ViPNet SafeBoot 3
ViPNet SafeBoot 3 - новое поколение высокотехнологичного программного модуля доверенной загрузки (ПМДЗ), сертифицированного по требованиям ФСБ России и ФСТЭК России. Предназначен для создания точки доверия к платформе и её компонентам, а также к загружаемой операционной системе. Ключевыми задачами продукта являются разграничение доступа к платформе, защита UEFI BIOS, контроль неизменности и защита компонентов ПК, а также организация доверенной загрузки штатной операционной системы.
Семейство продуктов ViPNet SafeBoot за последние годы вышло за рамки привычной функциональности модулей доверенной загрузки операционной системы за счет использования множества дополнительных механизмов защиты UEFI BIOS и платформы в целом, например, контроля программных SMI, защиты от записи в WPBT, защиты прямой записи из BIOS на диск и т.д. Новое поколение ПМДЗ ViPNet SafeBoot 3 помимо расширения перечня функций защиты аппаратной платформы, реализует требования ФСБ России, необходимые для аттестации рабочих мест.
ViPNet SafeBoot 3 предназначен для создания точки доверия к платформе и её компонентам, а также к загружаемой операционной системе. Функциональность продукта позволит использовать его для реализации проектов по защите аппаратных платформ по требованиям ИСПДн, ГИС, АСУ ТП и КИИ, а также при построении систем с СКЗИ.
ViPNet SafeBoot 3 позволяет выполнять:
- разграничение доступа пользователей к платформе и загружаемой ОС за счёт собственных механизмов идентификации и аутентификации, а также за счёт дополнительных механизмов, используемых на серверах AD/LDAP;
- защиту UEFI BIOS от различных современных угроз (bootkit, rootkit и д.т.) и контроль неизменности компонентов среды исполнения ПМДЗ;
- контроль целостности аппаратных компонентов платформы, а также загружаемой программной среды;
- безопасную загрузку штатной операционной системы на платформах в архитектурах х86 и ARM:
- локально;
- по сети;
- в среде виртуализации.
Главной целью выпуска ViPNet SafeBoot 3 было создание версии, отвечающей требованиям ФСБ России к СЗИ МДЗ.
Также были реализованы следующие функции:
- Доверенная загрузка ОС по сети (PXE-Boot и HTTP-boot);
- Формирование отчёта о настройках продукта;
- Поддержка токена Guardant ID версии 2;
- Поддержка ALD PRO (Astra Linux);
- Поддержка работы на бездисковых станциях.
Для удалённого управления функциональностью ViPNet SafeBoot 3 рекомендуется использовать ViPNet EndPoint Protection.
Доступные функции для удалённого управления:
- удаленный сбор журналов с ViPNet SafeBoot 3;
- лицензирование и активация ViPNet SafeBoot 3;
- управление пользователями ViPNet SafeBoot 3 (создание, изменение, удаление)*;
- централизованная рассылка корневых сертификатов, при аутентификации по сертификату на токене*;
- централизованное обновление продукта*.
*доступно при использовании ViPNet EndPoint Protection версии 1.6 и выше
Продукт ViPNet SafeBoot 3 может использоваться как совместно с другими продуктами ViPNet, так и отдельно.
Основные задачи, которые могут быть решены:
- Построение систем с СКЗИ класса КС1-КС3 – где требуется наличие модуля доверенной загрузки
- Выполнение требований приказов ФСТЭК России:
- №17 по защите государственных информационных систем (ГИС);
- №21 по защите информационных систем персональных данных (ИСПДн);
- №31 по защите автоматизированных систем управления технологическим процессом (АСУ ТП);
- №239 по защите критической информационной инфраструктуры (КИИ);
- Защита от НСД на самых ранних этапах загрузки компьютеров или устройств с UEFI BIOS.
