В рубрику "Защита информации" | К списку рубрик | К списку авторов | К списку публикаций
К сожалению, традиционные средства обеспечения доверенной загрузки не предоставляют в распоряжение IТ-администраторов и офицеров безопасности возможности, необходимые на современном этапе развития ИС. Например, отсутствуют функции мониторинга и удаленного управления парком ПК, не поддерживается многофакторная аутентификация на удаленных серверах, не применяются ролевая модель доступа и мандатный контроль доступа к информации, не гарантируется безопасность работы в виртуальных средах. Для решения данных проблем необходим кардинально новый подход, основанный на использовании технологий UEFI Trusted Boot с применением доработанных и расширенных функций, а также концепций NIST и Trusted Computing Group. Примером подобного решения может служить МДЗ нового поколения ALTELL TRUST (разработчик – российская компания "АльтЭль"), который с недавних пор обеспечивает безопасность рабочих мест сотрудников в составе ИС одного из крупнейших российских банков, входящего в Топ-5. Подробнее как о самом продукте, так и о ходе его внедрения будет рассказано в статье.
Основные требования, которые банк предъявил к новому МДЗ, можно разделить на три группы.
Традиционные МДЗ, предлагаемые на российском IТ-рынке, не соответствовали выдвинутым требованиям, поэтому не могли быть применены в описываемом проекте. Специалисты компании "АльтЭль" предложили использовать для выполнения задачи свое решение ALTELL TRUST, доработанное в соответствии с пожеланиями клиента.
Стоит отметить, что "АльтЭль" – единственная компания в Восточной Европе, являющаяся Independent BIOS Vendor (IBV) компаний Intel и AMD, что позволяет ей получать всю необходимую информацию для создания своего BIOS. В результате специалисты "АльтЭль" смогли в короткие сроки создать принципиально новое средство защиты информации от несанкционированного доступа, обеспечивающее доверенную загрузку, многофакторную аутентификацию на удаленных LDAP-серверах, разграничение прав доступа и централизованное удаленное управление.
Рассмотрим процесс работы ALTELL TRUST на примере процессов аутентификации пользователей и удаленного управления. Начнем с аутентификации (рис. 1). При данном сценарии применения после включения компьютера управление сразу передается ALTELL TRUST, который производит начальную инициализацию и проверку оборудования, самопроверку и проверку критических областей и файлов ОС. После этого запрашивается идентификационная информация пользователя на основе заданной в ALTELL TRUST конфигурации. Это может быть обычный запрос логина/пароля, либо двухфакторная авторизация с использованием USB-токена или смарт-карты. Полученная идентификационная информация отправляется для проверки на AD/LDS серверах департамента ИБ. При этом данные о пользователях на этих серверах синхронизированы с данными IТ-департамента.
Удаленное управление ALTELL TRUST осуществляется с помощью двух консолей управления (рис. 2) – одной для системного администратора (IТ-департамент), а второй для офицера безопасности (ИБ-департамент).
При этом последний управляет правами пользователей (в том числе системных администраторов), сертификатами, журналами и аудитом. Системный администратор, в свою очередь, обладая необходимыми правами, может обновлять ПО и выполнять другие присущие ему функции.
Перечислим основные преимущества подобных схем работы:
При этом в ALTELL TRUST используются все распространенные средства защиты: двухфакторная идентификация и аутентификация пользователей до загрузки ОС, контроль целостности программной и аппаратной среды функционирования, сторожевой таймер на загрузку ОС и ведение журнала безопасности.
Подводя итог, можно уверенно сказать, что разработанное решение помогло обеспечить необходимый уровень ИБ банка, одновременно снизив его расходы на администрирование и защиту информации.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2013