PAK Sobol 3.0 est un complexe logiciel et matériel, qui est un verrou électronique qui protège l'ordinateur contre les accès non autorisés et le démarrage de confiance. L'utilisation de la serrure électronique Sobol est possible pour assurer la protection d'un ordinateur, d'un poste de travail ou d'un serveur qui est connecté à réseau local. La version 3.0 est compatible avec le haut débit Mode USB 2.0/3.0.

PAK "Sobol" 3.0 est conforme à toutes les exigences et normes de la législation fédérale, ce qui est confirmé par le certificat n ° 1967 et le passage du contrôle d'inspection au FSTEC de la Fédération de Russie pour le respect des directives du deuxième niveau de contrôle.

Sobol 3.0, en tant que serrure électronique, est conçu pour protéger les ordinateurs personnels (y compris les ultrabooks, les ordinateurs portables, les ordinateurs de bureau), les serveurs et les appareils spécialisés, tels que les routeurs, les passerelles cryptographiques et autres. La version améliorée du Sobol PAK est compatible avec les systèmes d'exploitation Windows 8 et Windows Server 2012, ainsi qu'avec le système de fichiers EXT4 dans systèmes d'exploitation Lignes Linux.

Grâce au passage du contrôle d'inspection dans le FSTEC de la Fédération de Russie, ce produit peut être utilisé dans systèmes automatisés inclus jusqu'à la classe 1B et systèmes d'information données personnelles avec un haut niveau de sécurité. À présent PAK Sobol 3.0 réussit les tests de contrôle du Service fédéral de sécurité de Russie pour certifier les certificats de conformité existants.

Fonctions de la serrure électronique PAK "Sobol":

• gestion des paramètres de l'ordinateur (ACPI, périphériques PCI, SMBIOS) ;
• bloquer le chargement du système d'exploitation à partir d'un support externe ;
• contrôle de l'intégrité du registre Systèmes Windows;
• enregistrement des tentatives d'accès à un ordinateur personnel ;
• Authentification d'utilisateur;
• contrôle de l'intégrité du système ;
• minuterie de surveillance.

Avantages de la serrure électronique PAK Sobol :

• prise en charge des systèmes d'exploitation Windows 8 et Windows Server 2012 avec un système 64 bits;
• compatible avec le mode haute vitesse USB 2.0/3.0 pour une meilleure authentification de l'utilisateur ;
• interaction avec les identifiants Rutoken S / RF S, eToken PRO, eToken PRO (Java), iKey 2032, iButton ;
• support technique dans la création de solutions cryptographiques simples ;
• la protection des données qui sont un secret d'État ;
• choix flexible d'options de configuration et de formats de carte (PCI-E, Mini PCI-E, PCI) ;
• facilité de déploiement, d'optimisation et d'exploitation ;
• Certification FSTEC et FSB de Russie.

PAK Sobol 3 est une serrure électronique. C'est une carte qui est insérée dans un serveur ou un poste de travail. La sécurité est primordiale. Ce produit est installé non pas à la demande de l'administrateur, mais s'il existe de telles exigences. Producteur : Security Code LLC.

Mettons le serveur HPE Proliant DL360 Gen10.

Liens

Pourquoi avez-vous besoin

• Protection des informations contre tout accès non autorisé.
• Contrôle d'intégrité des composants du SI.
• Interdiction de démarrer le système d'exploitation à partir d'un support externe.
• protection information confidentielle et secrets d'État conformément aux exigences des documents réglementaires.
• Augmentation de la classe de protection du CIPF.

Avantages

Ici, j'ai copié du dépliant, en ajoutant mes commentaires.

• Contrôle d'intégrité registre système Windows, la configuration matérielle de l'ordinateur et les fichiers avant le chargement du système d'exploitation.
• Authentification à deux facteurs renforcée (qu'est-ce qui est renforcé? - huile huile) à l'aide d'identifiants électroniques personnels modernes (si l'on considère la clé d'interphone comme un identifiant électronique moderne).
• Facilité d'installation, de configuration et d'administration.
• Possibilité d'initialisation du logiciel sans ouverture bloc système.
• Générateur de nombres aléatoires matériel répondant aux exigences du FSB.

Capacités

• Surveillance de l'intégrité de l'environnement logiciel. Contrôle de la persistance des fichiers et physiques dur disque, ainsi que les systèmes de fichiers : NTFS, FAT16, FAT32, UFS, UFS2, EXT2, EXT3, EXT4 dans les systèmes d'exploitation Linux et Windows. Systèmes d'exploitation pris en charge :
  • les fenêtres
    • Windows 7/8/8.1/10
    • Windows Serveur 2008/2008 R2/2012/2012 R2
  • linux
    • WSWS 5.0 x64
    • Alt Linux 7.0 Centaure x86/x64
    • Astra Linux Édition Spéciale "Smolensk" 1.4 x64
    • CentOS 6.5 x86/x64
    • ContinentOS 4.2 x64
    • Debian 7.6x86/x64
    • Mandriva ROSA "Nickel" x86/x64
    • Red Hat Enterprise Linux 7.0 x64
    • Bureau/serveur Ubuntu 14.04 LTS x86/x64
    • VMware vSphere ESXi 5.5 x64
  • La prise en charge d'autres systèmes d'exploitation est effectuée sur demande auprès du service d'assistance technique "Security Code".
• Identification et authentification.
  • Utilisation des identifiants électroniques personnels :
    • iBouton
    • eToken PRO
    • eToken PRO (Java)
    • Rutoken
    • Rutoken RF
    • Cartes à puce eToken PRO
  • Démarrage du système d'exploitation à partir de disque dur ne s'effectue qu'après présentation de l'EI enregistré.
• Journalisation. Action journal du système, dont les enregistrements sont stockés dans une mémoire non volatile spéciale. Les événements suivants sont enregistrés dans le journal :
  • Fait de connexion de l'utilisateur et nom d'utilisateur.
  • Présentation d'un identifiant non enregistré.
  • Saisie du mauvais mot de passe.
  • Nombre de tentatives de connexion dépassé.
  • Date et heure d'enregistrement des événements UA.
• Contrôle d'intégrité Registre Windows. Le contrôle de l'invariabilité du registre système Windows augmente la protection des postes de travail contre les actions non autorisées au sein du système d'exploitation.
• Générateur de nombres aléatoires matériel. Augmentation de la classe de protection du CIPF et fourniture de nombres aléatoires au logiciel d'application.
• Contrôle de configuration. Contrôle de l'immuabilité de la configuration informatique : périphériques PCI, ACPI, SMBIOS et RAM.
• Désactivez le démarrage à partir d'un support externe. S'assurer que le système d'exploitation est démarré à partir de média amovible(Ports USB, FDD, DVD/CD-ROM, LPT, SCSI, etc.).
• minuterie de surveillance. Blocage de l'accès à l'ordinateur à l'aide du mécanisme de minuterie de surveillance si le contrôle n'est pas transféré à Sobol lors de sa mise sous tension.
• Initialisation du logiciel. Possibilité d'initialiser PAK "Sobol" par programmation, sans ouvrir l'unité centrale ni retirer le cavalier de la carte.

Principe d'opération

La programmation

• PCI Express 57x80
• Mini-PCI Express
• Mini PCI Express demi-taille
• M.2A-E

Réflexions d'administration

Si un attaquant obtient un accès complet à la console distante du serveur, ce verrou électronique n'aidera pas. Il suffit de passer en mode de démarrage UEFI et Sable ne laboure pas - le double facteur se transforme en citrouille. Il parait que Sable 4ème version a la possibilité de fonctionner en UEFI, je n'ai pas regardé ce qu'il y avait là.

J'ai fait attention à la phrase "Administration facile". Juste? Oui, ce n'est pas difficile. À l'aise? Nifiga n'est pas pratique. Le serveur a redémarré - allez au centre de données. Il n'existe aucun moyen normal d'authentification à deux facteurs à distance.

Le contrôle de l'intégrité du registre est une chose douteuse. Oui, ça contrôle. Winda a été mis à jour - un voyage au centre de données. Windu n'est généralement pas sûr de partir sans mises à jour, et Sable interfère avec ces mises à jour.

Équipement

Apparence

Un côté. Il y a des cavaliers sur le tableau, nous en aurons besoin plus tard. Les cavaliers dans le plan de la carte n'affectent pas le fonctionnement, seuls ceux qui sont perpendiculaires au plan de la carte le font. Un cavalier J0 est installé - apparemment, Sobol se tenait déjà quelque part. En théorie, il devrait déterminer que le matériel a changé et l'empêcher de fonctionner, nous vérifierons cela lors de l'installation.

Autre côté.

Vue du connecteur.

Installation

Nous installons dans le serveur.

Vue arrière.

Nous connectons un lecteur externe pour iButton.

Nous allumons le serveur. Nous entrons dans le BIOS et basculons le mode de démarrage sur Legacy.

Enregistrer - redémarrez le serveur.

Pour que Sable fonctionne, le système doit tenter de démarrer. Je n'ai plus rien sur le disque maintenant, alors je monte Image ISO avec le programme d'installation du système d'exploitation.

Et n'autorisera pas les téléchargements.

Parce qu'il était sur un autre serveur. Travaux de protection. Nous éteignons tout. Nous comprenons tout. Nous arrivons aux cavaliers sur Sobol.

Retirer le cavalier J0. Nous collectons tout.

Sable prend le contrôle.

Sable sans cavalier J0 passe en mode initialisation. Sélectionnez "Initialiser la carte".

La fenêtre " Paramètres communs système". Vous pouvez définir les paramètres nécessaires. Appuyez sur Esc.

La fenêtre Vérification de l'intégrité s'ouvre. Vous pouvez définir les paramètres requis. Appuyez sur Échap.

Nous attendons. Sobol adore tester le générateur de nombres aléatoires.

L'enregistrement initial de l'administrateur est effectué. Oui.

Nous spécifions le mot de passe. Entrer.

Nous répétons le mot de passe. Entrer.

On nous demande de coller la clé. On colle le premier qui était dans le kit.

Avertissement que la clé sera formatée. Oui.

Êtes-vous sûr? Ça me rappelle Windu. Oui.

Sauvegarder l'identifiant d'administrateur ? Bien sûr, nous avons deux clés. Nous sortons la première clé. Choisissez Oui.

Nous collons la deuxième clé.

Ils nous disent de retourner le pull. D'ACCORD. Le serveur est en train de s'arrêter.

Nous arrivons à la planche de sable et remettons le cavalier sur J0.

Nous allumons le serveur.

Nous sommes chargés dans Legacy. Sable prend le contrôle.

On nous demande de coller la clé. On colle.

Nous entrons le mot de passe.

Nous appuyons sur n'importe quelle touche.

Serrure électronique "Sobol"(PAK "Sobol") est un outil matériel et logiciel certifié pour protéger un ordinateur contre tout accès non autorisé. Il peut être utilisé en tant qu'appareil assurant la protection d'un ordinateur autonome, ainsi que d'un poste de travail ou d'un serveur faisant partie d'un réseau local. réseau informatique. Certificats FSB et FSTEC offre la possibilité d'utiliser le Sobol PAK pour protéger des informations contenant des informations constituant un secret d'état dans systèmes automatisés niveau de sécurité jusqu'à 1B compris.

2018 : Obtention d'un certificat de conformité du FSTEC de Russie

10 décembre 2018 la société " Code de sécurité» annonce la réception d'un certificat de conformité FSTEC Russie sur PAK "Sobol" version 4. Le certificat n° 4043 du 05.12.2018 confirme la conformité de la serrure électronique "Sobol" 4 aux exigences FSTEC de Russie au niveau d'amorçage sécurisé de la carte d'extension de la deuxième classe de protection.

Le certificat reçu, valable jusqu'au 12/05/2023, permet d'utiliser le progiciel Sobol version 4 pour la protection des informations confidentielles et des secrets d'état avec le cachet "top secret", pour l'utilisation du produit dans des systèmes automatisés jusqu'à jusqu'à la classe de sécurité 1B inclus, en ISPD jusqu'à UZ1 inclus et en SIG jusqu'à la 1ère classe de sécurité incluse.