ИнфоТеКС оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств
Возможность использования различных способов и сочетаний:
- Аутентификация по паролю
- Аутентификация по электронному идентификатору
- Аутентификация по электронному идентификатору и паролю
- Аутентификация по паролю на электронном идентификаторе
- Аутентификация на AD/LDAP
Поддерживаемые типы USB-идентификаторов:
- Rutoken ЭЦП
- Rutoken ЭЦП 2.0 (2000, 2100, 4000)
- Rutoken Litе (1000)
- Rutoken ЭЦП PKI (1800)
- Rutoken S (1100)
- JaCarta LT
- JaCarta PKI
- JaCarta PKI/ГОСТ
- JaCarta-2 PKI/ГОСТ
- JaCarta-2 ГОСТ
- Guardant ID
- Guardant ID версии 2
Поддерживаемые типы смарт-карт:
- JaCarta PKI
- JaCarta-2 ГОСТ
- Rutoken ЭЦП 2.0 (2100)
- Rutoken ЭЦП 3.0 (3100)
Для работы с смарт-картами рекомендуется использовать следующие смарт-карт ридеры ACS Reader, ASEDrive IIIe, JCR721 и HID Omnikey 5422
Поддержка SSO – для входа в ОС и/или ViPNet SafePoint
Контроль компонентов ОС:
- Постановка на контроль разделов и файлов. Поддерживаемые файловые системы:
- FAT32
- NTFS
- EXT2
- EXT3
- EXT4
- Контроль целостности реестра Windows
Имеется возможность автоматического построения списков КЦ для ОС
Контроль целостности аппаратных компонентов:
- Содержимое энергонезависимой памяти CMOS
- Содержимое конфигурационного пространства PCI
- Таблиц ACPI
- SMBIOS
- Карты распределения памяти
- Модули UEFI
- Загрузочные сектора на носителях информации
- Завершенность транзакций файловой системы (NTFS, EXT3, EXT4)
Для удобства пользователей предусмотрен режим обучения.
Защита от Malware в UEFI BIOS
- Блокирование создание ACPI-таблиц WPBT (Windows Platform Binary Table), посредством которых реализуется механизм автоматического запуска в ОС Windows исполняемых файлов
- Блокировка записи на диски со стороны компонентов BIOS на ранней стадии загрузки (наиболее распространённый метод для различных malware – Lojax, Computrace и т.д.)
Защита входа в BIOS и возможности изменения настроек
Возможность блокировки PCI Option ROM всех PCI-устройств
Блокировка встроенных средство обновления BIOS
Защита BIOS от перезаписи, чтения и от изменений EFI-переменных
Контроль программных SMI – возможность ограничения функциональности, реализованной на основе программных SMI
- Возможность удалённого управления ViPNet SafeBoot 3 в качестве управляющего приложения используется ViPNet EndPoint Protection (доступно для Исполнения 2 – подробнее об исполнениях перейдите на вкладку «Модификации и исполнения»)
- Возможность «локального» обновления замка
- Возможность удалённого обновления замка (доступно для Исполнения 2 – подробнее об исполнениях перейдите на вкладку «Модификации и исполнения»)
- Журнал событий безопасности
- Возможность организации доверенной загрузки ОС по сети (доступно для Исполнения 2 – подробнее об исполнениях перейдите на вкладку «Модификации и исполнения»)
ViPNet SafeBoot 3.0 разработан и будет поставляться в двух исполнениях:
- Исполнение 1. Сертифицировано по требованиям ФСБ России и в ФСТЭК России. Позволяет защищать информацию ограниченного доступа (персональные данные, служебная и коммерческая тайны, иная информация), не содержащую сведений, составляющих государственную тайну;
- Исполнение 2. Сертифицировано по требованиям ФСТЭК России. Позволяет защищать информацию ограниченного доступа (персональные данные, служебная и коммерческая тайны, иная информация), в том числе информацию, содержащую сведения, составляющие государственную тайну (до степени секретности «совершенно секретно»).
Исполнение 1 имеет ограничения, накладываемые особенностями сертификации и будущего использования продукта. В данном исполнении недоступны следующие функции/модули:
- модули для удалённого управления (нет возможности удалённого лицензирования и настройки из ViPNet EndPoint Protection)
- Нет сетевой загрузки ОС (HTTP-boot и PXE-boot)
- Нет возможности идентификации и аутентификации на LDAP/AD/Astra Linux Directory (ALD)
- Отключена возможность использования внешнего журнала и БД (SafeBoot должен полностью размещаться в микросхеме)
Подробнее об ограничениях, можно прочитать в документации на продукт.
ViPNet SafeBoot 3
.jpg)
Архив версий
Документация на продукты
Документация на продукты ViPNet представлена в виде zip-архивов или непосредственно в виде pdf-файлов. Для просмотра документации Вам понадобится бесплатная программа Adobe Acrobat Reader. Вы ее можете скачать с сайта компании Adobe. При скачивании документации просим вас обращать внимание на указанный номер версии. Эксплуатируемая вами версия продуктов ViPNet может отличаться от представленной на сайте версии документации. Выберите продукт для получения перечня доступной по нему документации:
| Наименование | Версия | Размер, Мб |
|---|---|---|
| Комплект документации для ViPNet SafeBoot 3 | 3.0.3 | 13,5 Мб |
| Таблица совместимости ViPNet SafeBoot с платформами | от 10.02.2024 | 95,1 Кб |