Российские средства защиты информации: Соболь-4

“Программно-аппаратный комплекс “Соболь”. Версия 4” служит для предотвращения несанкционированного доступа на этапе загрузки. 

Устанавливается на компьютеры с 64-разрядными процессорами. Для подключения платы на системной плате должен быть свободный разъем шины PCIe, либо Mini PCIe, либо M.2. 

Какие функции реализует

ПАК “Соболь” — средство доверенной загрузки уровня платы расширения второго класса защиты. 

Сертифицированный модуль с поддержкой UEFI предназначен для: 

• защиты конфиденциальной информации, персональных данных, гостайны (гриф «Совершенно Секретно»); 
• предотвращения доступа неавторизованных пользователей к информации, обрабатываемой на компьютере; 
• информирования администратора о важных событиях информационной безопасности. 

ПАК «Соболь» предназначен для предотвращения несанкционированного доступа к ресурсам. Реализует функции: 

• идентификация и аутентификация пользователей при входе в ИС с помощью электронных идентификаторов; 
• защита от несанкционированной загрузки ОС со съемных носителей; 
• контроль целостности программного и аппаратного обеспечения до загрузки ОС; 
• сторожевой таймер — блокировка компьютера при условии, что после его включения управление не передано расширению UEFI/BIOS комплекса; 
• контроль работоспособности датчика случайных чисел, энергонезависимой памяти платы комплекса, персональных идентификаторов; 
• регистрация событий, имеющих отношение к безопасности ИС; 
• совместная работа с СЗИ Secret Net Studio. 

Комплекс «Соболь» функционирует в двух режимах — инициализации и рабочем.

Режим инициализации

Предназначен для подготовки к эксплуатации. Здесь выполняется настройка системных, общих параметров, параметров паролей, журнала; регистрация администратора; расчет эталонных контрольных сумм. 

Есть два способа инициализации — аппаратный и программный. 

Аппаратная инициализация выполняется перед началом эксплуатации, в том числе, при первой установке. Также она может применяться для сброса ранее настроенных параметров. Для этого необходимо предварительно переключить плату в режим инициализации. 

Программная часть

Программная инициализация выполняется в рабочем режиме при необходимости изменения параметров, настроенных при установке платы комплекса в компьютер. Данный способ не требует переключения платы в режим инициализации. 

Порядок инициализации: 

1. Проверка и настройка системных параметров. 

2. Настройка общих параметров. 

3. Настройка параметров журнала событий. 

4. Настройка параметров паролей. 

5. Регистрация администратора комплекса. 

6. Настройка КЦ и расчет контрольных сумм. 

Информационная строка в нижней части окна содержит назначение управляющих клавиш. 

При выборе пункта «Инициализация платы», запустится процедура инициализации комплекса. В верхней части окна отобразятся шаги процедуры инициализации. В процессе инициализации комплекса «Соболь» можно возвращаться на предыдущие шаги и корректировать параметры, пока не выполнена регистрация администратора.

Настройка параметров журнала событий может выполняться как во время инициализации комплекса, так и в рабочем режиме. 

Максимальный размер журнала определяет максимальное количество записей журнала событий. Диапазон значений зависит от общего параметра «Максимальное количество пользователей и событий журнала»

Важно! После регистрации администратора возврат на предыдущие шаги инициализации комплекса станет невозможным. 

При регистрации администратору присваиваются следующие атрибуты: 

• аутентификатор и пароль; 

• персональный идентификатор.

Процесс идентификации и аутентификации производится при помощи персонального электронного идентификатора iButton. Загрузка операционной системы с жёсткого диска осуществляется только после предъявления зарегистрированного электронного идентификатора.

Комплекс обеспечивает запрет загрузки ОС с внешних носителей (USB, FDD, DVD/CD-ROM, LPT, SCSI-порты и др.). 

Администратор управляет идентификаторами, реализовано присвоение идентификатора пользователю, удаление идентификатора у пользователя, форматирование идентификаторов. 

После успешного считывания на экране появится окно для ввода пароля. 

Рабочий режим – режим эксплуатации комплекса. Функционируют защитные механизмы ПАК «Соболь», а также выполняются настройка параметров и диагностика комплекса, управление пользователями, работа с журналом событий, служебные операции.  

Контроль целостности программной среды включает: 

• Контроль неизменности файлов и физических секторов жесткого диска, а также файловых систем NTFS, FAT16, FAT32, EXT2, EXT3, EXT4 в ОС семейства Linux и Windows. 
• Поддержка широкого списка ОС семейства Windows и Linux. 

Контроль целостности системного реестра Windows повышает защищенность рабочих станций от несанкционированных действий внутри ОС. 

Интеграция с Secret Net Studio позволяет: 

• Усилить контроль целостности на рабочих станциях и серверах под защитой Secret Net Studio. 
• Автоматически передавать записи журнала событий безопасности в Secret Net Studio. 
• Получить доступ для ПАК Соболь к ресурсам на зашифрованных разделах диска, созданных средствами шифрования СЗИ Secret Net Studio. 

Блокировка доступа к компьютеру осуществляется с помощью механизма сторожевого таймера в случае, если управление при его включении не передано ПК Соболь. 

Сторожевой таймер – это дополнительный модуль, блокирующий доступ к компьютеру при обнаружении попытки отключения электронного замка «Соболь».

В области «Пользователи» отображается список пользователей. Максимальное количество учетных записей определяется параметром «Максимальное количество пользователей и событий журнала», значение которого устанавливается при инициализации комплекса. 

После регистрации пользователя он может осуществить вход в систему. При успешном вводе пароля на экране появится запрос персонального идентификатора.

Поиск записей в журнале событий ПАК «Соболь» осуществляется по времени их формирования и по типу. Можно использовать два параметра поиска одновременно. 

В расследовании инцидентов помогает ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. В журнал записываются: 

• факт входа пользователя и имя пользователя; 
• предъявление незарегистрированного идентификатора; 
• ввод неправильного пароля; 
• превышение числа попыток входа в систему; 
• регистрация даты и времени попыток НСД. 

Экспорт журнала событий комплекса «Соболь» выполняется в заранее созданный для этой цели файл. Файл создается в ОС двумя способами: 

• с использованием командной строки; 
• с использованием вспомогательного ПО комплекса «Соболь». 

Комплекс сертифицирован для защиты:

• Объектов критической информационной инфраструктуры; 
• Государственных ИС; 
• ИС персональных данных; 
• Автоматизированных систем управления технологическими процессами.

Важнейшим аспектом при выборе СЗИ стало то, что ПАК “Соболь” включен в единый реестр российского ПО и имеет сертификаты ФСТЭК России № 4043 и ФСБ № СФ/527-4102. 

Преимуществом при выборе ПАК стало то, что “Соболь” осуществляет контроль целостности системного реестра Windows, аппаратной конфигурации компьютера и файлов до загрузки операционной системы.

Также он прост в установке, настройке и администрировании, имеет интуитивно понятный интерфейс и возможность работы с мышкой. Комплекс совместим с СЗИ Secret Net Studio, которое мы также используем в сервисе Safe Cloud 152-ФЗ. 

– Василий Смирнов, Teamlead по защите вычислительной инфраструктуры и веб-приложений команды Cortel.

Мы используем «Соболь-4» для обеспечения необходимого класса средств криптографической защиты информации, в том числе, в сервисе Safe Cloud 152-ФЗ.

В следующем материале разберём программный комплекс Secret Net Studio 8, ог котором не раз упоминали выше.