Элвис Плюс - На пути к мобильной безопасности
Transcript of Элвис Плюс - На пути к мобильной безопасности
АО «ЭЛВИС-ПЛЮС», 2015
Конференция «Код информационной безопасности.
Управление информационной безопасностью»
23.04.2015г.
Мухортов Юрий ВалерьевичДиректор департамента специальных проектов
АО «ЭЛВИС-ПЛЮС»
АО «ЭЛВИС-ПЛЮС», 2015
Главные угрозы:• Внедрение вредоносного ПО• Утеря или кража
Защита:• Доверенная среда• Шифрование всех данных
Мобильность — головная боль безопасника
АО «ЭЛВИС-ПЛЮС», 2015
Что такое технология БДМ? Ключевые преимущества технологии БДМ
Как работает БДМ-Ноутбук ?
Как можно использовать БДМ-Ноутбук Перспективы технологии БДМ
О чём пойдёт речь
АО «ЭЛВИС-ПЛЮС», 2015
Обеспечить 100% импортозамещение в России в сфере ИТ сегодня (и в короткой перспективе) невозможно.
Предпосылки создания продукта:
АО «ЭЛВИС-ПЛЮС», 2015
Пример «гибридного импортозамещения» на примере технологии Базовый Доверенный Модуль
Создание решения для работы с конфиденциальной информацией на мобильной платформе (ультрабук, планшет, смартофон) с физическим разделением доверенной и недоверенной сред на одном устройстве и обеспечение всей цепочки доверия, начиная от загрузки.
Задача
АО «ЭЛВИС-ПЛЮС», 2015
Парадигма доверенной среды
При обработке информации должен быть обеспечен требуемый уровень доверия:
• К окружению
• К субъектам
• К правилам (политике)
• К аппаратной платформе (Hard)
• К программной платформе (Soft)
• К каналам передачи
АО «ЭЛВИС-ПЛЮС», 2015
При обработке информации должен быть обеспечен требуемый уровень доверия:
• К окружению
• К субъектам
• К правилам (политике)
• К аппаратной платформе (Hard)
• К программной платформе (Soft)
• К каналам передачи
= Орг. методы
Парадигма доверенной среды
АО «ЭЛВИС-ПЛЮС», 2015
= БДМ
Парадигма доверенной среды
При обработке информации должен быть обеспечен требуемый уровень доверия:
• К окружению
• К субъектам
• К правилам (политике)
• К аппаратной платформе (Hard)
• К программной платформе (Soft)
• К каналам передачи
= Орг. методы
АО «ЭЛВИС-ПЛЮС», 2015
Архитектура защиты не должна зависеть от используемых информационных технологий, состава используемого общесистемного и прикладного ПО и
средств обработки информации
Такой подход обеспечивает неизменный уровень безопасности даже при неизбежном изменении ПО, добавления/изъятия
приложений или технических средств
Важное замечание
АО «ЭЛВИС-ПЛЮС», 2015
Специальное ПО разработки ЭЛВИС-ПЛЮС+
Аппаратный Корень Доверия+
Аппаратная платформа — ноутбук Lenovo
Что такое Технология БДМ?
АО «ЭЛВИС-ПЛЮС», 2015
Контроль целостности• Аппаратная конфигурация• BIOS• Начальный сектор диска• Специальное ПО ЭЛВИС-ПЛЮС• Критичные файлы и настройки ОС
Усиленная аутентификация• PIN• Token
Прозрачное шифрование (ГОСТ 28147-89)• Доверенная ОС• Пользовательские данные• Временные файлы, файлы подкачки и др.
Функции, реализуемые технологией БДМ
АО «ЭЛВИС-ПЛЮС», 2015
Контроль целостности• Аппаратная конфигурация• BIOS• Начальный сектор диска• Специальное ПО ЭЛВИС-ПЛЮС• Критичные файлы и настройки ОС
Усиленная аутентификация• PIN• Token
Прозрачное шифрование (ГОСТ 28147)• Доверенная ОС• Пользовательские данные• Временные файлы, файлы подкачки и др.
Функции, реализуемые технологией БДМ
= электронный
замок
АО «ЭЛВИС-ПЛЮС», 2015
Использование существующих сертифицированных аппаратных модулей доверенной загрузки и
электронных замков в современных ноутбуках проблематично — производители используют новые
интерфейсы (форм-фактор М.2).
Технология БДМ в отличие от аналогичных решенийне требует наличия в компьютере шин PCI и Mini PCI.
Важное замечание
АО «ЭЛВИС-ПЛЮС», 2015
Технология БДМ использует в своей основе встроенный Аппаратный Корень Доверия и в отличие от
аналогичных решенийне требует дополнительных аппаратных средств защиты.
Важное замечание
АО «ЭЛВИС-ПЛЮС», 2015
Стоимость аттестации одного рабочего места может доходить до нескольких десятков тысяч рублей.
БДМ-Ноутбук соответствует требованиям для ГИС и уже прошел аттестацию как типовой сегмент ИС.
Пользователю проводить повторную аттестацию не требуется.
Важное замечание
АО «ЭЛВИС-ПЛЮС», 2015
В отличие от аналогичных решений технология БДМ позволяет разместить в доверенной среде любые
приложения и уже используемые в ИС средства защиты, а также контролировать их целостность.
Интеграция в существующую ИС ничем не отличается от простой замены АРМа на новый.
