Календарь мероприятий
октябрь 2024
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | | | |
показать все
Новости партнеров
Николай Нашивочников, «Газинформсервис»: в нефтегазовом секторе изменился ландшафт угроз
Читать далее
В Москве обсудят применение искусственного интеллекта в строительстве
Читать далее
«ГенИИ» расскажут о кейсах и вызовах ИИ в производстве
Читать далее
Зарулили на 1-е место: победителем «Биржи ИБ- и IT-стартапов» стал проект по автомобильной кибербезопасности
Читать далее
«Киберарена»: «Газинформсервис» запускает новый формат киберсоревнований
Читать далее
показать все
Статьи
Технологический ИИ-арсенал
Читать далее
Чем страшен ИИ, и с чем его едят
Читать далее
Готов ли рынок АСУ ТП к переменам?
Читать далее
Отрыв длиной в год. Российские ИИ-решения незначительно уступают иностранным аналогам
Читать далее
Лейсан Чистая: «КулибИТ для каждого из нас это больше, чем просто проект – это наша миссия»
Читать далее
Взгляд в перспективу: что будет двигать отрасль информационной безопасности
Читать далее
5 способов повысить безопасность электронной подписи
Читать далее
Как искусственный интеллект изменит экономику
Читать далее
Неочевидный САПР: выход ПО за рамки конструкторской деятельности
Читать далее
Скоро некому будет делать сайты и заниматься версткой
Читать далее
показать все
|
Модуль доверенной загрузки нового поколения. Опыт внедрения на примере крупного российского банка
Главная /
Архив номеров / 2013 / Выпуск №7 (30) / Модуль доверенной загрузки нового поколения. Опыт внедрения на примере крупного российского банка
Рубрика:
Тема номера /
Аутсорсинг и безопасность
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Кирилл Прямов, менеджер по маркетингу, компания «АльтЭль»
Модуль доверенной загрузки нового поколения Опыт внедрения на примере крупного российского банка
Обеспечение безопасности хранимой и передаваемой информации – один из важнейших аспектов работы любой современной автоматизированной банковской системы
При этом основные усилия ИТ- и ИБ-департаментов банков обычно направлены на защиту ядра информационной системы, в то время как автоматизированные рабочие места (АРМ) сотрудников обеспечиваются лишь базовым набором средств защиты информации: антивирусными программами, стандартными средствами аутентификации (смарт-карты, e-токены, USB-токены) и модулями доверенной загрузки (МДЗ).
К сожалению, традиционные средства обеспечения доверенной загрузки не предоставляют в распоряжение ИТ-администраторов и офицеров безопасности возможности, необходимые на современном этапе развития информационных систем. Например, отсутствуют функции мониторинга и удаленного управления парком ПК, не поддерживается многофакторная аутентификация на удаленных серверах, не применяются ролевая модель доступа и мандатный контроль доступа к информации, не гарантируется безопасность работы в виртуальных средах. Для решения данных проблем необходим кардинально новый подход, основанный на использовании технологий UEFI Trusted Boot с применением доработанных и расширенных функций, а также концепций NIST и Trusted Computing Group. Примером подобного решения может служить МДЗ нового поколения ALTELL TRUST (разработчик – российская компания «АльтЭль»), который с недавних пор обеспечивает безопасность рабочих мест сотрудников в составе информационной системы одного из крупнейших российских банков, входящего в ТОП-5. Подробнее как о самом продукте, так и о ходе его внедрения будет рассказано в данной статье.
Возможности ALTELL TRUST
Основные требования, которые банк предъявил к новому МДЗ, можно разделить на три группы.
Доверенная загрузка:
- контроль целостности критических областей и файлов ОС, модулей BIOS, а также критических объектов файловой системы;
- двухфакторная аутентификация и мандатный контроль доступа до загрузки ОС;
- поддержка USB-идентификаторов и смарт-карт RuToken и eToken;
- поддержка удаленной авторизации пользователей с помощью LDAP/AD-серверов;
- поддержка сертификатов x509.
Удаленное управление:
- удаленное управление пользователями, конфигурациями, группами компьютеров, загрузкой обновлений программного обеспечения;
- централизованное управление процессом обновления установленного ПО;
- поддержка Intel Active Management Technology (AMT).
Контроль и безопасность соединений:
- обеспечение безопасности соединений (TLS);
- журналирование действий пользователей и всех этапов работы BIOS;
- разделение ролей офицера безопасности (ИБ-департамент) и системного администратора (ИТ-департамент);
- поддержка Intel Active Management Technology (AMT).