La sortie du PAK "Sobol" version 4 "Security Code" a été annoncée en janvier 2018. La quatrième génération de PAK "Sobol" était la prochaine étape dans le développement du produit: considérablement changé Fonctionnalité serrure électronique, tout en maintenant la continuité interface, auxquels les utilisateurs de la version précédente sont habitués. Les principales différences de cette génération de modules de démarrage de confiance sont la prise en charge de la technologie UEFI, la compatibilité avec USB 3.0, ainsi que des fonctionnalités étendues.

Le fonctionnement du PAK "Sobol" dans l'environnement UEFI permet d'utiliser pour stockage et le traitement des informations confidentielles Les données et les secrets d'état modernes des ordinateurs. La prise en charge du partitionnement GPT vous permet de travailler avec disques durs plus de 2 téraoctets.

La version mise à jour du produit prend en charge la compatibilité USB 3.0 et la transition de l'architecture 16 bits à 64 bits. L'intégration avec les derniers types d'identifiants, par rapport à la version précédente du Sobol PAK, cela nécessite des coûts nettement inférieurs.

PAK "Sobol" 4 a élargi la liste des identifiants pris en charge :

• Clés USB : Ja Carta-2 GOST, JaCarta-2 ICP/ GOST, JaCarta SF / GOST, EDS de Rutoken et Rutoken Léger;
• Carte à puce: JaCarta-2 GOST, JaCarta-2 PKI/GOST.

Pour simplifier l'utilisation du Sobol HSC dans les grandes infrastructures, le nombre d'utilisateurs pris en charge est passé de 32 à 100, de plus, les capacités du journal de sécurité ont été étendues : le nombre d'entrées est passé de 80 à 2000. Pour plus de commodité, la console de verrouillage électronique habituelle a été remplacée interface graphique, cependant, la logique de commande a été conservée. Il est également devenu possible de travailler avec l'ordinateur Souris.

La serrure électronique "Sobol" version 4 est déjà en vente dans trois formats d'exécution : sur les cartes PCI Express, Mini PCI Express Half et M.2.

2016

PAK Sobol 3.0 avec une nouvelle carte PCI Express

La société Security Code a annoncé en septembre 2016 le début des ventes du Sobol PAK 3.0 (version 3.0.9) avec nouveau conseil PCI Express. Le produit a passé le contrôle d'inspection conformément aux exigences FSTEC de Russie en confirmation du certificat n ° 1967 délivré précédemment.

Parmi les caractéristiques de la version mise à jour de la serrure électronique Sobol figurent le mécanisme de minuterie de surveillance, une mise à niveau complète de la base de l'élément et un certain nombre d'autres améliorations. Les innovations élargissent la fonctionnalité du produit et sa portée, a noté la société. Parmi les différences de Versions précédentes- des performances plus élevées avec une consommation d'énergie moindre. Parallèlement, un large choix de formats de cartes permet d'utiliser la serrure électronique Sobol pour protéger les monoblocs, les ordinateurs portables et les ultrabooks.

PAK Sobol 3.0 (version 3.0.9) est disponible sur les cartes PCI, Mini PCI Express, Mini PCI Express Half Size et sur une nouvelle carte PCI Express avec duplication circuits électriques. L'alimentation est fournie à la nouvelle carte à partir du slot PCI Express et du connecteur SATA.

La version mise à jour du produit peut fonctionner sur presque tous les systèmes d'exploitation de la famille les fenêtres et linux, même dans les anciennes versions (sur demande dans soutien technique"Code de sécurité"). Parmi les nouvelles distributions de système d'exploitation Linux compatibles figurent MSVS 5.0, Alt Linux 7.0, Centaur x32/64, Astra Linux Special Edition Smolensk 1.4 x64, Mandriva Rosa Nickel x86/x64.

Selon les développeurs, le produit a passé le contrôle d'inspection : le certificat FSTEC de Russie confirme la conformité de la version mise à jour de Sobol avec les exigences du régulateur en matière de téléchargements de confiance. Une serrure électronique peut être utilisée pour assurer la sécurité ISPD jusqu'au 1er niveau de sécurité inclus et GIS jusqu'à la 1ère classe de sécurité inclus.

Sobol 3.0 avec carte PCI Express

Sobol PAK version 3.0 (release 3.0.9) est disponible en plusieurs formats d'exécution : sur cartes PCI, Mini PCI Express, Mini PCI Express Half et sur carte PCI Express. Le mécanisme de minuterie de chien de garde a été amélioré dans le produit.

La carte PCI Express utilisée implémente la duplication des circuits électriques : l'alimentation est fournie à la fois par le slot PCI Express et par le connecteur SATA. Cette modification améliore la fiabilité du temporisateur chien de garde.

La version publiée de la serrure électronique Sobol prend en charge le fichier Systèmes NTFS, FAT32, FAT16, FAT12, UFS2, UFS, EXT4, EXT3, EXT2. Le produit peut fonctionner dans presque tous les systèmes d'exploitation de la famille les fenêtres et linux, y compris - dans les versions obsolètes (nécessaire Logiciel disponible sur demande auprès du support technique "Code de sécurité"). La version 3.0.9 a ajouté la prise en charge des versions du système d'exploitation :

• "Alt-Linux" 7.0 Centaure x32/64 ;

Selon la société, la version modernisée du Sobol PAK a été transférée pour contrôle d'inspection en FSTEC de Russie pour confirmer la conformité avec le certificat n ° 1967 délivré précédemment.

La serrure électronique Sobol a été testée sur la plateforme matérielle Inspur

Modifié Version du BIOS inclus dans la version de mise à jour HP Service Pack for ProLiant (HP SPP 2015.10.0) pour tous les principaux modèles de serveur HP Gen9 ProLiant. L'intégration fournit un support garanti pour le fonctionnement du progiciel Sobol comme moyen de protection contre les accès non autorisés sur les serveurs HP ProLiant et permet l'utilisation de HSS certifié "Sobol" pour protéger les serveurs contre les accès non autorisés et les téléchargements de confiance conformément aux exigences de sécurité de l'information.

"Les développeurs de notre société, en collaboration avec des spécialistes, ont effectué des travaux pour assurer la compatibilité des serveurs HP ProLiant 9ème génération avec les complexes Sobol. À la suite des améliorations, une version spéciale du BIOS pour les serveurs HP a été créée, qui, après des tests approfondis, est devenue officielle pour toute la gamme de serveurs HP ProLiant de 9e génération. Ainsi, les serveurs et les postes de travail peuvent désormais être protégés de manière fiable contre les accès non autorisés par un module de démarrage de confiance certifié - le complexe Sobol », a déclaré Andreï Burym, chef de produit de l'entreprise Code de sécurité ».

« version modifiée Le BIOS est inclus dans la version du prochain Service Pack pour ProLiant (HP SPP 2015.10.0). Tous les principaux modèles de serveur ont reçu la mise à jour HP ProLiant neuvième génération dans les gammes DL, ML, BL, XL. L'intégration au niveau du BIOS garantit une compatibilité totale des produits et permet à nos utilisateurs d'utiliser librement le Sobol APMDZ pour protéger le serveur contre les accès non autorisés conformément aux exigences FSTEC et FSB de Russie", - c'est noté Alexeï Kazmin, Chef de Produit, Département Serveur, HP en Russie.

2014 : Sable 3.0.7 en vente

Le produit a passé le contrôle d'inspection en FSTEC de Russie pour la conformité aux directives du 2e niveau de contrôle de l'absence de NDV et peut être utilisé dans l'AU jusqu'à la classe 1B incluse et l'ISPD lui-même haut niveau Sécurité. La version mise à jour du Sobol PAK a également été transférée au FSB de Russie, où des tests thématiques de contrôle sont en cours afin de confirmer les certificats de conformité existants.

Sable 3.0.7

Attestation de conformité

Une version mise à jour du PAK "Sobol" transférée à FSTEC Russie pour avoir passé le contrôle d'inspection et en FSB de Russie pour effectuer des tests thématiques de contrôle afin de confirmer les certificats de conformité existants.

Zibeline est un moyen de protéger les informations contre tout accès non autorisé à Ordinateur personnel. Sobol agit comme un module de démarrage sécurisé matériel-logiciel. PAK Sobol créé pour protection des informations confidentielles, des informations contenant des informations constituant secret d'état avec une certaine discrétion Top secret" incluant ou se rapportant à données personnelles.

Le certificat FSTEC n° 1967 confirme que PAK Sobol est conforme aux exigences des directives FSTEC de Russie pour le 2e niveau de contrôle de l'absence de NDV et peut être utilisé dans des systèmes automatisés de niveau de sécurité jusqu'à 1B inclus.

Le certificat FSB n° SF/027-1450 confirme que PAK Sobol est conforme aux exigences du module de démarrage sécurisé matériel-logiciel (APMDZ) selon la classe 1B.

Possibilités de PAK Sobol

PAK Sobol effectue Fonctionnalités suivantes Sécurité:

• Bloque les tentatives de démarrage du système d'exploitation à partir d'un support amovible. Après un démarrage réussi d'une copie normale du système d'exploitation, l'accès à ces périphériques est restauré. L'interdiction de téléchargement s'applique à tous les utilisateurs de l'ordinateur, à l'exception de l'administrateur.
• Identifie et authentifie les utilisateurs.
• Effectue un contrôle d'intégrité des fichiers et des secteurs du disque dur (avant le chargement du système d'exploitation). utilisé dans le complexe Zibeline le mécanisme de contrôle d'intégrité permet de contrôler l'immuabilité des fichiers et des secteurs physiques du disque dur avant de charger le système d'exploitation.
• Agit comme une minuterie de surveillance. Le mécanisme de minuterie de surveillance permet de bloquer l'accès à l'ordinateur, à condition qu'après la mise sous tension de l'ordinateur et après un intervalle de temps spécifié, le contrôle ne soit pas transféré à l'extension BIOS du complexe " Zibeline"
• Consigne les événements de sécurité du système dans sa propre mémoire non volatile.

PAK Sobol prend en charge les systèmes d'exploitation suivants :

• SE Familles de fenêtres(supporte à la fois 32 et 64 bits)
• Système d'exploitation WSWS 3.0
• Trustverse Linux XP Desktop 2008 Édition sécurisée
• FreeBSD version 5.3, 6.2, 6.3 ou 7.2, 8.0, 8.1, 8.2
• VMware ESX 3.5 - 4.0

PAK Sobol les soutiens systèmes de fichiers: NTFS, FAT 32, FAT 16, UFS, EXT3, EXT2.

Avantages PAK Sobol

• PAK Sobol répond aux exigences du FSTEC pour la protection des données personnelles
• PAK Sobol a reçu le certificat FSB pour APMDS jusqu'à la classe 1B
• PAK Sobol fonctionne avec succès dans les systèmes d'exploitation Windows modernes (32 et 64 bits)
• Soutien divers types identifiants (Rutoken, eToken, "tablette" DS iButton)
• Possibilité d'initialisation logicielle du complexe

Options d'administration

Pour les paramètres PAK Sobol l'administrateur a la possibilité de :

• Déterminer la longueur minimale du mot de passe d'un utilisateur ;
• Définissez une limite sur le nombre d'échecs de connexion des utilisateurs ;
• Ajouter et supprimer des noms d'utilisateur ;
• Bloquer le travail de l'utilisateur sur l'ordinateur ;
• Créer sauvegardes ID personnel de l'administrateur.
• Initialiser par programmation le complexe.

Spécifications matérielles

PAK Sobol est disponible sous forme de carte prenant en charge les bus PCI 3 et 5 volts ou les bus PCI Express version 1.0a et supérieure. Zibeline disponible en deux versions matérielles :

Prévu pour le matériel 1 an de garantieà compter de la date d'achat.

PAK Sobol utilisé dans la Banque centrale de la Fédération de Russie, GAS Elections, le ministère de l'Intérieur de la Russie, Trésorerie fédérale Russie, fonds de pension Russie.