поиск по сайту
Защита клиентского рабочего места: новые решения, новые технологии

Ю.М. Акаткин

Защита клиентского рабочего места: новые решения, новые технологии

В настоящее время стремительно создается значительное число информационных многопользовательских систем, соответственно пропорционально возрастают и риски безопасности.

Защищенность конечного пользователя: служащего учреждения, получателя государственных и муниципальных услуг, клиента кредитной организации — является одним из основных мировых трендов развития информационной безопасности.

И если вчера контроль за информацией был заботой технических администраторов, сегодня этот контроль стал предметом беспокойства каждого пользователя, который при этом абсолютно не обязан быть специалистом по ИБ.

Надо отметить, что Федеральные регуляторы пристально следят за рассматриваемой проблемой.

Например, по сообщению Пресс-службы Минкомсвязи от 29 июля 2014 г. в рамках исполнения поручения Президента России В.В. Путина, были проведены учения по предотвращению сбоев Интернета на территории страны в результате хакерских атак. В учениях приняли участие сотрудники Минобороны, ФСБ, ФСО, МВД.

Была проведена общая оценка состояния защищенности и стабильности функционирования национального сегмента сети, степень критичности его связанности с глобальной инфраструктурой, оценены потенциальные уязвимости, определен уровень готовности к совместной работе отраслевых организаций, операторов связи и ситуационных центров федеральных органов исполнительной власти в случае негативного целенаправленного воздействия.

ФСТЭК России был принят «Методический документ от 11.02.2014 «Меры защиты информации в государственных информационных системах». Документ детализирует организационные и технические меры защиты информации, принимаемые в государственных информационных системах в соответствии с требованиями о защите информации, не составляющей государственную тайну, в том числе для локального доступа в систему.

Таким образом, защита пользователей в ГИС, большинство которых являются территориально-распределенными, становится крайне важной в современных условиях, когда любая деятельность сопряжена с оперированием большими объемами информации, которое производится широким кругом лиц. Это многократно увеличивает опасность утечки конфиденциальных данных.

Прогнозируется, например, что количество бесконтактных платежей, которые будут совершены в мире в 2018 г., вырастет до 9,9 млрд. операций — с 3 млрд операций в текущем году. Основным драйвером рынка может стать технология Host Card Emulation системы PayPal, принадлежащая eBay — крупнейшему онлайн-аукциону в мире. Другим драйвером - технология электронных кошельков iWallet (компания Apple), которая ожидается в IV квартале текущего года. [1]

Сегодня меры защиты конечного пользователя — это административные руководящие документы, аппаратные устройства или дополнительные программы.

Обработка информации, критичной с точки зрения безопасности, должна происходить в доверенной среде: функционально замкнутой среде, изолированной программной среде, вычислительной среде на основе резидентных компонентов безопасности (РКБ). При этом, в современных условиях защищен должен быть не только сервер как часть системы, но и удаленный клиент. Не только ПО, ОС и данные должны быть проверенными, необходимо также гарантировать «не вредоносность» аппаратных средств, что решается вынесением необходимых операций в изолированную аппаратную среду. (Такое решение и получило название РКБ.). Ясно, что установить РКБ на каждый компьютер клиента дорого и не рационально, поэтому эффективным является установление доверенной вычислительной среды не «навсегда», а только на время работы с защищенной ИС, т.е. установление доверенного сеанса связи (ДСС). Доверенность среды обеспечивается свойствами специального носителя.

Цена традиционного х86-компьютера, который обеспечит выполнение всех пожеланий рядового потребителя не менее 1000$. Дополнив его необходимыми средствами защиты, такими как аппаратный модуль доверенной загрузки (например, Аккорд-АМДЗ); средства разграничения доступа (например, Аккорд-Win32); средства электронной подписи; средства потоковой криптографической защиты, и мы получим еще дополнительно около 500$. Весьма немало. Трудно придумать мотивацию потратить такие деньги для семьи с небольшими доходами.

Кроме того пользователи, заинтересованные в защите информации клиентских рабочих мест, параллельно решают и смежные задачи (например, доступ в интернет вне офиса или переоснащение), а значит им требуется полная линейка услуг, в которой одновременно с обеспечением технологии доверенного сеанса связи, переработанной и проверенной ОС и программным обеспечением, будут реализованы те возможности, которые требуются заказчику.

Реализация технологии доверенного сеанса связи для традиционных х86 компьютеров с использованием средства обеспечения доверенного сеанса СОДС «МАРШ!» обеспечила отчуждение операционной системы в доверенную среду, оставив компьютеру исполнение ОС и задач в ней, коммуникации и отображение информации. СОДС «МАРШ!» выполняет задачу защиты клиентских рабочих мест в корпоративной сети или при наличии сетевого подключения / стационарного доступа в интернет.

СОДС «МАРШ!» может эффективно использоваться как средство электронной подписи, то есть в варианте СЭП. Начиная доверенный сеанс связи, пользователь загружается на произвольном компью­тере с СОДС «МАРШ!», обеспечивая тем самым доверенную вычислительную среду. В рамках доверенного сеанса связи обеспечивается защищенный обмен информацией, например, между банком и клиентом с соблюдением всех требований № 63-ФЗ «Об электронной подписи». В настоящее время использование СЭП «МАРШ!» отработано совместно с ЗАО «РФК» (Российские финансовые ком­муникации) для варианта применения с системами ДБО «Спектр» и «Клиент-WEB». Проведенные испытания показали, что «МАРШ!» может быть адаптирован к различным системам ДБО, существенно повышая их безопасность и эффектив­ность при минимальных затратах. Сегод­ня СЭП «МАРШ!» — уникальное решение, которое имеет все шансы стать эталоном защиты в системах ДБО. Стоимость СЭП «МАРШ!» в разы ниже стоимости существующих традици­онных решений, накладывающих к тому же массу ограничений на привычную работу с защищенным компьютером.

Вне зависимости от наличия стационарного доступа в Интернет, доступ к системе пользователю необходим. Поэтому, следующим шагом стала интеграция модема в специальный носитель, которая позволила перенести в доверенную среду и коммуникации («М!&М»). «М!&M» — «МАРШ!» с модемом — обеспечивает безопасный доступ к информационным системам из любой точки мира с помощью обычных сетей мобильных операторов и не требует настройки сетевых подключений, избавляет от необходимости использовать отдельные устройства для решения задач защиты и доступа в Интернет.

Очередной шаг может быть только один — перенос в специальный носитель и исполнения задач, оставив среде только функции пассивного отображения информации. То есть наш носитель должен сам стать компьютером, причем таким, который по пользовательским характеристикам удовлетворяет требованиям потребителя. Развитие современных hardware технологий позволяет без потери производительности и увеличения стоимости перейти на гарвардскую архитектуру, а, значит, реализовать механизмы защиты принципиально недоступные для x86 компьютеров, в которых инструкции (команды) и данные используют одну и ту же системную шину.

Защищенный микрокомьютер «МАРШ!»- МКT — совместная разработка ОКБ САПР и «КБ полупроводникового машиностроения» Госкорпорации «Ростехнологии» — обеспечивает принципиально новый подход к организации защищенных клиентских рабочих мест. В основе 4-х ядерного Cortex-A9 процессора ядро с Гарвардской архитектурой, в которой хранилище инструкций и хранилище данных представляют собой разные физические устройства, а канал инструкций и канал данных также физически разделены. Это позволяет использовать самые современные методы защиты при решении задач оснащения/переоснащения рабочих мест пользователей, значительно сокращая расходы и увеличивая производительность.

МКТ представляет собой компактный микрокомпьютер, выполненный в виде dongle mini PC и имеющий HDMI выход. Это позволяет использовать его практически с любым монитором или телевизором, а также с устройствами с DVI разъемом при наличии переходника. В состав устройства включен мощный видеоускоритель, позволяющий воспроизводить файлы Full HD.

Ключевая особенность MKТ — высокая защищенность. В МКТ применяются сертифицированные СКЗИ для создания криптографической защиты канала связи (VPN) и выработки электронной подписи. Операционная система поддерживается компанией «Малогабаритные защищенные компьютерные системы» (МЗКС), и выполнена на основе ОС «Андроид».

Применение МКТ в области оснащения и переоснащения рабочих мест, позволят обеспечить доступ к информационной и телекоммуникационной инфраструктуре организации, максимально эффективно использовать современные веб-технологии и специализированное «облачное» программное обеспечение для автоматизации деятельности государственных органов власти и коммерческих структур, заинтересованных в защите информации.

При этом микрокомпьютер может использоваться и как замена стационарному домашнему компьютеру. Как и другие версии «МАРШ!», он имеет габариты большой флешки, обеспечивает своему владельцу доступ в Интернет, электронную почту, Skype, YouTube и все другие «блага цивилизации», включая высококачественное «проигрывание» видеофайлов. Доступны приложения из Google Play Store. Доступны офисные, медиа, интернет приложения и многие другие, то есть МКТ можно использовать для работы с документами, общения с коллегами и друзьями. Устройство обеспечивает просмотр он-лайн потокового видео из YouTube, Rutube и др. Питание от USB порта телевизора или монитора, либо внешнего блока питания (5V-2A). Подключение к Интернету осуществляется по беспроводному WiFi.

Такого микрокомпьютера в защищенном исполнении вполне достаточно для всего, что нужно в обычной жизни и в организации рабочих мест сотрудников. С учетом того, что цена такого компьютера в 10-15 раз ниже традиционного компьютера на базе x86, то понятно, что это и есть современное решение для безопасного информационного взаимодействия [2].

Литература

1. IBusiness от 14.03.2014

2. Конявский В. А. Серебряная пуля для хакера.

Акаткин Юрий Михайлович, кандидат экономических наук, Директор ФГУП «КБ полупроводникового машиностроения» Государственной корпорации «Ростехнологии», Адрес: 105187, г. Москва, Барабанный пер., 4. E-mail: u.m.akatkin@kbpm.ru


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них