Ао «цнии эису» – цнии эису на мвтф «армия-2021»: семейство апмдз “центурион”
Продолжаем знакомство с изделиями АО «ЦНИИ ЭИСУ», планируемыми к показу на Международном военно-техническом форуме АРМИЯ-2021, который пройдет в КВЦ «Патриот», полигоне Алабино и подмосковном аэродроме Кубинка 22-27 августа 2021 года
Семейство АПМДЗ «Центурион»
Аппаратно-программный модуль доверенной загрузки (АПМДЗ) это комплект программно-аппаратных средств, устанавливаемый в ПЭВМ и обеспечивающий доверенную загрузку операционной системы (ОС) на ПЭВМ, предназначенную для обработки информации, составляющей Государственную тайну. В ОС (ОС «Заря», ОС МСВС 3.0 или ОС Windows XP/7) обеспечивается совместная работа программных средств защиты информации (СЗИ) и АПМДЗ.
АПМДЗ обеспечивает:
- идентификацию и аутентификацию пользователей до начала загрузки ОС;
- предотвращение обхода АПМДЗ и загрузки ПЭВМ с любых внешних носителей, кроме штатного носителя;
- регистрацию попыток несанкционированного доступа в журнале событий;
- контроль целостности конфигурации ПЭВМ, ядра и загрузочных модулей ОС, программного обеспечения и данных с поддержкой файловых систем FAT, NTFS, EXT2, EXT3, а также реестра Windows;
- передачу информации о пользователе, прошедшем аутентификацию, в СЗИ поддерживаемой ОС;
- возможность настройки параметров политики безопасности.
В семейство АПМДЗ «Центурион» входят следующие модификации:
В состав АПМДЗ входят следующие компоненты:
- плата АПМДЗ;
- устройство для подключения к плате АПМДЗ аутентифицирующих носителей пользователя (АНП) одного из двух типов (зависит от изделия);
- комплект аутентифицирующих носителей пользователя;
- управляющий кабель RST (зависит от изделия);
- технологическое ПО (загрузочный компакт-диск) для тестирования и подготовки АПМДЗ к инициализации.
- эксплуатационная документация на компакт-диске.
При старте рабочей станции АПМДЗ производит идентификацию и аутентификацию пользователя, обеспечивает блокировку загрузки нештатной копии операционной системы или программ с любых носителей информации, кроме штатного носителя, контроль целостности конфигурации компьютера, программной среды и критических областей. В случае успешной аутентификации и контроля целостности, становится возможной загрузка операционной системы.
В качестве аутентифицирующего носителя пользователя (АНП) используется устройство сенсорной памяти Touch Memory или Электронный ключ пользователя (ЭКП), в зависимости от варианта исполнения изделия. ЭКП – миниатюрный электронный модуль, содержащий память и контроллер, подключаемый через штатный порт USB. АПМДЗ поддерживает до 32-х пользователей и 2 АНП администратора.
АПМДЗ выполняет контроль целостности в соответствии с ГОСТ 28147‑89.
АПМДЗ имеет в своем составе аппаратный датчик случайных чисел (ДСЧ), который используется для генерации кодов доступа, паролей пользователей и другой служебной информации. Кроме того, он доступен для СЗИ поддерживаемой ОС.
В АПМДЗ реализованы аппаратные защищенные часы реального времени, в соответствии с которыми синхронизируются процедуры смены кодов доступа и паролей, а также контролируется несанкционированное изменение часов реального времени ПЭВМ.
Любые попытки несанкционированного доступа до загрузки ОС фиксируются в специальном журнале, который доступен только администратору АПМДЗ. Емкость журнала – 256 событий.
Администратор АПМДЗ может локально управлять пользователями (регистрация и изменение атрибутов), а также выполнять настройку общих параметров работы АПМДЗ. Кроме этого, администратору доступен набор сервисных функций, упрощающих процедуры инициализации и администрирования большого количества ПЭВМ, оснащенных АПМДЗ.
АПМДЗ предназначен для эксплуатации в составе ПЭВМ в соответствии требованиями, предъявляемыми к соответствующему климатическому исполнению, в режиме круглосуточной или сменной работы с возможностью многократного включения и отключения электропитания в течение суток.
Изделие АПМДЗ «Центурион» соответствует требованиям ФСБ России к АПМДЗ ЭВМ по классу 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну
АПМДЗ «Центурион»
АПМДЗ «Центурион» применяется в IBM-совместимых ПЭВМ архитектуры Intel на базе процессора Pentium IV (или выше) или совместимым с ним (группа исполнения 1.1). Системная плата ПЭВМ должна иметь свободный слот расширения стандарта PCI 2.1 или 2.2 (3,3 В или 5,0 В, 32 bit, 33 MHz). Устройство для подключения аутентифицирующих носителей пользователя (АНП) подсоединяется непосредственно к плате АПМДЗ и выводится на переднюю панель ПЭВМ. Подключение АНП возможно через USB интерфейс. Блокировка ПЭВМ осуществляется посредством управления сигналом RESET материнской платы.