Важное замечание
АО «ЭЛВИС-ПЛЮС», 2015
Ключевые преимущества
Высокая производительность шифрования
ГОСТКомфортная работа
без задержекe8918259cbed8ae42ba1c44a89a8cf2356965d0bcad0e85
АО «ЭЛВИС-ПЛЮС», 2015
В отличие от аналогичных решений технология БДМ шифрует не только пользовательские данные и
системный раздел, но и временные файлы, файлы подкачки, файлы-журналы приложений, дампы
памяти, образы рабочей станции.
Важное замечание
АО «ЭЛВИС-ПЛЮС», 2015
Что такое технология БДМ? Ключевые преимущества технологии БДМ
Как работает БДМ-Ноутбук ?
Как можно использовать БДМ-Ноутбук Перспективы технологии БДМ
О чём пойдёт речь
АО «ЭЛВИС-ПЛЮС», 2015
На одном мобильном компьютере должны быть одновременно две среды – доверенная и недоверенная, физически разделенные и
никогда не пересекающиеся между собой.
АО «ЭЛВИС-ПЛЮС», 2015
Недоверенная система Доверенная система
На одном мобильном компьютере должны быть одновременно две среды – доверенная и недоверенная, физически разделенные и
никогда не пересекающиеся между собой.
АО «ЭЛВИС-ПЛЮС», 2015
Технология БДМ формирует 2 рабочие среды.
Пока не активирован доверенный режим работы, БДМ-Ноутбук ничем не отличается от обычного.
Его можно дать попользоваться родственникам или друзьям, не опасаясь за сохранность
конфиденциальной информации.
Важное замечание
АО «ЭЛВИС-ПЛЮС», 2015
МИ ФНС по ЦОДЗащищённый сегмент
УФНС«Дионис-КМ»
Шлюз «Застава-
офис»
Серверы АИС «Налог-3»
Условные обозначения:
Межобъектовый
защищённый трафик
РУТокен для доступу к ТОРМ
«БДМ-Ноутбук»
ПО «ЗАСТАВА-Клиент»
СПО «Хостовый Агент»
СПО «Сервер СНТС»
Мобильный ТОРМФедерального уровня
Распространение локальной
политики безопасности
Мобильный ТОРМ
Налоговыйинспектор
ЦУБИ
АРМ АИБ
Системы РАМС ИБ
\ЗАСТАВА
Федерального уровня
Сервер «ЗАСТАВА-Управление»
Серверный кластер «Сервер РАМС ИБ»
Шлюз «Застава-
офис»
Ручн
ое с
огла
сова
ние
поли
тики
для
дос
тупа
к Ф
ИР
- Антивирус Касперского
«Дионис-КМ»
Интернет DMZ
Интранет DMZ
Сервер «ЗАСТАВА-Управление»
АРМ
Подготовки ТОРМ
Федерального Уровня
Кластер МЭ ЦОД
Серверный кластер «Сервер РАМС ИБ»
Грничные МЭ ЦОД
ИР УФНС
ИФНСИФНСИФНСИФНСИФНС
Мобильный ТОРМ
Шлюз «Застава-
офис» «Дионис-КМ»
ИФНСИФНСИФНСИФНСИФНСШлюз «Застава-
офис» «Дионис-КМ»
СОА «Аргус»
Мобильный ТОРМ
ИР ИФНСИР УФНС
АРМ АИБ
Системы РАМС ИБ
\ЗАСТАВА
Федерального уровня
АРМ
Подготовки ТОРМ
Федерального Уровня
Мобильный ТОРМФедерального уровня
Мобильный ТОРМРегионального и местного уровня
Налоговыйинспектор
Шифрованный трафик ТОРМ
Открытый трафик ТОРМ
События безопасности
Системы РАМС
Трафик управления
Консоль ЦУП «ЗАСТАВА-Управление»
Сеть
Интернет
АО «ЭЛВИС-ПЛЮС», 2015
Что такое технология БДМ? Ключевые преимущества технологии БДМ
Как работает БДМ-Ноутбук?
Как можно использовать БДМ-Ноутбук Перспективы технологии БДМ
О чём пойдёт речь
АО «ЭЛВИС-ПЛЮС», 2015
Мобильное рабочее место
Для сотрудников, часто выезжающих в служебные командировки или проводящих выездные проверки
АО «ЭЛВИС-ПЛЮС», 2015
Стационарное АРМ высокого класса защищённости
Экономия ресурсов ИТ- и ИБ-службы и создание задела по повышению мобильности сотрудников
АО «ЭЛВИС-ПЛЮС», 2015
Доступ к ДБО
Большие деньги — большая ответственность!Поэтому можно использовать только одобренные
банком приложения.
АО «ЭЛВИС-ПЛЮС», 2015
Выполнение требований нормативных документов
Снижение риска утечек
Уверенность в уровне защищённости информации
Повышение эффективности работы сотрудников
Выгоды от применения технологии БДМ
АО «ЭЛВИС-ПЛЮС», 2015
Что такое технология БДМ? Ключевые преимущества технологии БДМ
Как работает БДМ-Ноутбук ?
Как можно использовать БДМ-Ноутбук Перспективы технологии БДМ
О чём пойдёт речь
АО «ЭЛВИС-ПЛЮС», 2015
Базовый Доверенный Модуль (Roadmap) [1]
Tablet
Ultrabook
БДМ-Ноутбук
Thin Client
АО «ЭЛВИС-ПЛЮС», 2015
Базовый Доверенный Модуль (Roadmap) [2]
Доверенное Облако
БДМ-СерверДоверенный
Домен
Доверенная Сеть