Как настроить BIOS на ноутбуках Acer с аккордом AMDZ

Автор На чтение 20 мин Просмотров 19 Обновлено

Настройка BIOS для материнских плат Acer может включать в себя изменение порядка загрузки, настройку параметров процессора и оперативной памяти, а также активацию определенных функций, таких как виртуализация или режимы энергосбережения. Для входа в BIOS обычно нужно нажать клавишу, например, F2 или Delete, сразу после включения компьютера.

Важно следить за изменениями, которые вы вносите, так как неправильные настройки могут привести к нестабильной работе системы. После внесения необходимых изменений не забудьте сохранить их перед выходом из BIOS, чтобы они вступили в силу.

Аккорд-АМДЗАппаратный модуль доверенной загрузки

«Аккорд–АМДЗ» представляет собой программно-аппаратный комплекс, предназначенный для защиты информации от несанкционированного доступа на персональных компьютерах (ПЭВМ). Система защиты информации от НСД «Аккорд-АМДЗ» была разработана «ОКБ САПР» с учетом лицензий ФСТЭК и ФСБ Российской Федерации. Производство комплекса осуществляется на сертифицированном заводе.

2021

Совместимость с продуктами "Ред ОС"

Совместимость и правильное функционирование средств защиты ОКБ САПР с продуктами РЕД СОФТ подтверждены, что было объявлено 24 сентября 2021 года. Итоги зафиксированы в сертификатах обеих сторон. Узнать больше можно здесь.

Интеграция с СХД Aerodisk vAIR и гипервизором АИСТ от «Аэродиска»

Российская компания «Аэродиск», занимающаяся разработкой систем хранения данных и виртуализации, совместно с ОКБ САПР, которое специализируется на создании программно-аппаратных средств защиты информации, успешно завершила техническую интеграцию своей гиперконвергентной системы Aerodisk vAIR с гипервизором АИСТ и средствами защиты данных «Аккорд». Это интегрированное решение предназначено для выполнения задач по защите и аттестации критической информационной инфраструктуры. Об этом сообщила компания «Аэродиск» 16 июля 2021 года. Узнайте больше здесь.

2020

*Совместимость с JaCarta PKI, JaCarta-2 ГОСТ и JaCarta-2 PKI/ГОСТ

21 августа 2020 года компании "Аладдин Р.Д.", российский разработчик и поставщик решений для обеспечения информационной безопасности, и "ОКБ САПР", российский разработчик программно-аппаратных средств защиты информации, сообщили о завершении очередных тестовых испытаний на совместимость своих продуктов.

Сертификат совместимости, полученный на основании подписания, удостоверяет успешное функционирование механизма доверенной загрузки для платы расширения ПАК СЗИ НСД "Аккорд-АМДЗ" с электронными ключами серии JaCarta, включая USB-токены и смарт-карты JaCarta PKI, JaCarta-2 ГОСТ и JaCarta-2 PKI/ГОСТ. Как Threat Intelligence способствует бизнесу в противостоянии целенаправленным кибератакам

Средство доверенной загрузки уровня платы расширения ПАК СЗИ НСД "Аккорд-АМДЗ" представляет собой аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК — серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.

Продукты серии JaCarta предназначены для реализации усиленной или строгой аутентификации в информационных системах и сервисах, поддержания юридической силы документов и действий пользователей с помощью электронной подписи, а также безопасного хранения контейнеров программных СКЗИ, пользовательских данных, сертификатов, паролей и прочих элементов.

В числе дополнительного оборудования, необходимого для надлежащей работы, в соответствии с подписанным сертификатом совместимости, использовались смарт-карт ридер JCR721, профессиональный доверенный смарт-карт ридер от компании "Аладдин Р.Д." и смарт-карт ридер ASEDrive IIIe USB.

Интеграция с Рутокен Lite (классический USB, micro)

Компания «Актив» совместно с «ОКБ САПР» успешно провела тестирование совместимости устройств Rutoken Lite (стандартный USB и micro) с планшетом ПКЗ 2020, использующим платформу Р15-S116А и имеющим установленные Аккорд-АМДЗ. Об этом стало известно 18 февраля 2020 года, по информации от «Актив-софт». Подробнее здесь.

