Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Аккорд амдз настройка bios

Обновлено: 23.01.2025

В документе приведен порядок установки программно-аппаратного комплекса средств защиты информации от несанкционированного доступа (СЗИ НСД) "Аккорд-АМДЗ" (ТУ 4012-006-11443195 17) на базе контроллера «Аккорд-5» (ТУ 4024-006-11443195-99 ), а также порядок их настройки в соответствии с конфигурацией технических средств ПЭВМ(АС).

Перед установкой и эксплуатацией комплекса "Аккорд-5 (АМДЗ)" необходимо внимательно ознакомиться с комплектом эксплуатационной документации на комплекс, а также принять необходимые защитные организационные меры, рекомендуемые в документации. Применение защитных мер комплекса "Аккорд" должно дополняться общими мерами технической безопасности.

1. ТРЕБОВАНИЯ К ОБОРУДОВАНИЮ И ИСПОЛЬЗУЕМОМУ ПО 3

2. УСТАНОВКА ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА СЗИ НСД "АККОРД-АМДЗ" 4

2.1 Назначение элементов и разъемов на плате контроллера. 4

2.2 Подсоединение контактного устройства (съемника информации) 5

2.3 Установка контроллера в свободный слот материнской платы ПЭВМ 5

2.4 Назначение ТМ-идентификатора администратора безопасности информации (АБИ) 5

3. ТРУДНОСТИ ПРИ УСТАНОВКЕ КОМПЛЕКСА И МЕТОДЫ ИХ ПРЕОДОЛЕНИЯ. 6

4. СНЯТИЕ СРЕДСТВ ЗАЩИТЫ КОМПЛЕКСА "АККОРД". 8

5. Установка ПО разграничения доступа на жесткий диск. 8

5.1 Рекомендации по созданию изолированной программной среды (ИПС) в ОС Windows 95. 10

5.2 Конфиденциальное делопроизводство в среде Windows 95/98 и Microsoft Office. 12

Установка программно-аппаратного комплекса СЗИ НСД "Аккорд-АМДЗ" включает три основных этапа:

1. Установку платы контроллера в свободный слот ПЭВМ и регистрацию администратора БИ (супервизора), в том числе, настройку комплекса в соответствии с конфигурацией технических средств ПЭВМ.

2. Регистрацию пользователей, назначение пользователям личных ТМ-идентификаторов, паролей и времени доступа.

3. Назначения списка дисков, файлов, разделов реестра, контролируемых на целостность.

В н и м а н и е !

Перед началом установки комплекса "Аккорд-АМДЗ" рекомендуется подробно ознакомиться с эксплуатационной документацией, прежде всего с "Описанием применения" (11443195.4012-001 31 01) и настоящим руководством.

Требования к оборудованию и используемому по

В настоящее время технические средства комплекса защиты от НСД "Аккорд-АМДЗ" для установки в слот PCI шины выпускаются в основной модификации на базе контроллера «Аккорд-5».

Эта модификация комплекса:

- может использоваться на ПЭВМ с процессором 80386 и выше, объемом RAM 1 Мбайт и более;

- требует для установки свободный слот PCI;

- использует для идентификации персональные идентификаторы DS 199Х с объемом памяти до 64 Кбит;

- использует для аутентификации пароль до 12 символов;

- блокирует загрузку с FDD, CD ROM и ZIP;

- предусматривает регистрацию до 32 пользователей;

- имеет энергонезависимую память;

- имеет аппаратный датчик случайных чисел (ДСЧ);

- обеспечивает контроль целостности программ и данных;

- может использоваться как для локальных ПЭВМ, так и для рабочих станций в составе ЛВС.

Особенности модификаций контроллера “Аккорд-5” приведены в таблице1.

Бездисковые рабочие станции ЛВС

АРМ администратора безопасности информации

Аппаратное управление доступом к устройствам, входящим в состав ПЭВМ

(до двух физических линий)

Возможность перепрограммирования всех элементов

Наличие контроля отключения питания

Подключение устройства энергонезависимого аудита

Интерфейс для считывателя smart-карт

Для эффективного применения комплекса и поддержания необходимого уровня защищенности ПЭВМ и информационных ресурсовнеобходимы:

- физическая охрана ПЭВМ и ее средств, в том числе проведение мероприятий по недопущению изъятия контроллера комплекса;

- наличие администратора безопасности информации (АБИ) - привилегированного пользователя, имеющего особый статус и абсолютные полномочия (супервизора). Администратор БИ планирует защиту информации на предприятии (учреждении, фирме и т.д.), определяет права доступа пользователей в соответствии с утвержденным Планом защиты, организует установку комплекса в ПЭВМ, эксплуатацию и контроль за правильным использованием ПЭВМ с установленным комплексом, в том числе учет выданных ТМ-идентификаторов, осуществляет периодическое тестирование средств защиты комплекса;

- использование в ПЭВМ технических и программных средств, сертифицированных как в Системе ГОСТ Р, так и в ГСЗИ.

Контроллер "АККОРД-5", входящий в состав комплекса, имеет два режима доступа к аппаратным ресурсам платы контроллера.

Режим 0 (стандартный): доступ к области кода расширения BIOS только по чтению.

Режим 1 (специальный): доступ к области кода расширения BIOS по чтению/записи, причем при старте компьютера код не исполняется, а области, скрытые при работе операционной системы в режиме 0, становятся доступны по чтению/записи. Переход из стандартного режима в специальный требует снятия установочной металлической планки, которая крепится к плате контроллера двумя винтами. В специальном режиме возможна перезапись внутреннего ПО контроллера без изменения аппаратной части и очистка базы данных пользователей. При записи кода в BIOS контроллера следует отключить любые программные менеджеры памяти, установленные на компьютере.

Штатные операции изменения режима работы производятся под контролем службы безопасности. При этом возможна установка пломбы на крепежный винт, которая является индикатором целостности как встроенного ПО, так и конфиденциальной информации.

Электронный замок «Соболь» разработан НИП “Информзащита” и является типичным примером электронного замка. Аппаратный модуль доверенной загрузки «Аккорд-АМДЗ» выполняет более широкие функции, чем простой электронный замок, но, в частности, выполняет и функции электронного замка. Он серийно выпускается ОКБ САПР .


Принцип работы перечисленных электронных замков примерно одинаков, и основан на перехвате момента загрузки ОС при помощи кода, размещенного в т.н. Expansion ROM. При получении управления ПО электронного замка проводит идентификацию/аутентификацию пользователя, затем выполняются процедуры контроля целостности аппаратных и программных средств, и затем происходит загрузка ОС, установленной на компьютере.

Качество и надежность процедур идентификации/аутентификации и контроля целостности являются основными определяющими факторами при выборе электронного замка. Рассмотрим реализацию этих процедур более подробно.

Идентификация/аутентификация пользователя

Идентификация/аутентификация пользователя в сравниваемых электронных замках производится при помощи ТМ-идентификатора/пароля. Однако, в реализации этих процедур имеются кардинальные отличия, вызванные разной архитектурой контроллеров “Соболь” и “Аккорд”. Для возможности проведения полноценного сравнения необходимо вначале рассмотреть особенности архитектуры каждого из контроллеров, приведенные на рис. 1 и рис. 2, соответственно.

На первый взгляд архитектуры рассматриваемых контроллеров весьма похожи. Контроллер ”Аккорд” отличается только наличием интерфейсного микроконтроллера. А между тем именно это, на первый взгляд, незначительное отличие делает контроллер ”Аккорд” изделием совершенно другого класса. Поясним это утверждение, рассмотрев более подробно реализации процедур идентификации/аутентификации. Отметим сразу, что у обоих контроллеров данные о пользователях хранятся во встроенной энергонезависимой памяти.

Идентификация/аутентификация пользователя в электронном замке "Соболь"

Сложность интерфейсного автомата контроллера “Соболь” весьма невысока. Именно это является причиной того, что процедура идентификации/аутентификации проводится не контроллером “Соболь”, а только при помощи ПО, размещенного в BIOS контроллера и исполняемого персональным компьютером. Фактически это выглядит так:

  • запрос на получение ТМ-идентификатора;
  • ввод пароля;
  • чтение всех данных из энергонезависимой памяти контроллера в память персонального компьютера;
  • принятие решения о успешном/неуспешном завершении процедуры;
  • блокирование дальнейшей работы с энергонезависимой памятью.

Все эти процедуры исполняются персональным компьютером в его оперативной памяти. Таким образом, контроллер "Соболь" с точки зрения процедуры идентификации/аутентификации является не чем иным, как обычной энергонезависимой памятью. Более того, после включения персонального компьютера доступ к этой памяти никак не ограничен. Этот факт вполне понятен, так как иначе ПО не смогло бы получить данные о пользователях для проведения собственно процедуры идентификации/аутентификации.

Идентификация/аутентификация пользователя в электронном замке “Аккорд АМДЗ” на базе контроллеров ”Аккорд”

Процесс идентификации/аутентификации отличается от вышеизложенного прежде всего тем, что данные о пользователях никогда не попадают в оперативную память персонального компьютера, более того несанкционированный доступ к ним невозможен. За дисциплину доступа к данным энергонезависимой памяти отвечает микроконтроллер, имеющий встроенное ПО и данные. Рассмотрим процесс более подробно:

  • ПО контроллера запрашивает ТМ-идентификатор и пароль (это делается в памяти персонального компьютера);
  • эти данные передаются микроконтроллеру, который принимает решение о успешности/неуспешности процедуры при помощи анализа содержимого энергонезависимой памяти (эта операция производится только микроконтроллером);
  • в случае успеха устанавливается дисциплина доступа к энергонезависимой памяти, определяемая параметрами пользователя.

Есть и еще одно важное отличие. У обоих контроллеров данные энергонезависимой памяти хранятся в зашифрованном виде. У контроллера «Аккорд» ключ для доступа к этим данным хранится непосредственно в микроконтроллере, и нет никакой возможности для его получения (это определяется особенностями архитектуры микроконтроллера). У контроллера “Соболь” нет подходящего ресурса для хранения такого ключа, а значит этот ключ надо хранить либо фактически в открытом виде в коде ПО, либо в ТМ-идентификаторе пользователя, что очень упрощает решение задачи получения доступа к данным энергонезависимой памяти.

Контроль целостности аппаратных и программных средств персонального компьютера

Непосредственно данные процедуры выполняются при помощи ПО в памяти персонального компьютера. При этом большое значение имеет выбор места и способа хранения эталонных данных для процедур контроля целостности.

При сравнении начнем с того, что электронный замок “Соболь” вообще не содержит функций контроля целостности аппаратных средств персонального компьютера, в то время как электронный замок “Аккорд-АМДЗ” имеет развитую подсистему контроля целостности аппаратных средств компьютера более чем по 20 параметрам.


Оба электронных замка имеют функции контроля целостности файлов на дисках. При этом для хранения эталонных данных “Аккорд-АМДЗ” использует энергонезависимую память данных, в то время как “Соболь” хранит данные на жестком диске в виде файлов данных. Естественно, что хранение в энергонезависимой памяти является намного более надежным решением, но при этом могут возникнуть дополнительные требования к ее объему.

Энергонезависимая память, примененная в контроллере “Соболь” не позволяет иметь суммарный объем памяти более 64Кбайт, кроме того имеет крайне низкую скорость обмена.

Энергонезависимая память, примененная в контроллере «Аккорд» имеет высокую скорость обмена, и ее объем может быть легко увеличен до 16 Мбайт, чего более чем достаточно для любых разумных применений. Стандартно поставляемый контроллер (емкость памяти – 256 КБайт) может хранить данные о целостности примерно 1700-1800 файлов.

ПО электронного замка “Соболь” способно контролировать целостность файлов, расположенных в разделах типа FAT, NTFS. ПО электронного замка “Аккорд-АМДЗ” способно работать с разделами типа FAT, NTFS, HPFS, Free-BSD.

Однако способ реализации контроля целостности файлов в NTFS разделе, примененный разработчиками “Соболя”, вызывает много вопросов. Предлагается следующая схема контроля целостности файлов в разделе NTFS:

  • при помощи ПО, написанного для ОС NT, и выполняемого под ее управлением строятся карты распределения контролируемых файлов (список номеров секторов, занимаемых файлом на диске). Эти данные являются эталонными для ПО электронного замка “Соболь”;
  • при выполнении процедуры контроля целостности ПО “Соболь” проверяет целостность заданной цепочки секторов.

Никакой связи реального имени файла с цепочкой секторов нет. Такая небрежная реализация открывает простор для самых разнообразных вредоносных манипуляций. Поясним это на примере: пусть контролируемый файл C:AUTOEXEC.BAT размещен в секторах 15 и 12. Переименование этого файла в C:AUTOEXEC.OLD не вызовет физического перемещения содержимого файла. Теперь ничто не мешает создать новый C:AUTOEXEC.BAT с произвольным содержимым, который будет расположен совершенно в других секторах. При этом процедура контроля целостности не обнаружит изменений в секторах 15 и 12. А вот операционная система будет работать совершенно с другим файлом.

Важнейшим преимуществом ПО электронного замка “Аккорд-АМДЗ” является возможность контроля целостности содержимого реестров ОС Windows 9x и Windows NT, в том числе и в разделах типа NTFS.

На основании вышеизложенного можно сделать следующие выводы:

  1. Аппаратные средства электронного замка “Аккорд-АМДЗ” имеют подавляющее преимущество перед аппаратными средствами электронного замка “Соболь” (контроллер “Соболь”).
  2. Программные средства электронного замка “Соболь” также значительно уступают по качеству ПО “Аккорд-АМДЗ”. Некоторые недостатки обусловлены архитектурой контроллера, и не могут быть устранены принципиально (процедура идентификации/аутентификации), подсистема же контроля целостности вполне может быть модернизирована в будущем.

В таблице приведены значения характеристик средств защиты информации уровня ПЭВМ, по которым осуществляется сравнение их функциональных возможностей и оценка их применения в АС.

Перед началом установки комплекса «Аккорд-АМДЗ» рекомендуется подробно ознакомиться с эксплуатационной документацией, прежде всего с «Описанием применения», в зависимости от типа контроллера и настоящим руководством.

Установка и настройка комплекса СЗИ НСД «Аккорд-АМДЗ» производится в следующей последовательности:

1) установка платы контроллера в свободный слот ПЭВМ;

2) подсоединение контактного устройства;

3) регистрация администратора БИ (супервизора), в том числе, настройка комплекса в соответствии с конфигурацией технических средств ПЭВМ;

4) регистрация пользователей, назначение пользователям персональных идентификаторов, паролей и времени доступа;

5) назначение списка дисков, файлов, разделов реестра, контролируемых на целостность;

Установка платы контроллера

Установка контроллера должна производиться только при выключенном питании СВТ!

Для установки контроллера комплекса необходимо:

1) отключить питание СВТ;

2) вскрыть корпус системного блока СВТ, удалить заглушку на задней панели блока и выбрать свободный слот на материнской плате для установки контроллера комплекса;

3) установить контроллер в соответствующий слот на материнской плате СВТ и зафиксировать его стопорным винтом к задней панели корпуса.

Подсоединение контактного устройства

Контактное устройство (съемник информации) предназначено для обеспечения взаимодействия контроллера комплекса СЗИ НСД с персональным идентификатором пользователя (TM идентификатор), и может выпускаться с внутренним и внешним исполнением.

Подсоединение внешнего контактного устройства осуществляется со стороны задней планки контроллера или к соответствующему порту СВТ с помощью, в зависимости от типа съемника; подробнее о типах съемников.

- разъема RJ-11 (подобного телефонному разъему);

Внутренний съемник подсоединяется к плате контроллера внутри корпуса системного блока ПЭВМ. Расположение разъемов для съемников информации на различных платах контроллеров «Аккорд».

При использовании внутреннего контактного устройства (съемника информации) его установка производится, как правило, на заглушке зарезервированного места для дисководов.

Порядок подсоединения внутреннего съемника информации:

1) Отключить питание ПЭВМ;

2) Вскрыть корпус системного блока ПЭВМ;

3) Вынуть резервную заглушку (для FDD,CD,ZIP) на передней панели

4) Системного блока;

6) Вставить контактное устройство в отверстие и закрепить его с помощью гайки на резервной заглушке.

7) Ввести провод контактного устройства внутрь ПЭВМ и произвести подключение съемника информации к плате контроллера.

Аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК — серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.

Наши специалисты ответят на любой интересующий вопрос

«Доверенная загрузка» — это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя.

Основные характеристики

Комплекс начинает работу сразу после выполнения кода системного BIOS компьютера — до загрузки операционной системы. Контроллеры семейства «Аккорд-АМДЗ» обеспечивают доверенную загрузку ОС, поддерживающих наиболее распространенные файловые системы, включая: FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, Ext4, ReiserFS, FreeBSD UFS/UFS2, Solaris UFS, QNX4, MINIX. Это, в частности, ОС семейств MS DOS, Windows, QNX, OS/2, UNIX, LINUX, BSD и др.

Аккорд-АМДЗ» применяется в следующей конфигурации:

Количество и тип идентификаторов, модификация контроллера и съемника оговариваются при поставке комплекса. Персональные идентификаторы и съемники информации заказываются отдельно.

Контроллеры «Аккорд-АМДЗ»

«Аккорд-АМДЗ» может быть реализован на различных контроллерах, предназначенных для работы с разными шинными интерфейсами СВТ. При этом его базовая функциональность всегда остается одинаковой (вне зависимости от типа контроллера) и соответствует заявленной и отраженной в конструкторской и эксплуатационной документации. Для того чтобы выбрать нужный Вам вариант, в первую очередь определите, свободный слот с каким шинным интерфейсом есть у того СВТ, в которое Вы планируете установить «Аккорд-АМДЗ».

Это может быть:

  • PCI или PCI–X — контроллеры Аккорд-5МХ или Аккорд-5.5
  • PCI-express — контроллеры Аккорд-5.5.е, Аккорд-5.5.e new (Аккорд-LE) или Аккорд-GX
  • Mini PCI-express — Аккорд-GXM
  • Mini PCI-express half card — контроллер Аккорд-GXMH
  • M.2 с ключами A и/или E (интерфейс PCI-express) — «Аккорд-M.2»

Все контроллеры допускают возможность расширения функций с «Аккорд-АМДЗ» до ПАК «Аккорд» (например, «Аккорд-Win32/64», «Аккорд-X», «Аккорд-В.»). Можно выбирать «Аккорд-АМДЗ» на базе любого контроллера, не опасаясь что, если в дальнейшем Вам понадобится добавить СПО разграничения доступа, компоненты окажутся несовместимы.

Идентификаторы

В качестве идентификатора пользователя могут использоваться USB-токены, USB-ключи, смарт-карты, устройства ШИПКА (на базе ШИПКА-лайт Slim, ШИПКА-2.0 CCID или других моделей), ТМ-идентификаторы. Количество и тип идентификаторов оговариваются при поставке комплекса. Персональные идентификаторы заказываются отдельно.

Съемники информации

Съемники информации предназначены для считывания данных с ТМ-идентификаторов, смарт-карт и бесконтактных RFID-меток.

Лицензии, сертификаты

Комплекс соответствует требованиям документов «Требования к средствам доверенной загрузки» (ФСТЭК России, 2013) и «Профиль защиты средства доверенной загрузки уровня платы расширенного второго класса защиты. ИТ.СДЗ.ПР2.П3» (ФСТЭК России, 2013).

Читайте также:

      
  • Как отключить рекламу в браузере опера
    •   
  • Параметры отбора 1с таблица значений
    •   
  • Рассчитайте эмпирическое значение z критерия знаков эксель
    •   
  • Программа для обучения видеомонтажу
    •   
  • Ume браузер что это
  • Контакты
  • Политика конфиденциальности