АПМДЗ «Центурион-Е»
Применяется в IBM-совместимых ПЭВМ архитектуры Intel на базе процессора Pentium IV (или выше) или совместимым с ним (группа исполнения 1.1). Системная плата ПЭВМ должна иметь свободный слот расширения стандарта PCI Express. Устройство для подключения аутентифицирующих носителей пользователя (АНП) подсоединяется непосредственно к плате АПМДЗ и выводится на переднюю панель ПЭВМ. Подключение АНП возможно и через USB интерфейс. Блокировка ПЭВМ осуществляется посредством управления сигналом RESET материнской платы.
АПМДЗ «Центурион-Н»
Применяется в Носимых рабочих станциях (ноутбуках) и индустриальных ПЭВМ архитектуры Intel на базе процессора Intel Pentium IV (или выше), выполненных в конструктиве notebook. Группа исполнения 1.1 и 1.3 УХЛ. Носимая рабочая станция может подвергаться значительным климатическим и механическим воздействиям (например, вибрация) в процессе транспортировки. АПМДЗ «Центурион‑Н» подключается к шине miniPCI (тип III) (Rev 2.1, 32 bit, 33 MHz) и имеет габаритные размеры 60мм х 45мм х 4мм. Подключение АНП возможно через USB-интерфейс. Блокировка ПЭВМ осуществляется посредством управления сигналом POWER.
АПМДЗ «Центурион-М»
Применяется в Мобильных ПЭВМ и серверах архитектуры Intel на базе процессора Intel Pentium IV (или выше), выполненная в конструктиве Евромеханика согласно группам исполнения 1.3 УХЛ и имеющая свободный слот расширения стандарта PCI (Rev 2.1, форм-фактор PMC 1.0). Данные ПЭВМ предназначены для установки и работы во временных сооружениях или в кунгах. Диапазон рабочих температур: от -40 до 55°С. Для подключения АНП возможно использовать встроенный интерфейс, а также интерфейс USB.
Центурион является лучшим отечественным модулем доверенной загрузки, предназначенным для работы с государственной и коммерческой тайной из представленных на рынке, потребителями этой техники являются государственные ведомства, госкорпорации, стратегические компании, частный бизнес.
Общие сведения о компании и продукте
| Параметр сравнения | Aladdin TSM | Криптон-замок | ALTELL TRUST | Safe Node System Loader | ViPNet SafeBoot | Dallas Lock | Соболь |
| Компания-вендор | ЗАО “Аладдин Р.Д.” | ООО Фирма “АНКАД” | ООО “АльтЭль” | ООО “Газинформсервис” | ОАО “ИнфоТеКС” | ГК “Конфидент” | ООО “Код Безопасности” |
| Штаб-квартира | Россия, г. Москва | Россия, г. Москва | Россия, г. Санкт-Петербург | Россия, г. Санкт-Петербург | Россия, г. Москва | Россия, г. Санкт-Петербург | Россия, г. Москва |
| Целевой сегмент | Государственный и бизнес-сектор | Государственный и бизнес-сектор | Государственный и бизнес-сектор | Государственный и бизнес-сектор | Государственный и бизнес-сектор | Государственный и бизнес-сектор | Государственный и бизнес-сектор |
| Веб-сайт | aladdin-rd.ru | ancud.ru | altell.ru | gaz-is.ru | infotecs.ru | dallaslock.ru | securitycode.ru |
| Лицензии компании | Лицензии ФСТЭК России: № 3442; № 0037; № 0054. Лицензии ФСБ России: от 16.08.2021 № 30419; от 20.12.2021 № 12632Н. Лицензия МО РФ от 26.08.2021 № 1823. | Лицензии ФСТЭК России: № 267; № 1057; № 1869. Лицензии ФСБ России: от 29.11.2021 № 32514; от 06.07.2021 № 28516; от 23.08.2021 № 15382С; от 4.08.2021 № 15383М; от 12.08.2021 № 15340К; от 12.08.2021 № 15341Н. Лицензия МО РФ от 26.06.2021 № 1796. | Лицензии ФСТЭК России: № 0385; № 0656; № 2477; № 2478. Лицензии ФСБ России: от 29.11.2021 № 12589К; от 17.03.2021 № 14150С; от 17.03.2021 № 14151М; от 29.11.2021 № 12588Н. Лицензия МО РФ от 14.12.2021 № 1561. | Лицензии ФСТЭК России: № 0111; № 0177; № 1862; № 1893. Лицензии ФСБ России: от 04.06.2021 № 938Н; от 18.11.2021 № 9124. | Лицензии ФСТЭК России: № 0636; № 0491. Лицензии ФСБ России: от 18.06.2021 № 12282К; от 05.04.2021 № 15866Н; от 24.05.2021 № 15968С; от 24.05.2021 № 15969М. | Лицензии ФСТЭК России: № 1100; № 1101; № 0024; № 0016; № 1877; № 1062. Лицензии ФСБ России: от 03.02.2021 № 14900; от 03.02.2021 № 14901М; от 27.01.2021 № 160; от 01.09.2021 № 14562Н; от 04.06.2021 № 8087; от 05.03.2021 № 13458; от 03.08.2021 № 740Н. Лицензия МО РФ от 24.04.2021 № 1211. | Лицензии ФСТЭК России: № 2457, № 0499, № 0829. Лицензии ФСБ России: от 15.11.2021 № 15566Н; от 18.11.2021 № 15567К; от 14.07.2021 № 15290М; от 14.07.2021 № 15289С. Лицензия МО РФ от 06.09.2021 № 1388. |
