Платформенные решения ОКБ САПР как основа построения защищенных ИС

Аппаратные модули доверенной загрузки

Решения, о которых в дальнейшем пойдет речь, построены на концепции  резидентного компонента безопасности – автономного примитивного перенастраиваемого устройства с защищенной памятью, способного изменить архитектуру компьютера на время старта, сделав тем самым старт защищенным [1]. Данная концепция была опубликована в 1999 году в виде монографии. К этому времени серийным контроллером, построенным на базе данной концепции, уже был Аккорд-4++ производства ОКБ САПР. В настоящее время все контроллеры Аккорд также основываются на базе данной концепции. На рисунке 1 приведены основные контроллеры текущей линейки – с шинами наиболее распространенными в настоящее время [2]. На рисунке 2 – два примера контроллеров для «экзотических» шин. Возможны и другие варианты по желанию Заказчика.

 

Рисунок 1 – Контроллеры текущей линейки для наиболее распространенных шин (Аккорд-GX, Аккорд-GXMH, Аккорд-GXm.2, Инаф для подключения к штырьковому разъему на материнской плате, Инаф для USB-разъема)

 

Рисунок 2 – Контроллеры для «экзотических» шин (Аккорд-PC104, Аккорд-КПД)

На базе перечисленных контроллеров реализован СЗИ НСД «Аккорд-АМДЗ» –    аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК –  серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа [2].

В системе может быть потребность в доверенном ПО любого типа.  Общий фундамент доверия – это доверенная загрузка из доверенного источника. «Аккорд-АМДЗ» обеспечивает и то, и другое – является доверенным источником, так как имеет защищенную память большого размера, и является устройством, контролирующим процесс загрузки. В настоящий момент в базовом варианте «Аккорд-АМДЗ» достаточно ресурсов (памяти и обработчиков аппаратных интерфейсов) для размещения кода BIOS непосредственно в памяти контроллера и предоставления центральному процессору возможности работы с эталонным BIOS и только в рамках назначенных политик.

Новый взгляд на USB-устройства

Главная задача технической защиты информации заключается в том, чтобы делать из универсальных устройств специализированные, то есть доступные для использования не всем, не всегда, не для любых задач, и так далее. Положенный ОКБ САПР в основу разработки различных средств защиты принципиальный подход к созданию защищенных USB-устройств основан на управлении двумя принципиальными для таких устройств параметрами [1]:

• возможно изменение атрибутов доступа к памяти (Read Only, Read Write, Add Only);
• возможно изменение протокола доступа пользователя к памяти (всем и везде; только зарегистрированным; всем, но только на зарегистрированных компьютерах; зарегистрированным с разными ролями – доступ с разными правами, и так далее).

При добавлении к описанному умения разбивать память на нужное количество разделов с разными атрибутами доступа, получается целый спектр продуктов следующих групп функциональности:

1. Защищенные USB-накопители, для которых главным свойством является возможность ограничить те СВТ, на которых устройство будет работать. К ним относится семейство защищенных флешек «Секрет» и специализированные ответвления – «Программно-аппаратный журнал» (ПАЖ) и «Идеальный токен».

А) Защищенные флешки «Секрет» (см. рисунок 3) в настоящее время представлены двумя продуктами – «Секрет фирмы» и «Секрет Особого Назначения» [3]. Первое решение является сетевым и включает в себя сервер аутентификации, АРМ Эмиссии, развитую систему управления и администрирования в рамках корпоративной сети. «Секрет Особого Назначения» – это автономное устройство, которое может использоваться на любом ПК, который будет разрешен администратором, вне зависимости от того, находится ли он в корпоративной сети. В данном случае возможны гибкие настройки различных разрешений, поэтому он снабжен независимым и недоступным для пользователя аппаратным журналом, позволяющим увидеть все случаи подключения устройства к каким-либо компьютерам, в том числе неуспешные.

