соболь код безопасности как установить
ПАК Соболь 3 — описание и установка
ПАК Соболь 3 — это электронный замок. Представляет собой плату, которая вставляется в сервер или рабочую станцию. Безопасность — нашё всё. Ставится сей продукт не по желанию админа, а если есть такие требования. Производитель: ООО «Код Безопасности».
Поставим на сервер HPE Proliant DL360 Gen10.
Ссылки
Зачем нужен
Преимущества
Тут я списал с листовки, добавив свои комментарии.
Возможности
Принцип работы
Модельный ряд
Размышления админа
Обратил внимание на фразу «Простота администрирования». Просто? Да, не сложно. Удобно? Нифига не удобно. Перезагрузился сервер — езжай в ЦОД. Нет нормальных средств удалённой двухфакторной аутентификации.
Контроль целостности реестра — сомнительная штука. Да, контролирует. Винда обновилась — поездка в ЦОД. Винду вообще небезопасно оставлять без обновлений, а Соболь этим обновлениям мешает.
Случайная перезагрузка в результате сбоя ПО — поездка в ЦОД. Да, есть способы не ездить в ЦОД, но тогда смысл двухфакторки теряется. Ну, или сервер под столом держать.
Комплектация
Внешний вид
Установка
Устанавливаем в сервер.
Подключаем внешний считыватель для iButton.
Включаем сервер. Входим в BIOS и переключаем режим загрузки на Legacy.
Сохраняемся — перезагружаем сервер.
Обнаружено новое устройство. Рекомендую ребутнуться второй раз.
Для того чтобы Соболь сработал, система должна попытаться загрузиться. У меня сейчас на диске ничего нет, тогда монтирую ISO образ с инсталлятором ОС.
Соболь перехватывает управление.
И не разрешает загрузку.
Потому что он раньше на другом сервере стоял. Работает защита. Выключаем всё. Разбираем всё. Добираемся до джамперов на Соболе.
Снимаем джампер J0. Собираем всё.
Соболь перехватывает управление.
Соболь без джампера J0 переходит в режим инициализации. Выбираем «Инициализация платы».
Открывается окно «Общие параметры системы». Можно установить необходимые параметры. Нажимаем Esc.
Открывается окно «Контроль целостности». Можно установить необходимые параметры. Нажимаем Esc.
Ждём. Соболь любит тестировать датчик случайных чисел.
Производится первичная регистрация администратора. Да.
Указываем пароль. Enter.
Повторяем пароль. Enter.
Нас просят воткнуть ключ. Втыкаем первый из того что был в комплекте.
Предупреждение, что ключ отформатируется. Да.
Вы уверены? Винду напоминает. Да.
Создать резервную копию идентификатора администратора? Конечно, у нас же два ключа. Вынимаем первый ключ. Выбираем Да.
Втыкаем второй ключ.
Нам говорят, чтобы мы перемычку вернули обратно. Ок. Сервер выключается.
Добираемся до платы соболя и ставим обратно джампер на J0.
Грузимся в Legacy. Соболь перехватывает управление.
Нас просят воткнуть ключ. Втыкаем.
Нажимаем любую клавишу.
Выбираем «Загрузка операционной системы». Enter.
И вот теперь загрузка ОС началась. И так будет каждый раз при перезагрузке сервера.
Интеграция в систему управленияSecret Net Studio
Управление пользователями и ключами
Централизация мониторинга событий
Одновременная аутентификация
В Соболе и Secret Net Studio
В Соболе и Secret Net LSP
Контроль целостности до загрузки ОС
Файлов
Веток реестра
Списка подключенного оборудования
Двухфакторная аутентификация
Ключ iButton
USB-токен
Интеграция в систему управления
Secret Net Studio
Контроль целостности до загрузки ОС
По требованиям РД ФСТЭК:
2-й класс СДЗ уровня платы расширения
2-й уровень доверия
По требованиям РД ФСБ:
Защита государственных информационных систем
Защита объектов критической информационной инфраструктуры
Защита информационных систем в кредитных и некредитных финансовых организациях
Защита информации в учреждениях здравоохранения
Новости
«Соболь 4.3» получил сертификат ФСБ
«Соболь 4.3» получил сертификаты от ФСТЭК и Министерства обороны РФ
«Код Безопасности» защитит от уязвимости в загрузчике Linux
Дополнительные материалы
Где используется Соболь
Доверенная загрузка компонентов типового решения для подключения к Единой Биометрической Системе
Ростелеком
PCI Express
| Габариты: | 57 х 80 мм |
| Интерфейс: | PCI Express Разъем RJ12 для подключения внешнего считывателя идентификатора iButton Разъем для подключения внутреннего считывателя идентификатора iButton Соединительный кабель для механизма сторожевого таймера |
| Совместимые персональные идентификаторы: | iButton DS1992, DS1993, DS1994, DS1995 и DS1996 USB-ключи iKey 2032 USB-ключи eToken PRO USB-ключи eToken PRO (Java) Cмарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2 USB-ключи Rutoken S, Rutoken S RF |
| Доступна с сертификатом: | ФСТЭК ФСБ Минобороны |
Mini PCI Express
| Габариты: | 50 x 30 мм |
| Интерфейс: | Mini PCI Express Подключение внутреннего или внешнего считывателя идентификаторов iButton (с помощью дополнительного адаптера) |
| Совместимые персональные идентификаторы: | iButton DS1992, DS1993, DS1994, DS1995 и DS1996 USB-ключи iKey 2032 USB-ключи eToken PRO USB-ключи eToken PRO (Java) Cмарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2 USB-ключи Rutoken S, Rutoken S RF |
