поиск по сайту
Экономичное внедрение защищенной терминальной системы. Рекомендации

Конявская С. В., к.ф.н., Счастный Д. Ю.

Россия, Москва, ЗАО «ОКБ САПР»

 Экономичное внедрение защищенной терминальной системы. Рекомендации

 Для тех, для кого вопрос выделения денег на те или иные технические средства не сводится к тому, как обосновать кому-то необходимость затрат, а связан с принятием на себя непосредственных затрат (то есть для собственников), очевидно, что помимо понимания важности обеспечения безопасности информации в АС, огромное значение имеет и то, какие последствия внедрение системы защиты будет иметь для бизнеса в части его ежедневной работы, ближайших и отдаленных перспектив.

Конечно, строя информационную систему с нуля, и обладая достаточными знаниями (или имея специалистов с достаточными знаниями) проще построить ее сразу с учетом и необходимого уровня защищенности, и с учетом перспектив развития информационных технологий, насколько они предсказуемы, и развития собственного бизнеса.

Если же систему защиты нужно внедрить в уже работающую систему, то задача выглядит иначе. Необходимо свести к минимуму не только затраты на переоборудование, но и потери от списания техники, возможно, не отслужившей свой срок, от замены СЗИ, использовавшихся ранее, и отмененных в связи с необходимостью внедрения новой системы защиты. Более того, для информационной системы функционирующей организации едва ли не более, чем затраты на внедрение средств, критична остановка работы, вызванная переоборудованием, или потери  данных, произошедшие в ходе смены технических средств.

Из этого следует, казалось бы, очевидный вывод, что лучше всего - защитить ту систему, которая в данный момент уже работает, не внося в нее изменений, а только снабжая СЗИ.

Другая крайность - рекомендации в любом случае перестроить всю систему полностью, потому что «на безопасности не экономят».

У обеих этих крайних позиций есть определенные ограничения, и хотя каждая из них по-своему справедлива, а в каких-то случаях может оказаться наиболее правильной, принимать безоговорочно ни одну из них не стоит.

Сейчас уже стало общим местом, что переход к терминальным решениям - это шаг, выгодный со всех точек зрения даже с учетом затрат на переоборудование. Выгодны эти решения и с точки зрения обеспечения в них информационной безопасности.

Однако очень опасно заблуждение, что терминальные системы безопасны сами по себе, по самой своей сути. Это не так, терминальные системы - это не средство защиты информации, и они не лишены уязвимостей, которыми может воспользоваться злоумышленник. Более того, в силу убежденности владельцев и пользователей систем в бОльшей безопасности таких решений, зачастую к ним относят легкомысленно, и это упрощает задачу потенциального нарушителя.

Итак, возьмем самую очевидную (и это не снижает ее достоинств) схему, когда терминальная система внедряется в функционирующую систему - в ее самый чувствительный с точки зрения безопасности информации сегмент.

Выделяются рабочие места, обрабатывающие критичные данные, и затем они объединяются их в терминальную систему, изолированную от остальных сегментов информационной системы. При этом хранятся и обрабатываются данные на терминальном сервере, а в качестве клиентов используются предельно простые аппаратные терминалы, только передающие на сервер сигналы клавиатуры и мыши, а с сервера на терминал, в свою очередь, передавались бы только изменения изображений на мониторе.

Экономическая выгода от такого решения очевидна - чувствительные для организации данные обрабатываются в одном месте, и именно оно нуждается в серьезной защите.

Однако необходимо понимать, что защита терминальной системы - это не только защита терминального сервера. Даже в том случае, если терминальные клиенты не обрабатывают и не хранят данные, они обеспечивают интерфейс между пользователем и этими самыми данными, нуждающимися в защите высокого уровня.

Что обозначает «защищенный сервер», если рассуждать с точки зрения НСД? Защищенный терминальный сервер, это такой, на котором аппаратно обеспечивается доверенная загрузка ОС, а также разграничение доступа пользователей к информационным ресурсам и потокам данных.

Что это дает, если к серверу подключены незащищенные терминалы?