2018

Интеграция с токенами и смарт-картами Рутокен

14 ноября 2018 года организация Актив-софт объявила о подписании договора о сотрудничестве с «ОКБ САПР». Согласие подразумевает совместную работу «Актив» и «ОКБ САПР» в сфере обеспечения ПАК АККОРД сертифицированными устройствами для хранения ключевой информации. Узнать больше можно здесь.

Описание «Аккорд-АМДЗ»

По данным на ноябрь 2018 года, комплекс СЗИ НСД «Аккорд-АМДЗ» представляет собой аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК — серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от НСД, идентификацию, аутентификацию пользователей, регистрацию их действий, контроль целостности файлов и областей HDD (в том числе и системных) при многопользовательском режиме их эксплуатации.

Система начинает функционировать сразу после завершения работы BIOS на компьютере — до начала загрузки операционной системы, обеспечивая безопасную загрузку ОС, использующих одну из поддерживаемых файловых систем. Это включает, в частности, такие ОС, как MS-DOS, различные версии Windows, QNX, OS/2, Unix, Linux, BSD и другие.

Все версии системы поддерживают файловые системы FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, FreeBSD UFS/UFS2, Solaris UFS, QNX4, MINIX.

Комплекс представляет собой совокупность технических и программных средств, предназначенных для выполнения основных функций защиты от НСД ПЭВМ (АС) на основе:

  • использование персонализированных идентификаторов пользователей;
  • система защищённых паролей;
  • иммобилизация загрузки ОС с внешних носителей информации;
  • мониторинг целостности аппаратных и программных средств (файлов общего и прикладного назначения) в ПЭВМ (АС);
  • гарантия доверенной загрузки установленных на ПЭВМ (АС) операционных систем с любой из поддерживаемых системой файловых структур.

Всегда ли на замке? Как обезопасить компьютер модулем доверенной загрузки

В процессе начальной настройки МДЗ выставляется администратор модуля, имеющий полномочия на регистрацию и удаление пользователей, изменение параметров функционирования модуля, анализ журнала событий и управление списком объектов, целостность которых необходимо следить до загрузки ОС. Если во время проверки целостности объектов будут зафиксированы нарушения, доступ к компьютеру для обычных пользователей будет заблокирован. В некоторых версиях МДЗ также имеется функция удаленного управления параметрами работы.

Модули доверенной загрузки, как правило, реализуются на базе плат с системными шинами PCI, PCI-X, PCI Express, mini-PCI, mini-PCI Express, которые могут включать следующие компоненты:

  • Программируемая логическая интегральная схема, используемая для создания интерфейса по шине и выполнения функций взаимодействия с другими компонентами платы, а также микросхема памяти, предназначенная для хранения кода загрузчика интегрального устройства.
  • Микросхема flash-памяти с программным расширением BIOS, которая получает контроль до загрузки операционной системы и обеспечивает выполнение ключевых функций МДЗ. Код расширения BIOS обрабатывается центральным процессором компьютера.
  • Микросхема микроконтроллера, обеспечивающая защищенную реализацию специфических функций МДЗ, таких как взаимодействие с отдельными компонентами платы или выполнение кода, которое в центральном процессоре компьютера повышает безопасность от перехвата и изменения вредоносными программами.
  • Память, не требующая источника питания, предназначенная для хранения конфигураций МДЗ, логов событий и прочих данных.
  • Модуль управления сторожевым таймером (watch dog), который предотвращает работу с ПК, если программное расширение BIOS модуля не получило контроля. Этот механизм не даст возможность доступа к компьютеру через специальные настройки BIOS или в случае аварийного сбоя системы.
  • Модуль генерации случайных чисел, необходимый для аппаратного создания последовательностей случайных величин.
  • Модуль реального времени, предназначенный для автономного отслеживания временных параметров с целью безопасного управления процессами периодического устаревания критически важных данных, а также для выполнения других функций МДЗ.
  • Разъемы разных типов для подключения электронных идентификаторов (iButton, USB).
  • Коммутаторы для переключения между режимами работы МДЗ.

В комплектацию МДЗ может входить программное обеспечение для совместимых операционных систем, которое обычно состоит из драйвера, управляющей программы и интерфейсного модуля API для сторонних приложений.

Современные МДЗ функционируют на компьютерах как с ОС семейства MS Windows, так и с различными системами UNIX/Linux.

