На прошедшей в Москве выставке Infosecurity Russia 2014 компания «ЭЛВИС-ПЛЮС» представила оригинальный вариант решения для построения доверенной вычислительной среды для мобильных рабочих мест (а в дальнейшем и для серверов приложений).
Директор департамента развития и маркетинга «ЭЛВИС-ПЛЮС» Роман Кобцев рассказал, что новое ПО, получившее название «Базовый доверенный модуль» (БДМ), представляет собой разработанное специалистами «ЭЛВИС-ПЛЮС» программное обеспечение, размещаемое на жестком диске вычислительного устройства, на котором требуется инсталляция доверенной среды (сервере, десктопе, ноутбуке, нетбуке, планшете, смартфоне...), а также USB-токен, куда помещается половина мастер-ключа шифрования. Данное ПО обеспечивает контроль целостности среды обработки информации, двухфакторную аутентификацию пользователя (по предъявлению токена и пароля) и полное шифрование всей рабочей среды пользователя вычислительного устройства.
При этом контролю целостности подвергаются аппаратная конфигурация, включая BIOS (или UFEI), начальный сектор жесткого диска, собственно ПО БДМ, а также конфигурации критичных системных файлов и настроек операционной системы. Доверенная загрузка начинается на самых первых тактах работы процессора. Вместе доверенная загрузка и двухфакторная аутентификация реализуют в БДМ функции электронного замка.
Следует отметить, что доверенная среда решения развертывается независимо от остальной, недоверенной среды пользовательского устройства, что означает возможность использовать устройство при подключенном токене как доверенное служебное, а при отключенном токене как личное, причем без каких-либо ограничений по приложениям и подключениям внешних устройств, при этом две эти среды никак не пересекаются.
Как пояснил заместитель генерального директора по развитию компании «ЭЛВИС-ПЛЮС» Сергей Вихорев, представленное решение активно использует возможности размещенного в контролируемом компьютере встраиваемого модуля безопасности TSM (который встраивается в современные компьютеры практически в обязательном порядке, а нередко его функционал реализуется непосредственно в процессорах), особенности его BIOS (или UFEI) и ОС (пока только Windows 7 в связи с ее распространенностью и наличием российских сертификатов соответствия высоким категориям защищенности).
По этой причине решение БДМ оказывается сильно привязанным к данным компьютерным компонентам и потому может быть установлено только на определенные программно-аппаратные пользовательские конфигурации (спектр которых «ЭЛВИС-ПЛЮС» намерена постоянно расширять). Для создания БДМ потребовалось тесное сотрудничество разработчика с Intel, Microsoft, Lenovo, чтобы получить от этих вендоров информацию, необходимую для реализации функционала БДМ и его сертификации в соответствии с российскими требованиями.
Важная особенность БДМ, по словам г-на Вихорева, заключается в том, что новое решение не только использует возможности TSM, но и заменяет встраиваемую в TSM иностранную криптографию на разработанное в «ЭЛВИС-ПЛЮС» шифрование по ГОСТ
Шифрованию подвергается вся та часть запоминающего устройства пользовательского компьютера, на которой БДМ размещает доверенную пользовательскую среду, плюс к этому шифруются временные файлы, файлы подкачки, журналы приложений, дампы оперативной памяти и образы вычислительной среды, сохраняемые при переходе в спящий режим.
В настоящее время в базовый вариант решения, образующего доверенную среду, входят ноутбук c ОС Windows 7, токен (рассчитанный на три года эксплуатации), а также VPN и межсетевой экран «Застава» (которые по желанию заказчика могут быть замены на другие программные варианты с данным функционалом). Расширенный вариант позволяет включить в решение и другие используемые заказчиком средства защиты информации.
Завершение процедур сертификации во ФСТЭК и ФСБ России типовых защищенных рабочих мест, в которых используется БДМ, по словам представителей «ЭЛВИС-ПЛЮС», упростит и удешевит защиту по высоким классам защищенности государственных информационных систем и информационных систем персональных данных.
