Модуль доверенной загрузки нового поколения. Опыт внедрения на примере крупного российского банка::БИТ 07.2013
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
октябрь    2020
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

21.10.2020

Консультации, обучение и онлайн-сервисы: самые востребованные за 9 месяцев 2020 года меры поддержки малого бизнеса от MBM.MOS

Читать далее 

19.10.2020

Ускоренное внедрение цифровых технологий в деятельность предприятий АПК как приоритет в цифровой повестке регионов

Читать далее 

15.10.2020

Цифровизация в ритейле: тренды, вызовы и новые решения

Читать далее 

15.10.2020

7-й Бизнес-форум 1С:ERP

Читать далее 

показать все 

Статьи

11.10.2020

Soft skills или hard skills?

Читать далее 

10.09.2020

Как и чему учить будущих звезд ИТ?

Читать далее 

12.08.2020

Господдержка ИТ-отрасли

Читать далее 

11.08.2020

Интернет-маркетинг: второе дыхание

Читать далее 

15.05.2020

Жить под водой, мечтая о солнце

Читать далее 

13.02.2020

Чат-бот CallShark не требует зарплаты, а работает круглосуточно

Читать далее 

24.12.2019

До встречи в «Пьяном Сомелье»!

Читать далее 

21.12.2019

Искусство как награда Как изготавливали статуэтки для премии IT Stars им. Георгия Генса в сфере инноваций

Читать далее 

04.12.2019

ЛАНИТ учредил премию IT Stars памяти основателя компании Георгия Генса

Читать далее 

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Читать далее 

показать все 

Модуль доверенной загрузки нового поколения. Опыт внедрения на примере крупного российского банка

Главная / Архив номеров / 2013 / Выпуск №7 (30) / Модуль доверенной загрузки нового поколения. Опыт внедрения на примере крупного российского банка

Рубрика: Тема номера /  Аутсорсинг и безопасность


Кирилл Прямовменеджер по маркетингу, компания «АльтЭль»

Модуль доверенной загрузки нового поколения
Опыт внедрения на примере крупного российского банка

Обеспечение безопасности хранимой и передаваемой информации – один из важнейших аспектов работы любой современной автоматизированной банковской системы

При этом основные усилия ИТ- и ИБ-департаментов банков обычно направлены на защиту ядра информационной системы, в то время как автоматизированные рабочие места (АРМ) сотрудников обеспечиваются лишь базовым набором средств защиты информации: антивирусными программами, стандартными средствами аутентификации (смарт-карты, e-токены, USB-токены) и модулями доверенной загрузки (МДЗ).

К сожалению, традиционные средства обеспечения доверенной загрузки не предоставляют в распоряжение ИТ-администраторов и офицеров безопасности возможности, необходимые на современном этапе развития информационных систем. Например, отсутствуют функции мониторинга и удаленного управления парком ПК, не поддерживается многофакторная аутентификация на удаленных серверах, не применяются ролевая модель доступа и мандатный контроль доступа к информации, не гарантируется безопасность работы в виртуальных средах. Для решения данных проблем необходим кардинально новый подход, основанный на использовании технологий UEFI Trusted Boot с применением доработанных и расширенных функций, а также концепций NIST и Trusted Computing Group. Примером подобного решения может служить МДЗ нового поколения ALTELL TRUST (разработчик – российская компания «АльтЭль»), который с недавних пор обеспечивает безопасность рабочих мест сотрудников в составе информационной системы одного из крупнейших российских банков, входящего в ТОП-5. Подробнее как о самом продукте, так и о ходе его внедрения будет рассказано в данной статье.

Возможности ALTELL TRUST

Основные требования, которые банк предъявил к новому МДЗ, можно разделить на три группы.

Доверенная загрузка:

  • контроль целостности критических областей и файлов ОС, модулей BIOS, а также критических объектов файловой системы;
  • двухфакторная аутентификация и мандатный контроль доступа до загрузки ОС;
  • поддержка USB-идентификаторов и смарт-карт RuToken и eToken;
  • поддержка удаленной авторизации пользователей с помощью LDAP/AD-серверов;
  • поддержка сертификатов x509.

Удаленное управление:

  • удаленное управление пользователями, конфигурациями, группами компьютеров, загрузкой обновлений программного обеспечения;
  • централизованное управление процессом обновления установленного ПО;
  • поддержка Intel Active Management Technology (AMT).

Контроль и безопасность соединений:

  • обеспечение безопасности соединений (TLS);
  • журналирование действий пользователей и всех этапов работы BIOS;
  • разделение ролей офицера безопасности (ИБ-департамент) и системного администратора (ИТ-департамент);
  • поддержка Intel Active Management Technology (AMT).