Традиционные МДЗ, предлагаемые на российском ИТ-рынке, не соответствовали выдвинутым требованиям, поэтому не могли быть применены в описываемом проекте. Специалисты компании «АльтЭль» предложили использовать для выполнения задачи свое решение ALTELL TRUST, доработанное в соответствии с пожеланиями клиента.
Сценарии применения ALTELL TRUST
Рассмотрим процесс работы ALTELL TRUST на примере процессов аутентификации пользователей и удаленного управления.
Начнем с аутентификации (см. рис. 1). При данном сценарии применения после включения компьютера управление сразу передается ALTELL TRUST, который производит начальную инициализацию и проверку оборудования, самопроверку и проверку критических областей и файлов ОС. После этого запрашивается идентификационная информация пользователя на основе заданной в ALTELL TRUST конфигурации. Это может быть обычный запрос логина/пароля, либо двухфакторная авторизация с использованием USB-токена или смарт-карты. Полученная идентификационная информация отправляется для проверки на AD/LDS серверах департамента ИБ. При этом данные о пользователях на этих серверах синхронизованы с данными ИТ-департамента.
Рисунок 1. Применение ALTELL TRUST – многофакторная аутентификация пользователей
Удаленное управление ALTELL TRUST осуществляется с помощью двух консолей управления – одной для системного администратора (ИТ-департамент), а второй для офицера безопасности (ИБ-департамент). При этом последний управляет правами пользователей (в том числе системных администраторов), сертификатами, журналами и аудитом. Системный администратор, в свою очередь, обладая необходимыми правами, может обновлять программное обеспечение и выполнять другие присущие ему функции.
Рисунок 2. Применение ALTELL TRUST – удаленное управление
Основные преимущества использования ALTELL TRUST
Перечислим основные преимущества подобных схем работы.
- Возможность авторизации пользователей на LDAP-сервере (Active Directory) с применением сертификатов x509. Это освобождает системных администраторов от необходимости заводить одних и тех же пользователей, так как все учетные записи хранятся централизованно, и позволяет мгновенно заблокировать вход в систему.
- Возможность контроля целостности среды функционирования, то есть самого BIOS (его модулей), что исключает установку и развертывание дополнительных UEFI-модулей. Кроме этого, появляется возможность контроля гипервизора уровня BIOS.
- Осуществление контроля целостности программной среды, секторов жесткого диска и аппаратной конфигурации происходит непосредственно из МДЗ. Это позволяет отказаться от установки дополнительного программного обеспечения в ОС и делает ALTELL TRUST кроссплатформенным.
- Возможность адаптации ALTELL TRUST для работы на ноутбуках, тонких клиентах, смартфонах и планшетах, то есть любых мобильных решениях, не позволяющих установить обычную плату для обеспечения доверенной загрузки BIOS.
- Исключение необходимости перехватывать или блокировать загрузку АРМ, как это делают традиционные МДЗ, так как ALTELL TRUST получает управление непосредственно от BIOS и выполняет все защитные механизмы.
- Поддержка механизма ролевого доступа. В классических МДЗ используются две роли: «Администратор» и «Пользователь». С точки зрения информационной безопасности эта схема имеет изъян, так как дает равные права системному администратору и ИБ-специалисту. В ALTELL TRUST предусмотрено три роли: «Офицер безопасности», раздающий права, «Системный администратор», отвечающий за аппаратное и программное обеспечение, и «Пользователь», работающий с данными на ПК.
- Самое важное преимущество ALTELL TRUST – возможность удаленного управления. Для этой цели в нем предусмотрен специальный плагин, устанавливаемый в Microsoft System Centre Configuration Manager и предоставляющий возможность доступа к BIOS и функциям замка в режиме удаленного рабочего стола. Кроме того, плагин позволяет собрать журналы безопасности со всех АРМ и импортировать их в другую систему, например, в СУБД Microsoft SQL Server.
При этом в ALTELL TRUST используются все распространенные средства защиты: двухфакторная идентификация и аутентификация пользователей до загрузки ОС, контроль целостности программной и аппаратной среды функционирования, сторожевой таймер на загрузку ОС и ведение журнала безопасности.
Подводя итог, можно уверенно сказать, что разработанное решение помогло обеспечить необходимый уровень информационной безопасности банка, одновременно снизив его расходы на администрирование и защиту информации. В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Вакансии на сайте Jooble
|