Разработчик: Infotecs (ИнфоТеКС)
Обзор продукта
ViPNet SafeBoot создает «точку доверия» к аппаратной платформе и загружаемой операционной системе. В отличие от средств защиты, работающих на уровне ОС, ПМДЗ стартует раньше — непосредственно из UEFI BIOS, — что позволяет контролировать процессы загрузки до того, как операционная система получит управление .
Ключевые задачи ViPNet SafeBoot :
- ✅ Разграничение доступа к платформе
- ✅ Защита UEFI BIOS от модификации и вредоносного кода
- ✅ Контроль неизменности компонентов ПК
- ✅ Организация доверенной загрузки штатной операционной системы
- ✅ Невозможность загрузки нештатной ОС (с внешних носителей)
Почему это важно?
Можно установить множество средств защиты в операционную систему. Но если злоумышленник имеет возможность внедрить вредоносную программу в BIOS или загрузить с внешнего носителя недоверенную ОС — все вложения в средства защиты будут потрачены напрасно .
Архитектура и принцип работы
ViPNet SafeBoot встраивается непосредственно в UEFI BIOS и активируется при каждом включении компьютера, до запуска операционной системы. Это обеспечивает:
| Уровень защиты | Описание |
|---|
| Пре-загрузочная аутентификация | Пользователь авторизуется до загрузки ОС |
| Контроль целостности | Проверка всех критических компонентов на этапе старта |
| Защита от обхода | Невозможность отключить или обойти ПМДЗ |
| Самотестирование | Модуль контролирует собственное состояние; при нарушении целостности блокирует доступ |
Сертификация
ФСТЭК России
ViPNet SafeBoot имеет сертификат ФСТЭК России №4673 от 10.05.2023, который подтверждает соответствие :
| Параметр | Значение |
|---|
| Требования к средствам доверенной загрузки | Соответствует |
| Уровень базовой системы ввода-вывода | 2 класс защиты |
| Уровень доверия | 2 уровень доверия |
ФСБ России
Продукт также сертифицирован по требованиям ФСБ России, что позволяет использовать его в системах, создаваемых по требованиям ФСБ.
Допустимые области применения
Благодаря сертификации ViPNet SafeBoot может использоваться для построения :
| Область | Максимальный уровень защиты |
|---|
| Информационные системы персональных данных (ИСПДн) | до 1 уровня защищенности включительно |
| Государственные информационные системы (ГИС) | до 1 класса защищенности включительно |
| Автоматизированные системы управления (АСУ ТП) | до 1 класса защищенности включительно |
| Критическая информационная инфраструктура (КИИ) | до 1 категории значимости включительно |
Ключевые возможности
🆔 Идентификация и аутентификация
Строгая двухфакторная аутентификация пользователей с помощью :
- Аутентификация по паролю
- Аутентификация по электронному идентификатору (токен/смарт-карта)
- Комбинированная аутентификация (токен + пароль)
- Аутентификация по паролю на электронном идентификаторе
- Аутентификация в AD/LDAP/ALD PRO
Поддерживаемые USB-токены :
| Производитель | Модели |
|---|
| Рутокен (Актив) | ЭЦП, ЭЦП 2.0 (2000, 2100, 4000), ЭЦП 3.0 (3100, 3220), Lite (1000), ЭЦП PKI (1800), S (1100) |
| JaCarta (Аладдин Р.Д.) | LT, PKI, PKI/ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta-2 ГОСТ, JaCarta-2 SE, JaCarta PRO |
| Guardant (Актив) | ID, ID версии 2 |
| ФОРОС | ST23L80, ST23R160, ST31H320 |
| ESMART | Token ГОСТ с разметкой 2.2 |
Поддерживаемые считыватели смарт-карт :
| Производитель | Модели |
|---|
| ACS | Reader |
| ASEDrive | IIIe |
| JCR | 721 |
| HID | Omnikey 5422 |
| ESMART | Reader ER773x |
👥 Ролевая модель доступа
ViPNet SafeBoot поддерживает три роли, каждая из которых имеет строго определенный набор прав :
| Роль | Основные права |
|---|
| Пользователь | Аутентификация и доступ к системе |
| Администратор | Настройка ПМДЗ, управление пользователями и политиками |
| Аудитор | Просмотр журналов событий, но без права изменения конфигурации |
🔒 Контроль целостности
ViPNet SafeBoot проверяет целостность широкого спектра компонентов :
| Категория | Компоненты |
|---|
| UEFI BIOS | Все ключевые модули UEFI |
| Загрузочные секторы | MBR, загрузочные сектора жестких дисков |
| Системные таблицы | ACPI, SMBIOS, карта распределения памяти |
| Файловые системы | Файлы на FAT32, NTFS, EXT2, EXT3, EXT4 |
| Реестр | Реестр Windows |
| Аппаратные компоненты | CMOS, конфигурационное пространство PCI/PCIe |
| Транзакции ФС | Завершенность транзакций NTFS, EXT3, EXT4 |
Возможность автоматического построения списков контроля для ОС Windows значительно упрощает администрирование .
