистанционного управления. • Модификация загрузочных областей устройств, смена последовательности загрузочных устройств, создание скрытых областей на носителях. • Запуск скрытых виртуальных машин, фильтрация внутреннего и внешнего трафика. Сбор паролей, теста и комбинаций нажатий клавиш. Предоставление злоумышленнику на носитель или удаленно. • Низкоуровневый доступ через сервисный процессор (BMC) и ManagementEngine для контроля и управления аппаратным обеспечением, вплоть до загрузки системы с удаленного носителя. • Вывод из строя оборудования по удаленной команде. ВНИМАНИЕ РЕАЛЬНАЯ УГРОЗА

  15. Новые методы защиты BIOS • Создание собственной, доверенной платформы. Контроль исходных кодов BIOS. • Создание в BIOS оболочки безопасности. Интеграция в BIOS дополнительных средств защиты • модули доверенной загрузки, • гипервизоры уровня BIOS, • межсетевые экраны, • проверка сертификатов аппаратуры и приложений • Создание системы проверки сертификатов запускаемых модулей (аналог TPM). • Использование собственных систем дистанционного мониторинга и управления(в т.ч. пользователями) на уровне UEFI BIOS. • криптопровайдеры, • антивирусы уровня BIOS, • авторизация через СК, • single Sign-On;

  16. Материнские платы KraftwayОсобенности BIOS • Невозможность перезаписи неразрушающими методами: • кода BIOS • установок CMOS • MBR накопителя • Исключение области содержащей МДЗиз общего адресного пространства (после загрузки ос нет доступа) • Запуск МДЗдо запуска функции поиска загрузочного устройства (INT19), и опроса OPROM • Контроль состава оборудования (аппаратная целостность) • Проверка контрольной суммы BIOS • Интегрированный сторожевой таймер • Хранение журнала событий в закрытой области

  17. ОБЗОР ОЖИДАЕМЫХ ИНДУСТРИАЛЬНЫХ АЛГОРИТМОВ КОНТРОЛЯ ПРОГРАММНО - АППАРАТНОЙ СОСТАВЛЯЮЩЕЙАРМ НА ОСНОВЕ КОМПОНЕНТТОВ С ОТКРЫТОГО РЫНКА UEFI – ПАНАЦЕЯ БЕЗОПАСНОСТИ?

  18. Предыдущая схема старта BIOS зона работы типичных антивирусных программ зона высокого риска

  19. Логическая схема UEFI BIOS контроль стартовых процедур Независимые драйверы зона работы типичных антивирусных программ

  20. Компания Kraftwayявляется полноправным членом международной некоммерческой организацию UEFI Forum, разрабатывающую стандарты для интерфейса между операционной системой и микропрограммами, которые управляют низкоуровневыми функциями компьютерного оборудования. • Kraftway входит в две рабочие группы: PlatformInitialization и UEFI Specification. • Интерес Kraftway к деятельности организации связан с активной деятельностью компании по разработке собственных материнских плат и собственных версий BIOS с интегрированным средствами контроля и защиты информации, что позволяет обеспечить высокий уровень информационной защищённости продукции Kraftway и создать у заказчиков доверенную информационную инфраструктуру. • Kraftway заинтересован в соответствии своих разработок современным международным отраслевым стандартам. Благодаря тесной интеграции программного комплекса «Электронный замок» с BIOS материнской платы обеспечивается максимальная безопасность и совместимость со всеми используемыми аппаратными средствами. Материнские платы Kraftway широко используются компанией для производства серийной компьютерной техники, в том числе защищенных терминальных станций и ПК. Логическая схема UEFI BIOS контроль стартовых процедур Независимые драйверы зона работы типичных антивирусных программ

  21. ПОЛОЖИТЕЛЬНЫЕ ОТЗЫВЫ МИС, реализованные на оборудовании компании Kraftwayполучают положительную оценку сотрудников ЛПУ. Высокий уровень качества оборудования и оперативность обслуживания является причиной выбора интеграторов.

  22. МИНЗРАВ. МОДЕРНИЗАЦИЯ. ОПЫТ и ПРИЗНАНИЕ. Созданное в компании универсальное масштабируемое инфраструктурное решение предназначено для комплексной автоматизации ЛПУ и служит инфраструктурной подосновой для различных медицинских информационных систем, хранения медицинских данных, визуализации результатов функциональных исследований, внедрения электронного документооборота. Использование решения Kraftway позволяет быстро автоматизировать рабочие места медработников. Обкатка и оптимизация разработанного комплекса проходят на опытных площадках в крупнейших учреждениях здравоохранения совместно с ведущими разработчиками медицинских информационных систем (МИС). В настоящее время в Министерстве здравоохранения и социального развития завершается процедура регистрации комплекса Kraftway как изделия медицинского назначения. Программно-аппаратный комплекс получил высокую оценку специалистов на состоявшейся в Москве специализированной выставке «Medsoft-2011». Заместитель министра здравоохранения РФ В.И. Скворцова вручила Kraftway почетный диплом

  23. ЛАБОРАТОРИЯ СПЕЦИАЛЬНЫХ РАБОТШИРОКИЙ СПЕКТР УСЛУГ ПО ЗАЩИТЕ ИНФОРМАЦИИ • Основные задачи: • Проведение специальных проверок – комплекса инженерно-технических мероприятий, направленных на выявление электронных закладочных устройств; • Проведение специальных исследований – выявление возможных каналов утечки защищаемой информации; • Аттестация рабочих мест и помещений, где используется информация, составляющая государственную тайну • Объем инвестиций – свыше 1 млн. дол. • Штат лаборатории – 46 чел. • Все необходимые лицензии • Статус органа по сертификации в системе СКЗИ и СЗИ-ГТ по линии ФСБ РФ. • Интеграция в производственный процесс: • Проверки выполняются до постановки изделия на конвейер • Оперативность выполнения работ

  24. БЛАГОДАРИМ ОТВЕТЫ НА ВОПРОСЫ

More Related