АПМДЗ в составе СКЗИ

В СКЗИ классов КС2 или КС3 должна быть реализована защита от атак, которые могут быть проведены из пределов контролируемой зоны (подробнее в публичных требованиях к СКЗИ). Существует как минимум два варианта реализации защиты – программными средствами и с помощью аппаратно-программного модуля доверенной загрузки (АПМДЗ). Реализация программными средствами происходит с привязкой к конкретной аппаратной платформе, которая указывается в формуляре, правилах пользования, технических условиях или других документах на СКЗИ. Примеры — Coordinator HW от Инфотекс и ESR-ST от С-Терра. Второй вариант – установка АПМДЗ в виде отдельной платы. Именно такой подход использует Код Безопасности в линейке Континент — в шлюзы установлен АПМДЗ Соболь. В продуктах С-Терра тоже используется АПМДЗ, но есть возможность использования замков нескольких производителей. Они перечислены в формуляре и будут рассмотрены в заметке.


Справедливости ради нужно сказать, что в составе СКЗИ используются не все функции АПМДЗ, а только часть (но остальные тоже могут понадобиться – смотрите пункт 3). Начнем с указания параметров, наиболее важных для сравнения.

1) Сертификат ФСБ России на соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ не ниже класса 3Б. Наличие сертификата говорит о том, что реализация мер защиты от НСД уже проверена и необходимости в повторной проверке при тематических исследованиях СКЗИ нет. Это упрощает сертификацию СКЗИ и уменьшает её срок.

Чем больше срок действия сертификата АПМДЗ — тем лучше. Если предполагаемый срок эксплуатации СКЗИ выходит за пределы срока действия сертификата на АПМДЗ, то требуется уточнить — возможно ли продление сертификата на АПМДЗ, планируется ли оно. Если сертификат на АПМДЗ истек, то сертификат на СКЗИ, строго говоря, недействителен.

2) Форм-фактор (шина подключения). В серверных платформах это обычно PCI или PCI-E. А вот если рассматривать ноутбуки или тонкие клиенты в рамках задач защиты удаленного доступа, то требуется более компактный размер — mini pci-e, mini pci-e half size и М.2.

3) Сертификат ФСТЭК. Для криптошлюзов в наличии такого сертификата необходимости нет, а для конечных устройств при удаленном доступе будет плюсом. В таком случае он используется и для СКЗИ, и для реализации других мер по защите от НСД, указанных в приказах ФСТЭК. Но обратите внимание, у многих производителей АПМДЗ во ФСТЭК и ФСБ сертифицируются разные модификации одного и того же продукта, в таком случае выполнить требования обоих регуляторов одним продуктом не получится.

4) Способ подключения сторожевого таймера. Сторожевой таймер позволяет блокировать (чаще всего перезагружать) АРМ при условии, что после его включения управление не передано АПМДЗ. Обычно у большинства производителей подключение осуществляется через пины RESET и POWER на материнской плате. Для этого требуется дополнительный провод и переходник, плюс при этом увеличивается время на установку. Но самое главное — не у всех материнских плат есть указанные пины. Альтернативный способ блокировки шины – передача сигналов на шину или в оперативную память, приводящая к зависанию и/или перезагрузке. Реализаций такого способа на рынке АПМДЗ крайне мало, хотя он удобнее для пользователей и позволяет решить задачи по защите от НСД на платах без пинов RESET и POWER.

5) Идентификаторы пользователей. Для криптошлюзов под пользователем следует понимать администратора безопасности. В большинстве случаев используется внешний считыватель с iButton, а вот для компактных форм-факторов он может не подойти. Наиболее удобная альтернатива — USB переходники для считывателя с iButton или токены.

6) Наличие физического датчика случайных чисел (ФДСЧ). Конечно, можно генерировать случайные числа вручную с помощью биологического датчика случайных чисел, но это довольно трудоемко. Вторая альтернатива — доверенная доставка ранее сформированной на другом АПМДЗ внешней гаммы — не менее сложная и трудоемкая для небольшого количества устройств, но хорошо масштабируемая. С ФДСЧ процесс удобный, быстрый и надежный.

7) Автозагрузка. Очень интересный пункт. Актуален для ситуаций, когда заказчик приобрел СКЗИ класса КС2 «на всякий случай» без понимания основного ограничения — для приведения СКЗИ в состояние готовности требуется локальное участие администратора (приложить идентификатор и ввести пароль). По факту это означает, что при любой перезагрузке (для небольших региональных филиалов самая частая причина — перебои с питанием) требуется участие администратора, а это возможно далеко не всегда.
Автозагрузка противоречит сценарию применения АПМДЗ. Большинство производителей даже реализовывать её не стали, а некоторые (Код Безопасности) — сделали, описав в документации с пометкой, что это запрещено. Поищите в Руководстве Администратора на Соболь ключевое слово «AUTOLOAD».

8) Импорт/Экспорт настроек. Если предстоит настроить N-нное количество устройств, то эта функция будет очень кстати. Например, указать перечень файлов, целостность которых надо контролировать.
Идентификаторы пользователей (о них выше, в п.5) в любом случае делаются персонально.

9) Контроль целостности файловой системы. В случае использования АПМДЗ в составе СКЗИ такая проверка может осуществляться либо только средствами АПМДЗ при загрузке ОС, либо АПМДЗ и дополнительно утилитами в составе СКЗИ непосредственно в ОС. Такой функционал поддерживается всеми АПМДЗ из перечня, указанного ниже.

Будут рассмотрены следующие АПМДЗ:
Соболь от Код Безопасности,
Аккорд-GX/GXMH от ОКБ САПР,
Криптон-Замок от АНКАД,
Максим-М1 от РусБИТех,
Тринити-С от SETEC.

Выводы
Во-первых, подобрать АПМДЗ для конкретной платформы – не самая простая задача. Существует много нюансов как в аппаратной платформе (например, допуски, определенные стандартами шин PCI/PCI-E или особенностью разводки платы), так и в самом АПМДЗ. Это приводит к необходимости детального тестирования совместимости в каждом конкретном случае. При этом некоторую информацию можно получить непосредственно у производителей АПМДЗ, например, на сайте Кода Безопасности в открытом доступе выложена таблица совместимости ПАК «Соболь» с различными аппаратными платформами. Но большинство платформ, указанных в этой таблице, купить уже невозможно. Кроме того, речь идет в основном о полной совместимости продукта с платформой, хотя есть «совместимость с замечаниями». Таким образом, отсутствие в этом перечне платформы не означает невозможность её использования для СКЗИ. Пример из практики – С‑Терра Шлюз КС2 на базе сервера Cisco UCS С200 с Соболем.
Поэтому в большинстве случаев – надо подбирать и тестировать.
Во-вторых, для конечных рабочих мест проблема еще более усугубляется «зоопарком» устройств, необходимостью компактного форм-фактора для ноутбуков, а также наличием сертификатов обоих регуляторов.
В такой ситуации конечному заказчику и производителю СКЗИ лучше иметь возможность маневра — несколько вариантов АПМДЗ для выбора в каждой конкретной ситуации. Если ранее производители АПМДЗ ориентировались на «своих» конкретных заказчиков, то сейчас продукты активно совершенствуются и становятся более массовыми. Конкуренция обостряется, это должно положительно сказаться на соотношении цена-качество и помочь заказчикам.

Дополнение 09.11.2018: В Аккорд-МДЗ автозагрузка технически возможна, но запрещена эксплуатационной документацией.

Поделиться:

2 thoughts on “АПМДЗ в составе СКЗИ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *