ПАК «ПИ ШИПКА»
Состав ПАК «ПИ ШИПКА»
USB-устройство «ПИ ШИПКА»
KeyMaker и USB-ДСЧ
KeyMaker
USB-ДСЧ
СВМиКД
Средства интеграции с системой видеомониторинга
Средства интеграции с системой видеомониторинга
Сервер интеграции СЗИ НСД и СВМиКД
Базовый вариант сервера интеграции СЗИ НСД и СВМиКД
Универсальный хаб «Рассвет»
Универсальный хаб «Рассвет»
Комплекс интеграции СЗИ НСД с системой видеомониторинга и контроля доступа «Рассвет-СВМиКД»
«Рассвет-СВМиКД»
«Рассвет-СВМиКД»
Платформа, устройство, продукт
Платформа, устройство, продукт (PCI-платы)
Платформа, устройство, продукт (USB-устройства)
Платформа, устройство, продукт (Микрокомпьютеры)
Уязвимости USB-накопителей
USB-накопитель «Транзит»

ПАК «ПИ ШИПКА» - персональное идентификационное устройство при аутентификации

1.

ОКБ САПР
Семинар 13, 2023

2. ПАК «ПИ ШИПКА»

• Обеспечивает
возможность
аппаратной
идентификации
пользователя
в АС обработки данных путем реализации
функции предоставления уникального номера
USB-устройства «ПИ ШИПКА» по запросу
• Используется в качестве персонального
идентификационного
устройства
при
аутентификации
как
в
различных
программных продуктах, так и программноаппаратных
изделиях
и
комплексах
(в т.ч. «Аккорд-АМДЗ», ПАК «Аккорд-Win64» и т.д.)

3. Состав ПАК «ПИ ШИПКА»

Комплекс
средств:
программных
и
аппаратных

4. USB-устройство «ПИ ШИПКА»

ШИПКА-2.0(CCID)
ШИПКА-лайт
ШИПКА-лайт Slim

5. KeyMaker и USB-ДСЧ

Ответственный разработчик:
Батраков Антон Юрьевич,
начальник отдела разработки ТС СЗИ
5

6. KeyMaker

• аналог МНЛ: вместо лицензии на ПО
генерирует и выдает – криптографические
ключи
• делаем по заказу конкретного заказчика
• решает проблемы:
транспортировки, которая для криптоключей
критична (отдельное устройство, а не АРМ)
самодеятельности
(за
счет
использования
счетчика)
6

7. USB-ДСЧ

• датчик случайных числе в формате USBустройства
• аппаратная платформа – ШИПКА-лайт Slim;
• функций
ШИПКи
интерфейс к ДСЧ
нет,
есть
только
• есть ДСЧ (в ШИПКА-лайт Slim в общем
случае его нет)
7

8. СВМиКД

Ответственный разработчик:
Батраков Антон Юрьевич,
начальник отдела разработки ТС СЗИ
8

9. Средства интеграции с системой видеомониторинга

9

10. Средства интеграции с системой видеомониторинга

Предназначены для
объединения СЗИ НСД и
СКУД
в
интегрированную
систему
видеомониторинга и контроля доступа (СВМиКД)
к АРМ
Включают:
сервер интеграции СЗИ НСД и СВМиКД
универсальный хаб «Рассвет»
комплекс интеграции СЗИ НСД с СВМиКД «РассветСВМиКД»
Позволяет интегрировать системы на нескольких
уровнях (зависит от задач):
объединение идентификаторов СКУД и СЗИ НСД
объединение объектов доступа СКУД и СЗИ НСД
объединение оборудования КД к АРМ
СКУД
10
видеомониторинга и СЗИ НСД в одну подсистему

11. Сервер интеграции СЗИ НСД и СВМиКД

• является
управляющим
компонентом,
обеспечивающим взаимодействие серверов
СЗИ НСД и серверов СКУД (в части интеграции
на уровне объединения объектов доступа и логического
взаимоувязывания помещений и компьютеров)
• позволяет создать новые правила доступа
к ПЭВМ и помещениям (в целях повышения
безопасности объекта информатизации)
11

12. Базовый вариант сервера интеграции СЗИ НСД и СВМиКД

• функционирует в автоматическом режиме, без
поддержки ролевой структуры управляющего
персонала (ПО может быть изменено в части
реализации таких ролей)
• сервер в стойку 2U, с 64-битной ОС Windows
Server 2008 R2/2012 c ПАК СЗИ от НСД АккордWin64 TSE (возможна поставка только ПО)
ПО содержит:
серверные
и
клиентские
компоненты,
реализующие транспортные функции
серверные
компоненты,
реализующие
функции интеграции серверов СЗИ НСД
и серверов СКУД
12

13. Универсальный хаб «Рассвет»

Предназначен для:
объединения подсистемы ИБ и других подсистем
ИС организации в интегрированную ИС
выделения
информационных
потоков
взаимодействия
компонентов
интегрируемых
подсистем в отдельную сеть, независимую
от основной сети взаимодействия СВТ объекта
информатизации
• периферийное
устройство,
подключаемое
к USB-хосту контроллера или USB-хосту СВТ —
ПКО СЗИ НСД (АРМ с ОС Windows с «АккордWin32/64»)
13

14. Универсальный хаб «Рассвет»

Обеспечивает:
• интеграцию
на
уровне
персональных
идентификаторов
• выделение инф.потоков взаимодействия
компонентов подсистем в отдельную сеть,
независимую
от
основной
сети
взаимодействия
СВТ
объекта
информатизации,
с
возможностью
их интеграции
• доп. аутентификацию пользователя по
биометрическим данным (сосудистое русло
ладони)
14

15. Комплекс интеграции СЗИ НСД с системой видеомониторинга и контроля доступа «Рассвет-СВМиКД»

Комплекс интеграции СЗИ НСД
с системой видеомониторинга
и контроля доступа «Рассвет-СВМиКД»
Предназначен для:
выделения
информационных
потоков
взаимодействия
компонентов
СКУД,
видеомониторинга и СЗИ НСД в отдельную сеть,
независимую от основной сети взаимодействия
СВТ объекта информатизации
объединения подсистемы ИБ и СКУД в СВМиКД
к АРМ организации
• устанавливается на ПКО СЗИ НСД (АРМ с
ОС Windows с «Аккорд-Win32/64»)
15

16. «Рассвет-СВМиКД»

Состоит из:
• универсальный хаб «Рассвет»
• устройство
сеть
трансляции
видеосигнала
через
• сетевая видеокамера
• комплект идентификаторов и считывателей
16

17. «Рассвет-СВМиКД»

Обеспечивает:
• интеграцию на уровне перс. идентификаторов
• передачу
видеоданных
с
мониторов
АРМ
и с видеокамер на управляющие сервера СКУД без
использования основной сети функциональной
системы
• выделение
информационных
потоков
взаимодействия
компонентов
СКУД,
видеомониторинга и СЗИ НСД в отдельную сеть,
независимую от основной сети взаимодействия СВТ
объекта
информатизации,
с
возможностью
объединения ПИБ и СКУД в интегрированную
СВМиКД к АРМ организации
• дополнительную аутентификацию пользователя
по биоданным (сосудистое русло ладони)
17

18. Платформа, устройство, продукт

Вложенные понятия (часто с ними путаница):
• «устройство»

это
«платформа+»
(+ прошивка и аппаратные нюансы –
наличие/отсутствие ДСЧ, добавление часов и
т.п.)
• «продукт»

(«платформа++»)
это
«устройство+»
18

19. Платформа, устройство, продукт (PCI-платы)

* - функционально, не версионно и не транспортно
19

20. Платформа, устройство, продукт (USB-устройства)

20

21. Платформа, устройство, продукт (Микрокомпьютеры)

21

22. Уязвимости USB-накопителей

• важные и вероятные каналы утечки
перепрограммированные USB-накопители

• класс атак BadUSB: основан на модификации
firmware
USB-устройств
для
выполнения
несанкционированных действий процессором
USB-устройств
• существуют варианты реализаций штатных
протоколов взаимодействия USB-устройств с
нештатными расширениями (могут быть использованы
и как скрытые каналы управления, и как нелегальные
хранилища для конфиденциальной информации [ст. Кравца
В.])
22

23. USB-накопитель «Транзит»

• уязвимость
блокируется
носителей, firmware которых
перезаписи – СН «Секрет»
• СН
«Секрет»
имеет
функциональность,
которая
избыточна для системы
применением
защищено от
собственную
может
быть
Транзит:
не
имеет
никакой
дополнительной
функциональности, это именно флешка, но флешка,
которую нельзя перепрограммировать (точно
не сможет быть использована как-то кроме как по прямому
назначению)
от перезаписи защищено только внутреннее ПО
USB-накопителя, во всем остальном же архитектура
устройства не нуждается в изменении – и не
изменяется
23

24.

ОКБ САПР
Семинар 13, 2023
English     Русский Правила