С конца XX века невозможно представить себе жизнь без персонального компьютера. Практически вся используемая в обычных условиях компьютерная техника – от карманных компьютеров до стационарных ПК и всевозможной «периферии» – имеет защищённые аналоги. Отдельным классом защищённых устройств, наиболее востребованных в промышленности, оборонной сфере и на транспорте, являются ноутбуки, планшеты и карманные персональные компьютеры (КПК), сочетающие в себе высокую функциональность и мобильность со способностью работать в экстремальных условиях, например, при большой запылённости и влажности воздуха, в горячем цехе, на открытом воздухе при воздействии климатических и погодных факторов, в составе бортовой аппаратуры подвижных объектов и т.д. В данной статье пойдет речь о технологиях защиты от воздействия внешних факторов мобильных компьютеров и хранящихся на них данных. Под мобильными компьютерами будем понимать ноутбуки, планшеты и КПК.
Выпускают защищенные мобильные компьютеры как крупные производители, так и небольшие компании, при этом «начинка» у большинства выпускаемых изделий во многом схожа. Основные доля так называемых фирменных решений приходится на усовершенствования, которые касаются корпуса и организации расположения внутренних компонентов, наличия или отсутствия узлов, защищенных специальными амортизирующими прокладками, специальной защитной пленки для дисплея и т.п.
Среди самых известных в России производителей защищенных мобильных компьютеров можно упомянуть следующих:
Продукция этих компаний разрабатывается для жестких условий эксплуатации и нацелена на применение в мобильных научных (географических геологических, гидрографических и др.) исследованиях и изысканиях, при натурных испытаниях в опасных и агрессивных средах, при работе на объектах промышленности, транспорта и строительства, в сфере общественной безопасности и военных приложениях.
В настоящее время сложилось условное деление защищенных компьютеров по степени защищенности на полностью защищенные (fully rugged), полузащищенные (semi-rugged) и легкой степени защищенности, или бизнесс-класса, для делового применения (business rugged). Также встречаются упоминания об ультразащищенных моделях (ultra-rugged), но следует, скорее, расценивать это как рекламный ход, чем пытаться выделить такие модели в отдельную категорию.
Уже само название – защищённые компьютеры – подразумевает предъявление к ним целого ряда требований, направленных на сохранение работоспособности и защиту электроники, а значит, и данных пользователя при различных воздействиях. Традиционно эти требования разбиваются на четыре чётко выраженные группы:
1) устойчивость к механическим факторам – компьютер должен надёжно функционировать в условиях воздействия механических ударов и вибраций;
2) устойчивость к климатическим факторам – предполагается способность компьютера работать прежде всего в расширенном диапазоне температур;
3) устойчивость к агрессивной среде – компьютер должен быть защищён от проникновения внутрь устройства влаги, пыли, соляного тумана, а их попадание на рабочие части ноутбука не должно сказываться на его работоспособности;
4) обеспечение защиты информации – в компьютере должны поддерживаться сохранность накопителей информации и защита от несанкционированного доступа к информации.
Рассмотрим технические решения, применяемые в защищенных мобильных компьютерах, для выполнения требований по защите самого устройства, хранящихся и передаваемых пользовательских данных.
Для выполнения требований, предъявляемых к защищённому мобильному компьютеру, существует ряд технических решений – от простейших механических средств до реализации последних достижений в области полупроводников.
Основным преимуществом и отличием защищенных карманных и планшетных ПК перед защищенными ноутбуками является более просто реализуемая возможность обе¬зопасить их от небрежного обращения и жестких условий окружающей среды. Планшеты и КПК, в принципе, более устойчивы к ударам и падениям, ввиду использования минимального количества подвижных и съемных деталей. Комплектующие планшетов и карманных ПК не предполагают замены и прочно закреплены, что позволяет сконструировать корпус, обладающий минимальным количеством деталей и соединений. В связи с этим, в статье больший акцент будет сделан на способах защиты, применяемых в ноутбуках.
Рассмотрение начнем со способов защиты конструктивных элементов компьютера, спроектированного для работы в жёстких условиях эксплуатации.
Корпус компьютера для промышленного применения должен, с одной стороны, иметь достаточную механическую прочность для сопротивления ударам и вибрациям, а с другой – быть достаточно лёгким для переноски в руках в течение рабочего дня (рис.1).
Рис.1. Корпус защищенного ноутбука
Сочетание лёгкости и прочности корпуса промышленного компьютера достигается за счёт нескольких конструктивных особенностей. Корпус компьютера изготовлен из магниевого сплава по технологии тонкостенного литья и обладает высокой прочностью. При незначительной толщине стенки корпус из магниевого сплава имеет малый вес и большую прочность. В корпусе есть отверстия для снижения веса и рёбра жёсткости для придания дополнительной прочности корпусу. В некоторых защищенных ноутбуках используется метод раздельной герметизации корпуса и контейнеров съемных устройств (как в подводной лодке): при попадании агрессивной среды внутрь какого-либо отсека эта агрессивная среда не попадает в другие отсеки.
Нередко, наряду со штыревыми бытовыми или полупромышленными разъемами, защищенные компьютеры комплектуются высокопрочными байонетными металлическими («военными») разъемами (рис.2).
Рис.2. Защищенный ноутбук с высокопрочными разъемами
Использование байонетных металлических разъемов позволяет значительно улучшить качество и прочность кабельного соединения через порты ввода/вывода, обеспечивая тем самым выполнение высоких требований по вибропрочности и позволяя эксплуатировать изделия на подвижной платформе.
Для возможности работы на улице, защищенные компьютеры оснащаются дисплеем высокой яркости, обеспечивающим хорошую считываемость отображаемой информации под прямыми солнечными лучами. Помимо высокой яркости, современные дисплеи защищенных компьютеров устойчивы к царапинам и нередко имеют функцию сенсорного управления устройством, позволяя вводить информацию даже в перчатках.
Чтобы компьютер был нечувствителен к воздействию влаги, места соединения узлов его корпуса изолируются специальными силиконовыми прокладками. Таким образом влага и пыль не могут попасть внутрь устройства, сохраняя его электронную «начинку» в безопасности. Для изоляции портов ввода-вывода и отсеков для периферийного оборудования применяются специальные защитные крышки портов (рис. 3).
Рис.3. Крышка отсека промышленного ноутбука
Далее рассмотрим способы, обеспечивающие защиту передаваемой информации и хранящихся на защищенных компьютерах пользовательских данных.
По данным, полученным в результате ежегодного исследования: «Утечки конфиденциальной информации», проведенного аналитическим центром Zecurion Analytics (рис. 4), чаще всего информация утекает через ноутбуки и мобильные накопители (суммарно 19,4%), веб-сервисы (18,2%), компьютеры (16,1%), а также неэлектронные носители (13,8%).
Рис.4. Каналы утечки информации (по данным Zecurion Analytics)
В данном отчете специально разделена категория «компьютеры и ноутбуки» на две. С точки зрения информационной безопасности ноутбуки ближе к мобильным устройствам и носителям информации. Исходя из статистики инцидентов, наиболее частым сценарием является утеря/кража лэптопа. Стационарные же компьютеры, хотя и хранят в большинстве случаев те же данные, что и ноутбуки, менее уязвимы перед подобными сценариями утечек и могут защищаться иными техническими средствами. Для стационарных компьютеров актуальна защита от утечек через локальные порты и по сетевым каналам. В то же время для ноутбуков, помимо этого, критически важным является шифрование.
Сохранность накопителей информации и защита от несанкционированного доступа к информации достигается способами, рассмотренными ниже.
Система защиты жесткого диска. Он упакован в специальный металлический контейнер, с ячеистым наполнителем (что-то среднее между пенопластом и поролоном), который абсорбирует удары и вибрации, защищая жесткий диск (рис. 5).
Рис.5. Технология защиты жесткого диска
К тому же, контейнер (рис. 6) оснащается системой подогрева, позволяющей работать с ноутбуком на морозе.
