Защита от несанкционированного доступа к ПК: новый уровень безопасности с аппаратно-программным модулем

Информация сейчас является ценным активом, поэтому обеспечение безопасности персональных компьютеров от несанкционированного доступа (НСД) становится первостепенной задачей. Развитие технологий открывает новые возможности для защиты данных, и одним из перспективных направлений является разработка специализированных аппаратно-программных решений. Одной из таких инноваций выступает модуль защиты от НСД к ПК от "АСК Лаборатория", призванный вывести безопасность компьютерных систем на качественно новый уровень.

Идея: доверенная загрузка как основа безопасности

Основная идея, лежащая в основе данного модуля защиты от НСД к ПК, заключается в создании механизма, который гарантирует, что процесс начальной загрузки программного обеспечения на компьютере будет возможен только с определенного, авторизованного информационного носителя. Это означает, что любая попытка запустить систему с другого устройства, будь то внешний жесткий диск, USB-накопитель или другой носитель, будет заблокирована на самом раннем этапе — до того, как операционная система начнет загружаться. Такой подход кардинально отличается от традиционных методов защиты, основанных на паролях или шифровании, которые могут быть обойдены при наличии физического доступа к системе или после ее загрузки.

Процесс: аппаратные средства доверенной загрузки

Реализация идеи доверенной загрузки обеспечивается посредством так называемых средств доверенной загрузки. Среди них наиболее надежными и защищенными считаются аппаратные средства, или, как их принято называть, аппаратно-программные модули доверенной загрузки (АМДЗ). Модуль защиты от НСД к ПК, разработанный на основе данного принципа, представляет собой именно такое аппаратное решение.

Ключевым аспектом в аппаратной реализации является интеграция дополнительных компонентов, повышающих безопасность:

·      Таймер. Позволяет контролировать время выполнения определенных операций и обнаруживать аномальные задержки, которые могут свидетельствовать о попытке вмешательства.

·      Часы реального времени (RTC). Обеспечивают точное отслеживание времени, что важно для аудита безопасности и обнаружения несанкционированных действий, совершенных в определенные временные интервалы.

·      Генератор случайных чисел (ГСЧ). Используется для создания криптографически стойких ключей и других случайных данных, необходимых для надежной защиты.

Эти компоненты, работая в связке с основным процессорным блоком модуля, создают надежный барьер для несанкционированного доступа еще до начала загрузки операционной системы.

Реализация: FPGA и энергонезависимая память

Сердцем разрабатываемого модуля защиты от НСД к ПК выступает интегральная схема FPGA (Field-Programmable Gate Array) от компании Altera (ныне Intel). FPGA обладают уникальной гибкостью, позволяя реализовать на их базе любые логические схемы и алгоритмы. Это делает их идеальным выбором для выполнения сложных вычислительных задач и обработки интерфейсных сигналов, необходимых для обеспечения доверенной загрузки. FPGA может быть запрограммирована для выполнения проверки подлинности загрузочного носителя, шифрования/дешифрования данных и управления доступом к системе.

В дополнение к FPGA, в состав модуля входит энергонезависимая память типа NAND

Эта память используется для хранения критически важных данных, таких как начальные загрузочные инструкции, ключи шифрования и конфигурационные параметры, которые должны сохраняться даже при отключении питания. Сочетание гибкости FPGA и надежности энергонезависимой памяти позволяет создать мощное и адаптируемое решение.

Результат: универсальные решения для разных форм-факторов

В результате проделанной работы была успешно разработана целая линейка аппаратно-программных устройств модуль защиты от НСД к ПК. Эти устройства предназначены для обеспечения доверенной загрузки различных типов персональных компьютеров, включая настольные системы, моноблоки, ноутбуки и ультрабуки. Более того, была обеспечена возможность применения данных модулей в различных форм-факторах, в частности, в виде карт, устанавливаемых в слот PCI-Express. Это позволяет интегрировать решение в существующие аппаратные платформы без необходимости кардинальных изменений в конструкции компьютера, сохраняя при этом высокий уровень защиты.

Разработанный модуль защиты от НСД к ПК открывает новые перспективы в построении защищенных компьютерных систем. Он является важным шагом на пути к обеспечению комплексной безопасности информации, минимизируя риски, связанные с несанкционированным доступом, и гарантируя, что только авторизованные пользователи и программы смогут инициировать работу с персональным компьютером.