| Доступна с сертификатом: | ФСТЭК ФСБ |
Mini PCI Express Half Size
| Габариты: | 26 x 30 мм |
| Интерфейс: | Mini PCI Express Подключение внутреннего или внешнего считывателя идентификаторов iButton (с помощью дополнительного адаптера) |
| Совместимые персональные идентификаторы: | iButton DS1992, DS1993, DS1994, DS1995 и DS1996 USB-ключи iKey 2032 USB-ключи eToken PRO USB-ключи eToken PRO (Java) Cмарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2 USB-ключи Rutoken S, Rutoken S RF |
| Доступна с сертификатом: | ФСТЭК ФСБ Минобороны |
M.2 A-E
| Габариты: | 30 x 22 мм |
| Интерфейс: | М.2 type 2230-D4-A-E Подключение внутреннего или внешнего считывателя идентификаторов iButton (с помощью дополнительного адаптера) |
| Совместимые персональные идентификаторы: | iButton DS1992, DS1993, DS1994, DS1995 и DS1996 USB-ключи iKey 2032 USB-ключи eToken PRO USB-ключи eToken PRO (Java) Cмарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2 USB-ключи Rutoken S, Rutoken S RF |
| Доступна с сертификатом: | ФСТЭК Минобороны |
ПАК «Соболь» версий 3.0, 3.1, 3.2, 4
Подтверждает соответствие требованиям технических регламентов Таможенного Союза: ТР ТС 004/2011 и ТР ТС 020/2011
Сертификат соответствия № 4227 от 06.12.2018
ПАК «Соболь» версия 4
Подтверждает соответствие требованиям руководящих документов по 2 уровню контроля отсутствия НДВ, требованиям к СДЗ уровня платы расширения 2 класса защиты и возможность использования в автоматизированных системах до класса защищенности 1Б включительно
Заключение на Соболь 8 УГШ МО от 07.04.2011 № 317/9/1053
ПАК «Соболь» версия 3.0
Подтверждает соответствие руководящих документов по 2 уровню контроля отсутствия НДВ и возможность использования в автоматизированных системах до класса защищенности 1Б включительно
ПАК «Соболь» версия 4
Подтверждает соответствие требованиям руководящих документов к средствам доверенной загрузки уровня платы расширения второго класса, а также к 2 уровню доверия средств обеспечения безопасности информационных технологий и возможность использования в автоматизированных системах до класса защищенности 1Б включительно, в ИСПДн до УЗ1 включительно и в ГИС до 1-го класса защищенности включительно
ПАК «Соболь» версия 3.0
Подтверждает соответствие требованиям руководящих документов к средствам доверенной загрузки уровня платы расширения второго класса и возможность использования в автоматизированных системах до класса защищенности 1Б включительно, в ИСПДн до УЗ1 включительно и в ГИС до 1-го класса защищенности включительно
ПАК «Соболь» версия 4
Подтверждает соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и возможность использования для защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну
ПАК «Соболь» версия 3.2 (исполнение 1)
Подтверждает соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и возможность использования для защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну
ПАК «Соболь» версия 3.2 (исполнение 2)
Подтверждает соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и возможность использования для защиты от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
ПАК «Соболь» версия 3.1 (исполнение 1)
Подтверждает соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и возможность использования для защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну
ПАК «Соболь» версия 3.1 (исполнение 2)
Подтверждает соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и возможность использования для защиты от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
ПАК «Соболь» версия 3.0
Подтверждает соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и возможность использования для защиты от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
ПАК «Соболь» версия 3.0
Подтверждает соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и возможность использования для защиты от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
Должна быть обеспечена безопасная среда функционирования ПАК «Соболь». В ней должны отсутствовать уязвимости, характерные для данной среды, в т.ч. уязвимости, информация о которых доступна из открытых источников. Должны быть проведены исследования технических средств компьютера (в том числе исследования системной программы BIOS) на предмет отсутствия в их реализации аппаратно-программных механизмов, которые могут привести к нарушению правильности функционирования компьютера и ПАК «Соболь» или к утечке защищаемой информации.
Объем и глубина исследования технических средств определяется степенью секретности (конфиденциальности) защищаемой информации и зависит от принятой модели нарушителя и актуальных угроз, изложенных в соответствующих требованиях. Корпус АРМ, в который установлен ПАК «Соболь», должен быть защищен от вскрытия и несанкционированного доступа к его внутренним компонентам.