Рис.6. Контейнер для жесткого диска
Запрет на доступ к хранимой на компьютере информации осуществляется при использовании съемного модуля для жесткого диска (модуль легко снимается и может храниться в сейфе), а также при помощи сканера отпечатков пальцев и считывателя смарт-карт, обеспечивающих возможность идентификации пользователя и разграничение полномочий при использовании компьютера несколькими пользователями. Хранимая на компьютере информация может быть защищена не только от непосредственного контакта изделия с нарушителем, но и от несанкционированного съема информации бесконтактным методом, для чего компьютер оснащается дополнительным электромагнитным экранированием.
Для снижения риска кражи защищаемого устройства, компьютеры могут быть оборудованы Кенсингтонским замком (Kensington lock). Данный замок весьма эффективен против краж «на рывок», когда вор хватает устройство и бежит — в магазинах, гостиницах и т.д.
Обеспечение безопасной передачи данных по сети, а также уникальная идентификация компьютера в корпоративной сети, осуществляются при оборудовании устройства модулем TPM (Trusted Platform Module). Использование модуля TPM позволяет осуществлять все операции, связанные с безопасностью информации и защитой конфиденциальности, например, шифрование файлов и хранение ключа шифрования, абстрагируясь от аппаратуры или операционной системы. В компьютерах с TPM-модулем ключ для расшифровки данных на диске хранится в TPM-чипе. Даже если жесткий диск будет утерян или его похищен, информацию с него расшифровать невозможно.
Ограничить доступ к хранимым на компьютере данным, реализовать надежный контроль доступа пользователей к техническим средствам компьютера и выполнения загрузки доверенной операционной системы (ОС) возможно при использовании аппаратно-программного модуля доверенной загрузки (АПМДЗ).
Обезопасить хранимые и передаваемые данные пользователя от закладок возможно при использовании специальных сертифицированных операционных систем, например, таких как Astra Linux Смоленск, ЗОСРВ «Нейтрино» и др. (рис. 7).
Рис.7 Защищенный планшет Fastwel под управлением ОСРВ QNX Neutrino
Для обеспечения безопасности пользователя в экстремальных условиях, а вместе с тем и хранящихся на компьютере данных, они оснащаются специальными кнопками быстрого переключения, например такие как: «Затемнение» и «Авария». В критических ситуациях нажатием кнопки «Затемнение» осуществляется немедленное отключение всей подсветки оборудования. Кнопка «Авария» может быть предназначена для вызова диспетчерского центра для быстрого реагирования в непредвиденных, опасных для жизни ситуациях.
Наряду с внешними дополнительным (опциональным) оборудованием и устройствами обеспечения безопасности и защиты, используются и аппаратные, системные средства. Так процессорный блок компьютера может содержать отдельный процессор (выделенное процессорное ядро), отвечающий за безопасность, который обеспечивает высокий уровень защиты от несанкционированного доступа и высвобождает вычислительную мощность универсального процессора для выполнения других задач.
По оценкам специалистов Zecurion Analytics относительно технических средств защиты, следует ожидать рост популярности продуктов для шифрования. Данный класс решений отличают относительная простота внедрений и низкой совокупной стоимостью владения. Внедрение средств шифрования позволит устранить широкий пласт утечек, связанных с воровством/утерей мобильных и резервных накопителей, компьютеров, взломом сети внешними злоумышленниками, несанкционированным доступом к информационным ресурсам и других.
Все описанные методы защиты позволяют создать устройство, не уступающее по своим вычислительным характеристикам коммерческим (незащищённым) аналогам, но при этом способное работать в полевых условиях, под воздействием ударов, воды, грязи и пыли без потери потребительских качеств. При этом цена за одно изделие превышает коммерческий аналог в несколько раз, но разница с лихвой окупается безотказной работой и отсутствием поломок защищенного компьютера. Следует отметить, что, инвестируя в вычислительную технику в специсполнении, заказчик страхует себя от многократно больших затрат, связанных с потерей хранящейся и передаваемой информации, возможным простоем другой дорогостоящей техники и высокооплачиваемых специалистов из-за поломки такой сравнительно простой, но необходимой вещи, как мобильный компьютер.
