поиск по сайту

Если у вас возникли вопросы, или вам что-то не нравится, вы можете пожаловаться

Работа с одного рабочего места в двух разных контурах защищенности

Работа с одного рабочего места в двух разных контурах защищенности

1) Организация возможности выполнения отдельных критичных операций в среде более высокого уровня защищенности, изолированной от основной рабочей вычислительной среды.

2) Обеспечение возможности доступа одного сотрудника в сегменты информационной системы с разными уровнями защищенности с одного рабочего места. Эта задача отличается от предыдущей тем, что в обоих — разных по требованиям к защищенности — контурах у пользователя должно быть полноценное рабочее место с некоторой относительно универсальной функциональностью.

1. Изоляция вычислительной среды, предназначенной для выполнения отдельных критичных операций (например, клиент-банк, или подписание документов ЭП), от основной рабочей вычислительной среды.

Это классическая задача для доверенного сеанса связи, понимаемого как кратковременный период работы с удаленным защищенным ресурсом с компьютера, на который загружена доверенная среда организации этого сеанса.

В чем особенности этого сценария. В подавляющем числе случаев человек не нуждается в доверенной среде, он не работает с чувствительными к безопасности ресурсами и не выполняет критичных с точки зрения безопасности операций. Таких действий у большинства людей случается не более, чем несколько за день. Перевести деньги online, получить гос.услугу, подписать документ (предположим, что вне задач получения гос.услуг или перевода денег, а для чего-то еще). Все остальное время доверенная среда ему будет только мешать, потому что она ограничивает далеко не только Интернет.

Часто из-за этого люди просто идут на риск. Это вариант настолько скверный, что рассматривать его не будем совсем. Не намного лучше и вариант с двумя компьютерами для одного сотрудника.

Для случая, когда основное рабочее место стационарное и имеет сетевой интерфейс, оптимально СОДС МАРШ!. МАРШ! обеспечивает загрузку доверенной неизменяемой среды, хранящейся в его защищенной памяти с управляемым доступом, и, с использованием сетевых ресурсов ПК — подключение к нужному информационному ресурсу, защищенное VPN.

В тех случаях, когда основные компьютеры не имеют сетевого интерфейса, или его нельзя использовать, или это неудобно (например, это ноутбук с WiFi-модулем, и значит, сетевые настройки всякий раз могут оказаться разными) — целесообразно применение специфической версии МАРШ! а — «М! & М», что расшифровывается как «МАРШ! и Модем». Это устройство, как очевидно из названия, имеющее собственный модуль подключения к беспроводной сети. Во всем остальном схема работа получается точно такой же, просто для установления доверенного сеанса связи не используются сетевые ресурсы основного ПК.

Обратим внимание, что, строго говоря, ничто не мешает при использовании этих подходов основной рабочее место тоже делать защищенным так, как это требуется политикой предприятия. Но если задача осознана уже на стадии проектирования, то можно выбрать решение «под ключ» — двухконтурный моноблок.

Двухконтурный моноблок — это, собственно, моноблок, позволяющий пользователю параллельно работать в одной из двух защищенных ОС (в общем случае одна из них Windows, а вторая — Linux). ОС Windows загружается с жесткого диска моноблока. При работе в этом режиме пользователь может устанавливать любое ПО и инициировать любые подключения в рамках заданных для него правил разграничения доступа: в ОС установлен ПАК «Аккорд-Win64».

При запуске Двухконтурного моноблока во втором режиме ОС загружается из защищенного от записи раздела памяти микрокомпьютера «MKT-card long».  То есть вообще из другого компьютера. При работе в этом режиме пользователю доступно только то ПО, которое изначально установлено в образ ОС — этот состав определяется при заказе и затем может изменяться только в рамках обновления ОС в установленном порядке по специальной защищенной процедуре.

Переключение между режимами выполняется посредством KVM-переключателя для передачи сигналов клавиатуры и мыши к текущей системе и нажатия кнопки переключения для смены экрана, расположенной на корпусе моноблока.

Таким образом один моноблок сочетает в себе две на физическом уровне изолированных одна от другой ОС разных семейств, обе из которых защищены, но каждая по специфичным для своих задач требованиям.

Еще одно решение — это целая ветка семейства защищенных компьютеров на базе Новой гарвардской архитектура MKT — компьютеры MKTrusT. Это микрокомпьютер, позволяющий работать в одном из двух режимов — защищенном или незащищенном. Работа в разных режимах производится в разных ОС, загружающихся из разных, физически разделенных, разделов памяти (то есть взаимовлияние ОС исключено технологически). Переключение режимов работы производится с помощью физического переключателя, расположенного на корпусе устройства, то есть необходимый режим выбирает пользователь, и не может выбрать хакер (невозможно программное воздействие на выбор режима). В этой ветке есть собственно модель MKTrusT, а также защищенный планшет TrusTPad.

Незащищенная ОС в обоих случаях Android, а защищенная — обычно в MKTrusT — Linux, а в TrusTPad — Android, но может быть и наоборот — зависит от задач той системы, под которую адаптируется решение.

2. Доступ одного сотрудника в сегменты информационной системы с разными уровнями защищенности с одного рабочего места.

Эта задача принципиально близка предыдущей, разница только в потенциальной широте функциональности «второй» рабочей среды. В предыдущих случаях это отдельные задачи (заметно более опасные, или заметно более чувствительные к защищенности, чем основная среда), а в этом случае обе среды «полнофункциональные» — с некоторым множеством приложений, но разными ограничениями.

Вместе с тем практика сложилась так, что как раз такая задача крайне редко решается путем настройки для одного сотрудника двух компьютеров. Заметно чаще для этого настраивают два разных профиля пользователя. Вообще говоря, это можно сделать действительно защищенно, если изолировать среду полностью, от старта компьютера. Однако зачастую этого не происходит, потому что, как правило, задача касается работы в режиме удаленного доступа, а не локальной, а при этом компьютер, с которого осуществляется доступ, воспринимается как терминал, которому можно уделять крайне мало внимания с точки зрения защиты информации. Профили создаются, предположим, на разных терминальных серверах, оборудованных комплектами всех необходимых защитных средств, сервера работают в разных сетях, возможно, разделенных физически, а не только логически. Все сделано крайне добросовестно, кроме одного — компьютер, с которого осуществляется доступ, — один и тот же. Более того, как правило, он загружен под профилем одного и того же пользователя ОС и, в случае, если на нем вообще установлено СЗИ НСД — под профилем одного и того же пользователя СЗИ НСД, а значит, с одними и теми же правами, ему доступны одни и те же ресурсы компьютера при работе в разных контурах системы. Такая ситуация создает опасную иллюзию изолированности контуров один от другого, оставляя очень удобную для потенциального нарушителя уязвимость.

Избегнуть ее можно с помощью целого ряда наших решений, различными способами реализующих «два-в-одном». Это уже упоминавшиеся МАРШ! , MKTrusT и двухконтурный моноблок. В данном случае особенность решений будет в том, «куда ведет» ОС, загружаемая с МАРШ! и с MKT-card long  соответственно. Если в предыдущем случае эти ОС содержали средства выполнения той конкретной задачи, для которой нужна особая среда исполнения, но в данном случае они будут, например, содержать терминальный клиент для доступа к нужному серверу, или VPN-клиент к нужному шлюзу и межсетевой экран, настроенный так, чтобы позволить доступ к строго определенному веб-ресурсу, и тому подобное. При этом ОС, загруженной с МАРШ! а будут не доступны сетевые ресурсы, доступные из «основной» ОС компьютера. Разумеется, возможность доступа в тот или иной контур только из той или иной среды должны быть поддержана системой защиты информации самого централизованного ресурса (терминального или веб-сервера, виртуальной системы, или того иного, к чему, собственно, подключаемся), иначе в один и тот же контур можно будет попасть и с МАРШ! ем и без. А такое «два-в-одном» никому не нужно.

Решением, очень близким по «внешним» признакам, также нацеленным на доступ с одного СВТ в два разные контура, является ПАК «Центр-Т». С применением этого комплекса можно реализовать даже сразу две разные стратегии. Если в качестве рабочих мест используются машины, пригодные для применения в одном из контуров как они есть, то доступ в один из контуров осуществляется из их собственной ОС, а во второй — из ОС, загружаемой с помощью Центр-Т. Если же зоопарк терминалов таков, что управлять ими слишком сложно, то целесообразно сопоставить клиентским устройствам по 2 загружаемых образа и при старте выбирать, какой получить в данный момент. Один образ будет инициировать сессию в одном контуре системы, а другой — в другом.