Российский рынок МДЗ

На протяжении длительного времени первенствующие позиции на российском рынке материалов отечественного производства занимают Особое конструкторское бюро систем автоматизации проектирования (ОКБ САПР), Научно-инженерное предприятие (НИП) «Информзащита» и компания «АНКАД».

ОКБ САПР (http://www.okbsapr.ru) является родоначальником отечественных МДЗ. Первый сертификат соответствия Гостехкомиссии России компания получила более 15 лет назад – в декабре 1994 года.

Изображение 1. Контроллер «Аккорд-5.5МР»

Современные модули доверенной загрузки от ОКБ САПР объединены под названием «Аккорд-АМДЗ» и представлены в пяти вариантах:

  • «Аккорд-5МХ» – для шин стандартов PCI и PCI-Х;
  • «Аккорд-5.5» – для шин PCI и PCI-Х;
  • «Аккорд-5.5E» – для шин PCI Express;
  • «Аккорд-5.5МР» – для мини-PCI (см. изображ. 1);
  • «Аккорд-5.5МЕ» – для мини-PCI Express.

Система «Аккорд-АМДЗ» состоит как из аппаратных, так и из программных компонентов. В состав базового комплекта аппаратных средств входят контроллер, два идентификатора iButton DS1992 и устройство для считывания информации.

Другие компоненты МДЗ (устройства блокировки каналов FDD, HDD (IDE), USB-портов, устройства отключения питания ATX, EATX и др.) поставляются дополнительно по требованию заказчиков.

ПО «Аккорд-АМДЗ» (инструменты управления, инструменты идентификации и аутентификации, средства мониторинга целостности, журнал записи событий безопасности) хранится в энергонезависимой памяти контроллеров.

«Аккорд-АМДЗ» обеспечивает доверенную загрузку операционных систем, поддерживающих файловые системы FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX. В список операционных систем входят MS DOS, Windows 9x/ME/NT/2000/XP/2003/Vista, QNX, OS/2, UNIX, LINUX, BSD и др.

Для определения пользователей команда «Аккорд-АМДЗ» предлагает использовать iButton, личное устройство для криптографической защиты данных «ШИПКА» и другие типы устройств, которые уточняются при оформлении заказа на защитные средства. Аутентификация происходит через ввод пароля (до 12 символов), который вводит пользователь с помощью клавиатуры. В системе «Аккорд-АМДЗ» возможно зарегистрировать до 126 пользователей.

В дополнение к стандартному контролю целостности файлов и служебных областей на жестких дисках, «Аккорд-АМДЗ» также осуществляет проверку неизменности аппаратного обеспечения компьютера и разделов реестра среди операционных систем семейства Windows.

В МДЗ «Аккорд-5.5» дополнительно внедрены аппаратно реализованные криптографические алгоритмы защиты информации: шифрование (ГОСТ Р 28147-89), хэширование (ГОСТ Р 34.11-94, MD5, SHA-1), выработка и проверка электронной цифровой подписи (ГОСТ Р 34.10-2001), защитных кодов аутентификации (на основе ГОСТ Р 31.11-94).

Контроллеры «Аккорд-АМДЗ» предназначены для работы в связке с специализированным программным обеспечением, которое позволяет реализовывать алгоритмы ограничения доступа пользователей к рабочим местам, терминалам и терминальным серверам. Кроме того, они могут эффективно функционировать вместе с продуктом «Средство криптографической защиты информации «КриптоПро CSP».

Научно-инженерное предприятие «Информзащита»

НИП «Информзащита» (http://www.infosec.ru) разработал свой первый модуль доступа (МДЗ) в 1999 году, получивший название «Электронный замок «Соболь». С 2009 года создание МДЗ находится в руках компании «Код Безопасности» (http://www.securitycode.ru), которая является частью группы компаний «Информзащита».

На сегодняшний день компания «Код Безопасности» производит следующие модели МДЗ в серийном варианте:

  • программно-аппаратные комплексы (ПАК) из семейства «Соболь» версий 2.1 и 3.0;
  • изделия Secret Net Touch Memory Card PCI 2 и Secret Net Card – упрощенные решения ПАК «Соболь», предназначенные для предотвращения загрузки операционной системы с внешних носителей и для поддержки процедуры идентификации и аутентификации пользователей с использованием идентификаторов iButton в системе Secret Net.

