Similar presentations:
ПАК «ПИ ШИПКА» - персональное идентификационное устройство при аутентификации
1.
ОКБ САПРСеминар 13, 2023
2. ПАК «ПИ ШИПКА»
• Обеспечиваетвозможность
аппаратной
идентификации
пользователя
в АС обработки данных путем реализации
функции предоставления уникального номера
USB-устройства «ПИ ШИПКА» по запросу
• Используется в качестве персонального
идентификационного
устройства
при
аутентификации
как
в
различных
программных продуктах, так и программноаппаратных
изделиях
и
комплексах
(в т.ч. «Аккорд-АМДЗ», ПАК «Аккорд-Win64» и т.д.)
3. Состав ПАК «ПИ ШИПКА»
Комплекссредств:
программных
и
аппаратных
4. USB-устройство «ПИ ШИПКА»
ШИПКА-2.0(CCID)ШИПКА-лайт
ШИПКА-лайт Slim
5. KeyMaker и USB-ДСЧ
Ответственный разработчик:Батраков Антон Юрьевич,
начальник отдела разработки ТС СЗИ
5
6. KeyMaker
• аналог МНЛ: вместо лицензии на ПОгенерирует и выдает – криптографические
ключи
• делаем по заказу конкретного заказчика
• решает проблемы:
транспортировки, которая для криптоключей
критична (отдельное устройство, а не АРМ)
самодеятельности
(за
счет
использования
счетчика)
6
7. USB-ДСЧ
• датчик случайных числе в формате USBустройства• аппаратная платформа – ШИПКА-лайт Slim;
• функций
ШИПКи
интерфейс к ДСЧ
нет,
есть
только
• есть ДСЧ (в ШИПКА-лайт Slim в общем
случае его нет)
7
8. СВМиКД
Ответственный разработчик:Батраков Антон Юрьевич,
начальник отдела разработки ТС СЗИ
8
9. Средства интеграции с системой видеомониторинга
910. Средства интеграции с системой видеомониторинга
Предназначены дляобъединения СЗИ НСД и
СКУД
в
интегрированную
систему
видеомониторинга и контроля доступа (СВМиКД)
к АРМ
Включают:
сервер интеграции СЗИ НСД и СВМиКД
универсальный хаб «Рассвет»
комплекс интеграции СЗИ НСД с СВМиКД «РассветСВМиКД»
Позволяет интегрировать системы на нескольких
уровнях (зависит от задач):
объединение идентификаторов СКУД и СЗИ НСД
объединение объектов доступа СКУД и СЗИ НСД
объединение оборудования КД к АРМ
СКУД
10
видеомониторинга и СЗИ НСД в одну подсистему
11. Сервер интеграции СЗИ НСД и СВМиКД
• являетсяуправляющим
компонентом,
обеспечивающим взаимодействие серверов
СЗИ НСД и серверов СКУД (в части интеграции
на уровне объединения объектов доступа и логического
взаимоувязывания помещений и компьютеров)
• позволяет создать новые правила доступа
к ПЭВМ и помещениям (в целях повышения
безопасности объекта информатизации)
11
12. Базовый вариант сервера интеграции СЗИ НСД и СВМиКД
• функционирует в автоматическом режиме, безподдержки ролевой структуры управляющего
персонала (ПО может быть изменено в части
реализации таких ролей)
• сервер в стойку 2U, с 64-битной ОС Windows
Server 2008 R2/2012 c ПАК СЗИ от НСД АккордWin64 TSE (возможна поставка только ПО)
ПО содержит:
серверные
и
клиентские
компоненты,
реализующие транспортные функции
серверные
компоненты,
реализующие
функции интеграции серверов СЗИ НСД
и серверов СКУД
12
13. Универсальный хаб «Рассвет»
Предназначен для:объединения подсистемы ИБ и других подсистем
ИС организации в интегрированную ИС
выделения
информационных
потоков
взаимодействия
компонентов
интегрируемых
подсистем в отдельную сеть, независимую
от основной сети взаимодействия СВТ объекта
информатизации
• периферийное
устройство,
подключаемое
к USB-хосту контроллера или USB-хосту СВТ —
ПКО СЗИ НСД (АРМ с ОС Windows с «АккордWin32/64»)
13
14. Универсальный хаб «Рассвет»
Обеспечивает:• интеграцию
на
уровне
персональных
идентификаторов
• выделение инф.потоков взаимодействия
компонентов подсистем в отдельную сеть,
независимую
от
основной
сети
взаимодействия
СВТ
объекта
информатизации,
с
возможностью
их интеграции
• доп. аутентификацию пользователя по
биометрическим данным (сосудистое русло
ладони)
14
15. Комплекс интеграции СЗИ НСД с системой видеомониторинга и контроля доступа «Рассвет-СВМиКД»
Комплекс интеграции СЗИ НСДс системой видеомониторинга
и контроля доступа «Рассвет-СВМиКД»
Предназначен для:
выделения
информационных
потоков
взаимодействия
компонентов
СКУД,
видеомониторинга и СЗИ НСД в отдельную сеть,
независимую от основной сети взаимодействия
СВТ объекта информатизации
объединения подсистемы ИБ и СКУД в СВМиКД
к АРМ организации
• устанавливается на ПКО СЗИ НСД (АРМ с
ОС Windows с «Аккорд-Win32/64»)
15
16. «Рассвет-СВМиКД»
Состоит из:• универсальный хаб «Рассвет»
• устройство
сеть
трансляции
видеосигнала
через
• сетевая видеокамера
• комплект идентификаторов и считывателей
16
17. «Рассвет-СВМиКД»
Обеспечивает:• интеграцию на уровне перс. идентификаторов
• передачу
видеоданных
с
мониторов
АРМ
и с видеокамер на управляющие сервера СКУД без
использования основной сети функциональной
системы
• выделение
информационных
потоков
взаимодействия
компонентов
СКУД,
видеомониторинга и СЗИ НСД в отдельную сеть,
независимую от основной сети взаимодействия СВТ
объекта
информатизации,
с
возможностью
объединения ПИБ и СКУД в интегрированную
СВМиКД к АРМ организации
• дополнительную аутентификацию пользователя
по биоданным (сосудистое русло ладони)
17
18. Платформа, устройство, продукт
Вложенные понятия (часто с ними путаница):• «устройство»
–
это
«платформа+»
(+ прошивка и аппаратные нюансы –
наличие/отсутствие ДСЧ, добавление часов и
т.п.)
• «продукт»
–
(«платформа++»)
это
«устройство+»
18
19. Платформа, устройство, продукт (PCI-платы)
* - функционально, не версионно и не транспортно19
20. Платформа, устройство, продукт (USB-устройства)
2021. Платформа, устройство, продукт (Микрокомпьютеры)
2122. Уязвимости USB-накопителей
• важные и вероятные каналы утечкиперепрограммированные USB-накопители
–
• класс атак BadUSB: основан на модификации
firmware
USB-устройств
для
выполнения
несанкционированных действий процессором
USB-устройств
• существуют варианты реализаций штатных
протоколов взаимодействия USB-устройств с
нештатными расширениями (могут быть использованы
и как скрытые каналы управления, и как нелегальные
хранилища для конфиденциальной информации [ст. Кравца
В.])
22
23. USB-накопитель «Транзит»
• уязвимостьблокируется
носителей, firmware которых
перезаписи – СН «Секрет»
• СН
«Секрет»
имеет
функциональность,
которая
избыточна для системы
применением
защищено от
собственную
может
быть
Транзит:
не
имеет
никакой
дополнительной
функциональности, это именно флешка, но флешка,
которую нельзя перепрограммировать (точно
не сможет быть использована как-то кроме как по прямому
назначению)
от перезаписи защищено только внутреннее ПО
USB-накопителя, во всем остальном же архитектура
устройства не нуждается в изменении – и не
изменяется
23
24.
ОКБ САПРСеминар 13, 2023