Импортозамещение. Российская доверенная вычислительная техника, как основа построения безопасной инфраструктуры

устойчивости функционирования информационных систем.

Подавляющее большинство используемых вычислительных систем построено на компонентах импортного производства.
Нельзя исключать возможность наличия в них закладок, недекларированных возможностей и скрытых каналов управления, ПОЗВОЛЯЮЩИХ ОБОЙТИ ЛЮБЫЕ НАЛОЖЕННЫЕ СРЕДСТВА ЗАЩИТЫ

образа или части образа.
Исполнение неконтролируемого кода во встроенной памяти процессора и чипсета в процессе его инициализации.
Нарушение цепочки доверия при загрузке.
Перевод CPU в режим особых привилегий – SMM.
Изменение загрузочной записи в MBR или GPT таблице.
Внедрение закладок при замене прошивок ОЕМ-устройств.
Подмена сетевого загрузочного устройства
Перехват управления ОЕМ-устройств через НДВ OPROM.
Наличие НДВ специализированных контроллеров BMC, TPM.
Подмена драйверов и модулей UEFI загружаемых с диска из раздела EFI.
Модификация загрузчика выхода из состояния сна (BootScript).
Перевод CPU в отладочный режим (DCI).

база

Российское производство

этом импортозамещение в области
управляющей логики для платформы x86
стремится к нулю.
Перенос ПО на любую другую архитектуру и его оптимизация для достижения сопоставимого с х86 быстродействия является трудоёмким и дорогостоящим процессом.
Полная локализация производства компонентной базы на территории России не является выполнимой задачей на ближайшие годы

может полностью решить проблемы технологической независимости.
Процессоры производятся по определённому технологическому процессу, привязанному к конкретной зарубежной фабрике, поскольку в России таких микроэлектронных производств не существует.

ПРОБЛЕМЫ ИМПОРТОЗАМЕЩЕНИЯ

Соответственно, контроль производства таких процессоров находится за пределами РФ и всегда существует риск санкционных ограничений

модель защиты:
Обеспечение изначальной целостности и неизменности среды функционирования (UEFI)
Непрерывная модель безопасности:
Использование принципа «цепочек доверия» (проверка каждого запускаемого компонента, с использованием технологии цифровых сертификатов)
Непрерывный контроль операций ввода/вывода с внешними ресурсами (локальными и сетевыми)
Разделение среды функционирования СЗИ и стандартных приложений
Интеграция в архитектуру х86 на стадии проектирования дополнительного независимого аппаратного ВЫЧИСЛИТЕЛЬНОГО МОДУЛЯ ДОВЕРИЯ
Перенос функций СЗИ в “МОДУЛЬ ДОВЕРИЯ”
Обеспечение приоритета исполнения приложений безопасности над остальными функциями платформ

плат
Проведение в цикле производства специальных проверок и специальных исследований;
Гарантия качества, сквозной 100% контроль продукции

Доверенная платформа: контроль всех стадий жизненного цикла продукта / решения

Интеграция в схемотехнику платформы аппаратного модуля доверия
Разработка СЗИ функционирующих в защищённой неизменяемой среде модуля доверия

аутентификации до старта операционной системы и запрет загрузки с внешних носителей
Средство контроля конфигурации – обеспечивает контроль целостности программной и аппаратной среды компьютера.
Тонкий Гипервизор – обеспечивает контроль потоков ввода/вывода и профилирование оборудования под конкретного пользователя.
Антивирус «Касперский для UEFI» - обеспечивает своевременное обнаружение и блокирование вирусных атак до загрузки ОС.
Kraftway Security Center – обеспечивает централизованное дистанционное управления средствами защиты на уровне BIOS (UEFI).

СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ИНТЕГРИРОВАННЫЕ В МОДУЛЬ ДОВЕРИЯ

Считывание начального загрузчика ОС

Передача управления загрузчику ОС

Загрузка ОС

Двухфакторная идентификация и аутентификация пользователей

Контроль целостности программного обеспечения

Регистрация событий безопасности

Инициализация загрузчика OC

Аппаратное прерывание процедуры загрузки

Включение ПК

Инициализация BIOS

Проверка оборудования (POST)

Инициализация PCI-устройств

Считывание начального загрузчика ОС

Передача управления загрузчику ОС

Загрузка ОС

Двухфакторная идентификация и аутентификация пользователей

Контроль целостности программного обеспечения

Регистрация событий безопасности

Инициализация загрузчика OC

Аппаратное прерывание процедуры загрузки

Внешнее (наложенное) СЗИ

Запуск вредоносного кода

начального загрузчика ОС

Передача управления загрузчику ОС

Загрузка ОС

Антивирусная защита

Контроль целостности программного и аппаратного обеспечения

Регистрация событий безопасности

Инициализация PCI-устройств

Аппаратное прерывание стартовой процедуры BIOS

Двухфакторная идентификация и аутентификация пользователей

Запуск тонкого гипервизора

Проверка BIOS и интегрированных СЗИ

Инициализация BIOS

Включение модуля доверия

Включение ПК

Проверка оборудования (POST)

Инициализация загрузчика ОС

Считывание начального загрузчика ОС

Передача управления загрузчику ОС

Загрузка ОС

Антивирусная защита

Контроль целостности программного и аппаратного обеспечения

Регистрация событий безопасности

Инициализация PCI-устройств

Аппаратное прерывание стартовой процедуры BIOS

Двухфакторная идентификация и аутентификация пользователей

Запуск тонкого гипервизора

Проверка BIOS и интегрированных СЗИ

Инициализация BIOS

Включение модуля доверия