| Исполнение продукта | Программный модуль | Плата расширения | Программный модуль | Программный модуль | Программный модуль | Плата расширения | Плата расширения |
| Сравниваемая версия продукта | – | – | САФТ.00018-01 34 01 | – | 1.3.0.24 | ПФНА.501410.003 32 | 4.2 |
| Варианты модификации платы расширения продукта | Нет | Криптон-замок/mini, Криптон-замок/УМ2 исп. 1 (М-526Е3), исп. 2 (М-526Е4), Криптон-замок/E (М-526Е1) исп. TM (Touch Memory), исп. СК (Смарт-карта), Криптон-замок/К (М-526А), Криптон-замок/У (М-526Б) | Нет | Нет | Нет | КТ-500, KT-521, KT-550 | Нет |
| Сертификат ФСТЭК России | Сертификат ФСТЭК России от 15.08.2021 № 4155 | Нет | Сертификат ФСТЭК России от 30.12.2021 № 3328 | Получение сертификата планируется в 4 квартале 2021 года | Сертификат ФСТЭК России от 14.11.2021 № 3823 | Сертификат ФСТЭК России от 25.11.2021 № 3666 | Сертификат ФСТЭК России от 05.12.2021 № 4043 |
| Другие сертификаты соответствия продукта | Нет | Сертификаты ФСБ России: от 24.05.2021 № СФ/527-3692; от 04.09.2021 № СФ/527-3748; от 04.09.2021 № СФ/527-3749; от 31.01.2021 № СФ/527-3628; от 31.01.2021 № СФ/527-3627 (с удаленным управлением, 1А по треб. ФСБ); от 24.05.2021 № СФ/527-3691. | Сертификат МО РФ от 28.05.2021 | Нет | Нет | Сертификат МО РФ №3789 от 11.12.2021 | Нет |
| Тип СДЗ по классификации ФСТЭК России | СДЗ уровня базовой системы ввода-вывода | СДЗ уровня платы расширения | СДЗ уровня базовой системы ввода-вывода | СДЗ уровня базовой системы ввода-вывода | СДЗ уровня базовой системы ввода-вывода | СДЗ уровня платы расширения | СДЗ уровня платы расширения |
| Соответствие профилю защиты СДЗ ФСТЭК России | ИТ.СДЗ.УБ2.ПЗ | Нет | ИТ.СДЗ.УБ2.ПЗ | Нет | ИТ.СДЗ.УБ2.ПЗ | ИТ.СДЗ.ПР2.П3 | ИТ.СДЗ.ПР2.П3 |
| Требования к СДЗ ФСТЭК России | 2 класс защиты | Нет | 2 класс защиты | Нет | 2 класс защиты | 2 класс защиты | 2 класс защиты |
| Параметр сравнения | Витязь | МДЗ-Эшелон | Аккорд-АМДЗ | Аккорд-МКТ | Инаф | Центурион | Максим-М1 |
| Компания-вендор | АО “Крафтвэй корпорэйшн ПЛС” | НПО “Эшелон” | ОКБ САПР | ЦНИИ ЭИСУ | НПО “РусБИТех” | ||
| Штаб-квартира | Россия, Калужская область, г. Обнинск | Россия, г. Москва, г. Санкт-Петербург | Россия, г. Москва | Россия, г. Москва | Россия, г. Москва | ||
| Целевой сегмент | Государственный и бизнес-сектор | Государственный и бизнес-сектор | Государственный и бизнес-сектор | Государственный и бизнес-сектор | Государственный и бизнес-сектор | ||
| Веб-сайт | kraftway.ru | npo-echelon.ru | okbsapr.ru | cniieisu.ru | rusbitech.ru | ||
| Лицензии компании | Лицензии ФСТЭК России: № 2780; № 1582; № 2964. Лицензии ФСБ России: от 08.02.2021 № 1377Н; от 31.01.2021 № 15721К; от 01.03.2021 № 15776С; от 01.03.2021 № 15777М; от 22.12.2021 № 30890; от 15.05.2021 № 1384. Лицензия МО РФ от 23.11.2021 № 1701. | Лицензии ФСТЭК России: № 2030; № 2321; № 1605; № 2322; № 0480; № 0802. Лицензии ФСБ России: от 13.04.2021 № 29848; от 25.04.2021 № 496Т; от 10.01.2021 № 17016Н; от 05.03.2021 № 13459К. Лицензия МО РФ от 04.07.2021 № 1369. | Лицензии ФСТЭК России: № 0827; № 0497; № 0387; № 2964; № 1609; № 2965; № 3131; № 3132; № 1247; № 2291; № 1304; № 2414; № 2965; № 2964. Лицензии ФСБ России: от 15.12.2006 № 9658; от 14.05.2008 № 5740П; от 14.05.2008 № 5741Х; от 14.05.2008 № 5742Р; от 25.07.2021 № 13051Н; от 30.09.2021 № 24125; от 18.08.2021 № 26773; от 22.12.2021 № 14811Н; от 09.02.2021 № 15739Н; от 18.05.2021 № 16625Н; от 13.06.2021 № 16669Н. | Лицензии ФСТЭК России: № 1391; № 400; № 1304; № 1001; № 1737. Лицензии ФСБ России: от 17.05.2021 № 33217; от 17.05.2021 № 33218; от 15.07.2021 № 1868; от 19.03.2021 № 14164М; от 19.03.2021 № 14163М; от 19.03.2021 № 14162С. Лицензии МО РФ: от 07.04.2021 № 1199; от 21.08.2021 № 1526. | Лицензии ФСТЭК России по разработке и производству ТЗИ; на создание СЗИ и оказание услуг в области защиты ГТ. Лицензии ФСБ России по разработке и производству ТЗИ; на осуществление разработки, распространения и технического обслуживания СКЗИ; на создание СЗИ, содержащей ГТ; на осуществление работ и оказание услуг в области защиты ГТ. Лицензия МО РФ на осуществление деятельности в области создания СЗИ. | ||
| Исполнение продукта | Программный модуль | Программный модуль | Плата расширения | Программный модуль | Плата расширения | Плата расширения | Плата расширения |
| Сравниваемая версия продукта | 2.2 | НПЭШ.01412-01 (Исполнение 1) | – | – | – | – | РУСБ.468239.002 |
| Варианты модификации платы расширения продукта | Нет | Исполнение 1: Intel x86, Исполнение 2: Эльбрус (SPARC) | GX, GXM, GXMH, GXM2, LE, 5MX | Нет | Прямое исполнение с внешним разъёмом (в корпусе и без корпуса), прямое исполнение со штырьковым разъёмом (без корпуса), исполнение под прямым углом (Г-образное) со штырьковым разъёмом (без корпуса) | “Центурион”, “Центурион-Е”, “Центурион-Н”, “Центурион-М” | Нет |
| Сертификат ФСТЭК России | Сертификат ФСТЭК России от 11.07.2021 № 3597 | Нет | Сертификат ФСТЭК России от 13.02.2021 № 3879, сертификат ФСТЭК России № 246/7 выдан 13.08.2007, переоформлен 14.02.2021 | Сертификат ФСТЭК России от 10.05.2021 № 3936 | Сертификат ФСТЭК России от 19.02.2021 № 4091 | Нет | Сертификат ФСТЭК России от 12.04.2021 № 3732 |
| Другие сертификаты соответствия продукта | Нет | Сертификат МО РФ № 815 | Сертификат ФСБ России от 10.10.2021 № СФ/527-3214, заключение Министерства обороны РФ №61 от 04.10.2021 на соответствие программно-аппаратного комплекса СЗИ НСД “Аккорд-АМДЗ” требованиям по защите информации. | Нет | Нет | Сертификаты ФСБ России: от 31.08.2021 № СФ/527-2704; от 31.08.2021 № СФ/527-2705; от 31.08.2021 № СФ/527-2706; от 31.08.2021 № СФ/527-2707; от 31.08.2021 № СФ/527-2708. | Сертификат ФСБ России от 25.12.2021 № СФ/527-3261 |
| Тип СДЗ по классификации ФСТЭК России | СДЗ уровня базовой системы ввода-вывода | СДЗ уровня базовой системы ввода-вывода | СДЗ уровня платы расширения | СДЗ уровня базовой системы ввода-вывода | СДЗ уровня платы расширения | СДЗ уровня платы расширения | СДЗ уровня платы расширения |
| Соответствие профилю защиты СДЗ ФСТЭК России | ИТ.СДЗ.УБ2.ПЗ | Нет | ИТ.СДЗ.ПР2.П3 | ИТ.СДЗ.УБ4.ПЗ | ИТ.СДЗ.ПР4.П3 | Нет | ИТ.СДЗ.ПР2.ПЗ |
| Требования к СДЗ ФСТЭК России | 2 класс защиты | Нет | 2 класс защиты | 4 класс защиты | 4 класс защиты | Нет | 2 класс защиты |
Применение продукта
| Параметр сравнения | Aladdin TSM | Криптон-замок | ALTELL TRUST | Safe Node System Loader | ViPNet SafeBoot | Dallas Lock | Соболь |
| АСУ ТП | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно |
| ИСПДн | До УЗ-1 включительно | До УЗ-1 включительно | До УЗ-1 включительно | До УЗ-1 включительно | До УЗ-1 включительно | До УЗ-1 включительно | До УЗ-1 включительно |
| КИИ | До 1 категории значимости включительно | До 1 категории значимости включительно | До 1 категории значимости включительно | До 1 категории значимости включительно | До 1 категории значимости включительно | До 1 категории значимости включительно | До 1 категории значимости включительно |
| ГИС | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно |
| Работа с ГТ | Да | Да | Да | Нет | Нет | Да | Да |
| Параметр сравнения | Витязь | МДЗ-Эшелон | Аккорд-АМДЗ | Аккорд-МКТ | Инаф | Центурион | Максим-М1 |
| АСУ ТП | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно |
| ИСПДн | До УЗ-1 включительно | До УЗ-1 включительно | До УЗ-1 включительно | До УЗ-1 включительно | До УЗ-1 включительно | До УЗ-1 включительно | До УЗ-1 включительно |
| КИИ | До 1 категории значимости включительно | До 1 категории значимости включительно | До 1 категории значимости включительно | До 1 категории значимости включительно | До 1 категории значимости включительно | До 1 категории значимости включительно | До 1 категории значимости включительно |
| ГИС | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно | До 1 класса защищённости включительно |
| Работа с ГТ | Да | Да | Да | Нет | Нет | Да | Да |
Рынок средств доверенной загрузки в россии
На современном российском рынке информационной безопасности представлено множество СДЗ и МДЗ российского производства. Это связано с тем, что отечественные производители на этапе разработки и производства своих решений руководствуются требованиями регуляторов и стремятся выполнять требования действующего законодательства в области защиты информации.
Выполнение этих требований позволяет вендорам сертифицировать во ФСТЭК и ФСБ России свои продукты, что впоследствии дает возможность использовать их в информационных системах для обработки информации различных категорий конфиденциальности. Необходимость использования сертифицированных ФСТЭК решений МДЗ и СДЗ и является главной причиной их востребованности на российском рынке.
Что же касается СДЗ и МДЗ зарубежного производства, то их на российском рынке практически нет, а те единичные экземпляры которые встречаются, имеет смысл использовать только на персональных компьютерах. Это связано с тем, что в решениях СДЗ и МДЗ зарубежных производителей не реализованы необходимые требования российского законодательства в области информационной безопасности, поэтому в рамках данной статьи мы их рассматривать не будем.
С 1 января 2021 года ФСТЭК России установил требования, предъявляемые к средствам доверенной загрузки (приказ ФСТЭК России от 27.09.2021 года № 119), однако этот приказ имеет ограничительную пометку «для служебного пользования», что означает отсутствие его в свободном доступе.
- средства доверенной загрузки уровня базовой системы ввода-вывода;
- средства доверенной загрузки уровня платы расширения;
- средства доверенной загрузки уровня загрузочной записи.
Для каждого типа СДЗ определено 6 классов защиты (класс 1 — самый высокий, класс 6 — самый низкий). Чем выше класс, тем больше требований к нему предъявляется, и его использование возможно в системах более высокого класса.
ФСТЭК России ввел такое понятие, как профили защиты СДЗ, которые соответствуют конкретному типу и классу защиты СДЗ. Профиль защиты — это набор обязательных требований, выполнение которых необходимо для сертификации продукта. В таблице 1 приведена спецификация профилей защиты.
Таблица 1. Спецификация профилей защиты СДЗ
Решения СДЗ и МДЗ представлены в программном и программно-аппаратном исполнении. Основное отличие — это использование платы расширения в программно-аппаратных комплексах.
Так как рынок СДЗ и МДЗ возник под влиянием требований регуляторов, то принципиальной характеристикой продукта является не только наличие минимально обязательного набора функциональных возможностей, но и соответствие типу доверенной загрузки и классу защиты, а следовательно и выполнение требований, указанных в соответствующих профилях защиты СДЗ, утвержденных ФСТЭК России.
В настоящее время среди основных игроков рынка сертифицированных СДЗ и МДЗ можно выделить:
- Aladdin TSM (компания «Аладдин Р.Д.»);
- АПМДЗ «Криптон-замок» (компания «АНКАД»);
- ALTELL TRUST (компания «АльтЭл»);
- SafeNode System Loader (компания «Газинформсервис», пришел на смену «Блокхост-МДЗ»);
- ViPNet SafeBoot (компания «ИнфоТеКС»);
- СЗД Dallas Lock (компания «Конфидент»);
- СЗИ НСД «Аккорд-АМДЗ», МДЗ «Аккорд-МКТ» и СЗИ НСД «Инаф» (ОКБ САПР);
- ПАК «Соболь» (компания «Код Безопасности»);
- АПМДЗ «Максим-М1» (НПО «РусБИТех»);
- АПМДЗ «Центурион» (ЦНИИ ЭИСУ);
- МДЗ-Эшелон (НПО «Эшелон»);
- ПК ЭЗ «Витязь» (компания «Крафтвей»).
Что же касается прогноза на будущее российского рынка в области СДЗ и МДЗ, то можно предположить, что он продолжит планомерно расти. В первую очередь рынок будет подогревать необходимость выполнения постоянно увеличивающихся требований регуляторов в области защиты информации.
В качестве примера можно привести принятые требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2021 г. № 17 (с учетом изменений, внесенных приказом ФСТЭК России от 15.02.2021 г. № 27).
Системные требования
| Параметр сравнения | Aladdin TSM | Криптон-замок | ALTELL TRUST | Safe Node System Loader | ViPNet SafeBoot | Dallas Lock | Соболь |
| Требования к аппаратному обеспечению | Материнская плата с объёмом свободной встроенной памяти не менее 1 МБ | Дополнительных требований к аппаратному обеспечению нет | x86-совместимый процессор с поддержкой режима EM64T, частота от 500 МГц; не менее 1 ГБ оперативной памяти | Дополнительных требований к аппаратному обеспечению нет | x86-совместимый процессор с поддержкой режима x86-64 и частотой от 500 МГц; BIOS должен соответствовать спецификации UEFI версий: 2.3.1, 2.4, 2.5, 2.6; оперативная память не менее 1 ГБ | Процессор Pentium с частотой не менее 300 МГц; не менее 512 МБ оперативной памяти | Дополнительных требований к аппаратному обеспечению нет |
| Требования к программному обеспечению | Любые актуальные ОС, поддерживающие указанные далее файловые системы | Любые актуальные ОС, поддерживающие указанные далее файловые системы | Поддерживает актуальные ОС на базе ядра Windows; Astra Linux, ALT Linux , МСВС | Microsoft .NET Framework 2.0 или выше; ОС: Microsoft Windows начиная с версии 7 и новее, а также Server 2021 R2 и новее, установленные на совместимое с архитектурой Intel x86-64 оборудование, Linux/Unix стандарта Linux Standard Base (LSB) версии 3.2 и новее, в том числе системы виртуализации VMware ESX, VMware ESXi, установленные на совместимое с архитектурой Intel x86-64 устройство | Любые актуальные ОС, поддерживающие указанные далее файловые системы | Любые актуальные ОС, поддерживающие указанные далее файловые системы | ОС на базе ядра Windows: 7 x64 Edition; 8 x64; 8.1 x64; 10 x64; Server 2021 R2; Server 2021. ОС на базе ядра Linux: Astra Linux Special Edition 1.4, 1.5, 1.6; Astra Linux Common Edition 2.12; Альт Линукс СП 8, СП 8.1; CentOS 7.3.1611, 7.5.1804; ContinentOS 4.2; Debian 9.5; RHEL 6.8, 7.5; Oracle Linux 7.2, 7.3; РЕД ОС 7.1 Муром; SUSE Linux Enterprise 15; CentOS 7.3; Alt Linux 7.0 5 СПТ; Ubuntu 14.04; Лотос; ESXi6 up2/6.5а; VMware vSphere ESXi 6 up2/6.5a x64 |
| Поддерживаемые файловые системы | FAT32, FAT16, Ext2, Ext3, Ext4 | FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4 | FAT16, FAT32, NTFS, Ext2, Ext3, Ext4 | Ext2, Ext3, Ext4, FAT, NTFS | FAT32, NTFS, Ext2, Ext3, Ext4 | FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS3, VMFS5 | NTFS5, NTFS, FAT32, FAT16, FAT12, UFS, UFS2, Ext2, Ext3, Ext4 |
| Поддерживаемые идентификаторы | USB-ключи и смарт-карты JaCarta или eToken | Touch Memory DS 1995L-F5, DS 1996L-F5, DS 1977-F5, DS1993, смарт-карта MIK 51, Рутокен (для Криптон-замок/mini) | USB-ключи eToken PRO, eToken PRO (Java) и Рутокен ЭЦП; смарт-карты eToken PRO (поддержка CCID, PKCS#11, PKCS#15) | USB-ключи и смарт-карты JaCarta: PKI, ГОСТ, PKI/ГОСТ, JaCarta-2 ГОСТ; Рутокен: ЭЦП, ЭЦП 2.0, ЭЦП PKI, Lite, 2151; eToken Pro Java; SafeNet eToken: 5100, 5105, 5200, 5205 | USB-ключи и смарт-карты Рутокен: ЭЦП, ЭЦП 2.0, Lite; JaCarta PKI (USB/SC); Guardant ID | USB-ключи и смарт-карты Aladdin eToken Pro/Java; Рутокен: S, ЭЦП, Lite, Lite RF, WEB, ЭЦП 2.0, ЭЦП mini, ЭЦП Flash, ЭЦП 2.0 Flash; eSmart: Token, 64k, ГОСТ; eToken: Java, NG-Flash, NG-OTP, PRO; JaCarta: ГОСТ, PKI, BIO, SecurLogon. Электронные ключи Touch Memory (iButton) | USB-ключи Guardant ID; JaCarta: 2 ГОСТ, 2 PKI/ГОСТ, SF/ГОСТ; Рутокен: ЭЦП 2.0, Lite, S, S RF; eToken PRO и PRO (Java). Смарт-карты Рутокен: ЭЦП, Lite; JaCarta: 2 ГОСТ,2 PKI/ГОСТ, ПЭК (персональная электронная карта; eToken PRO и PRO (Java). iButton DS1996, DS1995, DS1994, DS1993, DS1992 |
| Возможность обновления компонентов продукта силами эксплуатирующей организации | Да | Нет | Да | Нет | Да | Да | Да |
| Функциональные роли | Администратор, Пользователь | Администратор, Пользователь (До 5 категорий) | Администратор, Пользователь | Администратор, Пользователь | Администратор, Пользователь, Аудитор | Администратор, Пользователь, Аудитор | Администратор, Пользователь |
| Поддерживаемые интерфейсы платы расширения СДЗ | Нет | PCI Express, PCI Express Mini Card, PCI Local BUS Revision 2.1, 2.2 | Нет | Нет | Нет | PCI Express, Mini PCI Express, M.2 | PCI Express, Mini PCI Express, Mini PCI Express Half Size, M.2 |