 

Рисунок 3 – Защищенная флешка «Секрет»

Б) На этой же технологии построен «ПАЖ» (см. рисунок 4) – это специализированная для задач архивирования данных флешка. Память данного устройства находится в режиме Add Only, то есть существует возможность чтения/записи (если компьютер является разрешенным и пользователь аутентифицирован), а возможность удаления отсутствует [4]. Устройство предназначено для работы с журналами событий, но может применяться для архивирования любых необходимых для неприкосновенного хранения данных. Отличие «ПАЖ» от неперезаписываемых CD дисков заключается в том, что запись ведется только на тех ПК, на которых разрешено его использование.

 

Рисунок 4 – «Программно-аппаратный журнал» (ПАЖ)

 

В) «Идеальный токен» (см. рисунок 5) – это токен, который также различает разрешенные для работы ПК и не работает на остальных [5]. То есть возможность работы с ключами доступна пользователю только на разрешенных администратором ПК, что снижает риск компрометации ключей при подключении к недоверенным компьютерам.

 

Рисунок 5 – «Идеальный токен»

2. Носители персональной среды, для которых ключевым является загрузка из неизменяемой памяти – это СОДС «МАРШ!» и носители ПО «Центр-Т», а также ответвление, в котором из неизменяемой памяти загружается не среда, а прикладное ПО – это мобильный носитель лицензий (МНЛ) и KeyMak

A) «МАРШ!» предназначен для организации доверенного сеанса связи с удаленной системой, в рамках которого поддерживается доверенная среда [6]. Устройство подключается к незащищенному компьютеру, загружает на него ОС из защищенной от перезаписи памяти (RO) и устанавливает защищенное соединение с удаленной информационной системой. Диск «МАРШ!» разбит на разделы с разными атрибутами доступа, предназначенными для хранения разных типов данных. Разбиение диска «МАРШ!» на разделы с различными атрибутами доступа изображено на рисунке 6. Доступ к памяти разграничивается процессором устройства.

Рисунок 6 – СОДС «МАРШ!»

Б) На схожих принципах основаны специальные носители для ПО «Центр-Т»: ПО загружается с отчуждаемого защищенного носителя и исполняется на произвольном незащищенном СВТ, делая его доверенным [7].

В) «Мобильный носитель лицензий» (МНЛ) – это устройство, которое позволяет сгенерировать лицензию с учетом данных конкретной системы без обращения к фирме-производителю ПО, на основании данных о количестве приобретенных лицензий [8]. На диске устройства при этом хранится только неизменное программное обеспечение комплекса, поэтому он при производстве переводится в RO режим. ПО собирает данные о ПК, генерирует и устанавливает лицензию, а число доступных лицензий уменьшается на единицу. Тем самым покупатель освобождается от необходимости передавать поставщику ПО данные о системе, а поставщик – от необходимости придумывания замысловатых схем контроля за распространением лицензий. «МНЛ» представлен на рисунке 7. Иногда такая же задача возникает не в связи с распространением лицензий, а в связи с распространением ключей. Для создания производных ключей из мастер-ключа без возможности доступа к последнему ОКБ САПР разработал устройство «KeyMaker» [9].

Рисунок 7 – «Мобильный носитель лицензий» (МНЛ)

Однако не только для загрузочных устройств имеет смысл ограничивать возможности записи в память. К таким устройствам относятся обычнее флешки. Даже самая простая флешка по сути является компьютером с собственным процессором и собственной памятью, поэтому перепрограммированные usb-накопители стали считаться важными и весьма вероятными каналами утечки. Известен целый класс атак BadUSB, в основе которого лежит модификация внутреннего ПО USB-устройств для выполнения несанкционированных действий процессором этих самых USB-устройств. Кроме того, существуют варианты реализаций штатных протоколов взаимодействия USB-устройств с нештатными расширениями, которые могут быть использованы и как скрытые каналы управления, и как нелегальные хранилища для конфиденциальной информации. Эта уязвимость блокируется применением носителей, внутреннее ПО которых защищено от перезаписи, например, специальных служебных носителей семейства «Секрет». Однако, у служебных носителей «Секрет» есть собственная функциональность, и если она в системе не требуется, то их применение избыточно. USB-накопитель «Транзит» не имеет никакой дополнительной функциональности, это именно флешка, но флешка, которую нельзя перепрограммировать, то есть такая, которая точно не сможет быть использована как-то кроме как по прямому назначению [10]. USB-накопителя «Транзит» представлен на рисунке 8.

 Рисунок 8 – USB-накопитель «Транзит»

Защищенные микрокомпьютеры Новой гарвардской архитектуры

Отличительной особенностью архитектуры фон-Неймана является то, что команды и данные не разделяются, они передаются по единому общему каналу. Гарвардская архитектура предполагает наличие разных каналов для команд и данных. Такая схема взаимодействия требует более сложной организации процессора, но обеспечивает более высокое быстродействие, так как потоки команд и данных становятся не последовательными, а параллельными, независимыми. Однако, и в случае компьютера фон-Неймановского типа, и компьютера с Гарвардской архитектурой организация потоков команд и данных таковы, что архитектурная уязвимость присуща каждому из них. Гибкость, универсальность и в одном, и в другом случае обеспечивается возможностью изменения последовательности команд и данных – независимо от того, в одной памяти они лежат, или разделены. В свою очередь, возможность изменения последовательности команд и данных создает и возможность для несанкционированного вмешательства вредоносного программного обеспечения – это и есть основная архитектурная уязвимость. На использовании этой уязвимости основаны практически все современные хакерские атаки, которые, в основном, сводятся к атаке на «перехват управления». 

Существует два пути устранения уязвимости, заложенной в архитектуру компьютера – установка в уязвимый компьютер специального устройства (такого, как «Аккорд-АМДЗ») или изменение архитектуры и создание компьютера уже без уязвимости. Такая совершенная, не имеющая базовой уязвимости Машины Тьюринга архитектура существует – это разработанная ОКБ САПР Новая гарвардская архитектура [1]. Данная архитектура отличается от рассмотренных выше тем, что в ней используется память, для которой установлен режим «только чтение» (RO). При загрузке команды и данные размещаются в сеансовой памяти, в которой и исполняются. Начальная загрузка и копирование кодов в сеансовую память могут выполняться как последовательно, так и параллельно – суть разделения этапов от этого не меняется.

Новая гарвардская архитектура обеспечивает защищенность, надежность и экономичность компьютеров, и обладает следующими свойствами [1]:

• Вирусный иммунитет. В основе действия программ, которые принято называть «вирусами» лежит процесс «заражения». То есть они сначала в систему попадают, потом в нее записываются, стартуют и начинают действовать в соответствии со своим предназначением. Антивирусы преимущественно борются с попаданием вирусов на компьютер. СЗИ с контролем запуска задач способны предотвратить работу вируса, даже если он заразил ПК.
• Доступная и контролируемая комплектация. В компьютерах Новой гарвардской архитектуры не используются процессоры Intel, в которых есть Intel ME и которые поставляются в наше время не всем.
• Доверенная среда для СКЗИ. Одним из основных требований к среде функционирования СКЗИ является ее зафиксированность. Это требование очень сложно соблюдать, потому что в обычных компьютерах все очень легко изменяется, и неизменность среды обеспечивается большими техническими и организационными усилиями. В случае с Новой гарвардской архитектурой неизменность является одним из базовых признаков.

В настоящее время ОКБ САПР разработан целый ряд защищенных микрокомпьютеров с Новой гарвардской архитектурой:

1. Микрокомпьютер «MKT-card long» – это микрокомпьютер, состоящий из универсальной док-станции с интерфейсами для подключения питания и периферии, а также отчуждаемого персонального микрокомпьютера (см. рисунок 9) [11]. Док-станция не содержит никаких данных или средств обработки, а отчуждаемый микрокомпьютер может сдаваться на хранение, например, в пенале для ключей, а может оставаться под личную ответственность пользователя.

Рисунок 9 – Микрокомпьютер «MKT-card long»

Варианты использования MKT-card long следующие: защищенный терминал, терминал с поддержкой сетевой загрузки, терминал для работы в двух контурах, защищенное АРМ хранения и сетевой загрузки, защищенный криптомаршрутиразатор объектового уровня.

Защищенный терминал – ОС полностью хранится в памяти RO микрокомпьютера и загружается локально. ОС содержит терминальный клиент (RDP или ICA) и клиент Аккорд TSE (Аккорд-ТК), а также может содержать другое функциональное ПО в соответствии с требованиями Заказчика. Конфигурационная информация, которая потенциально нуждается в изменении, может быть выделена из основного образа ОС и вынесена на sd- карту, которая устанавливается в отчуждаемый компьютер из состава «MKT-card long».

Терминал с поддержкой сетевой загрузки – в этом случае переменная часть образа ОС загружается по технологии защищенной сетевой загрузки, применяемой в ПАК «Центр-Т», с контролем целостности и аутентичности образа, загружаемого с сервера хранения и сетевой загрузки (СХСЗ).

Терминал для работы в двух контурах – в этом случае на этапе загрузки неизменяемой части ОС из защищенной памяти «MKT-card long» пользователь выбирает, в какой контур ему нужен доступ в данный момент, и, в зависимости от этого выбора загружается одна или другая переменная часть ОС из одного или другого источника (с sd-карты, с СХСЗ или из RO памяти микрокомпьютера, в зависимости от заказа). 

Защищенное АРМ хранения и сетевой загрузки – в функциональном смысле – это сервер хранения и сетевой загрузки, но мы сознательно воздержались от использования слова «сервер», так как оно в ряде организаций влечет за собой детерминированное размещение СВТ строго в серверной, что зачастую излишне для АРМ такого типа. За счет особенностей архитектуры «MKT‑card long» можно не хранить ПО сервера и загружаемые на Клиенты образы на отчуждаемом носителе, обеспечивая таким образом их защищенность – тот же эффект достигается за счет хранения в защищенной памяти микрокомпьютера.

Криптомаршрутизаторы KM и KM Server – полнофункциональное решение для построения VPN-сетей на основе протоколов SSLv3/TLSv1, с помощью которого можно решить широкий круг задач по обеспечению безопасного обмена информацией, включая подключение удаленных пользователей к корпоративной сети, безопасную связь между удаленными офисами, решения для удаленного доступа масштаба предприятий с поддержкой балансировки нагрузки, отказоустойчивости и четко разграниченным контролем доступа.

2. Плашет «TrusTPad» – это планшет с двумя ОС, хранящимися в разных банках памяти (защищенная и незащищенная). Защищенная ОС хранится в банке памяти, переведенном физически в состояние RO, незащищенная (обычная) хранится в обычной памяти, которую можно перезаписывать, как у любого обычного планшета [12]. Выбор, режима работы осуществляет пользователь путем переключения переключателя на корпусе планшета. Программа, вирус, хакер – не могут переключить физический переключатель на корпусе, поэтому выполнить этот перевод может гарантированно только пользователь. Внешний вид планшета приведен на рисунке 10.

Рисунок 10 – Плашет «TrusTPad»

3. «m-TrusT» – это промышленное решение, предназначенное для применения на объектах критических информационных инфраструктур [13]. Решение представляет собой комплекс распределенных одноплатных микрокомпьютеров «m-TrusT» Новой гарвардской архитектуры, обладающих «вирусным иммунитетом», и интерфейсных плат для них. Каждый микрокомпьютер «m-TrusT» (см. рисунок 11) является точкой сбора информационных и/или управляющих сигналов от ПКО, их шифрованием для передачи по каналам связи, а также приема зашифрованных сигналов из каналов связи и их расшифровкой. Наличие собственной ОС и вычислительных ресурсов позволяет обеспечить достаточную для защиты сетевого взаимодействия производительность (возможна защищенная передача видеосигнала с камер без ощутимого снижения качества изображения) и высокий уровень защищенности. Особенностями «m-TrusT» является наличие датчика случайных чисел и размещение ПО в памяти с физически устанавливаемым доступом «только чтение» (RO), что исключает вредоносное воздействие на ПО и обеспечивает неизменность среды функционирования средств криптографической защиты информации.

Рисунок 11 – Микрокомпьютер « m-TrusT» (мезонин)

Микрокомпьютер не подключается напрямую ни к чему, кроме собственной интерфейсной платы. Интерфейсная плата необходима для подключения к тому или иному конкретному подконтрольному объекту и каналообразующей аппаратуре различных типов. Два варианта интерфейсных плат приведены на рисунке 12. Возможна разработка интерфейсных плат для других типов разъемов. На рисунке 13 приведен «m-Trust» на интерфейсных платах. Также существует исполнение «в стойку».

Рисунок 12 – Интерфейсные платы для микрокомпьютера « m-TrusT»

Рисунок 13 – Микрокомпьютер « m-TrusT» на интерфейсных платах

Специализированные компьютеры на базе решений ОКБ САПР

По мере того, как СВТ и средства защиты становятся сложнее, задача создания защищенного автоматизированного рабочего места (АРМ) из СВТ и средств защиты должна переходить от эксплуатирующей организации специалистам. ОКБ САПР выпускает защищенные АРМ на базе своих продуктов:

1. IME – подсистема, работающая на материнских платах производства Intel, и имеющая неограниченный доступ к ресурсам (память, сеть, диск) компьютера [14]. Даже в выключенном компьютере, который просто подключен с сети питания. Предлагаемое ОКБ САПР решение позволяет по команде из контроллера «Аккорд-АМДЗ» включать сетевое взаимодействие только после включения компьютера пользователем и корректного завершения всех контрольных процедур, выполняемых внутренним ПО «Аккорд-АМДЗ». При этом все данные процедуры выполняются с проверенным кодом BIOS, который стартует из собственной энергонезависимой и контролируемой процессором «Аккорд-АМДЗ» памяти. Кроме того, на отдельном процессорном модуле выполняется защита (с возможностью использования отечественной криптографии) всех сетевых взаимодействий и создается контролируемое взаимодействие компьютера с внешней средой.
2. Планшет СКЗИ ready «ПКЗ 2020» – планшет, в котором установлен сертифицированный ФСБ России «Аккорд-АМДЗ» на базе контроллера Аккорд-GXm.2 – средство доверенной загрузки (СДЗ) уровня платы расширения [15]. В связи с этим на планшете создается требуемая среда функционирования криптографии, и на нем можно использовать криптографию класса СКЗИ КС3. Как выглядит планшет показано на рисунке 14.

Рисунок 14 – Планшет СКЗИ ready «ПКЗ 2020»

3. ПАК «Ноутбук руководителя» предназначен для обеспечения защищенной работы удаленных пользователей с сервисами доверенной распределенной информационной системы через сеть Интернет в рамках доверенного сеанса связи [16]. Как выглядит данный ПАК показано на рисунке 15. В комплексе сохранены все преимущества мобильной рабочей станции, но при этом обеспечивается загрузка ОС в одном из режимов (защищенный и незащищенный). При выборе защищенного режима ОС загружается из защищённой от записи (RO) памяти комплекса СЗИ НСД «Аккорд-АМДЗ», жёсткий диск ноутбука при этом не используется. При этом пользователю предоставляется изолированная среда, в которой единственным доступным соединением является соединение, разрешенное администратором. Незащищенный (обычный) режим характеризуется тем, что безопасность сетевых соединений не контролируется, действия пользователя не ограничены, а ОС загружается из памяти ноутбука. Режим выбирается пользователем при включении ноутбука, когда загружается сервисная ОС из состава ПАК «Ноутбук руководителя», проверяющая наличие привязанной к ноутбуку смарт-карты пользователя в считывателе.

Рисунок 15 – ПАК «Ноутбук руководителя»

4. Двухконтурный моноблок – это моноблок, позволяющий пользователю работать в одной из двух защищенных ОС (в общем случае одна из них Windows, а вторая – Linux) [17]. Внешний вид данного моноблока представлен на рисунке 16. ОС Windows загружается с жесткого диска моноблока. При работе в этом режиме пользователь может устанавливать любое ПО и инициировать любые подключения в рамках заданных для него правил разграничения доступа: в ОС установлен ПАК «Аккорд-Win64». При запуске Двухконтурного моноблока во втором режиме ОС Linux загружается из защищенного от записи раздела памяти микрокомпьютера «MKT-card long», то есть не просто с другого жесткого диска, а с другого компьютера. При этом работа в этих режимах может вестись параллельно, для переключения не требуется ни перезагрузка, ни смена сеанса, все процессы продолжаются в каждой ОС своим чередом.

Рисунок 16 – Двухконтурный моноблок

Инфраструктурные решения на базе продуктов ОКБ САПР

Задачи защиты информации уверенно смещаются от защиты отдельных рабочих мест к защите инфраструктур.  На это направлены, в частности, все «двухконтурные» решения ОКБ САПР. Помимо этого есть инфраструктурные продукты, построенные на основе описанных технологий и подходов:

1. ПАК «Центр-Т» – комплекс, обеспечивающий защищенное хранение и загрузку ОС на пользовательские СВТ системы удаленного доступа [18].

Унифицировать среду исполнения ПО терминального клиента и одновременно сделать ее защищенной, но гибкой и администрируемой, можно с использованием комплексов защищенного хранения и сетевой загрузки ОС терминальных станций. Универсальная часть образа ОС терминального клиента при этом загружается с отчуждаемого персонального устройства пользователя, а затем, со специального сервера хранения и сетевой загрузки на клиент скачивается и после успешной проверки целостности и аутентичности полученного образа загружается та его часть, которая требует администрирования. Эта часть образа, включающая средства поддержки периферии (она может выходить из строя или просто заменяться), ограничения доступа к устройствам ввода-вывода и съемным носителям (принтерам, флешкам) и тому подобные «индивидуальные» настройки, должна быть доступной для изменений, но в то же время верифицируемой. Это и обеспечивается комплексами защищенного хранения и сетевой загрузки образов терминальных станций. Таким комплексом средств защищенного хранения и загрузки по сети образов ПО терминальных станций является ПАК «Центр-Т».

Главное отличие «Центр-Т» от «МАРШ!». заключается в наличии Сервера хранения и сетевой загрузки (СХСЗ). Система управления образами позволяет гибко администрировать инфраструктуру (переназначить сетевые адреса, изменить права, дать или отнять доступ), а также выполнять централизованное журналирование. Система, построенная на «МАРШ!», предполагает отсутствие необходимости в централизованной контроле, при возникновении каких-либо проблем пользователю необходимо обратиться к управляющему персоналу.

2. Комплексы средств для защиты виртуализации – «Аккорд-В.» и «Сегмент-В.» (для VMware), «Аккорд-KVM» (для KVM), «ГиперАккорд (для Hyper-V)» [19].

Виртуальные инфраструктуры на базе разных платформ виртуализации имеют в плане защиты информации одно общее отличие от физических инфраструктур: процесс их загрузки разнесен в пространстве и во времени. Создание и поддержание доверенной вычислительной среды в таких системах требует применения специально предназначенных для этого средств. В основу данных решений положена рассмотренная ранее концепция резидентного компонента безопасности. Защитные функции комплексов строятся на пошаговом контроле, то есть каждую проверку проводит компонент, уже проверенный перед этим.

3. Система интеграции СЗИ НСД со СКУД и видеонаблюдением «Рассвет» [20].