Производители, представленные на российском рынке
Выпускают защищенные мобильные компьютеры как крупные производители, так и небольшие компании, при этом «начинка» у большинства выпускаемых изделий во многом схожа. Основные доля так называемых фирменных решений приходится на усовершенствования, которые касаются корпуса и организации расположения внутренних компонентов, наличия или отсутствия узлов, защищенных специальными амортизирующими прокладками, специальной защитной пленки для дисплея и т.п.
Среди самых известных в России производителей защищенных мобильных компьютеров можно упомянуть следующих:
- иностранные компании: Getac Technology, Panasonic, EVOC Intelligent Technology, Twinhead International Corp, American Reliance Inc. (AMREL™ Corporation);
- отечественные компании: НИЦЭВТ, НПО «ТЕХНИКА-СЕРВИС» (TS Computers), НТЦ ЭЛИНС, Fastwel.
Продукция этих компаний разрабатывается для жестких условий эксплуатации и нацелена на применение в мобильных научных (географических геологических, гидрографических и др.) исследованиях и изысканиях, при натурных испытаниях в опасных и агрессивных средах, при работе на объектах промышленности, транспорта и строительства, в сфере общественной безопасности и военных приложениях.
Классификация защищенных компьютеров
В настоящее время сложилось условное деление защищенных компьютеров по степени защищенности на полностью защищенные (fully rugged), полузащищенные (semi-rugged) и легкой степени защищенности, или бизнесс-класса, для делового применения (business rugged). Также встречаются упоминания об ультразащищенных моделях (ultra-rugged), но следует, скорее, расценивать это как рекламный ход, чем пытаться выделить такие модели в отдельную категорию.
Уже само название – защищённые компьютеры – подразумевает предъявление к ним целого ряда требований, направленных на сохранение работоспособности и защиту электроники, а значит, и данных пользователя при различных воздействиях. Традиционно эти требования разбиваются на четыре чётко выраженные группы:
1) устойчивость к механическим факторам – компьютер должен надёжно функционировать в условиях воздействия механических ударов и вибраций;
2) устойчивость к климатическим факторам – предполагается способность компьютера работать прежде всего в расширенном диапазоне температур;
3) устойчивость к агрессивной среде – компьютер должен быть защищён от проникновения внутрь устройства влаги, пыли, соляного тумана, а их попадание на рабочие части ноутбука не должно сказываться на его работоспособности;
4) обеспечение защиты информации – в компьютере должны поддерживаться сохранность накопителей информации и защита от несанкционированного доступа к информации.
Решения и механизмы защиты
Рассмотрим технические решения, применяемые в защищенных мобильных компьютерах, для выполнения требований по защите самого устройства, хранящихся и передаваемых пользовательских данных.
Для выполнения требований, предъявляемых к защищённому мобильному компьютеру, существует ряд технических решений – от простейших механических средств до реализации последних достижений в области полупроводников.
Основным преимуществом и отличием защищенных карманных и планшетных ПК перед защищенными ноутбуками является более просто реализуемая возможность обе¬зопасить их от небрежного обращения и жестких условий окружающей среды. Планшеты и КПК, в принципе, более устойчивы к ударам и падениям, ввиду использования минимального количества подвижных и съемных деталей. Комплектующие планшетов и карманных ПК не предполагают замены и прочно закреплены, что позволяет сконструировать корпус, обладающий минимальным количеством деталей и соединений. В связи с этим, в статье больший акцент будет сделан на способах защиты, применяемых в ноутбуках.
Рассмотрение начнем со способов защиты конструктивных элементов компьютера, спроектированного для работы в жёстких условиях эксплуатации.
Корпус компьютера для промышленного применения должен, с одной стороны, иметь достаточную механическую прочность для сопротивления ударам и вибрациям, а с другой – быть достаточно лёгким для переноски в руках в течение рабочего дня (рис.1).
Рис.1. Корпус защищенного ноутбука
Сочетание лёгкости и прочности корпуса промышленного компьютера достигается за счёт нескольких конструктивных особенностей. Корпус компьютера изготовлен из магниевого сплава по технологии тонкостенного литья и обладает высокой прочностью. При незначительной толщине стенки корпус из магниевого сплава имеет малый вес и большую прочность. В корпусе есть отверстия для снижения веса и рёбра жёсткости для придания дополнительной прочности корпусу. В некоторых защищенных ноутбуках используется метод раздельной герметизации корпуса и контейнеров съемных устройств (как в подводной лодке): при попадании агрессивной среды внутрь какого-либо отсека эта агрессивная среда не попадает в другие отсеки.
Нередко, наряду со штыревыми бытовыми или полупромышленными разъемами, защищенные компьютеры комплектуются высокопрочными байонетными металлическими («военными») разъемами (рис.2).
Рис.2. Защищенный ноутбук с высокопрочными разъемами
Использование байонетных металлических разъемов позволяет значительно улучшить качество и прочность кабельного соединения через порты ввода/вывода, обеспечивая тем самым выполнение высоких требований по вибропрочности и позволяя эксплуатировать изделия на подвижной платформе.
Для возможности работы на улице, защищенные компьютеры оснащаются дисплеем высокой яркости, обеспечивающим хорошую считываемость отображаемой информации под прямыми солнечными лучами. Помимо высокой яркости, современные дисплеи защищенных компьютеров устойчивы к царапинам и нередко имеют функцию сенсорного управления устройством, позволяя вводить информацию даже в перчатках.
Чтобы компьютер был нечувствителен к воздействию влаги, места соединения узлов его корпуса изолируются специальными силиконовыми прокладками. Таким образом влага и пыль не могут попасть внутрь устройства, сохраняя его электронную «начинку» в безопасности. Для изоляции портов ввода-вывода и отсеков для периферийного оборудования применяются специальные защитные крышки портов (рис. 3).
Рис.3. Крышка отсека промышленного ноутбука
Далее рассмотрим способы, обеспечивающие защиту передаваемой информации и хранящихся на защищенных компьютерах пользовательских данных.
По данным, полученным в результате ежегодного исследования: «Утечки конфиденциальной информации», проведенного аналитическим центром Zecurion Analytics (рис. 4), чаще всего информация утекает через ноутбуки и мобильные накопители (суммарно 19,4%), веб-сервисы (18,2%), компьютеры (16,1%), а также неэлектронные носители (13,8%).
Рис.4. Каналы утечки информации (по данным Zecurion Analytics)
В данном отчете специально разделена категория «компьютеры и ноутбуки» на две. С точки зрения информационной безопасности ноутбуки ближе к мобильным устройствам и носителям информации. Исходя из статистики инцидентов, наиболее частым сценарием является утеря/кража лэптопа. Стационарные же компьютеры, хотя и хранят в большинстве случаев те же данные, что и ноутбуки, менее уязвимы перед подобными сценариями утечек и могут защищаться иными техническими средствами. Для стационарных компьютеров актуальна защита от утечек через локальные порты и по сетевым каналам. В то же время для ноутбуков, помимо этого, критически важным является шифрование.
Сохранность накопителей информации и защита от несанкционированного доступа к информации достигается способами, рассмотренными ниже.
Система защиты жесткого диска. Он упакован в специальный металлический контейнер, с ячеистым наполнителем (что-то среднее между пенопластом и поролоном), который абсорбирует удары и вибрации, защищая жесткий диск (рис. 5).
Рис.5. Технология защиты жесткого диска
К тому же, контейнер (рис. 6) оснащается системой подогрева, позволяющей работать с ноутбуком на морозе.
