Новый российский моноблок «Бином-КА» вместил два разных ЦПУ и две ОС


    Моноблок «Бином-КА». Фото: Александр Уткин / Ростех

    На выставке МАКС-2019 концерн «Автоматика» госкорпорации «Ростех» представил моноблок «Бином-КА». Новая разработка объединяет в одном корпусе два независимых компьютера и обеспечивает защиту информационных систем: «Высокий уровень защиты информации достигается жёстким разделением (гальванической развязкой) двух вычислительных систем, — сказано в пресс-релизе. — “Открытая” система имеет доступ в интернет, “закрытая” система обеспечивает доступ в защищённую локальную сеть организации. Перенос информации из “открытой” системы в “закрытую” осуществляется через буфер обмена, копирование данных из “закрытой” системы невозможно».

    Такие ограничения должны защитить от утечек информации, хакерских атак и проникновения компьютерных вирусов в корпоративную сеть. Хотя полную защиту гарантировать нельзя, ведь два контура не полностью изолированы.

    Разработчики заявляют, что устройство адаптируется к требованиям конкретного заказчика. Для каждой из систем в моноблоке можно подобрать индивидуальную конфигурацию аппаратных и программных средств, распределяя между ними вычислительную мощность и функциональность. «Кроме того, заказчик может устанавливать для пользователей различные уровни доступа к информации: конфиденциальный, секретный и совершенно секретный», — отметили в аппарате радиоэлектронного кластера «Ростеха».




    Комплектующие из моноблока «Бином-КА». Фото: Александр Уткин / Ростех

    «Закрытый» контур


    «Закрытый» контур включает вычислительный модуль МП16.2, разработанный МЦСТ, с одноядерным процессором «Эльбрус-1С+» с тактовой частотой 1 ГГц. Здесь установлено 8 ГБ оперативной памяти DDR3 с ECC, есть поддержка интерфейса SATA III, шесть портов USB 2.0, четыре USB 3.0, три порта гигабитного LAN, два видеовыхода HDMI (разрешение до 1920x1440).

    Операционная система — «Эльбрус» (на базе Linux).

    Технические характеристики


    • Модуль процессора МП16.2
    • Процессор 1891ВМ11Я (Эльбрус-1С+), 1 ядро, тактовая частота 1000 МГц
    • Оперативная память — DDRЗ SDRAM с ЕСС 8 Гб. напаянная
    • FLASH BIOS — 64 Mbit SPI-Flash
    • Жёсткий диск 2.5" HDD/SSD
    • Видео — два HDMI (разрешение до 1920x1440)
    • Интерфейс SATA III — SSD InnoDisk 16 Гбайт, два интерфейса на плате
    • 6 портов USB 2.0
    • 3 порта LAN Ethernet 10/100/1000 Мбит/с
    • 2 порта RS-232C
    • 2 порта RS-485/422, с гальванической изоляцией, прочностью не менее 500 В в течение 1 минуты
    • Разъёмы (GA-B85TN) 4 х USB 3.0. RJ-45,1 х DP. 1 х HDMI 1.4а.
    • 2х аудио 8 каналов IO, стандарт TTL
    • Сторожевой таймер — внутренний, с возможностью программного управления
    • Память NVRAM 128 кбит
    • Часы реального времени с питанием от литиевой батареи
    • ОС «Эльбрус» с поддержкой реального времени

    «Открытый» контур


    «Открытый» контур включает в себя материнскую плату Gigabyte GA-B85TN с процессором Intel Core четвёртого поколения.

    Контур Intel поддерживает до 16 ГБ оперативной памяти DDR3, накопители SATA III, гигабитный LAN, звуковой чип Realtek ALC887, выход HDMI.

    Эта подсистема работает под управлением Windows.

    Технические характеристики


    • Процессор Intel Core'v 4-го поколения с TDP до 65W (до Core I7)
    • Видеоадаптер Intel HD graphics
    • Материнская плата 2xGigabyte GA-B85TN (базовый вариант)
    • RAM до 16 ГБ
    • Жёсткий диск 2.5" HDD/SSD
    • Разъёмы (GA-B85TN) 4 х USB 3.0, RJ-45.1 х DP. 1 х HDMI 1.4а. 2х аудио
    • Переключаемые между контурами: 4х USB 2.0
    • Сеть Realtek GbE LAN
    • Звук Realtek ALC887, интегрированный микрофон
    • Предустановленное ПО Microsoft Windows

    Моноблок


    24-дюймовый экран с разрешением Full HD и перечисленные выше аппаратные компоненты размещены в едином корпусе. Блок питания вынесен за его пределы. Общая масса устройства составляет 9 кг.

    Общие характеристики


    • Экран: 24". 1920×1080
    • Блок питания: внешний, входное напряжение 110-220 В. выходное напряжение 19 В
    • Масса: ~9кг
    • Оптический привод: внешний. USB. Опционально
    • Уровень шума: 28-35 дБА в зависимости от текущей нагрузки

    Если представленный днём ранее моноблок «Эльбрус 801М» с процессором «Эльбрус-8С» предназначен для силовых структур, то «Бином-КА» ориентирован, в первую очередь, на использование в информационных сетях органов государственной власти и управления, стратегически важных предприятий, кредитно-финансовых учреждений. Сейчас он проходит сертификацию на соответствие требованиям по защите информации.

    Стоимость компьютера пока не разглашается, но разработчики пояснили, что он обойдётся примерно на 25% дешевле, чем два отдельных компьютера с такой конфигурацией.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 32

      +4
      Это изобретение kvm свича?
        0
        там видимо еще маленький механический перетыкатель юсб флешки встроили, его называют «буфер обмена».
          0

          У логитека есть набор клава мышь для одновременного подключения к нескольким компам. Там тоже есть буфер обмена.

            0

            Можно модельку?

          0
          image
          Скорее всего не юсб флешка, а SD карта, с перетыкателем контактов и замыканием/размыканием lock для блокирования записи в этот буфер из «Закрытого» контура.
          И кто мешает юзеру перекинуть lan кабель из одного контура в другой, но об этом они наверно подумали…
            0
            И кто мешает юзеру перекинуть lan кабель из одного контура в другой, но об этом они наверно подумали…

            Товарищ капитан мешает :)
              +1
              Помню, во времена студенчества, был ларек с распечаткой, туда приходили студенты, выстаивали очередь минут в 5, втыкали свою флешку в комп, и распечатывали свои рефераты. И на этом компе жил троян-майнер, который заражал все флешки. Как же я тогда был благодарен судьбе, что под рукой был картридер и SD карта с переключателем)
              Правда, как я потом узнал, переключатель софтовый, и его можно программно обойти, но повезло, что разработчики трояна не упоролись)
                0
                переключатель софтовый
                Что за такой кардридер странный?
                По спецификации должна быть аппаратная блокировка на кардридере, другое дело что часто производители вообще не замарачиваються с переключателем на кардридере.То есть пишется независимо от выставленной защиты.
          +2
          Надо делать сразу 3 контура: открытый, закрытый и «карантин» для вконтакта :-)
            +3
            Нужно было ещё и ардуинку туда добавить.
              0
              Перенос информации из “открытой” системы в “закрытую” осуществляется через буфер обмена

              Помнится, я на одной работе, которая занималась той же фигнёй настроил локальную сеть через буфер обмена между тачками.

                0
                Монитор есть, осталось колесики прии… делать. :)
                  +2
                  Новый российский моноблок «Бином-КА» вместил два разных ЦПУ и две ОС.… Новая разработка объединяет в одном корпусе два независимых компьютера и обеспечивает защиту информационных систем: «Высокий уровень защиты информации достигается жёстким разделением (гальванической развязкой) двух вычислительных систем, — сказано в пресс-релизе. — “Открытая” система имеет доступ в интернет, “закрытая” система обеспечивает доступ в защищённую локальную сеть организации.

                  Странно, почему они новые? Такие моноблоки выпускались, начиная с 1998 года ЗАО "Микротест", под названием "Щит почта" (бля безопасной передачи почты из закрытой сети в Интернет и наоборот) и "Щит — интернет" для безопасного доступа к Web-ресурсам Интернет:
                  image
                  В стойке стоят два моноблока (один резервный). Стойка скоро уйдет на один из объектов сети передачи данный МПС России (РЖД). Это было 10 лет назад.
                  В 2000 году эти моноблоки демонстрировались в Госдуме:
                  image
                  Сегодня они выпускаются по названием Shield, используются в банках, вклюсая ЦБ РФ.

                    +4
                    «Щит почта» (бля безопасной передачи почты

                    Оговорочка по фрейду
                      +1

                      Да, оговорился так оговорился. Вообще я до 30 лет с лишним не использовал ненормативную лексику, пока не стал начальником. И тут оказалось, что люди плохо понимают литературный русский язык. Спасибо.

                    +1
                    Ну идея-то здравая, вопросы только к реализации.

                    А так — физическое разделение ОС и прикладных по сути программ существенно увеличило бы безопасность, когда ОС выполняется на отдельном физическом процессоре, и имеет собственную физическую память, а прочее ПО крутится на своём процессоре и своей памяти, вплоть до того, что из ОС можно остановить выполнение любого кода внутри «ведомой» части машины, или потактово отследить изменения в памяти. ОС много ресурсов не надо, можно спользовать даже ОСРВ.
                    По-моему, на каких-то машинах что-то подобное было реализовано, не помню, вроде на DEC?
                      +7
                      Высокий уровень защиты информации достигается жёстким разделением (гальванической развязкой) двух вычислительных систем

                      Мне кажется или тут написан какой-то бред? Какое отношение имеет гальваническая развязка к защите информации? Гальваническая развязка это про защиту электронных компонентов от внешних воздействий, информация же через гальванически развязанные интерфесы проходит свободно.
                        0
                        Может, как принудительное гашение скорости обмена данными?
                          0
                          Ethernet-порты имеют гальваническую развязку, не говоря уже об оптических интерфейсах, и гашение скорости не особо наблюдается.

                          Скорее всего, там реализовали буфер обмена как отдельное приложение на принципах Терминала, передающее информацию между машинами через RS-232, GPIO, или что-то своё (например однонаправленный интерфейс с коррекцией ошибок) в ASCII-кодах.
                          0
                          Вроде всё в порядке.
                          Гальваническая развязка это про защиту электронных компонентов от внешних воздействий

                          Грубо говоря, представьте, что какой-то секьюрный проц торчит ножками в сеть Ethernet. В этом случае он будет подвержен манипуляциям с искажением тактовых частот, напряжений и прочего. В случае гальванической развязки между процем и враждебной средой будет аппаратный элемент. Представьте теперь вариант с DDR, когда кто-то пытается провести rowhammer attack и магнитными наводками сбить флажки привилегий у защищенных секторов. Без гальванической развязки у него есть шансы.
                            +1
                            Мне кажется или тут написан какой-то бред? Какое отношение имеет гальваническая развязка к защите информации?
                            К цепям, имеющим выход за пределы контролируемой зоны и в которые могут проникнуть опасные сигналы через паразитные связи любых видов, относятся, прежде всего, цепи электропитания. Поэтому предотвращение утечки информации по этим цепям является одной из задач инженерно-технической защиты информации.
                            Ну как бы классика, как мне казалось. На ИБ учат что в технарях, что в институтах…
                            +2
                            А если без шуток, то идея выглядит очень прикольной. Сам принцип, что есть некая область памяти, к которой запись из защищенной области заблокирована аппаратно, хорош. Но наличие USB портов у защищенной машины — фу. Понятно, что работа с флешками будет заблокирована программно, но, теоретически, можно через буффер обмена передать бинарник, который использует уязвимость, и пропатчит защиту USB. После чего записать секретные данные на флешку. Что-то типа PS/2 (да еще и с аппаратно заблокированной обратной связью для диодов Caps/Num Lock) выглядит интереснее.

                            Также, вопрос, правильно ли выводить HDMI из секретной машины. Можно ведь подключить его в машину, которая будет сохранять весь поток, и попиксельно гигабайты данных прогнать, предварительно забросив через буффер обмена софт, который сформирует такую картинку
                              +1

                              Все порты будут закрыты металлической дверцей с амбарным замком.

                                0

                                Можно и проще, аналог старого доброго аудиомодема. В закрытый контур закачиваем программу-пищалку, а в открытом используем интегрированный микрофон. А если пьезодинамик на оконное стекло приклеить, то можно и удаленно считывать, лазерным лучом.

                                –3

                                Вот с одной стороны вроде хочется похвалить. Вроде старались. А с другой стороны понимаю что поделка представляет собой китайский моноблок с наклеенной коробкой а-ля терминальный клиент.

                                  0
                                  Не, ну вообще идея прикольная, есть такой дистр, хуникс, он делает нечто подобное, но там виртуалные машины используются, и внутренняя сеть виртуалбокса, соответственно возможны уязвимости… Однако реализация… почему моноблок с кастратными платами и разнокалиберными кулерами, нет ссд, почему платформа не амд, на тех же китайских лицензионных райзенах? Интел ME дезактивирован? Проще же десктоп с корпусом по типу блейд сервера, на два модуля, чтобы в корпусе бп и разъемы периферии, а на модулях вся логика.
                                    0
                                    Разработчики тоже называют центральный процессор этой жуткой калькой «ЦПУ»?
                                    Пока в системе есть человек — система не является неуязвимой. Что мешает оператору по памяти переносить данные между двумя системами?
                                      0
                                      Можно по памяти и врагу рассказывать, находясь вне режимного объекта)
                                      Объективно, сильно снижается скорость переноса данных. К примеру, надо некий список на 100000 контактов слить. В кабинетах есть камеры наблюдения + на входе металлоискатель, и смартфоны сдают на хранение. Теоретически можно как-то пронести маленький фотоаппарат, но, фоткая экран несколько часов подряд без остановки, могут по видео запалить. Если писать в блокнотик, тоже по видео запалят. Если постоянно переключать системы по 10000 раз в день, чтобы запоминать, и сразу же вводить, то такой паттерн отлавливается элементарно, и товарищ майор зайдет поинтересоваться, что происходит, уже после первой тысячи переключений.
                                      0
                                      Я не нашел на фотографиях упоминаемую материнскую плату Gigabyte GA-B85TN. Там изображена некая PIESIA pie-HM77-003, если кому интересно.
                                        0

                                        Почитал про защищённые KVM-свитчи ATEN, стало любопытно — а здесь тоже есть защита от вскрытия и замены компонентов? И наверняка используется чей-то готовый свитч — интересно, какой!


                                        Но вообще странно, что есть общий буфер обмена, то есть с Windows-машины можно занести в защищённую всё, что угодно… включая драйвер обхода защиты USB ))

                                          0
                                          Но вообще странно, что есть общий буфер обмена, то есть с Windows-машины можно занести в защищённую всё, что угодно… включая драйвер обхода защиты USB ))
                                          Так он, судя по описанию, однонаправленный, то есть со стороны защищенной машины открыт только на запись, а с незащищенной — только на чтение.

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое