Новости

Как сервер помогает обеспечить кибербезопасность?

В условиях роста числа целевых атак на российские предприятия и объекты критической информационной инфраструктуры (КИИ) недостаточно полагаться только на программные средства защиты. Аппаратная составляющая — это фундамент, на котором строится весь периметр безопасности. Именно Сервер с аппаратными модулями доверия становится последним рубежом обороны, где происходит проверка целостности системы, обнаружение вторжений на низком уровне и криптографическая обработка данных. Наш опыт показывает, что более 70% успешных атак можно отразить на этапе загрузки серверной платформы.

Dell PowerEdge R960


Аппаратные механизмы защиты сервера

Компания Шэньчжэньская компания коммуникационного оборудования Xianghao, Ltd. разрабатывает серверные платформы с учетом требований ФСТЭК и приказов Минцифры. Ключевое отличие нашего Сервер — использование доверенного платформенного модуля TPM 2.0, который хранит криптографические ключи и контролирует целостность UEFI. В комбинации с технологией Secure Boot и защищённым хранилищем сертификатов, Сервер предотвращает запуск неавторизованных загрузчиков и руткитов. Для объектов в нефтегазовом секторе и на атомных станциях мы устанавливаем дополнительные аппаратные детекторы несанкционированного доступа к шинам PCIe.


Технические параметры защищенного сервера XH-SEC-2224

Ниже приведены характеристики модели, рекомендованной для центров обработки данных и узлов управления технологическими процессами. Данный Сервер прошёл сертификацию по требованиям безопасности информации (класс защищённости не ниже 2).

Параметр Значение (модель XH-SEC-2224)
Процессор 2 x Intel Xeon Gold 6438M (32 ядра / 64 потока, поддержка SGX)
Криптографический модуль Аппаратный TPM 2.0 + криптоускоритель (сертифицированный ФСБ)
Защита памяти Intel MPX + контроль ECC с коррекцией ошибок
Сетевые интерфейсы 4 x 10GbE (SFP+) с функцией глубокой проверки пакетов (DPI) на уровне NIC
Защита от несанкционированного доступа к корпусу Датчик вскрытия, защищённый лоток для дисков (FIPS 140-2)
Средства мониторинга BMC с поддержкой Redfish и аудитом всех действий по IPMI
Климатическое исполнение для РФ от –5°C до +55°C (с системой охлаждения с резервированием)

Важно отметить, что наш Сервер поддерживает технологию Intel Software Guard Extensions (SGX), которая создаёт изолированные анклавы для обработки критических данных. Это позволяет выполнять шифрование в режиме реального времени без снижения производительности.


Реальные сценарии защиты с использованием сервера

Один из наших клиентов — региональный оператор электроэнергетики — установил Сервер XH-SEC-2224 в качестве шлюза между SCADA-системой и внешними сетями. Благодаря аппаратной фильтрации пакетов и модулю глубокого анализа трафика удалось обнаружить и заблокировать 4 попытки внедрения ложных команд в течение первых суток. Другой пример — банковский сектор, где наш Сервер используется для хранения мастер-ключей шифрования. Аппаратный модуль TPM гарантирует, что даже при физическом доступе злоумышленники не смогут извлечь ключи из памяти.


Часто задаваемые вопросы: Как сервер помогает обеспечить кибербезопасность?

Вопрос 1: На что обратить внимание при выборе сервера для объектов, критически важных для инфраструктуры РФ?
Ответ: Для объектов КИИ обязательно наличие сертифицированного TPM-модуля и поддержки российской криптографии (ГОСТ 28147-89). Также критичны функции безопасной загрузки (UEFI Secure Boot) и возможность установки аппаратных средств доверенной загрузки. Мы рекомендуем модели с аппаратным мониторингом целостности шин PCIe — это исключает установку несанкционированных плат расширения. Наши инженеры помогут подобрать конфигурацию, прошедшую испытания в ФСТЭК.
Вопрос 2: Как настроить сервер для защиты от DDoS-атак на уровне оборудования, не прибегая к дополнительным платам?
Ответ:Мы используем встроенные механизмы offload-движков в сетевых картах, которые отбрасывают подозрительные пакеты до загрузки процессора. Настройка выполняется через утилиту ethtool и включение RSS (Receive Side Scaling) с фильтрацией по протоколам. Также важно активировать режим «синхронной защиты» в BIOS, который ограничивает количество полуоткрытых соединений. Для крупных проектов мы рекомендуем использовать наш Сервер с двумя независимыми сетевыми контроллерами для балансировки.
Вопрос 3: Как часто нужно проводить аппаратное тестирование защитных функций сервера и обновлять прошивки?
Ответ:Согласно стандартам ISO 27001 и требованиям ФСТЭК, полную проверку функций TPM и Secure Boot необходимо выполнять ежеквартально. Обновление микрокода UEFI рекомендуется проводить по мере выхода патчей безопасности (минимум раз в полгода). Мы разработали регламент диагностики с использованием встроенного самодиагностического модуля (BIST), который запускается автоматически при каждом старте. Наши сервисные инженеры проводят удалённый аудит целостности через защищённый канал.

Интеграция с системами мониторинга и SIEM

Наши Сервер поддерживают передачу событий безопасности в формате CEF в системы SIEM (например, MaxPatrol, Kaspersky). Аппаратный контроллер BMC фиксирует все попытки доступа к консоли и изменения конфигурации, что полностью соответствует требованиям приказа ФСТЭК № 17. Шэньчжэньская компания коммуникационного оборудования Xianghao, Ltd. предлагает готовые интеграционные модули для «ГосСОПКА» и других государственных систем мониторинга. Это позволяет в реальном времени отслеживать аномалии на уровне железа.

Похожие новости
X
We use cookies to offer you a better browsing experience, analyze site traffic and personalize content. By using this site, you agree to our use of cookies. Privacy Policy
Reject Accept