Рис.6. Контейнер для жесткого диска
Запрет на доступ к хранимой на компьютере информации осуществляется при использовании съемного модуля для жесткого диска (модуль легко снимается и может храниться в сейфе), а также при помощи сканера отпечатков пальцев и считывателя смарт-карт, обеспечивающих возможность идентификации пользователя и разграничение полномочий при использовании компьютера несколькими пользователями. Хранимая на компьютере информация может быть защищена не только от непосредственного контакта изделия с нарушителем, но и от несанкционированного съема информации бесконтактным методом, для чего компьютер оснащается дополнительным электромагнитным экранированием.
Для снижения риска кражи защищаемого устройства, компьютеры могут быть оборудованы Кенсингтонским замком (Kensington lock). Данный замок весьма эффективен против краж «на рывок», когда вор хватает устройство и бежит — в магазинах, гостиницах и т.д.
Обеспечение безопасной передачи данных по сети, а также уникальная идентификация компьютера в корпоративной сети, осуществляются при оборудовании устройства модулем TPM (Trusted Platform Module). Использование модуля TPM позволяет осуществлять все операции, связанные с безопасностью информации и защитой конфиденциальности, например, шифрование файлов и хранение ключа шифрования, абстрагируясь от аппаратуры или операционной системы. В компьютерах с TPM-модулем ключ для расшифровки данных на диске хранится в TPM-чипе. Даже если жесткий диск будет утерян или его похищен, информацию с него расшифровать невозможно.
Ограничить доступ к хранимым на компьютере данным, реализовать надежный контроль доступа пользователей к техническим средствам компьютера и выполнения загрузки доверенной операционной системы (ОС) возможно при использовании аппаратно-программного модуля доверенной загрузки (АПМДЗ).
Обезопасить хранимые и передаваемые данные пользователя от закладок возможно при использовании специальных сертифицированных операционных систем, например, таких как Astra Linux Смоленск, ЗОСРВ «Нейтрино» и др. (рис. 7).
Рис.7 Защищенный планшет Fastwel под управлением ОСРВ QNX Neutrino
Для обеспечения безопасности пользователя в экстремальных условиях, а вместе с тем и хранящихся на компьютере данных, они оснащаются специальными кнопками быстрого переключения, например такие как: «Затемнение» и «Авария». В критических ситуациях нажатием кнопки «Затемнение» осуществляется немедленное отключение всей подсветки оборудования. Кнопка «Авария» может быть предназначена для вызова диспетчерского центра для быстрого реагирования в непредвиденных, опасных для жизни ситуациях.
Наряду с внешними дополнительным (опциональным) оборудованием и устройствами обеспечения безопасности и защиты, используются и аппаратные, системные средства. Так процессорный блок компьютера может содержать отдельный процессор (выделенное процессорное ядро), отвечающий за безопасность, который обеспечивает высокий уровень защиты от несанкционированного доступа и высвобождает вычислительную мощность универсального процессора для выполнения других задач.
По оценкам специалистов Zecurion Analytics относительно технических средств защиты, следует ожидать рост популярности продуктов для шифрования. Данный класс решений отличают относительная простота внедрений и низкой совокупной стоимостью владения. Внедрение средств шифрования позволит устранить широкий пласт утечек, связанных с воровством/утерей мобильных и резервных накопителей, компьютеров, взломом сети внешними злоумышленниками, несанкционированным доступом к информационным ресурсам и других.
Заключение
Все описанные методы защиты позволяют создать устройство, не уступающее по своим вычислительным характеристикам коммерческим (незащищённым) аналогам, но при этом способное работать в полевых условиях, под воздействием ударов, воды, грязи и пыли без потери потребительских качеств. При этом цена за одно изделие превышает коммерческий аналог в несколько раз, но разница с лихвой окупается безотказной работой и отсутствием поломок защищенного компьютера. Следует отметить, что, инвестируя в вычислительную технику в специсполнении, заказчик страхует себя от многократно больших затрат, связанных с потерей хранящейся и передаваемой информации, возможным простоем другой дорогостоящей техники и высокооплачиваемых специалистов из-за поломки такой сравнительно простой, но необходимой вещи, как мобильный компьютер.