Традиционные МДЗ, предлагаемые на российском ИТ-рынке, не соответствовали выдвинутым требованиям, поэтому не могли быть применены в описываемом проекте. Специалисты компании «АльтЭль» предложили использовать для выполнения задачи свое решение ALTELL TRUST, доработанное в соответствии с пожеланиями клиента.

Сценарии применения ALTELL TRUST

Рассмотрим процесс работы ALTELL TRUST на примере процессов аутентификации пользователей и удаленного управления.

Начнем с аутентификации (см. рис. 1). При данном сценарии применения после включения компьютера управление сразу передается ALTELL TRUST, который производит начальную инициализацию и проверку оборудования, самопроверку и проверку критических областей и файлов ОС. После этого запрашивается идентификационная информация пользователя на основе заданной в ALTELL TRUST конфигурации. Это может быть обычный запрос логина/пароля, либо двухфакторная авторизация с использованием USB-токена или смарт-карты. Полученная идентификационная информация отправляется для проверки на AD/LDS серверах департамента ИБ. При этом данные о пользователях на этих серверах синхронизованы с данными ИТ-департамента.

Рисунок 1. Применение ALTELL TRUST – многофакторная аутентификация пользователей

Рисунок 1. Применение ALTELL TRUST – многофакторная аутентификация пользователей

Удаленное управление ALTELL TRUST осуществляется с помощью двух консолей управления – одной для системного администратора (ИТ-департамент), а второй для офицера безопасности (ИБ-департамент). При этом последний управляет правами пользователей (в том числе системных администраторов), сертификатами, журналами и аудитом. Системный администратор, в свою очередь, обладая необходимыми правами, может обновлять программное обеспечение и выполнять другие присущие ему функции.

Рисунок 2. Применение ALTELL TRUST – удаленное управление

Рисунок 2. Применение ALTELL TRUST – удаленное управление

Основные преимущества использования ALTELL TRUST

Перечислим основные преимущества подобных схем работы.

  • Возможность авторизации пользователей на LDAP-сервере (Active Directory) с применением сертификатов x509. Это освобождает системных администраторов от необходимости заводить одних и тех же пользователей, так как все учетные записи хранятся централизованно, и позволяет мгновенно заблокировать вход в систему.
  • Возможность контроля целостности среды функционирования, то есть самого BIOS (его модулей), что исключает установку и развертывание дополнительных UEFI-модулей. Кроме этого, появляется возможность контроля гипервизора уровня BIOS.
  • Осуществление контроля целостности программной среды, секторов жесткого диска и аппаратной конфигурации происходит непосредственно из МДЗ. Это позволяет отказаться от установки дополнительного программного обеспечения в ОС и делает ALTELL TRUST кроссплатформенным.
  • Возможность адаптации ALTELL TRUST для работы на ноутбуках, тонких клиентах, смартфонах и планшетах, то есть любых мобильных решениях, не позволяющих установить обычную плату для обеспечения доверенной загрузки BIOS.
  • Исключение необходимости перехватывать или блокировать загрузку АРМ, как это делают традиционные МДЗ, так как ALTELL TRUST получает управление непосредственно от BIOS и выполняет все защитные механизмы.
  • Поддержка механизма ролевого доступа. В классических МДЗ используются две роли: «Администратор» и «Пользователь». С точки зрения информационной безопасности эта схема имеет изъян, так как дает равные права системному администратору и ИБ-специалисту. В ALTELL TRUST предусмотрено три роли: «Офицер безопасности», раздающий права, «Системный администратор», отвечающий за аппаратное и программное обеспечение, и «Пользователь», работающий с данными на ПК.
  • Самое важное преимущество ALTELL TRUST – возможность удаленного управления. Для этой цели в нем предусмотрен специальный плагин, устанавливаемый в Microsoft System Centre Configuration Manager и предоставляющий возможность доступа к BIOS и функциям замка в режиме удаленного рабочего стола. Кроме того, плагин позволяет собрать журналы безопасности со всех АРМ и импортировать их в другую систему, например, в СУБД Microsoft SQL Server.

При этом в ALTELL TRUST используются все распространенные средства защиты: двухфакторная идентификация и аутентификация пользователей до загрузки ОС, контроль целостности программной и аппаратной среды функционирования, сторожевой таймер на загрузку ОС и ведение журнала безопасности.

Подводя итог, можно уверенно сказать, что разработанное решение помогло обеспечить необходимый уровень информационной безопасности банка, одновременно снизив его расходы на администрирование и защиту информации.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №08 (101) 2020г.
Выпуск №08 (101) 2020г. Выпуск №07 (100) 2020г. Выпуск №06 (99) 2020г. Выпуск №05 (98) 2020г. Выпуск №04 (97) 2020г. Выпуск №03 (96) 2020г. Выпуск №02 (95) 2020г. Выпуск №01 (94) 2020г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика