Защищенное оборудование с доверенным программным обеспечением, доверенным BIOS и авторизацией пользователей до загрузки операционной системы. Представлено четырьмя линейками продукции, объединенных названием ALTELL FORT:
• Серверы – ALTELL FORT SRV. Платформы на базе новейших 6- и 12-ядерных процессоров AMD и Intel.
• Десктопы – ALTELL FORT DT. Компьютеры настольного (десктопного) исполнения на базе процессоров AMD и Intel.
• Ноутбуки – ALTELL FORT NB. Ноутбуки на базе процессоров AMD и Intel; возможна поставка ноутбуков в защищенном исполнении.
• Тонкие клиенты – ALTELL FORT TC.
Предлагаемая модель среды с использованием оборудования линейки ALTELL FORT включает в себя несколько элементов:
1. ALTELL HyperBIOS — доверенная подсистема ввода/вывода (BIOS), включающий в себя функции защиты от НСД и содержащий запускаемый образ МВМ.
2. ВММ (Виртуальная Машина Гипервизора), предназначенная для контроля работы среды и управляющая запуском ВМ.
3. ВМ криптографии, содержащая программное обеспечение для работы с криптографическими алгоритмами.
4. Пользовательские ВМ.
Архитектура решений ALTELL FORT предполагает наличие следующих обязательных функциональных требований:
1. Единая точка входа в открытую сеть
2. Необходимость работы с конфиденциальными данным через защищённый канал поверх открытой сети
3. Необходимость работы с открытыми данными, гарантированно непересекающимися с конфиденциальными.
4. Необходимость безопасной и контролируемой однонаправленной передачи данных из открытых источников в конфиденциальную зону.
Исходя из критериев построения защищённого АРМ, совмещающего в себе, на базе виртуальной среды, компоненты различных классов, при создании ALTELL FORT использовалась модель, приведенная на рисунке ниже.
Модель предполагает наличие следующих компонентов:
• Доверенная базовая система ввода-вывода(БСВВ) с функциями защиты от НСД и интегрированным гипервизором (ALTELL HyperBIOS).
• Виртуальная машина гипервизора (ВММ) — на базе доверенной ОС, осуществляющей управление всем комплексом, а так же контролем и предоставлением доступа к сетевым ресурсам.
• ВМ криптографии, содержащей средства СКЗИ и драйвера для работы с внешними устройствами типа token или smartcard
• Зона доверенных ВМ, содержащая пользовательские ВМ на базе сертифицированных ОС, и исполняющей доверенное ПО
• Зона недоверенных ВМ, содержащая пользовательские не модифицированные ВМ для работы вне контролируемой зоны.
• Однонаправленный шлюз - многокомпонентное ПО на базе виртуальных каналов гипервизора и управляющего ПО в ВММ, обеспечивающего управляемую передачу данных из не доверенной зоны в доверенную, и препятствующий обратному потоку (из доверенной зоны в не доверенную).
Следует понимать, что ВМ доверенной зоны не могут исполняться одновременно с ВМ не доверенной зоны.
Конструктивно предлагаемое решение выглядит как аппаратная платформа, со своим BIOS с функциями защиты от НСД, контролем целостности, заменяющим штатный, и виртуальная среда, содержащая ряд виртуальных машин.
Контроль несанкционированного доступа осуществляется при загрузке аппаратной платформы, в процессе работы базовой системы ввода-вывода (БСВВ, BIOS), ещё до загрузки какой бы то ни было операционной среды и гипервизора. Предполагается осуществление многофакторной авторизации, с использованием token. После работы БСВВ, запуска гипервизора и ВМ криптографии, управление токеном монопольно отдаётся в указанную ВМ. Все дальнейшие запросы на выполнение функций СКЗИ адресуются в ВМ криптографии и исполняются там.
Архитектура решений семейства ALTELL FORT
(нажмите для увеличения)
Качество выпускаемой продукции подтверждается международной системой
менеджмента качества и контролируется военным представительством в
соответствии с ГОСТ РВ 15.307-2002.