В самом худшем случае, если терминал вообще не обеспечивает даже идентификацию/аутентификацию пользователя на сервере, то подключиться к серверу может вообще кто угодно, но такой вариант мы даже не будет серьезно принимать во внимание, потому что разграничение доступа к ресурсам сервера в этом случае вообще не имеет смысла. Но и сам факт наличия механизмов идентификации/аутентификации пользователя, подключающегося к серверу, не может быть гарантией от утечки, ведь важно не только то, правильные ли аутентификационные данные предъявил пользователь на терминале, но и были ли они корректно доставлены на сервер, и могут ли они на сервере быть корректно обработаны именно тем устройством, которое принимает решение о разрешении или запрете на доступ.

Что это значит на практике? Это значит, что идентификация, безусловно, должна быть двухфакторной, аутентификационные данные должны храниться защищенно (как у пользователя, так и в базе данных на сервере), и передаваться они должны по защищенному каналу. Более того, сверяться с эталонными эти данные должны в доверенной среде и доверенным механизмом, а значит, не терминалом, и не сервером, а неким независимым от них доверенным (то есть проверенным и защищенным от несанкционированных изменений) устройством, и принимать решение о доступе тоже должно это независимое устройство.

Именно такая система защиты - ПАК СЗИ НСД Аккорд-NT/2000 V3.0 TSE.

Его аппаратная часть - Аккорд-АМДЗ - помимо собственно доверенной загрузки операционной системы (то есть такой, при которой на немодифицированном ПК из определенного источника определенным пользователем в определенное время загружается определенная ОС а немодифицированном виде) реализует также функции аппаратной блокировки подключаемых устройств (типа принтеров, сканеров и прочих) - c помощью специальных реле, дисковых устройств - с помощью специального SATA-блокиратора, и USB-устройств - с помощью специального USB-блокиратора. Кроме того, контроллер оснащен реле отключения питания, что позволяет ему отключить ПК в том случае, если через установленное время после включения компьютера управление не было передано контроллеру.

Комплекс использует собственную систему разграничения доступа и служит фильтром между ядром ОС и расположенным выше прикладным ПО терминальных служб. Это значит, что действия, разрешенные прикладным ПО, но запрещенные СЗИ - будут запрещены пользователю.

Система включает в себя более 10 атрибутов, в том числе контроль запуска программ, что помогает описать политику безопасности для каждого пользователя очень детально и индивидуально.

В случае с терминальными системами совершенно принципиальным является наличие мандатного механизма разграничения доступа, а не только дискреционного, поскольку именно мандатный механизм позволяет разграничивать доступ к потокам данных. В подсистеме разграничения доступа Аккорд-NT/2000 реализовано оба механизма.

Помимо этого специфичными именно для терминальной редакции комплекса являются следующие функции:

  • идентификация / аутентификация пользователей, подключающихся к терминальному серверу (с использованием ПСКЗИ ШИПКА);
  • опциональная автоматическая идентификация в системе Windows NT+ и на терминальном сервере пользователей, аутентифицированных защитными механизмами ПСКЗИ ШИПКА,
  • управление терминальными сессиями,
  • контроль печати на принтерах, подключенных как к терминальным серверам, так и к пользовательским терминалам, который позволяет протоколировать вывод документов на печать и маркировать эти документы.

Журналы протоколирования событий, базы данных пользователей и их прав доступа хранятся в энергонезависимой и защищенной от несанкционированных модификаций памяти контроллера и доступны только администратору безопасности информации.

Серьезным плюсом этого комплекса является его гибкость. Он обеспечивает одинаково высокий уровень защищенности в системах, в которых применяются совершенно разные СВТ - от полнофункциональных ПК, для которых терминальный режим является лишь одной из функций, до бездисковых аппаратных терминалов. При этом он позволяет избегать лишних затрат на то, что не требуется в системе того или иного состава.

Все зависит от того, какие именно технические средства используются в качестве терминального сервера и терминалов.