Соболь 4 (сертификат ФСТЭК России)
Соболь 3 (сертификат ФСТЭК России)
Документация Соболь
Информация, содержащаяся в этих документах, может быть изменена разработчиком без специального уведомления, что не является нарушением обязательств по отношению к пользователю со стороны компании-разработчика.
Сведения для установки и подготовки к эксплуатации изделия ПАК Соболь 4.
Сведения для установки, настройки и эксплуатации электронного замка Соболь.
Сведения для установки, настройки и эксплуатации вспомогательного программного обеспечения для электронного замка Соболь.
Сведения для работы с электронным замком Соболь.
Описание новых возможностей программно-аппаратного комплекса Соболь.
Сведения для быстрой установки и подготовки к эксплуатации изделия ПАК Соболь 3.
Сведения для установки, настройки и эксплуатации электронного замка Соболь.
Сведения для установки, настройки и эксплуатации электронного замка Соболь.
Сведения для работы с электронным замком Соболь.
Сведения для установки и подготовки к эксплуатации изделия ПАК Соболь 4.
Сведения для установки, настройки и эксплуатации электронного замка Соболь.
Сведения для установки, настройки и эксплуатации вспомогательного программного обеспечения для электронного замка Соболь.
Сведения для работы с электронным замком Соболь.
Описание новых возможностей программно-аппаратного комплекса Соболь.
Сведения для установки, настройки и эксплуатации электронного замка Соболь.
Сведения для установки, настройки и эксплуатации электронного замка Соболь.
Сведения для работы с электронным замком Соболь.
Описание новых возможностей программно-аппаратного комплекса Соболь.
Сведения для установки, настройки и эксплуатации электронного замка Соболь.
Сведения для установки, настройки и эксплуатации электронного замка Соболь.
Сведения для работы с электронным замком Соболь.
Описание новых возможностей программно-аппаратного комплекса Соболь.
Сведения для быстрой установки и подготовки к эксплуатации изделия ПАК Соболь 3.
Сведения для установки, настройки и эксплуатации электронного замка Соболь.
Сведения для установки, настройки и эксплуатации электронного замка Соболь.
Сведения для работы с электронным замком Соболь.
Сведения для установки и подготовки к эксплуатации изделия ПАК Соболь 4.
Сведения для установки, настройки и эксплуатации электронного замка Соболь.
Сведения для установки, настройки и эксплуатации вспомогательного программного обеспечения для электронного замка Соболь.
Сведения для работы с электронным замком Соболь.
Электронный замок Соболь
Содержание
Назначение
Возможности
2021: Совместимость ПАК «Соболь» 4.3 с ключами JaCarta
12 апреля 2021 года компания «Аладдин Р.Д.» сообщила, что совместно с «Кодом Безопасности» завершили тестирование на совместимость последних версий своих продуктов. По результатам тестирования подтверждена корректность работы USB-токенов и смарт-карт JaCarta от «Алладин Р.Д.» со средством защиты информации Secret Net Studio и средством доверенной загрузки ПАК «Соболь» (релиз 4.3) от «Кода Безопасности». Подробнее здесь.
2020: Совместимость ПАК «Соболь» версии 4 с JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ и JaCarta SF/ГОСТ
28 августа 2020 года компании «Аладдин Р.Д.», российский разработчик и поставщик решений для обеспечения информационной безопасности, и «Код Безопасности», отечественный разработчик программных и аппаратных средств защиты информации, сообщили о завершении тестовых испытаний на совместимость своих продуктов.
Тестовые испытания подтвердили корректность работы средства доверенной загрузки (СДЗ) ПАК «Соболь» версии 4 (релиз 4.2), разработанного компанией «Код Безопасности», и электронных ключей JaCarta производства «Аладдин Р.Д.», а именно USB-токенов и смарт-карт JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ и USB-токенов JaCarta SF/ГОСТ.
Средство доверенной загрузки ПАК «Соболь» предназначен для защиты КИИ и защиты информации в государственных организациях, а также для защиты государственной тайны. К типичным сценариям применения СДЗ ПАК «Соболь» также относят защиту информации от несанкционированного доступа, защиту персональных данных в соответствии с приказом ФСТЭК России № 21 и защиту от загрузки ОС со стороннего носителя.
Продукты линейки JaCarta разработаны для организации усиленной или строгой аутентификации в информационных системах и сервисах, обеспечения юридической значимости документов и действий пользователей с помощью электронной подписи и безопасного хранения контейнеров программных СКЗИ, пользовательских данных, сертификатов, паролей и др.
Согласно подписанному сертификату совместимости, в качестве дополнительного оборудования, необходимого для корректного функционирования, использовались смарт-карт ридер JCR 721, профессиональный доверенный смарт-карт ридер производства компании «Аладдин Р.Д.», и смарт-карт ридер ASEDrive IIIe USB.