Новая версия ПАК «Соболь 3.0» выпускается в двух вариантах:

Иллюстрация 2. Плата ПАК «Соболь 3.0» для интерфейса PCI-E
  • поддержка шины PCI Express (PCI-E) версии 1.0а и более поздних (см. иллюстрация 2);
  • совместимость с шиной PCI версий 2.0/2.1/2.2/2.3, с напряжением питания 5 В или 3,3 В.

Комплекс «Соболь 3.0» гарантирует доверенную загрузку более 20 операционных систем для компьютеров с архитектурой 32 и 64 бита, которые поддерживают файловые системы FAT 16, FAT 32, NTFS, UFS, EXT2, EXT3. К ним относятся Windows Server 2008/Server 2008 x64 Edition/Server 2008 R2, Windows 7, Windows Vista/Vista x64 Edition, Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition, VMware ESX, МСВС 3.0, Linux XP 2008 Secure Edition и другие.

Помимо основных функций МДЗ (идентификация и аутентификация пользователей, блокировка загрузки ОС с внешних носителей, контроль целостности, регистрация событий безопасности) в ПАК «Соболь» реализован ряд дополнительных возможностей:

  • механизм таймера безопасности;
  • применение случайных паролей;
  • мониторинг работоспособности ключевых компонентов системы;
  • программная настройка системы, проводимая без доступа к внутренним частям компьютера.

Определение контрольных сумм в рамках механизма проверки целостности выполняется согласно алгоритму ГОСТ Р 28147-89 в режиме вычисления имитовставки.

Система идентификации и аутентификации, внедренная в ПАК «Соболь 3.0», позволяет использовать разные типы идентификаторов:

  • eToken PRO;
  • iKey 2032;
  • Rutoken S;
  • Rutoken RF S;
  • iButton.

В зависимости от типа предъявляемого идентификатора в комплексе поддерживаются двухфакторный (для iButton, iKey 2032, Rutoken S, Rutoken RF S) и усиленный двухфакторный (для eToken PRO) способы аутентификации. Аутентификация пользователя осуществляется по паролю (длиной до 16 символов), вводимому с клавиатуры.

ПАК «Соболь 3.0» обеспечивает интеграцию с системами безопасности линейки Secret Net, АПКШ «Континент», а также средствами защиты информации Security Code vGate для VMware Infrastructure, Security Studio Honeypot Manager, «Континент-АП» и «КриптоПро CSP».

В базовый комплект поставки ПАК «Соболь 2.1» входят плата для шины PCI, идентификаторы iButton DS1992 (2 шт.) с контактным устройством, кабель для механизма сторожевого таймера, компакт-диск с эксплуатационной документацией и программным обеспечением. В комплект поставки ПАК «Соболь 3.0» помимо iButton могут входить USB-идентификаторы.

Компания «АНКАД» (www.ancud.ru) известна своими решениями в области аппаратной криптографической защиты информации.

Стремление разработчиков обеспечить разграничение и контроль пользовательского доступа к защищённому компьютеру, а также управлять доступом к аппаратным ресурсам и следить за целостностью программного обеспечения, привело к созданию аппаратно-программных средств защиты данных серии «КРИПТОН-ЗАМОК»:

  • «КРИПТОН-ЗАМОК/К» – предназначен для формирования нескольких уровней безопасности компьютера, этот модуль позволяет загружать конфигурацию системы согласно индивидуальным требованиям каждого пользователя и разделять пользователей по физическим дискам и сетевым контуром;
  • «КРИПТОН-ЗАМОК/У» – ориентирован на работу с модулями для криптографической защиты информации;
  • «КРИПТОН-ЗАМОК/УК» – это компонент, позволяющий формировать несколько уровней защиты для компьютера и взаимодействовать с модулями криптографической охраны данных;
  • «КРИПТОН-ЗАМОК/М» – разработан для обеспечения доверенной загрузки ОС с внешнего жесткого диска (контейнер Mobile Rack для интерфейса IDE).

Идентификация и аутентификация пользователей в МДЗ семейства «КРИПТОН-ЗАМОК» осуществляется с помощью идентификаторов iButton.

Проверка целостности программной среды (хэш-суммы вычисляются на основе алгоритма хэш-функции согласно ГОСТ Р34.11-94) осуществляется для файловых систем FAT 12, FAT 16, FAT 32, NTFS, EXT2FS, EXT3FS.

Устройство обеспечивает аппаратную блокировку от несанкционированной загрузки ОС с внешних носителей: дискет, CD/DVD-дисков, USB-дисков и USB flash-накопителей.

