Электронный замок "Соболь" (ПАК "Соболь") - сертифицированное аппаратно-программное средство защиты компьютера от несанкционированного доступа. Может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети. Cертификаты ФСБ и ФСТЭК обеспечивает возможность использования ПАК "Соболь" для защиты сведений, содержащих информацию, составляющую государственную тайну в автоматизированных системах уровня защищенности до 1Б включительно.
10 декабря 2018 года компания «Код Безопасности » объявила о получении сертификата соответствия ФСТЭК России на ПАК «Соболь» версии 4. Сертификат №4043 от 05.12.2018 г. подтверждает соответствие электронного замка «Соболь» 4 требованиям ФСТЭК России к средствам доверенной загрузки уровня платы расширения второго класса защиты.
Полученный сертификат сроком действия до 05.12.2023 г. дает возможность использования ПАК «Соболь» версии 4 для защиты конфиденциальной информации и гостайны с грифом «совершенно секретно», для применения продукта в автоматизированных системах до класса защищенности 1Б включительно, в ИСПДн до УЗ1 включительно и в ГИС до 1-го класса защищенности включительно.
О выпуске ПАК «Соболь» версии 4 «Код безопасности» объявил в январе 2018 года. Четвертое поколение ПАК «Соболь» стало очередным шагом в развитии продукта: значительно изменились функциональные возможности электронного замка, и при этом сохранилась преемственность интерфейса , к которой привыкли пользователи предыдущей версии. Ключевыми отличиями данного поколения модулей доверенной загрузки стали поддержка технологии UEFI, совместимость с USB 3.0, а также расширение функциональных возможностей.
Функционирование ПАК «Соболь» в среде UEFI дает возможность использовать для хранения и обработки конфиденциальных данных и гостайны современные компьютеры . Поддержка разметки GPT позволяет работать с жесткими дисками объемом более 2 терабайт.
В обновленной версии продукта обеспечена поддержка совместимости с USB 3.0 и осуществлен переход от 16-битной к 64-битной архитектуре. Интеграция с последними типами идентификаторов по сравнению с предыдущей версией ПАК «Соболь» требует значительно меньших затрат.
В ПАК «Соболь» 4 расширен список поддерживаемых идентификаторов:
Для упрощения использования ПАК «Соболь» в крупных инфраструктурах количество поддерживаемых пользователей было увеличено с 32 до 100, кроме того, были расширены возможности журнала безопасности: количество записей возросло с 80 до 2000. Для повышения удобства привычную консоль электронного замка сменил графический интерфейс, однако логика управления была сохранена. Также появилась возможность работы с компьютерной мышью.
Электронный замок «Соболь» версии 4 уже поступил в продажу в трех форматах исполнения: на платах PCI Express, Mini PCI Express Half и М.2.
Соболь» 4 – это совершенно другой подход к обеспечению доверенной загрузки современных компьютеров. Теперь нет необходимости переводить работу BIOS в 16-битный режим, а можно пользоваться всеми преимуществами 64-битной среды UEFI. Мы постарались сделать обновленный интерфейс максимально дружелюбным и интуитивно понятным – для того чтобы у администраторов не возникло трудностей с освоением продукта. |
Компания «Код безопасности» объявила в сентябре 2016 года о начале продаж ПАК «Соболь» 3.0 (релиз 3.0.9) с новой платой PCI Express. Продукт прошел инспекционный контроль по требованиям ФСТЭК России в подтверждение выданного ранее сертификата №1967.
В числе особенностей обновленной версии электронного замка «Соболь» - механизм сторожевого таймера, полный апгрейд элементной базы и ряд других доработок. Нововведения расширяют функциональные возможности продукта и сферу его применения, отметили в компании. Среди отличий от предыдущих версий - более высокая производительность при меньшей потребляемой мощности. При этом широкий выбор форматов исполнения платы дает возможность применять электронный замок «Соболь» для защиты моноблоков, ноутбуков и ультрабуков.
ПАК «Соболь» 3.0 (релиз 3.0.9) доступен на платах PCI, Mini PCI Express, Mini PCI Express Half Size и на новой плате PCI Express, в которой реализовано дублирование электрических цепей. Подача питания на новой плате осуществляется как со слота PCI Express, так и с разъема SATA.
Обновленная версия продукта может работать практически во всех операционных системах семейства Windows и Linux , даже в устаревших версиях (по запросу в техническую поддержку «Кода безопасности»). В числе совместимых новых дистрибутивов ОС Linux - МСВС 5.0, «Альт Линукс» 7.0, «Кентавр» x32/64, Astra Linux Special Edition «Смоленск» 1.4 х64, «Mandriva Роса Никель» x86/x64.
По словам разработчиков, продукт прошел инспекционный контроль: сертификат ФСТЭК России подтверждает соответствие обновленной версии ПАК «Соболь» требованиям регулятора к средствам доверенной загрузки. Электронный замок может использоваться для обеспечения безопасности ИСПДн до 1-го уровня защищенности включительно и ГИС до 1-го класса защищенности включительно.
Версия ПАК «Соболь» 3.0 (релиз 3.0.9) доступна в нескольких форматах исполнения: на платах PCI, Mini PCI Express, Mini PCI Express Half и на плате PCI Express. В продукте усовершенствован механизм сторожевого таймера.
В используемой плате PCI Express реализовано дублирование электрических цепей: подача питания осуществляется как со слота PCI Express, так и с разъема SATA. Эта модификация повышает надежность работы сторожевого таймера.
Поскольку размеры PCI Express в два раза меньше платы предыдущей модификации, комплекс может быть установлен в мини-корпусах. Элементная база платы полностью обновлена, объем памяти увеличен в 4 раза, ПЛИС (программируемая логическая интегральная схема) изготовлена по 45-нм техпроцессу, а это значит, что у продукта более высокая производительность при меньшей потребляемой мощности. Широкий выбор форматов исполнения платы позволяет применять электронный замок «Соболь» для защиты моноблоков, ноутбуков и ультрабуков. |
Вышедшая версия электронного замка «Соболь» поддерживает файловые системы NTFS, FAT32, FAT16, FAT12, UFS2, UFS, EXT4, EXT3, EXT2. Продукт может работать практически во всех операционных системах семейства Windows и Linux , в том числе – в устаревших версиях (необходимое программное обеспечение предоставляется по запросу в техническую поддержку «Кода безопасности»). В релизе 3.0.9 добавилась поддержка версий операционных систем:
Как заявила компания, модернизированная версия ПАК «Соболь» передана на инспекционный контроль в ФСТЭК России для подтверждения соответствия ранее выданному сертификату №1967.
Модифицированная версия BIOS включена в релиз обновления HP Service Pack for ProLiant (HP SPP 2015.10.0) для всех основных моделей серверов HP Gen9 ProLiant . Интеграция обеспечивает гарантированную поддержку работы ПАК «Соболь» в качестве средства защиты от НСД на серверах HP ProLiant и допускает использование сертифицированного ПАК «Соболь» для защиты серверов от НСД и доверенной загрузки в соответствии с требованиями безопасности информации.
«Разработчики нашей компании совместно со специалистами провели работы по обеспечению совместимости серверов HP ProLiant 9-го поколения с комплексами «Соболь». В результате проведенных доработок была создана специальная версия BIOS для серверов HP, которая, после всесторонних тестов, стала официальной для всей линейки серверов HP ProLiant 9-го поколения. Таким образом, серверы и рабочие станции теперь могут быть надежно защищены от несанкционированного доступа сертифицированным модулем доверенной загрузки – комплексом "Соболь"», – поведал Андрей Бурым , менеджер по продукту компании «Код Безопасности ».
«Модифицированная версия BIOS вошла в релиз очередного Service Pack for ProLiant (HP SPP 2015.10.0). Обновление получили все основные модели серверов HP ProLiant девятого поколения в линейках DL, ML, BL, XL. Интеграция на уровне BIOS гарантирует полную совместимость продуктов и позволяет нашим пользователям беспрепятственно применять АПМДЗ «Соболь» для защиты сервера от несанкционированного доступа в соответствии с требованиями ФСТЭК и ФСБ России », – отметил Алексей Казьмин , менеджер по продуктам серверного отдела, HP в России .
Продукт прошел инспекционный контроль в ФСТЭК России на соответствие руководящим документам по 2-му уровню контроля на отсутствие НДВ и может применяться в АС до класса 1Б включительно и ИСПДн самого высокого уровня защищенности. Обновленная версия ПАК «Соболь» также передана в ФСБ России, где проводятся контрольные тематические испытания с целью подтверждения имеющихся сертификатов соответствия.
Сертификация соответствия
Обновленная версия ПАК «Соболь» передана в ФСТЭК России для прохождения инспекционного контроля и в ФСБ России для проведения контрольных тематических испытаний с целью подтверждения имеющихся сертификатов соответствия.
Программно-аппаратный комплекс ПАК «Соболь» 4.0
– это электронный замок для защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки). Электронный замок «Соболь» может применяться как устройство защиты автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.
Электронный замок «Соболь» применяется для защиты персональных компьютеров, в том числе десктопов, ноутбуков, ультрабуков, а также серверов и ряда специализированных устройств (криптографических шлюзов, маршрутизаторов и т. д.).
Продукт прошел инспекционный контроль в ФСТЭК России на соответствие руководящим документам по 2-му уровню контроля на отсутствие НДВ и может применяться в АС до класса 1Б включительно и ИСПДн самого высокого уровня защищенности. Обновленная версия ПАК «Соболь» также передана в ФСБ России, где проводятся контрольные тематические испытания с целью подтверждения имеющихся сертификатов соответствия.
Возможности электронного замка «Соболь»:
1. Функционирование в среде UEFI;
2. Поддержка разметки диска в формате GPT;
3. Совместимость с USB 3.0;
4. Поддержка новых операционных систем:
ПАК «Соболь» 3.0 - это программно-аппаратный комплекс, представляющий собой электронный замок, который обеспечивает защиту компьютера от неразрешенного доступа и доверенную загрузку. Применение электронного замка «Соболь» возможно для обеспечения защиты компьютера, рабочей станции или сервера, которые подключены к локальной сети. Версия 3.0 совместима с высокоскоростным режимом USB 2.0/3.0.
ПАК «Соболь» 3.0 соответствует всем требованиям и стандартам федерального законодательства, что подтверждает сертификат № 1967 и прохождение инспекционного контроля в ФСТЭК РФ на соответствие руководящим документам по второму уровню контроля.
«Соболь» 3.0, как электронный замок, предназначен для защиты персональных компьютеров (в т.ч. ультрабуков, ноутбуков, десктопов), серверов и специализированных устройств, таких как, маршрутизаторы, криптографические шлюзы и прочие. Усовершенствованная версия ПАК «Соболь» совместима с операционными системами Windows 8 и Windows Server 2012, а также файловой системой EXT4 в операционных системах линейки Linux.
Благодаря прохождению инспекционного контроля в ФСТЭК РФ, данный продукт может использоваться в автоматизированных системах включительно до класса 1Б и информационных системах персональных данных с высоким уровнем защищенности. Сейчас ПАК «Соболь» 3.0 проходит контрольные испытания в ФСБ России для удостоверения существующих сертификатов соответствия.
Соболь является средством защиты информации от несанкционированного доступа на персональных компьютерах. Соболь выполняет роль аппаратно-программного модуля доверенной загрузки. ПАК Соболь предназначен для защиты конфиденциальной информации , информации, содержащей сведения, составляющие государственную тайну со степенью секретности "совершенно секретно " включительно или относящейся к персональным данным .
Сертификат ФСТЭК №1967 подтверждает, что ПАК Соболь соответствует требованиям руководящих документов ФСТЭК России по 2-му уровню контроля на отсутствие НДВ и может использоваться в автоматизированных системах уровня защищенности до 1Б включительно.
Сертификат ФСБ № СФ/027-1450 подтверждает, что ПАК Соболь соответствует требованиям аппаратно-программному модулю доверенной загрузки (АПМДЗ) по классу 1Б.
ПАК Соболь выполняет следующие функции безопасности :
ПАК Соболь поддерживает работу со следующими операционными системами:
ПАК Соболь поддерживает файловые системы: NTFS, FAT 32, FAT 16, UFS, EXT3, EXT2.
Для настройки ПАК Соболь администратор имеет возможность:
ПАК Соболь выпускается в виде платы, которая поддерживает 3-х и 5-ти вольтовую шину стандарта PCI или шину стандарта PCI Express версии 1.0а и выше. Соболь выпускается в двух аппаратных вариантах:
На аппаратуру предоставляется гарантия 1 год с даты приобретения.
ПАК Соболь применяется в Центробанке РФ, ГАС Выборы, МВД России, Федеральном Казначействе России, Пенсионном фонде России.
ПАК Соболь 3 - это электронный замок. Представляет собой плату, которая вставляется в сервер или рабочую станцию. Безопасность - нашё всё. Ставится сей продукт не по желанию админа, а если есть такие требования. Производитель: ООО "Код Безопасности".
Поставим на сервер HPE Proliant DL360 Gen10.
Тут я списал с листовки, добавив свои комментарии.
Модельный ряд
При получении злоумышленником полного доступа к удалённой консоли сервера данный электронный замок не поможет. Достаточно переключиться в режим загрузки UEFI и Соболь не пашет - двухфакторка превращается в тыкву. Вроде бы у Соболя 4-й версии появилась возможность работы в UEFI, не смотрел что там.
Обратил внимание на фразу "Простота администрирования". Просто? Да, не сложно. Удобно? Нифига не удобно. Перезагрузился сервер - езжай в ЦОД. Нет нормальных средств удалённой двухфакторной аутентификации.
Контроль целостности реестра - сомнительная штука. Да, контролирует. Винда обновилась - поездка в ЦОД. Винду вообще небезопасно оставлять без обновлений, а Соболь этим обновлениям мешает.
Одна сторона. На плате есть джамперы, они нам потом понадобятся. Джамперы в плоскости платы не влияют на работу, влияют только те, что стоят перпендикулярно плоскости платы. Один джампер J0 установлен - видимо, Соболь уже стоял где-то. По идее он должен определить, что изменилась аппаратная часть и не дать работать, проверим это при установке.
Другая сторона.
Вид на разъём.
Устанавливаем в сервер.
Вид сзади.
Подключаем внешний считыватель для iButton.
Включаем сервер. Входим в BIOS и переключаем режим загрузки на Legacy.
Сохраняемся - перезагружаем сервер.
Для того чтобы Соболь сработал, система должна попытаться загрузиться. У меня сейчас на диске ничего нет, тогда монтирую ISO образ с инсталлятором ОС.
И не разрешает загрузку.
Потому что он раньше на другом сервере стоял. Работает защита. Выключаем всё. Разбираем всё. Добираемся до джамперов на Соболе.
Снимаем джампер J0. Собираем всё.
Соболь перехватывает управление.
Соболь без джампера J0 переходит в режим инициализации. Выбираем "Инициализация платы".
Открывается окно "Общие параметры системы". Можно установить необходимые параметры. Нажимаем Esc.
Открывается окно "Контроль целостности". Можно установить необходимые параметры. Нажимаем Esc.
Ждём. Соболь любит тестировать датчик случайных чисел.
Производится первичная регистрация администратора. Да.
Указываем пароль. Enter.
Повторяем пароль. Enter.
Нас просят воткнуть ключ. Втыкаем первый из того что был в комплекте.
Предупреждение, что ключ отформатируется. Да.
Вы уверены? Винду напоминает. Да.
Создать резервную копию идентификатора администратора? Конечно, у нас же два ключа. Вынимаем первый ключ. Выбираем Да.
Втыкаем второй ключ.
Нам говорят, чтобы мы перемычку вернули обратно. Ок. Сервер выключается.
Добираемся до платы соболя и ставим обратно джампер на J0.
Включаем сервер.
Грузимся в Legacy. Соболь перехватывает управление.
Нас просят воткнуть ключ. Втыкаем.
Вводим пароль.
Нажимаем любую клавишу.