Микрокомпьютерная платформа Микро-ПК µPC™

Микроминиатюрный компьютер с защитой информации µPC™ (микро-ПК) предназначен для обеспечения безопасной обработки и хранения данных в автономном режиме или в составе открытых информационных систем различного назначения за счет формирования собственной рабочей зоны с высокой степенью защиты информации. Разработка подтверждена и защищена международным (US10437608B2 ) и российским (RU 89256 U1 ) патентами.

Изделие создавалось как базовый элемент универсальной защищенной платформы для обработки персональных данных и другой конфиденциальной информации, полностью удовлетворяющей самым жестким российским и международным требованиям к обеспечению безопасности информации и включающей в себя:

• микро-ПК с интерфейсами USB и HDMI;
• система поддержки;
• средства разработки;
• нейросеть.

Он представляет собой компьютер нового типа, выполненный в форм-факторе USB-флэш, имеющий собственную встроенную систему установки и удаления программ, аутентификации пользователя и защиты от атак злоумышленников и вредоносных программ-вирусов.

Микро-ПК использует современный высокопроизводительный процессор, как и широко представленные на рынке планшетные компьютеры, смартфоны и коммуникаторы, однако, в отличие от них, он не имеет экрана и устройства ввода данных, поэтому вся производительность процессора может быть использована для выполнения установленных на нем программ. Такая реализация функций отображения и ввода данных --в микро-ПК позволила решить сразу несколько важных задач:

• освободить процессор от работы с экраном и направить всю его вычислительную мощность на выполнение программ;
• добиться максимальной миниатюризации изделия при сохранении вычислительной мощности, соизмеримой с мощностью современного смартфона или планшетного компьютера;
• обеспечить беспрецедентную степень защиты данных и программ за счет наличия изолированной памяти для выполнения программ пользователя;
• позволить его использование совместно с любыми средствами отображения и ввода данных без модификации встроенного программного обеспечения;
• максимально снизить стоимость изделия и технической платформы.

Для решения задач отображения и ввода данных µPC™ использует любой внешний компьютер-донор, имеющий экран, клавиатуру и мышь со штатными драйверами периферийных устройств или даже обычный современный телевизор с соответствующим интерфейсом. µPC™ подключается к компьютеру-донору через разъем USB и получает от него питание.

При подключении µPC™ он распознается, как USB-флэш накопитель. На этом накопителе размещены файлы автозапуска autorun.inf для Windows-систем и autorun.sh для Unix-систем. В зависимости от того, какая операционная система установлена на компьютере-доноре, будет запущен соответствующий файл. Если политика безопасности компьютера-донора запрещает автоматический запуск программ со съемных носителей, соответствующий файл автозапуска µPC™ может быть выполнен в ручном режиме.

Файл автозапуска загружает соответствующий вариант программы Launcher, который настраивает соединение между µPC™ и компьютером-донором, после чего µPC™ начинает восприниматься последним как обычная сетевая карта. Кроме того, Launcher перенаправляет графическую информацию из µPC™ в окна, создаваемые на экране компьютера-донора, а в собственном окне отображает кнопки управления (иконки), позволяющие запускать приложения µPC™.

При нажатии на кнопки запускается соответствующее выбранное приложение, для которого на экране компьютера-донора создается отдельное окно. Таким образом, за счет средств ввода-вывода компьютера-донора обеспечивается полноценная работа пользователя с приложениями µPC™.

Для завершения работы с µPC™ достаточно отключить его от компьютера-донора. В момент отключения µPC™ пропадает напряжение питания, но это не вызывает потерю несохраненных данных, так как µPC™ имеет встроенный аккумулятор, обеспечивающий штатное завершение работы. После переключения на аккумуляторное питание в µPC™ завершаются все ранее запущенные приложения и сохраняются все ранее открытые документы. Процедура завершения работы занимает всего несколько секунд, что не требует частого заряда аккумулятора, который производится автоматически при подключении к компьютеру-донору.

µPC™ имеет жидкокристаллический индикатор, отображающий текущее состояние. Во время запуска и завершения работы индикатор отображает соответствующую информацию: «Загрузка» или «Завершение работы». В процессе работы на индикатор выводится информация о запущенных приложениях, имеющемся свободном дисковом пространстве, уровне заряда аккумулятора и другие справочные данные.

µPC™ может оснащаться дополнительными встроенными компонентами, включая разъем для карты памяти микро-SD, 3G или LTE модем, USB разъем для подключения внешних устройств, модуль WiFi/Bluetooth, микрофон.

Основу защиты µPC™ от внешних атак составляет собственная система установки/удаления программ и идентификации пользователя. Он не может быть заражен вирусами или хакерскими эксплойт-программами, поскольку такие программы не могут быть выполнены в памяти µPC™ из-за применения следующих технических решений:

• дисковое пространство изделия может быть зашифровано;
• система установки и удаления программ модифицирована таким образом, что в памяти может быть установлена и выполнена только та программа, которая была предварительно зашифрована соответствующим уникальным ключом, подходящим только для данного изделия;
• ключ хранится во встроенном электронном идентификаторе Rutoken с формированием электронной цифровой подписи, который на сегодня признан не вскрываемым;
• обмен любыми данными и программами с внешними источниками осуществляется в зашифрованном виде;
• при обмене с внешними источниками ключ шифрования не передается в канале обмена данными;
• аппаратная платформа изделия не содержит консольных или отладочных портов для перехвата управления;
• программная платформа изделия не включает поддержку консольных или отладочных портов, которые могли бы обеспечить проникновение или перехват управления.

Реализованные в µPC™ инновационные технические решения позволяют с уверенностью утверждать следующее:

• демонтаж компонентов изделия не позволяет свободно считать содержимое флэш-памяти из-за наличия шифрования;
• преднамеренный взлом защиты самим пользователем индивидуального изделия не влияет на безопасность других компьютеров и не позволяет выработать общий метод взлома;
• с помощью изделия можно установить безопасное соединение для обмена данными по любому открытому каналу связи из любого не доверенного места.

Подобная степень защиты данных и программ открывает для µPC™ множество применений, где важна сохранность персональных данных пользователя, достоверность получаемой информации и безопасность удаленных соединений, в том числе, через открытую сеть Интернет.

Платформа µPC™ позволяет организовать корректную обработку персональных данных в любой организации, учреждении или на предприятиях, использующих современные автоматизированные кадровые информационные системы практически всех известных разработчиков. Возможности изделия позволяют разместить на нем и соответствующим образом защитить ключевые персональные данные, а хранение всей информационной базы организовать в имеющейся информационной системе в обезличенном виде. В этом случае становится невозможным без использования размещенных в µPC™ данных определить принадлежность информации к конкретному субъекту персональных данных, что позволяет полностью обезличить их на время хранения и привязывать к конкретным субъектам только в период их обработки. Тем самым обеспечивается соблюдение требования 152-ФЗ о том, что «Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных… Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки…».

Миниатюрные размеры µPC™ позволяют также организовать трансграничную передачу персональных данных с полным соблюдением требований 152-ФЗ.

Технические характеристики микро-ПК.