| Параметр сравнения | Витязь | МДЗ-Эшелон | Аккорд-АМДЗ | Аккорд-МКТ | Инаф | Центурион | Максим-М1 |
| Требования к аппаратному обеспечению | Необходима материнская плата с поддержкой UEFI 2.3.1 или более поздней версии и наличием микросхемы SPI Flash с объёмом свободной памяти не менее 6 МБ | Аппаратная платформа семейства Intel x86 c BIOS PnP; жёсткий диск стандарта PATA, SATA и/или SCSI; CD-ROM стандарта PATA, SATA; процессор архитектуры IA32 или x86-64 c тактовой частотой не менее 800 МГц; минимальная ёмкость ОЗУ 128 МБ; 100 МБ свободной памяти на НЖМД; 10 кБ свободной памяти в ЭСПППЗУ; Flash-накопитель администратора не менее 512 МБ с файловой системой FAT32 (исполнение 1) | ПЭВМ с центральным процессором архитектуры x86 (IA-32) или x86-64 (AMD64), с объемом динамической оперативной памяти (RAM) не менее 128 Мб, при наличии свободного разъема на материнской плате ПЭВМ, соответствующего типу контроллера АМДЗ | ЭВМ на базе процессоров с архитектурой x86_64 и микрокомпьютеров на базе процессоров с архитектурой ARM | Процессор архитектуры x86 (IA-32) или x86-64 AMD64), объём оперативной памяти не менее 128 МБ | Дополнительных требований к аппаратному обеспечению нет | ПЭВМ с архитектурой процессора x86/x86-64 класса Pentium и выше; PnP BIOS версии 1.0A / EFI версии 1.10 / UEFI версии не ниже 2.1, обеспечивающий выполнение программных модулей для аппаратной платформы x86-64 (x64/AMD64/Intel64/EM64T). Разъём питания системной платы должен отвечать требованиям спецификации ATX и иметь 20 или 24 контакта. |
| Требования к программному обеспечению | Требуется UEFI, удовлетворяющая следующим условиям: 1) наличие программного кода, обеспечивающего вызов ЭЗ до этапа поиска загрузчика операционной системы компьютера; 2) наличие программного кода, пользовательского интерфейса и интерфейсов взаимодействия с ЭЗ (оболочка Kraftway Secure Shell — KSS) | Любые актуальные ОС, поддерживающие указанные далее файловые системы | Любые актуальные ОС, поддерживающие указанные далее файловые системы | Любые актуальные ОС, поддерживающие указанные далее файловые системы | Любые актуальные ОС, поддерживающие указанные далее файловые системы | Любые актуальные ОС, поддерживающие указанные далее файловые системы. В ОС “Заря”, ОС МСВС 3.0 или ОС Windows XP/7 обеспечивается совместная работа СЗИ и АПМДЗ | Модуль совместим с основными клиентскими (2000/XP/Vista/7) и серверными (2003/2008) версиями Windows, а также с системами на ядре Linux 2.6.x и 3.x.x и ОС СН Astra Linux. В ОС Windows 2000 должно быть установлено обновление KB835732. |
| Поддерживаемые файловые системы | FAT16, FAT32, NTFS, Ext, Ext2, Ext3, Ext4 | NTFS, FAT12/16/32, exFAT, Ext2/Ext3, Ext4, ReiserFS, XFS, JFS, ZFS, HFS, iso9660, UDF | FAT12, FAT16, FAT32, NTFS, Ext2, Ext3 Ext4, FreeBSD UFS/UFS2, QNX4, QNX6, XFS | FAT16, FAT32, NTFS, Ext2, Ext3, Ext4 | FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, FreeBSD UFS/UFS2, Solaris UFS, QNX4, QNX6, MINIX, Ext4, ReiserFS | FAT, NTFS, Ext2, Ext3 | FAT16, FAT32, NTFS 3.0, NTFS 3.1, Ext2, Ext3 и Ext4 |
| Поддерживаемые идентификаторы | USB-ключи Рутокен: S, ЭЦП; eToken: PRO, ГОСТ. Смарт-карты Микрон, eToken PRO, eToken ГОСТ | USB flash-накопитель | USB-токены, USB-ключи, смарт-карты, устройства ШИПКА (на базе ШИПКА-лайт Slim, ШИПКА-2.0 CCID или других), TouchMemory: DS1996, DS1993, DS1992 | USB-токены, USB-ключи, смарт-карты, устройства ШИПКА (на базе ШИПКА-лайт Slim, ШИПКА-2.0 CCID или других), TouchMemory: DS1996, DS1993, DS1992 | USB-токены, USB-ключи, смарт-карты, устройства ШИПКА (на базе ШИПКА-лайт Slim, ШИПКА-2.0 CCID или других), TouchMemory: DS1996, DS1993, DS1992 | TouchMemory, ЭПК | iButton DS1995, DS1996 |
| Возможность обновления компонентов продукта силами эксплуатирующей организации | Нет | Нет | Да | Нет | Нет | Нет | Нет |
| Функциональные роли | Администратор, Пользователь | Администратор, Пользователь | Главный администратор, Администратор, Пользователь | Главный администратор, Администратор, Пользователь | Главный администратор, Администратор, Пользователь | Администратор, Пользователь | Администратор, Пользователь |
| Поддерживаемые интерфейсы платы расширения СДЗ | Нет | Нет | PCI-Express, mini PCI-Express, mini PCI-Express halfcard, M.2 | Нет | USB-разъём типа А, штырьковый USB-разъём материнской платы | PCI, PCI Express, mini PCI Express | PCI, PCI Express |
Функциональный набор средств доверенной загрузки и модулей доверенной загрузки
| Параметр сравнения | Aladdin TSM | Криптон-замок | ALTELL TRUST | Safe Node System Loader | ViPNet SafeBoot | Dallas Lock | Соболь |
| Доступ пользователя по паролю | Да | Да | Да | Да | Да | Да | Да |
| Доступ пользователя по идентификатору и паролю | Да | Да | Да | Да | Да | Да | Да |
| Блокировка загрузки ОС со сторонних носителей | Да | Да | Да | Да | Да | Да | Да |
| Контроль целостности файлов и секторов накопителя | Да | Да | Да | Да | Да | Да | Да |
| Контроль целостности системного реестра | Нет | Да | Да | Да | Да | Да | Да |
| Контроль целостности BIOS (UEFI) | Нет | Да | Да | Да | Да | Да | Да |
| Контроль целостности аппаратной части | Да | Да | Да | Да | Да | Да | Да |
| Контроль целостности транзакций в журналах файловых систем | Нет | Да | Да | Да | Да | Нет | Да |
| Самоконтроль средства (модуля) доверенной загрузки | Да | Да | Да | Да | Да | Да | Да |
| Ограничение доступа к BIOS (UEFI) | Нет | Да | Да | Да | Да | Да | Да |
| Регистрация событий безопасности | Да | Да | Да | Да | Да | Да | Да |
| Программная инициализация комплекса | Да | Нет | Да | Да | Да | Не требуется | Да |
| Удалённое управление | Да | Да | Да | Нет | Нет | Да | Нет |
| Энергонезависимая память | Да | Да | Да | Нет | Нет | Да | Да |
| Сторожевой таймер | Нет | Да | Да | Нет | Нет | Да (аппаратный и программный) | Да |
| Датчик случайных чисел (аппаратный/программный) | Нет | Да | Да (-/ ) | Нет | Нет | Да (-/ ) | Да ( /-) |
| Контроль вскрытия корпуса ПЭВМ | Нет | Да | Нет | Нет | Нет | Да | Нет |
| Инициализация устройств шифрования | Нет | Да | Нет | Нет | Нет | Нет | Нет |
| Неизвлекаемость из ПЭВМ | Да | Да | Да | Да | Да | Нет | Нет |
| Прочие особенности | Только для ARM-процессоров, встраивание модуля происходит на этапе производства или в лабораторных условиях | Может выступать точкой управления шифраторами для обеспечения защиты ГТ | Может использоваться в качестве единственного программного обеспечения в тонких клиентах | Собственные часы для генерации меток времени |
| Параметр сравнения | Витязь | МДЗ-Эшелон | Аккорд-АМДЗ | Аккорд-МКТ | Инаф | Центурион | Максим-М1 |
| Доступ пользователя по паролю | Да | Да | Да | Да | Да | Да | Да |
| Доступ пользователя по идентификатору и паролю | Да | Да (версия 2.3 – несерт.) | Да | Да | Да | Да | Да |
| Блокировка загрузки ОС со сторонних носителей | Да | Да | Да | Да | Да (при корректных настройках BIOS и при условии неизвлечения устройства) | Да | Да |
| Контроль целостности файлов и секторов накопителя | Да | Да | Да | Да | Да | Да | Да |
| Контроль целостности системного реестра | Нет | Нет | Да | Да | Да | Да | Да |
| Контроль целостности BIOS (UEFI) | Нет | Нет | Да | Да | Да | Да | Да |
| Контроль целостности аппаратной части | Да | Да (версия 2.3 – несерт.) | Да | Да | Да | Да | Да |
| Контроль целостности транзакций в журналах файловых систем | Да | Нет | Да | Да | Да | Да | Да |
| Самоконтроль средства (модуля) доверенной загрузки | Да | Да | Да | Да | Да | Да | Да |
| Ограничение доступа к BIOS (UEFI) | Да | Нет | Нет | Нет | Нет | Нет | Да |
| Регистрация событий безопасности | Да | Да | Да | Да | Да | Да | Да |
| Программная инициализация комплекса | Да | Да | Да | Да | Да | Да | Да |
| Удалённое управление | Нет | Нет | Да | Нет | Нет | Да | Да |
| Энергонезависимая память | Нет | Да | Да | Нет | Да | Да | Да |
| Сторожевой таймер | Нет | Нет | Да | Нет | Нет | Нет | Нет |
| Датчик случайных чисел (аппаратный/программный) | Нет | Нет | Да (аппаратный) | Нет | Да (аппаратный) | Да ( /-) | Да ( /-) |
| Контроль вскрытия корпуса ПЭВМ | Да | Нет | Нет | Нет | Нет | Нет | |
| Инициализация устройств шифрования | Нет | Нет | Да | Нет | Нет | Да | Да |
| Неизвлекаемость из ПЭВМ | Да | Да | Нет | Да | Нет | Нет | Нет |
| Прочие особенности | Встроенное средство антивирусной защиты | Поддерживает архитектуру “Эльбрус” | Нет особенностей | Возможна мобильная (внешняя) и стационарная (внутренняя) установка | Возможно применение в системах, отвечающих требованиям, предъявляемым к соответствующему климатическому исполнению, в режиме круглосуточной работы с отсутствием стабильного электропитания |