КОНЦЕПЦИЯ ДОВЕРЕННОЙ ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ: СОДС МАРШ!
РАСПРЕДЕЛЁННЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ (РИС) 2
ПРИНЦИП ДОВЕРЕННЫХ ВЫЧИСЛЕНИЙ Критичные вычисления должны производиться в доверенной вычислительной среде Функционально замкнутая среда Изолированная программная среда Доверенная вычислительная среда на основе резидентных компонентов безопасности 3
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ В РАСПРЕДЕЛЁННЫХ ИС Средства обеспечения доверенной загрузки ОС Средства обеспечения доверенности компьютера Средства обеспечения защищенного сетевого соединения 4
УСЛОВИЯ ОБЕСПЕЧЕНИЯ ДОВЕРЕННОЙ ЗАГРУЗКИ ОС Аппаратная идентификация-аутентификация пользователя Контроль целостности программно-технических средств компьютера, файловой системы и назначенных объектов Запуск ОС только из определённого источника Доверенная загрузка ОС 5
УСЛОВИЯ ДОВЕРЕННОСТИ КОМПЬЮТЕРА Доверенная загрузка ОС Защита информации от НСД Разграничение доступа к ресурсам Антивирусная защита Доверенный компьютер 6
УСЛОВИЯ ДОВЕРЕННОГО СЕТЕВОГО СОЕДИНЕНИЯ криптозащита трафика или физическая изолированность о сетей общего пользования при расположении в контролируемой зоне Защищённое сетевое соединение 7
ОСОБЕННОСТИ ПОСТРОЕНИЯ ЗАЩИЩЁННЫХ РИС Сложность контроля выполнения требований политики ИБ на удалённых (подключаемых) сегментах РИС Необходимость использования сертифицированных ОС, СЗИ НСД и СКЗИ для шифрования и работы с ЭЦП Необходимость аттестации АРМ пользователей Ограничение функционала сертифицированных ОС и ФПО (в т.ч. сложность процедуры обновлений) Высокая стоимость комплекта сертифицированных ОС, СЗИ НСД и СКЗИ, а также процедуры аттестации 8
КОНЦЕПЦИЯ ДСС Обеспечение достаточных условий для защищённой работы удалённых пользователей с сервисами доверенной РИС на определённый период времени без построения ИПС и без снижения класса защиты РИС Два режима работы компьютера: Обычный режим (без доступа к сервисам РИС) Режим ДСС (доверенный сеанс работы с сервисами РИС) Безопасная работа удалённых пользователей с сервисами доверенной РИС с недоверенного компьютера 9
ОПРЕДЕЛЕНИЕ ДСС Доверенный сеанс связи (ДСС) – период работы компьютера, в рамках которого: обеспечивается доверенная загрузка ОС организуется защищённое соединение поддерживаются достаточные условия для работы с ЭЦП 10
СХЕМА РАБОТЫ «МАРШ!» 11
КОНСТРУКЦИЯ - C МИКРОПРОЦЕССОРОМ - С МНОГОКОНТУРНОЙ КРИПТОГРАФИЧЕСКОЙ ПОДСИСТЕМОЙ - С ПРОВЕРЕННОЙ ЗАЩИЩЕННОЙ ОПЕРАЦИОННОЙ СИСТЕМОЙLINUX - С СПЕЦИАЛЬНОЙ ПОДСИСТЕМОЙ УПРАВЛЕНИЯ К ПАМЯТИ 12
13 "МАРШ!" КАК ПАМЯТЬ С АППАРАТНЫМ УПРАВЛЕНИЕМ ДОСТУПОМ
14 АППАРАТНЫЕ РЕСУРСЫ СОДС "МАРШ!"
15 Интеграция СОДС "МАРШ!" в системы на базе WEB-сервисов Для интеграции с функциональной подсистемой, построенной на основе WEB-сервисов, со стороны серверной части достаточно установить физический или виртуальный сервер доверенного сеанса связи – сервер ДСС.
16 Совместимость СОДС "МАРШ!" С СВТ По заявкам вендоров и эксплуататоров ОКБ САПР проводит проверки на совместимость СОДС «МАРШ!» с различными СВТ (ПК, моноблоками и тонкими клиентами), а также другой офисной техникой, например МФУ. Результаты публикуются на сайте
17 Оценки СОДС "МАРШ!" В настоящее время значительный интерес к внедрению СОДС «МАРШ!» проявляют: РМИАЦ различных территорий для организации защищенной работы с различными МИС; Кредитно-финансовые организации, в том числе, регуляторы кредитно-финансовой сферы (Банк России).