Программно-аппаратный комплекс ALTELL FORT является защищенным оборудованием с доверенным программным обеспечением, доверенным BIOS и авторизацией пользователей до загрузки операционной системы. АПК ALTELL FORT представлен несколькими продуктовыми линейками: серверами ALTELL FORT SRV – платформами на базе новейших 6- и 12-ядерных процессоров AMD и Intel; настольными ПК ALTELL FORT DT на базе процессоров AMD и Intel; тонкими клиентами ALTELL FORT TC.

Среды, в которых используется оборудование линейки ALTELL FORT, предлагается организовывать с участием следующих элементов: ALTELL HyperBIOS – доверенной подсистемы ввода/вывода (BIOS), включающей функции защиты от НСД и содержащей запускаемый образ МВМ; виртуальной машины гипервизора, предназначенной для контроля среды и управляющей запуском ВМ; виртуальной машины криптографии, содержащей ПО для работы с криптографическими алгоритмами; пользовательских виртуальных машин.
Требования к архитектуре решений ALTELL FORT:

• Единая точка входа в открытую сеть.


• Работа с конфиденциальными данными через защищенный канал поверх открытой сети.


• Работа с открытыми данными, которые гарантированно не пересекаются с конфиденциальными.


• Безопасная и контролируемая однонаправленная передача данных из открытых источников в конфиденциальную зону.

Исходя из критериев построения защищенного автоматизированного рабочего места, совмещающего в себе на базе виртуальной среды компоненты различных классов, при создании ALTELL FORT использовалась модель, предполагающая наличие следующих компонентов:

• Доверенная базовая система ввода-вывода с функциями защиты от НСД и интегрированным гипервизором (ALTELL HyperBIOS).


• Виртуальная машина гипервизора – на базе доверенной ОС, осуществляющей управление всем комплексом, а также контролем и предоставлением доступа к сетевым ресурсам.


• Виртуальная машина криптографии, содержащая средства СКЗИ и драйвера для работы с внешними устройствами типа «токен» или «смарт-карта».


• Зона доверенных виртуальных машин, содержащая пользовательские ВМ на базе сертифицированных ОС и исполняющая доверенное ПО.


• Зона не доверенных виртуальных машин, содержащая пользовательские не модифицированные ВМ для работы вне контролируемой зоны.


• Однонаправленный шлюз – многокомпонентное ПО на базе виртуальных каналов гипервизора и управляющего ПО в ВММ, обеспечивающего управляемую передачу данных из не доверенной зоны в доверенную.

ВМ доверенной зоны не могут исполняться одновременно с ВМ не доверенной зоны. Конструктивно предлагаемое решение выглядит как аппаратная платформа со своим BIOS с функциями защиты от НСД, контролем целостности, заменяющим штатный, и виртуальная среда, содержащая ряд виртуальных машин. Контроль несанкционированного доступа выполняется при загрузке аппаратной платформы в процессе работы базовой системы ввода-вывода (БСВВ, BIOS), еще до загрузки какой-либо операционной среды и гипервизора. Предполагается осуществление многофакторной авторизации с использованием токена. После работы базовой системы ввода-вывода, запуска гипервизора и ВМ криптографии, управление токеном монопольно отдается в указанную ВМ. Все дальнейшие запросы на выполнение функций СКЗИ адресуются в ВМ криптографии и исполняются там.