В системе МДЗ ведется журнал регистрации и учета инцидентов безопасности, который хранится в энергонезависимой памяти на плате изделия.

Рисунок 3. Плата изделия «КРИПТОН-ЗАМОК/Е»

На текущий момент компания «АНКАД» выпустила обновленную версию МДЗ для шины PCI-E x1 Rev 1.1 – «КРИПТОН-ЗАМОК/Е» (см. рис. 3), в которой внедрены новые функции. К примеру, разработчики улучшили производительность устройства (плата оснащена процессором с тактовой частотой 200 МГц и 256 Мб памяти), реализовали независимый USB-интерфейс для подключения внешних накопителей и представили новый форм-фактор платы, что позволяет использовать устройство в компактных системных блоках.

Новые угрозы компьютерной безопасности

Существует мнение, что главные риски для компьютерной безопасности возникают из-за малограмотных приложений, которые работают на уровне ядра ОС, а В меньшей степени от загрузчиков. Для эффективной защиты от подобных угроз необходимо обладать инструментами для мониторинга файловой системы и анализа оперативной памяти.

В последние годы появились новые способы проникновения в компьютерные системы. Их реализация стала возможной благодаря произошедшим существенным архитектурным изменениям современных компьютерных платформ. К основным аппаратным изменениям можно отнести:

  • внедрение возможностей виртуализации на уровне процессоров и северного моста материнских плат;
  • интеграция новых интерфейсов flash-памяти объемом до 32 Мб в южные мосты с поддержкой инициализации виртуальных устройств;
  • существенное улучшение функционала системы управления в режиме System Management Mode (SMM) для процессора;
  • введение аппаратуры Trusted Platform Module (TPM);
  • реализация аппаратных механизмов для обновления микрокода процессоров;
  • внедрение технологии Active Management Technology (AMT);
  • появление прозрачных мостов на шине PCI-E.

К сожалению, в текущий момент многие аппаратные решения не имеют поддержки со стороны операционных систем, что приводит к возникновению новых компьютерных уязвимостей и значительному увеличению риска осуществления злонамеренных действий, неподконтрольных со стороны ОС.

Является весьма показательной 4-уровневая классификация методов проникновения и скрытого функционирования, предложенная специалистами компании Invisible Things Lab (http://www.invisiblethingslab.com) Александром Терешкиным и Рафаалом Войтчуком:

  • 0 – уровень ядра операционной системы (традиционный подход, с него начинается отсчет);
  • 1 – уровень технологий виртуализации;
  • 2 – уровень системного управления (режим SMM и соответствующие ему программные модули);
  • 3 – уровень удаленного администрирования компьютерной системы (технологии AMT, vPRO и аналогичные им).

Аппаратура виртуализации в настоящее время является неотъемлемой частью практически любой вычислительной системы – от ноутбука до сервера. С одной стороны, аппаратура необходима гипервизорам систем виртуализации, за счет ее использования они существенно повышают свою эффективность. С другой стороны, эта же аппаратура может использоваться нелегальными программами для контроля над системой и для скрытия собственного присутствия на компьютере.

Гипервизор в системе виртуализации способен не только формировать мультисистемные окружения, но и обеспечивать доверенное и контролируемое выполнение одной операционной системы. Он гарантирует контроль над всеми элементами ОС и прикладным ПО. Кроме того, гипервизор обеспечивает создание виртуальных устройств, которые полностью подражают реальным устройствам в системе. Поскольку концепция виртуализации предполагает ее непрозрачность для любых программных и аппаратных компонентов, современные средства защиты не в состоянии выявить гипервизор, тем самым предоставляя злоумышленникам возможность тайного доступа к любой системе.

Классическим примером «опасной» реализации аппаратной поддержки виртуализации является представленная в «далеком» 2006 году польским программистом Joanna (см. http://www.eweek.com/c/a/Windows/Blue-Pill-Prototype-Creates-100-Undetectable-Malware) технология Blue Pill (BP) и ее продолжение New BP. Как показала демонстрация, с помощью полностью невидимой технологии BP удалось перехватить функционирующую на компьютере ОС Windows Vista x64 и менее чем за миллисекунду переместить ее под управление гипервизора BP.