2019: Совместимость с «Ред ОС»
2018: Получение сертификата соответствия ФСТЭК России
10 декабря 2018 года компания «Код Безопасности» объявила о получении сертификата соответствия ФСТЭК России на ПАК «Соболь» версии 4. Сертификат №4043 от 05.12.2018 г. подтверждает соответствие электронного замка «Соболь» 4 требованиям ФСТЭК России к средствам доверенной загрузки уровня платы расширения второго класса защиты.
Полученный сертификат сроком действия до 05.12.2023 г. дает возможность использования ПАК «Соболь» версии 4 для защиты конфиденциальной информации и гостайны с грифом «совершенно секретно», для применения продукта в автоматизированных системах до класса защищенности 1Б включительно, в ИСПДн до УЗ1 включительно и в ГИС до 1-го класса защищенности включительно.
О выпуске ПАК «Соболь» версии 4 «Код безопасности» объявил в январе 2018 года. Четвертое поколение ПАК «Соболь» стало очередным шагом в развитии продукта: значительно изменились функциональные возможности электронного замка, и при этом сохранилась преемственность интерфейса, к которой привыкли пользователи предыдущей версии. Ключевыми отличиями данного поколения модулей доверенной загрузки стали поддержка технологии UEFI, совместимость с USB 3.0, а также расширение функциональных возможностей.
Функционирование ПАК «Соболь» в среде UEFI дает возможность использовать для хранения и обработки конфиденциальных данных и гостайны современные компьютеры. Поддержка разметки GPT позволяет работать с жесткими дисками объемом более 2 терабайт.
В обновленной версии продукта обеспечена поддержка совместимости с USB 3.0 и осуществлен переход от 16-битной к 64-битной архитектуре. Интеграция с последними типами идентификаторов по сравнению с предыдущей версией ПАК «Соболь» требует значительно меньших затрат.
В ПАК «Соболь» 4 расширен список поддерживаемых идентификаторов:
Для упрощения использования ПАК «Соболь» в крупных инфраструктурах количество поддерживаемых пользователей было увеличено с 32 до 100, кроме того, были расширены возможности журнала безопасности: количество записей возросло с 80 до 2000. Для повышения удобства привычную консоль электронного замка сменил графический интерфейс, однако логика управления была сохранена. Также появилась возможность работы с компьютерной мышью.
Электронный замок «Соболь» версии 4 уже поступил в продажу в трех форматах исполнения: на платах PCI Express, Mini PCI Express Half и М.2.
ПАК «Соболь» 3.0 с новой платой PCI Express
Компания «Код безопасности» объявила в сентябре 2016 года о начале продаж ПАК «Соболь» 3.0 (релиз 3.0.9) с новой платой PCI Express. Продукт прошел инспекционный контроль по требованиям ФСТЭК России в подтверждение выданного ранее сертификата №1967.
В числе особенностей обновленной версии электронного замка «Соболь» — механизм сторожевого таймера, полный апгрейд элементной базы и ряд других доработок. Нововведения расширяют функциональные возможности продукта и сферу его применения, отметили в компании. Среди отличий от предыдущих версий — более высокая производительность при меньшей потребляемой мощности. При этом широкий выбор форматов исполнения платы дает возможность применять электронный замок «Соболь» для защиты моноблоков, ноутбуков и ультрабуков.
ПАК «Соболь» 3.0 (релиз 3.0.9) доступен на платах PCI, Mini PCI Express, Mini PCI Express Half Size и на новой плате PCI Express, в которой реализовано дублирование электрических цепей. Подача питания на новой плате осуществляется как со слота PCI Express, так и с разъема SATA.
Обновленная версия продукта может работать практически во всех операционных системах семейства Windows и Linux, даже в устаревших версиях (по запросу в техническую поддержку «Кода безопасности»). В числе совместимых новых дистрибутивов ОС Linux — МСВС 5.0, «Альт Линукс» 7.0, «Кентавр» x32/64, Astra Linux Special Edition «Смоленск» 1.4 х64, «Mandriva Роса Никель» x86/x64.
По словам разработчиков, продукт прошел инспекционный контроль: сертификат ФСТЭК России подтверждает соответствие обновленной версии ПАК «Соболь» требованиям регулятора к средствам доверенной загрузки. Электронный замок может использоваться для обеспечения безопасности ИСПДн до 1-го уровня защищенности включительно и ГИС до 1-го класса защищенности включительно.
«Соболь» 3.0 с платой PCI Express
Версия ПАК «Соболь» 3.0 (релиз 3.0.9) доступна в нескольких форматах исполнения: на платах PCI, Mini PCI Express, Mini PCI Express Half и на плате PCI Express. В продукте усовершенствован механизм сторожевого таймера.
В используемой плате PCI Express реализовано дублирование электрических цепей: подача питания осуществляется как со слота PCI Express, так и с разъема SATA. Эта модификация повышает надежность работы сторожевого таймера.
