В условиях роста числа целевых атак на российские предприятия и объекты критической информационной инфраструктуры (КИИ) недостаточно полагаться только на программные средства защиты. Аппаратная составляющая — это фундамент, на котором строится весь периметр безопасности. Именно Сервер с аппаратными модулями доверия становится последним рубежом обороны, где происходит проверка целостности системы, обнаружение вторжений на низком уровне и криптографическая обработка данных. Наш опыт показывает, что более 70% успешных атак можно отразить на этапе загрузки серверной платформы.
Аппаратные механизмы защиты сервера
Компания Шэньчжэньская компания коммуникационного оборудования Xianghao, Ltd. разрабатывает серверные платформы с учетом требований ФСТЭК и приказов Минцифры. Ключевое отличие нашего Сервер — использование доверенного платформенного модуля TPM 2.0, который хранит криптографические ключи и контролирует целостность UEFI. В комбинации с технологией Secure Boot и защищённым хранилищем сертификатов, Сервер предотвращает запуск неавторизованных загрузчиков и руткитов. Для объектов в нефтегазовом секторе и на атомных станциях мы устанавливаем дополнительные аппаратные детекторы несанкционированного доступа к шинам PCIe.
Ниже приведены характеристики модели, рекомендованной для центров обработки данных и узлов управления технологическими процессами. Данный Сервер прошёл сертификацию по требованиям безопасности информации (класс защищённости не ниже 2).
Параметр
Значение (модель XH-SEC-2224)
Процессор
2 x Intel Xeon Gold 6438M (32 ядра / 64 потока, поддержка SGX)
4 x 10GbE (SFP+) с функцией глубокой проверки пакетов (DPI) на уровне NIC
Защита от несанкционированного доступа к корпусу
Датчик вскрытия, защищённый лоток для дисков (FIPS 140-2)
Средства мониторинга
BMC с поддержкой Redfish и аудитом всех действий по IPMI
Климатическое исполнение для РФ
от –5°C до +55°C (с системой охлаждения с резервированием)
Важно отметить, что наш Сервер поддерживает технологию Intel Software Guard Extensions (SGX), которая создаёт изолированные анклавы для обработки критических данных. Это позволяет выполнять шифрование в режиме реального времени без снижения производительности.
Реальные сценарии защиты с использованием сервера
Один из наших клиентов — региональный оператор электроэнергетики — установил Сервер XH-SEC-2224 в качестве шлюза между SCADA-системой и внешними сетями. Благодаря аппаратной фильтрации пакетов и модулю глубокого анализа трафика удалось обнаружить и заблокировать 4 попытки внедрения ложных команд в течение первых суток. Другой пример — банковский сектор, где наш Сервер используется для хранения мастер-ключей шифрования. Аппаратный модуль TPM гарантирует, что даже при физическом доступе злоумышленники не смогут извлечь ключи из памяти.
Часто задаваемые вопросы: Как сервер помогает обеспечить кибербезопасность?
Вопрос 1: На что обратить внимание при выборе сервера для объектов, критически важных для инфраструктуры РФ?
Ответ: Для объектов КИИ обязательно наличие сертифицированного TPM-модуля и поддержки российской криптографии (ГОСТ 28147-89). Также критичны функции безопасной загрузки (UEFI Secure Boot) и возможность установки аппаратных средств доверенной загрузки. Мы рекомендуем модели с аппаратным мониторингом целостности шин PCIe — это исключает установку несанкционированных плат расширения. Наши инженеры помогут подобрать конфигурацию, прошедшую испытания в ФСТЭК.
Вопрос 2: Как настроить сервер для защиты от DDoS-атак на уровне оборудования, не прибегая к дополнительным платам?
Ответ:Мы используем встроенные механизмы offload-движков в сетевых картах, которые отбрасывают подозрительные пакеты до загрузки процессора. Настройка выполняется через утилиту ethtool и включение RSS (Receive Side Scaling) с фильтрацией по протоколам. Также важно активировать режим «синхронной защиты» в BIOS, который ограничивает количество полуоткрытых соединений. Для крупных проектов мы рекомендуем использовать наш Сервер с двумя независимыми сетевыми контроллерами для балансировки.
Вопрос 3: Как часто нужно проводить аппаратное тестирование защитных функций сервера и обновлять прошивки?
Ответ:Согласно стандартам ISO 27001 и требованиям ФСТЭК, полную проверку функций TPM и Secure Boot необходимо выполнять ежеквартально. Обновление микрокода UEFI рекомендуется проводить по мере выхода патчей безопасности (минимум раз в полгода). Мы разработали регламент диагностики с использованием встроенного самодиагностического модуля (BIST), который запускается автоматически при каждом старте. Наши сервисные инженеры проводят удалённый аудит целостности через защищённый канал.
Интеграция с системами мониторинга и SIEM
Наши Сервер поддерживают передачу событий безопасности в формате CEF в системы SIEM (например, MaxPatrol, Kaspersky). Аппаратный контроллер BMC фиксирует все попытки доступа к консоли и изменения конфигурации, что полностью соответствует требованиям приказа ФСТЭК № 17. Шэньчжэньская компания коммуникационного оборудования Xianghao, Ltd. предлагает готовые интеграционные модули для «ГосСОПКА» и других государственных систем мониторинга. Это позволяет в реальном времени отслеживать аномалии на уровне железа.
We use cookies to offer you a better browsing experience, analyze site traffic and personalize content. By using this site, you agree to our use of cookies.
Privacy Policy