Очевидно, что если в качестве терминальных клиентов используются аппаратные терминалы, то их нет смысла защищать так же, как ПК, которые имеют собственную ОС, прикладное ПО, а за рамками терминальной сессии работают автономно. Если поставщик утверждает обратное, то вряд ли это действительно из соображений безопасности.

С точки зрения СЗИ для защиты такой системы понадобится установить на сервер ПАК СЗИ НСД Аккорд-NT/2000 V3.0 TSE и количество лицензий по количеству подключаемых терминалов, а на терминал - ПСКЗИ ШИПКА. Весь комплекс СЗИ на систему из 1 сервера и 5 терминалов обойдется примерно в 30 000 рублей. Комплекс на сервер будет стоить около 12 000 р., каждая лицензия при таком маленьком количестве клиентов - около 800 р., а ПСКЗИ ШИПКА на терминал - 2650 р.

При этом защита такого же количества (6) автономных ПК на тот же уровень защиты (до 1Б включительно, 1 класс ИСПДн) обошлась бы более чем в 70 000 р. - потому что на каждый ПК тогда надо ставить полный комплект, как на сервер.

Стоит учитывать, что и сами аппаратные терминалы стоят дешевле, чем полнофункциональные новые ПК.

Не всегда соответствует действительности и предубеждение о том, что уж терминальный сервер - это точно очень дорого.

Терминальные технологии Citrix, в частности, очень сильным качеством которых является предельно экономное использование имеющихся ресурсов, допускают использование в качестве терминального сервера не только специализированных серверов, но и обычных ПК, и при этом будет возможно работать с достаточным количеством клиентских мест.

Не забывая о других плюсах применения терминальных решений, заметим, что система эта получится наращиваемой. Ведь когда усовершенствование, и так связанное с затратами - внедрение системы защиты, влечет за собой еще и затраты на переоборудование парка СВТ, то связанные с этим потенциальные выгоды кажутся все более призрачными. В данном же случае, выделив и организовав в виде защищенной терминальной системы только ту часть АС, на которой обрабатывается действительно чувствительная информация, в дальнейшем, постепенно, можно будет перевести в терминальную систему и остальные рабочие места, по мере списывания используемых на них компьютеров, заменяя их на менее дорогие, чем новые ПК, терминалы. При этом не будет снижаться защищенность критичного сегмента АС, и, напротив, повысится защищенность системы в целом.

 

СПИСОК ЛИТЕРАТУРЫ:

1.      Конявская С. В. Онтология терминальных систем и защита информации в них // Information Security/Информационная безопасность. 2008. № 4 (июнь). С. 46-47.

2.      Конявская С. В., Мищенко М. Г., Синякин С. А. Аппаратные СЗИ НСД. Повторение пройденного // Управление защитой информации. Мн.; М., 2007. Т. 11. № 1. С. 53-56.

3.      Конявская С. В., Счастный Д. Ю., Макейчик Ю. С. Новое решение для хорошо забытого старого // Комплексная защита информации. Материалы XI Международной конференции (20-23 марта 2007 года, Новополоцк (Беларусь)). Мн., 2007. С. 129-134.

4.      Макейчик Ю. С. Аккорд-NT/2000 V.3.0 REVISION 4. что нового // Комплексная защита информации. Сборник материалов XII Международной конференции (13-16 мая 2008 г., Ярославль (Россия)). М., 2008. С. 134-135.

5.      Макейчик Ю. С. Защищённая транспортная система передачи данных в локальных вычислительных сетях на базе «ACCORD ACXNET V3.0» // Комплексная защита информации. Сборник материалов IX Международной конференции (1-3 марта 2005 года, Раубичи (Беларусь)). Минск, 2005. С. 135-136.

6.      Счастный Д. Ю. Построение систем защиты от несанкционированного доступа к терминальным системам // Information Security/Информационная безопасность. 2008. № 2 (март). С. 48-49.

7.      Счастный Д. Ю. Терминальные клиенты: начала защиты // Комплексная защита информации. Материалы XIV международной конференции (19-22 мая 2009 года, Могилев (Беларусь)). Мн., 2009. С. 210-211.

 

 


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них