Режим SMM был внедрен в архитектуры компьютеров x86 для управления процессами «горячей» замены устройств и функциями энергосбережения. Данный режим полностью скрыт от операционной системы (время работы процессора в SMM прерывает выполнение ОС), а его обслуживающие программы инициализируются BIOS. В режиме SMM код, хранящийся в микросхеме BIOS, может контролировать работу системы в любое время её функционирования, а не только до загрузки операционной системы, как это было ранее.

Учтите, что микросхемы BIOS могут содержать десятки мегабайт данных, что облегчает внедрение вредоносного кода в программные модули BIOS. Проконтролировать работу программ системного управления процессором с помощью антивирусных систем и систем защиты от несанкционированного доступа невозможно, так как их деятельность аппаратно изолирована друг от друга.

Технология АМТ (vPRO – для десктопов и ноутбуков) предназначена для удаленного управления компьютерными системами, причем она активна даже в выключенном состоянии компьютера (подается только дежурное напряжение). Удаленное управление осуществляется через Интернет с использованием сетевого проводного или беспроводного доступа. Управляющим элементом технологии является специальный внедренный микроконтроллер с собственной памятью и хранящимися в ней управляющими программными модулями.

Микроконтроллер оснащён отдельным каналом для доступа к сетевым устройствам, при этом аппаратно обеспечиваются индивидуальные сетевые МАС- и IP-адреса. Он способен взаимодействовать с виртуальными сетями и осуществлять туннелирование своих транзакций в потоках информации операционной системы. Операционная система не управляет микроконтроллером, а лишь отправляет и получает транзакции управления и состояния через интерфейс IPMI.

Таким образом, внедрение и работа вредоносных программных модулей, выполняемых микроконтроллером, никак не контролируется средствами ОС и антивирусными программами. Значит, имеется возможность тотального скрытого контроля над компьютером из любой точки мира через Интернет.

Упомянутые ранее методы доступа к компьютерным системам появились благодаря внедрению новых аппаратных решений, которые одновременно повысили продуктивность систем и уменьшили их защиту. В текущий момент обнаружить и заблокировать возникшие векторы атаки и вредоносные программы не представляется возможным с помощью традиционных методов.

Для повышения уровня защиты крайне важно наладить надежный контроль над рядом ключевых компьютерных ресурсов и их характеристиками. К таким ресурсам относятся:

  • аппаратура виртуализации;
  • аппаратура SMM с её специализированной памятью SMRAM;
  • аппаратура технологии АМТ и её память с загруженными программными модулями;
  • данные микросхем энергонезависимой памяти на материнской плате;
  • параметры распределения памяти;
  • настройки контроллеров;
  • модули расширения BIOS, установленные на внешних адаптерах.

Реализацию такого контроля можно возложить на независимые аппаратные средства, вынесенные за пределы области управления и контроля со стороны потенциально опасной аппаратуры и программного кода. В качестве такого устройства предлагается использовать МДЗ, дополнив его специальными модулями контроля аппаратной платформы.

На протяжении своего существования модули доверенной загрузки зарекомендовали себя как надежное, простое в управлении и экономически эффективное решение для защиты от несанкционированного доступа к компьютерам. Именно поэтому они нашли такое широкое применение в системах информационной безопасности на множестве российских компаний.

В последнее время мир компьютерных угроз пополнился новыми способами проникновения, использующими аппаратные уязвимости современных вычислительных платформ. Появившиеся угрозы заставляют разработчиков средств защиты информации принимать меры по усилению контроля над аппаратными средствами компьютеров и программными модулями, использующими эти средства. Как показали последние исследования, на модули доверенной загрузки могут быть возложены дополнительные функции контроля аппаратной платформы защищаемых компьютеров. Ближайшее будущее покажет эффективность принятого решения.

Аккорд-АМДЗ

Система защиты информации НСД «Аккорд-АМДЗ» представляет собой аппаратный модуль для доверенной загрузки (АМДЗ) совместимых с IBM персональных компьютеров — как серверов, так и рабочих станций в локальных сетях, что обеспечивает защиту устройств и информационных ресурсов от неавторизованного доступа.

Понятие «доверенная загрузка» подразумевает загрузку различных операционных систем исключительно с заранее установленных постоянных носителей (например, только с жесткого диска) после успешного выполнения определенных процедур: проверки целостности аппаратных и программных средств компьютера (с использованием механизма поэтапного контроля целостности) и идентификации/аутентификации пользователя.