С применением этих средств можно интегрировать системы на нескольких уровнях (в зависимости от поставленных на конкретном объекте информатизации задач):

• объединение идентификаторов СКУД и СЗИ НСД,
• объединение объектов доступа СКУД и СЗИ НСД,
• объединение оборудования контроля доступа к АРМ СКУД, видеомониторинга и СЗИ НСД в одну подсистему.

Заключение

Рассмотренные решения ОКБ САПР предназначены для построения защищенных информационных систем или защиты уже построенных ИС. Данные решения реализованы на базе различных подходов к защите информации. Наиболее рациональным подходом является проектирование информационных систем с использованием защищенных компьютеров с архитектурой, в которой отсутствует базовая уязвимость классических архитектур, то есть компьютеров на базе Новой гарвардской архитектуры. Однако в некоторых эксплуатирующих организациях построение информационных систем основано на использовании СВТ с уязвимыми архитектурами, чаще всего фон-неймановской, так как в настоящее время они являются наиболее распространенными среди настольных ПК. В этом случае уязвимость предлагается компенсировать применением рассмотренных специальных средств защиты.

Список литературы

1. Конявский В.А. Доверенные информационные технологии: от архитектуры к системам и средствам / Конявский В. А., Конявская С. В. М. : ЛЕНАНД, 2019. 264с.
2. Аккорд-АМДЗ. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/accord/accord-amdz/ (дата обращения: 14.09.2020).
3. Секреты. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/storage/flash/secret/ (дата обращения: 14.09.2020).
4. ПАЖ. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/storage/data/pazh/ (дата обращения: 14.09.2020).
5. Идеальный токен. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/storage/auth/idealtoken/ (дата обращения: 14.09.2020).
6. МАРШ!. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/storage/compute/sods/marsh/ (дата обращения: 14.09.2020).
7. Специальные носители ПО «Центр-Т». [Электронный ресурс]. URL:  https://www.okbsapr.ru/products/storage/compute/center-t/ (дата обращения: 14.09.2020).
8. МНЛ. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/storage/data/mnl/ (дата обращения: 14.09.2020).
9. KeyMaker. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/spetsialnye-instrumenty/KeyMaker/ (дата обращения: 14.09.2020).
10. Транзит. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/storage/flash/transit/ (дата обращения: 14.09.2020).
11. MKT-card и MKT-card long. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/newharvard/mkt-card-long/ (дата обращения: 14.09.2020).
12. ПЛАНШЕТ «TRUSTPAD» ИННОВАЦИОННАЯ РОССИЙСКАЯ РАЗРАБОТКА. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/newharvard/trustpad/ (дата обращения: 14.09.2020).
13. m-TrusT. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/newharvard/m-trust/ (дата обращения: 14.09.2020).
14. Счастный Д.Ю. К вопросу о защите от Intel Management Engine // Вопросы защиты информации. М., 2018. № 2 (121). c. 37-40.
15. Планшет СКЗИ ready «ПКЗ 2020». [Электронный ресурс]. URL: https://www.okbsapr.ru/products/accord/planshetSKZIreadyPKZ2020/ (дата обращения: 14.09.2020).
16. ПАК «Ноутбук руководителя» [Электронный ресурс]. URL: https://www.okbsapr.ru/products/accord/pak-ceo-notebook/ (дата обращения: 14.09.2020).
17. Конявская С. В. Двухконтурный моноблок. / Конявская С. В., Шамардина Е. Г. Национальный банковский журнал. М., 2017. № 6 (160), июнь. c. 90-92.
18. ПАК «Центр». [Электронный ресурс]. URL: https://www.okbsapr.ru/products/management/PAKTSENTRT/ (дата обращения: 14.09.2020).
19. Защита систем виртуализации. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/virtsys/  (дата обращения: 14.09.2020).
20. Средства интеграции с системой видеомониторинга. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/management/video-integration/ (дата обращения: 14.09.2020).

Автор: Каннер(Борисова) Т. М.

Дата публикации: 05.10.2020

Выходные данные: 13-15 сентября 2020 года, Московская область

---