ViPNet SafeBoot 3 - новое поколение высокотехнологичного программного модуля доверенной загрузки (ПМДЗ), сертифицированного по требованиям ФСБ России и ФСТЭК России. Предназначен для создания точки доверия к платформе и её компонентам, а также к загружаемой операционной системе. Ключевыми задачами продукта являются разграничение доступа к платформе, защита UEFI BIOS, контроль неизменности и защита компонентов ПК, а также организация доверенной загрузки штатной операционной системы.
Семейство продуктов ViPNet SafeBoot за последние годы вышло за рамки привычной функциональности модулей доверенной загрузки операционной системы за счет использования множества дополнительных механизмов защиты UEFI BIOS и платформы в целом, например, контроля программных SMI, защиты от записи в WPBT, защиты прямой записи из BIOS на диск и т.д. Новое поколение ПМДЗ ViPNet SafeBoot 3 помимо расширения перечня функций защиты аппаратной платформы, реализует требования ФСБ России, необходимые для аттестации рабочих мест.
Назначение
ViPNet SafeBoot 3 предназначен для создания точки доверия к платформе и её компонентам, а также к загружаемой операционной системе. Функциональность продукта позволит использовать его для реализации проектов по защите аппаратных платформ по требованиям ИСПДн, ГИС, АСУ ТП и КИИ, а также при построении систем с СКЗИ.
ViPNet SafeBoot 3 позволяет выполнять:
- разграничение доступа пользователей к платформе и загружаемой ОС за счёт собственных механизмов идентификации и аутентификации, а также за счёт дополнительных механизмов, используемых на серверах AD/LDAP;
- защиту UEFI BIOS от различных современных угроз (bootkit, rootkit и д.т.) и контроль неизменности компонентов среды исполнения ПМДЗ;
- контроль целостности аппаратных компонентов платформы, а также загружаемой программной среды;
- безопасную загрузку штатной операционной системы на платформах в архитектурах х86 и ARM:
- локально;
- по сети;
- в среде виртуализации.
ViPNet SafeBoot 3.0 разработан и поставляется в двух исполнениях:
- Исполнение 1. Сертифицировано по требованиям ФСБ России и в ФСТЭК России. Позволяет защищать информацию ограниченного доступа (персональные данные, служебная и коммерческая тайны, иная информация), не содержащую сведений, составляющих государственную тайну;
- Исполнение 2. Сертифицировано по требованиям ФСТЭК России. Позволяет защищать информацию ограниченного доступа (персональные данные, служебная и коммерческая тайны, иная информация), в том числе информацию, содержащую сведения, составляющие государственную тайну (до степени секретности «совершенно секретно»).
Исполнение 1 имеет ограничения, накладываемые особенностями сертификации и будущего использования продукта. В данном исполнении недоступны следующие функции/модули:
- модули для удалённого управления (нет возможности удалённого лицензирования и настройки из ViPNet EndPoint Protection);
- нет сетевой загрузки ОС (HTTP-boot и PXE-boot);
- нет возможности идентификации и аутентификации на LDAP/AD/Astra Linux Directory (ALD);
- отключена возможность использования внешнего журнала и БД (SafeBoot должен полностью размещаться в микросхеме).
Сценарии использования
Продукт ViPNet SafeBoot 3 может использоваться как совместно с другими продуктами ViPNet, так и отдельно.
Основные задачи, которые могут быть решены:
- Построение систем с СКЗИ класса КС1-КС3 – где требуется наличие модуля доверенной загрузки
- Выполнение требований приказов ФСТЭК России:
- №17 по защите государственных информационных систем (ГИС);
- №21 по защите информационных систем персональных данных (ИСПДн);
- №31 по защите автоматизированных систем управления технологическим процессом (АСУ ТП);
- №239 по защите критической информационной инфраструктуры (КИИ);
- Защита от НСД на самых ранних этапах загрузки компьютеров или устройств с UEFI BIOS.