  • Технические характеристики

Комплекс начинает работу сразу после выполнения кода системного BIOS компьютера — до загрузки операционной системы. Контроллеры семейства «Аккорд-АМДЗ» обеспечивают доверенную загрузку ОС, поддерживающих наиболее распространенные файловые системы, включая: FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, Ext4, ReiserFS, FreeBSD UFS/UFS2, Solaris UFS, QNX4, MINIX. Это, в частности, ОС семейств MS DOS, Windows, QNX, OS/2, UNIX, LINUX, BSD и др.

Контрольная система «Аккорд-АМДЗ» обычно используется в следующем оформлении:

  • контроллер («Аккорд-АМДЗ») — это карта расширения, которая устанавливается в свободный слот материнской платы СВТ (РС). Данный контроллер является универсальным и не требует замены при переходе на другой тип операционной системы;
  • прибор для считывания информации с контактным устройством, который обеспечивает связь между контроллером системы и личным идентификатором пользователя;
  • личный идентификатор пользователя — это специализированное устройство, содержащее уникальные данные о пользователе, которые используются для входа зарегистрированного пользователя в систему, а также для определения его прав и анализа доступа, а Выполняемых работ или предоставляемых услуг.

Количество и тип идентификаторов, модификация контроллера и съемника оговариваются при поставке комплекса. Персональные идентификаторы и съемники информации заказываются отдельно.

«Аккорд-АМДЗ» можно использовать с различными контроллерами, которые созданы для поддержки разных шинных интерфейсов СВТ. При этом его основная функциональность остается неизменной (независимо от типа контроллера) и соответствует информации, изложенной в проектной и эксплуатационной документации.

Чтобы выбрать подходящий вариант, в первую очередь выясните, какой свободный слот с каким шинным интерфейсом доступен в СВТ, в которое вы собираетесь установить «Аккорд-АМДЗ».

  • PCI или PCI–X — контроллеры Аккорд-5МХ или Аккорд-5.5
  • PCI-express — контроллеры Аккорд-5.5.е, Аккорд-5.5.e new (Аккорд-LE) или Аккорд-GX
  • Mini PCI-express — контроллер Аккорд-GXM
  • Mini PCI-express half card — контроллер Аккорд-GXMH
  • M.2 с ключами A и/или E (интерфейс PCI-express) — «Аккорд-M.2»
  • Контроллер «Аккорд-5.5»
  • Контроллер «Аккорд-5.5 PCI-Express (Аккорд-5.5e)»
  • Контроллер «Аккорд-GX»
  • Контроллер «Аккорд-GXM»
  • Контроллер «Аккорд-GXMH»
  • Контроллер «Аккорд-M.2»

Все контроллеры допускают возможность расширения функций с «Аккорд-АМДЗ» до ПАК «Аккорд» (например, «Аккорд-Win32/64», «Аккорд-X», «Аккорд-В.»). Можно выбирать «Аккорд-АМДЗ» на базе любого контроллера, не опасаясь что, если в дальнейшем Вам понадобится добавить СПО разграничения доступа, компоненты окажутся несовместимы.

Для идентификации пользователей могут применяться USB-токены, USB-ключи, смарт-карты, устройства на базе ШИПКА (например, ШИПКА-лайт Slim, ШИПКА-2.0 CCID или другие версии), а также ТМ-идентификаторы.

Количество и тип идентификаторов оговариваются при поставке комплекса. Персональные идентификаторы заказываются отдельно.

Устройства для извлечения информации разработаны для снятия данных с ТМ-идентификаторов, смарт-карт и бесконтактных RFID-меток.

Система отвечает требованиям документов «Требования к средствам доверенной загрузки» (ФСТЭК России, 2013) и «Профиль защиты средства доверенной загрузки уровня платы расширенного второго класса защиты. ИТ.СДЗ.ПР2.П3» (ФСТЭК России, 2013).

PCI-устройства ОКБ САПР являются легальными, что обеспечивается членством ОКБ САПР в PCI-ассоциации. Идентификатор PCI-устройств разработки ОКБ САПР легко запомнить: 1795

Оцените статью
LeeReload
Добавить комментарий

LeeReload 2025 © Авторский сайт Василия Блинова - сисадмин с 7 летним опытом. Мне интересно все, что связано с компьютерами, ПО и современными технологиями