Вышедшая версия электронного замка «Соболь» поддерживает файловые системы NTFS, FAT32, FAT16, FAT12, UFS2, UFS, EXT4, EXT3, EXT2. Продукт может работать практически во всех операционных системах семейства Windows и Linux, в том числе – в устаревших версиях (необходимое программное обеспечение предоставляется по запросу в техническую поддержку «Кода безопасности»). В релизе 3.0.9 добавилась поддержка версий операционных систем:
Как заявила компания, модернизированная версия ПАК «Соболь» передана на инспекционный контроль в ФСТЭК России для подтверждения соответствия ранее выданному сертификату №1967.
Электронный замок «Соболь» протестирован на аппаратной платформе Inspur
Весной 2016 года компания Inspur, поставщик комплексных решений и сервисов для облачных вычислений, и «Код Безопасности», российский разработчик сертифицированных программных и аппаратных средств в области информационной безопасности, завершили функциональное и нагрузочное тестирование сертифицированного аппаратно-программного модуля доверенной загрузки (АПМДЗ) «Соболь» на стоечном сервере Inspur NF5170M4.
Мущенко Сергей, руководитель отдела развития продаж «Кода Безопасности», так прокомментировал результат реализованных работ: «Проведенное тестирование показало, что серверы Inspur серии NF полностью соответствуют требованиям к развертыванию нашего АПМДЗ. В результате для заказчиков расширяется выбор проверенных и доступных к использованию с нашими решениями аппаратных платформ».
ПАК «Соболь» 3.0 прошел инспекционный контроль в ФСТЭК России
Компания «Код Безопасности», российский разработчик средств защиты информации, сообщила в сентябре 2015 года о прохождении инспекционного контроля в ФСТЭК России и поступлении в продажу обновленной версии ПАК «Соболь» 3.0 (релиз 3.0.8).
Обновленная версия ПАК «Соболь» прошла инспекционный контроль по новым требованиям ФСТЭК России в подтверждение выданного ранее сертификата №1967. Срок действия сертификата соответствия продлен до 7 декабря 2018 года.
Для соответствия новым требованиям ФСТЭК России, предъявляемым к АПМДЗ и утвержденным приказом ФСТЭК России от 6 февраля 2014 г. №240/24/405, в обновленной версии ПАК «Соболь» 3.0 были существенно расширены функции аудита (журнал регистрации событий и работа с ним) и добавлена возможность определения срока действия паролей для всех типов идентификаторов.
Кроме того, электронный замок «Соболь» 3.0 (релиз 3.0.8) поддерживает новые версии операционных систем: Ubuntu 14.04 LTS Desktop/Server, CentOS 6.5, Debian 7.6, Red Hat Enterprise Linux 7.0×64, Astra Linux Common Edition 1.9 «Орел» х64. ПАК «Соболь» 3.0 (релиз 3.0.8) может поставляться с платой в формфакторе PCI, PCI Express, Mini PCI Express или Mini PCI Express Half, что позволяет применять электронный замок «Соболь» для защиты самых современных моделей моноблоков, ноутбуков и ультрабуков.
Согласно сертификату ФСТЭК России №1967 обновленная версия ПАК «Соболь» соответствует новым требованиям руководящих документов к средствам доверенной загрузки уровня платы расширения второго класса и может использоваться для защиты ИСПДн до 1-го уровня защищенности включительно и ГИС до 1-го класса защищенности включительно, а также при создании АС до класса защищенности 1Б включительно.
«Соболь» совместим с серверами HP ProLiant Gen9
8 октября 2015 компания «Код Безопасности» и компания HP сообщили о завершении работ по обеспечению совместимости АПМДЗ «Соболь» с серверами HP Gen9 ProLiant.
Модифицированная версия BIOS включена в релиз обновления HP Service Pack for ProLiant (HP SPP 2015.10.0) для всех основных моделей серверов HP Gen9 ProLiant. Интеграция обеспечивает гарантированную поддержку работы ПАК «Соболь» в качестве средства защиты от НСД на серверах HP ProLiant и допускает использование сертифицированного ПАК «Соболь» для защиты серверов от НСД и доверенной загрузки в соответствии с требованиями безопасности информации.
«Разработчики нашей компании совместно со специалистами HP провели работы по обеспечению совместимости серверов HP ProLiant 9-го поколения с комплексами «Соболь». В результате проведенных доработок была создана специальная версия BIOS для серверов HP, которая, после всесторонних тестов, стала официальной для всей линейки серверов HP ProLiant 9-го поколения. Таким образом, серверы и рабочие станции HP теперь могут быть надежно защищены от несанкционированного доступа сертифицированным модулем доверенной загрузки – комплексом «Соболь»», – поведал Андрей Бурым, менеджер по продукту компании «Код Безопасности».
2014: Соболь 3.0.7 в продаже
10 июня 2014 года Компания «Код Безопасности» сообщила о поступлении в продажу ПАК «Соболь» 3.0 с поддержкой новой платы Mini PCI Express Half.
Продукт прошел инспекционный контроль в ФСТЭК России в подтверждение выданного ранее сертификата №1967.
Обновленная версия ПАК «Соболь» 3.0 (релиз 3.0.7) дополнена новым аппаратным контроллером в формфакторе Mini PCI Express Half, который может применяться для защиты самых современных моделей моноблоков, ноутбуков и ультрабуков.
В ПАК «Соболь» 3.0 (релиз 3.0.7) также реализована поддержка нескольких операционных систем:
ПАК «Соболь» соответствует требованиям руководящих документов по 2 уровню контроля на отсутствие НДВ, может применяться в АС до класса 1Б включительно и использоваться в ИСПДн до 1 уровня защищенности включительно и ГИС до 1 класса защищенности включительно.
Соболь 3.0.7
Компания «Код Безопасности» сообщила 1 августа 2013 года, что в новой версии ПАК «Соболь» 3.0.7 будет реализована поддержка новой платы miniPCI Half size и поддержка платформы AstraLinux 1.3.
Компания также заявила о переходе на разработку средств защиты информации итерационным методом, что позволит до конца 2013 года полностью обновить продуктовую линейку и выпустить ряд новых продуктов. Все новые версии продуктов компании, планируемые к выпуску до конца 2013 года, будут адаптированы для работы с современными операционными системами Windows 8 (x86/x64) и Windows Server 2012.
Поддержка USB 3.0
Большая часть таких устройств оснащена высокоскоростным интерфейсом USB 3.0, который используется персональными USB-идентификаторами (eToken, Rutoken и т.д.) для идентификации и усиленной аутентификации пользователей. В результате поддержка высокоскоростного режима USB 2.0/3.0, реализованная в обновленной версии ПАК «Соболь», позволит применять USB-идентификаторы на самых современных компьютерах.
Помимо поддержки высокоскоростного режима USB 2.0/3.0, в обновленной версии ПАК «Соболь» реализована поддержка операционных систем Windows 8, Windows Server 2012, файловой системы EXT 4 в ОС семейства Linux.
Соболь 3.0.6
О выходе новой версии электронного замка «Соболь» 3.0.6 сообщила пресс-служба разработчика 11 июля 2013 года.
Электронный замок «Соболь» используется для защиты персональных компьютеров, в том числе десктопов, ноутбуков, ультрабуков, серверов и ряда специализированных устройств (криптографические шлюзы, маршрутизаторы и т.п.)
Компании переводят свою ИТ-инфраструктуру на более компактные решения. Идет замена настольных компьютеров на портативные (ноутбуки, ультрабуки, моноблоки, неттопы и др.), громоздких серверов и специализированных устройств (криптографические шлюзы, маршрутизаторы, blade-серверы и др.) – на небольшие современные аналоги. Согласно прогнозам IDC, поставки портативных компьютеров за 2012 год увеличатся на 13,9%, а настольных всего на 2,6%. Безусловно, обновление техники не должно привести к снижению уровня корпоративной безопасности. Поэтому необходимо вовремя обновить используемые средства защиты или установить новые. В настоящее время на российском рынке информационной безопасности представлено большое количество разнообразных средств защиты информации, среди которых важное место занимают аппаратно-программные модули доверенной загрузки, которые нейтрализуют ряд угроз, таких как несанкционированный доступ, подбор пароля, загрузка нештатной операционной системы, модификация системных файлов и реестра Windows, изменение аппаратного обеспечения защищаемого компьютера и др.
Более десяти лет на российский рынок информационной безопасности поставляется разработанный в НИП «Информзащита» аппаратно-программный модуль доверенной загрузки «Соболь». Количество установок в рабочие станции, серверы, специализированные платформы составило более четвери миллиона. Конструкция модуля развивалась вслед за рынком, инженеры оперативно реагировали на появление новых типов компьютеров и комплектующих, совершенствуя аппаратную часть «Соболя», и увеличивая количество типов поддерживаемых идентификаторов. Появлялись новые угрозы, регламентирующие органы выдвигали соответствующие требования, в ответ разработчики развивали функционал и внедряли новые механизмы защиты.
В 2011 году в компании «Код Безопасности» было принято решение выпустить «Соболь» для компактных устройств вычислительной техники. В апреле 2012 года для компьютеров с системной шиной стандарта Mini PCI Express был разработан и передан на сертификацию модуль доверенной загрузки под официальным названием «Программно-аппаратный комплекс «Соболь». Версия 3.0″.
Сертификация
Сертификат соответствия ФСТЭК России № 1574 на программно-аппаратное средство защиты компьютера от несанкционированного доступа Соболь 2.1 до 14 марта 2014 года. Настоящий сертификат подтверждает, что ПАК Соболь 2.1 соответствует 2-му уровню контроля на отсутствие недекларированных возможностей (в соответствии с требованиями РД Гостехкомиссии России) и может использоваться в автоматизированных системах до класса 1Б включительно. Продлевая сертификат на ПАК Соболь 2.1, компания Код Безопасности предоставляет возможность информационным системам Заказчиков, в которых используется данная версия электронного замка, продолжать соответствовать требованиям законодательства РФ.
Компания «Код Безопасности» сообщила в сентябре 2012 года о получении сертификата соответствия ГОСТ Р на программно-аппаратный комплекс доверенной загрузки «Соболь» версии 3.0. Сертификат № 0748509 подтверждает соответствие ПАК «Соболь» 3.0 требованиям нормативных документов ТУ RU.40308570.501410, ГОСТ Р МЭК 60950-1-2009. Срок действия сертификата до 28.08.2015 г. Действие сертификата ГОСТ Р также распространяется и на новую версию ПАК «Соболь», выполненного в формате платы Mini PCI Express.
Компьютер на замке
Для блокировки всех известных путей несанкционированного проникновения в компьютер на уровне загрузки операционной системы в «Соболе» реализовано множество защитных функций. Предусмотрена не только идентификация пользователя до старта операционной системы, но и реализована блокировка загрузки нештатной ОС с любых внешних носителей. Компьютер блокируется также, если после его включения управление не передается «Соболю». После включения компьютера «Соболем» проверяется целостность аппаратного и программного обеспечения.
Реализация процедуры идентификации и аутентификации пользователей позволяет воздвигнуть почти непреодолимый барьер перед злоумышленниками, пытающимися получить доступ к данным, хранящимся в защищаемом компьютере. Распознавание и проверка подлинности осуществляется при каждом входе пользователя в систему с обязательным использованием персональных идентификаторов. При аутентификации осуществляется проверка правильности указанного пользователем пароля с использованием аутентификатора пользователя, хранящегося в персональном идентификаторе.
В зависимости от типа предъявляемого идентификатора в ПАК «Соболь» поддерживаются двухфакторный (для iButton, iKey 2032, Rutoken, Rutoken RF) и усиленный двухфакторный (для eToken PRO, eToken PRO (Java)) способы аутентификации.
При реализации двухфакторной аутентификации сначала предъявляется персональный идентификатор, затем вводится пароль пользователя. При осуществлении усиленной двухфакторной аутентификации сначала предъявляется персональный идентификатор, затем вводятся его PIN-код и пароль пользователя.
В случае предъявления незарегистрированного идентификатора или ввода пароля, не соответствующего предъявленному идентификатору, вход нарушителя в систему запрещается. Одновременно в журнале регистрации событий ПАК «Соболь», который размещается в специальной области энергонезависимой памяти платы комплекса, фиксируется попытка несанкционированного доступа к компьютеру.
Служебные данные о регистрации пользователя также хранятся в журнале ПАК «Соболь». Комплекс позволяет хранить информацию о 32 учетных записях пользователей комплекса, не считая его администратора.
В комплексе «Соболь» у администратора имеется ряд удобных возможностей по управлению процедурой идентификации и аутентификации. Например, он может установить минимальную длину пароля пользователя, ограничить время, отводящееся пользователю при входе в систему для предъявления персонального идентификатора и ввода пароля, или ограничить время действия его пароля и аутентификатора и др. Для усиления защиты администратор может применить режим использования случайных паролей при смене пароля пользователя и администратора или регистрации нового пользователя.
ПАК «Соболь» относится к модулям доверенной загрузки, главным предназначением которых является обеспечение загрузки штатной копии операционной системы. Под штатной копией понимается допущенная к эксплуатации в установленном порядке копия операционной системы. Все остальные варианты загрузки недопустимы.
Комплекс «Соболь» позволяет блокировать несанкционированную загрузку операционной системы с любых внешних съемных носителей, например дискет, оптических дисков, ZIP-устройств, магнитооптических дисков, USB-устройств и др. После успешной загрузки штатной копии операционной системы доступ к этим устройствам восстанавливается.
Запрет загрузки с внешних носителей устанавливает администратор комплекса, он распространяется на всех пользователей компьютера, за исключением администратора. Отдельным пользователям компьютера администратор может разрешить выполнить загрузку системы со съемных носителей.
Реализация в ПАК «Соболь» режима сторожевого таймера позволяет установить еще одну преграду перед нарушителями. Механизм сторожевого таймера обеспечивает блокировку доступа к компьютеру, если после включения компьютера и по истечении заданного интервала времени управление не было передано комплексу.
Блокировка доступа к компьютеру осуществляется двумя способами: либо путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset в случае, если необходимый разъем есть на системной плате, либо принудительным автоматическим выключением питания. Время ожидания сторожевого таймера определяется автоматически на этапе инициализации комплекса. В дальнейшем администратор может корректировать значение параметра от 4 до 65534 секунд с посекундным шагом.
Механизм контроля целостности ПАК «Соболь» следит за изменением программного и аппаратного обеспечения компьютера до загрузки его операционной системы. Контроль целостности базируется на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при инициализации или последующей эксплуатации ПАК «Соболь». Комплекс позволяет контролировать параметры наиболее ценных с точки зрения безопасности информационных ресурсов компьютера.
Формирование списка подлежащих контролю объектов производится с помощью программы управления шаблонами контроля целостности. Программа входит в комплект поставки комплекса. Списки контролируемых объектов и значения их контрольных сумм хранятся в виде файлов-шаблонов на жестком диске компьютера. Пути к файлам-шаблонам хранятся в защищенной памяти платы ПАК.
В комплексе реализованы два режима функционирования механизма контроля целостности: «жесткий» и «мягкий». Режим работы устанавливается администратором для каждого пользователя компьютера индивидуально. В «жестком» режиме при обнаружении нарушений целостности объектов контроля вход пользователя в систему запрещается, компьютер блокируется, в журнале регистрируется соответствующее событие; в «мягком» режиме вход пользователя в систему разрешается, в журнале регистрируется событие.
Будущее
ПАК «Соболь» развивается, отталкиваясь от запросов и пожеланий компаний-заказчиков, требований регуляторов, развития компьютерной техники и новых угроз компьютерной безопасности. Сейчас идет работа по интеграции с интерфейсом Unified Extensible Firmware Interface (UEFI), который приходит на смену классической BIOS. Планируется также выпуск «Соболя» в форм-факторе Half Mini PCI-E, который вдвое меньше существующей версии. Естественно, постоянно расширяется список поддерживаемых персональных идентификаторов и операционных систем.
Программно-аппаратный комплекс «Соболь» защищает компьютеры более десяти лет. Мало это или много? С точки зрения длительности жизни средства защиты информации – это много. Однако, с точки зрения развития технологий, появляются все новые и новые причины совершенствования ПАК «Соболь». Благодаря удобству настройки, простоте эксплуатации, надежности и относительно невысокой цене, разработанный на базе платы Mini PCI-E комплекс «Соболь» имеет широкие перспективы развития.
Соболь 3.0.5
Технический релиз 3.0.5 является следующим улучшенным исполнением ПАК «Соболь» версии 3.0, в котором реализованы новые возможности и функции. В частности, в исполнении 3.0.5 реализованы:
Также в исполнении 3.0.5 обновлено ПО для контроля целостности следующих OS: Альт Линукс СПТ 6.0 и Astra Linux Special Edition «Смоленск».
Соболь 3.0.4
В октябре 2011 года компания «Код Безопасности» сообщила о выпуске технического релиза новой версии электронного замка Соболь 3.0.4 с поддержкой операционных систем Альт Линукс СПТ 6.0 и Astra Linux Special Edition «Смоленск». В новой версии аппаратно-программного модуля доверенной загрузки `Соболь` 3.0.4, предназначенного для защиты от несанкционированного доступа автономного компьютера, рабочей станции или сервера, входящих в состав ЛВС организации, реализована поддержка операционных систем Альт Линукс СПТ 6.0 и Astra Linux Special Edition «Смоленск». Помимо указанных ОС, ПАК «Соболь» также поддерживает работу 32- и 64-разрядных операционных систем Windows 2000/XP/Vista/7 и Windows Server 2003/2008, а также Linux XP 2008 Secure Edition, MCBC, ОС VMware ESX 3.5-4.1, Mandriva 2008, AltLinux 4.0, RHEL 4.1, Debian 5.0.
Версия ПАК «Соболь» 3.0.4 с поддержкой операционных систем Альт Линукс СПТ 6.0 и Astra Linux Special Edition «Смоленск» передана во ФСТЭК России для прохождения инспекционного контроля.
Результаты инспекционного контроля во ФСТЭК подтверждают, что на внесённые изменения в аппаратно-программный модуль доверенной загрузки «Соболь» версия 3.0, связанные с поддержкой новых операционных систем, распространяется действие ранее выданного сертификата соответствия №1967. Сертификат подтверждает, что ПАК «Соболь» версии 3.0 соответствует требованиям руководящих документов ФСТЭК России по 2-му уровню контроля на отсутствие НДВ, может использоваться в автоматизированных системах уровня защищенности до 1Б и при построении ИСПДн класса К1.
Главной особенностью новой версии ПАК Соболь 3.0.4, прошедшей инспекционный контроль, является возможность поддержки операционных систем Альт Линукс СПТ 6.0 и Astra Linux Special Edition «Смоленск».
Также ПАК «Соболь» 3.0.4 успешно функционирует в следующих системах:
Версия продукта «Соболь», прошедшая инспекционный контроль во ФСТЭК России, в продаже с 26 марта 2012 года.
Соболь 3.0.3
В аппаратно-программном модуле доверенной загрузки `Соболь` 3.0.3 реализован ряд новых возможностей:
Стоит отметить, что эти и другие нововведения, реализованные в ПАК «Соболь» версия 3.0.3, существенно повышают уровень защиты рабочей станции или сервера, на которых установлен ПАК «Соболь».
Версия ПАК «Соболь» 3.0.3 передана во ФСТЭК России для прохождения инспекционного контроля.
Соболь 3.0
Версия ПАК «Соболь» 3.0.2. отличается расширенными и улучшенными пользовательскими возможностями, поддержкой нового программного и аппаратного обеспечения. Среди новых возможностей ПАК «Соболь»:
Продажи ПАК «Соболь» 3.0 с новыми возможностями начались 14 января 2010г.