🛡️ Превентивные механизмы защиты
| Защита | Описание |
|---|
| Защита от malware в UEFI BIOS | Блокирование создания ACPI-таблиц WPBT (Windows Platform Binary Table), используемых для автоматического запуска исполняемых файлов; блокировка записи на диски со стороны компонентов BIOS |
| Защита на уровне SMM | Защита от перехвата управления и выполнения привилегированных команд в режиме системного управления (System Management Mode) |
| Защита BIOS от перезаписи | Блокировка встроенных средств обновления BIOS, защита EFI-переменных |
| Защита системных таблиц UEFI | Невозможность модификации критических структур UEFI |
| Блокировка PCI Option ROM | Возможность блокировки Option ROM всех PCI-устройств |
| Запрет загрузки с внешних носителей | Исключение возможности загрузки нештатной операционной системы с USB/CD/DVD |
📊 Журнал событий безопасности
- Несколько режимов ведения журнала с разным уровнем детализации
- Возможность отправки CEF-сообщений по протоколу syslog в любую SIEM-систему
- Поддержка удаленного аудита
🔄 Управление и администрирование
| Функция | Описание |
|---|
| Шаблоны администрирования | Быстрая настройка с помощью шаблонов; можно применять одинаковые настройки к нескольким компьютерам |
| Локальное и удаленное обновление | Возможность доверенного обновления ПМДЗ администратором |
| Удаленное управление | Через ViPNet EndPoint Protection (доступно для Исполнения 2) |
| Доверенная загрузка по сети (PXE) | Организация загрузки ОС по сети из доверенного источника (доступно для Исполнения 2) |
Актуальные версии
ViPNet SafeBoot 3.2
Текущая актуальная версия — ViPNet SafeBoot 3.2 (в том числе исполнение 2) .
Ключевые возможности и отличия ViPNet SafeBoot 3.2 :
| Функция | Описание |
|---|
| Поддержка ARM-платформ | Возможность встраивания в ARM-платформы различных производителей (Broadcom, RockChip) с UEFI-окружением |
| Бездисковый режим работы (Zero Client) | Функционирование на платформах, не имеющих жесткого диска |
| Контроль целостности зашифрованных дисков | Проверка файлов на дисках, зашифрованных по спецификации LUKS (Linux Unified Key Setup) |
| Фильтрация передачи управления | Ограничение передачи управления стороннему коду |
| Защита NVRAM-переменных | Контроль доступа к энергонезависимой памяти |
| Несколько профилей загрузки | Создание профилей загрузки ОС с различным набором объектов КЦ для разных пользователей |
| Блокировка клавиатуры | На стадии загрузчика ОС |
| Поддержка новых идентификаторов | JaCarta-2 SE, JaCarta PRO, токены и смарт-карты ФОРОС, ESMART ГОСТ |
| Интеграция с ViPNet SafePoint | Единый вход (SSO) с программным комплексом ViPNet SafePoint |
Поддерживаемые платформы
Архитектуры
| Архитектура | Поддержка | Примечания |
|---|
| x86 (AMD64/Intel64) | Полная | Основная целевая платформа |
| ARM v8 | Полная (с версии 3.2) | Процессоры ARM с частотой от 500 МГц и наличием RTC; поддержка Broadcom 2711/2837 и RockChip 3566/3568 |
Операционные системы
ViPNet SafeBoot не зависит от установленной операционной системы и поддерживает:
| ОС | Уровень поддержки |
|---|
| Windows | Полный контроль целостности (включая реестр) |
| Linux | Полный контроль целостности, поддержка LUKS |
| Любые другие ОС на FAT32/NTFS/EXT | Контроль файлов на поддерживаемых файловых системах |
Интеграция с ОС (SSO)
| Интеграция | Описание |
|---|
| Единый вход в ОС | После аутентификации в SafeBoot пользователь автоматически входит в ОС без повторного ввода пароля |
| Единый вход в ViPNet SafePoint | Интеграция с СЗИ от НСД уровня ОС для бесшовной работы |
Преимущества
💻 Программная реализация
| Преимущество | Описание |
|---|
| Программный МДЗ | В отличие от аппаратных модулей доверенной загрузки (плат расширения), SafeBoot устанавливается непосредственно в UEFI BIOS и не требует дополнительного оборудования |
| Неизвлекаемость | В отличие от аппаратных решений, программный модуль нельзя физически извлечь или отключить |
| Простота внедрения | Не требует модификации аппаратной части компьютера |
🔒 Комплексная безопасность
- Двойная сертификация — ФСТЭК и ФСБ России, покрытие самых высоких требований регуляторов
- Защита до загрузки ОС — единственный способ гарантировать, что атака не произошла на этапе старта системы
- Превентивные механизмы — защита от современных угроз, включая UEFI-руткиты (типа Lojax, Computrace)
🖥️ Широкая совместимость
| Совместимость | Поддерживаемые решения |
|---|
| Токены | Рутокен, JaCarta, Guardant, ФОРОС, ESMART |
| Криптопровайдеры | Любые, поддерживающие PKCS#11 |
| ОС | Windows, Linux (включая российские дистрибутивы) |
| Среды виртуализации | Серверы виртуализации |
| Интеграция с SIEM | Syslog в любую SIEM |
📊 Удобство администрирования
- Централизованное управление — через ViPNet EndPoint Protection для территориально распределенных систем
- Шаблоны настроек — быстрая конфигурация на множестве компьютеров
- Удаленное обновление — без физического доступа к компьютеру
- Автоматическое построение списков КЦ — для ОС Windows
Области применения
| Сфера | Особенности применения |
|---|
| Государственные информационные системы | Защита ГИС до 1 класса защищенности, аттестация объектов информатизации |
| Информационные системы персональных данных | Обеспечение 1 уровня защищенности ПДн |
| АСУ ТП (промышленные сети) | Защита рабочих станций и серверов в промышленных сетях |
| Объекты КИИ | Защита критической информационной инфраструктуры до 1 категории значимости |
| Корпоративные сети | Обеспечение доверенной загрузки на всех рабочих станциях |
| Системы с удаленными пользователями | Удаленное управление SafeBoot через EndPoint Protection |
| ARM-платформы (с версии 3.2) | Защита устройств на базе ARM-процессоров (например, одноплатные компьютеры, тонкие клиенты) |
Интеграция с другими продуктами Infotecs
| Продукт | Интеграция |
|---|
| ViPNet SafePoint | Единый вход (SSO) из SafeBoot в SafePoint; комплексная защита от НСД на уровне BIOS и ОС |
| ViPNet EndPoint Protection | Удаленное управление SafeBoot, централизованная консоль администрирования |
| ViPNet Coordinator | Совместное использование криптографических ключей для аутентификации |
Варианты поставки и исполнения
| Исполнение | Основные возможности |
|---|
| Стандартное | Базовая функциональность: локальная аутентификация, контроль целостности, журнал событий |
| Исполнение 2 | Расширенная функциональность: удаленное управление через ViPNet EndPoint Protection, удаленное обновление, доверенная загрузка по сети (PXE), поддержка ARM-платформ |
Лицензирование
Лицензирование осуществляется на основе выбора необходимого исполнения и количества защищаемых устройств.
Для получения актуальной информации о ценах, вариантах лицензирования и условиях поставки обратитесь к менеджерам ООО «Айрон Нео».