поиск по сайту

Если у вас возникли вопросы, или вам что-то не нравится, вы можете пожаловаться

Общие положения

Половинчатые решения никогда не бывают выгодными, потому все и стремятся к решениям принципиальным, хотя они и требуют определенного усилия воли. Наверное, построение систем терминального доступа можно смело приводит в качестве самого яркого примера действия этой логики. В самом деле, строя систему с нуля – покупая оборудование, едва ли кто-то сочтет более выгодным использовать в качестве терминалов не специализированные аппаратные, а полноценные персональные компьютеры. Однако в жизни редко все складывается абсолютно идеально – с самого начала внедрить терминальную систему не получается, да и жалко денег, вложенных в уже существующий парк машин, чтобы просто от них отказаться... В итоге получается система, сочетающая в себе самые разные средства: аппаратные терминалы, вышедшие в тираж персоналки в функции терминальных клиентов, сравнительно новые и работоспособные компьютеры, совмещающие в себе функции автономных рабочих мест и терминальных клиентов.

Хорошей можно считать ту систему защиты информации, которая позволяет защитить всю эту разнородную структуру, и при этом сама является как можно менее разнородной. Не одна статья уже была написана о том, как опасны «зоопарки» технических средств – тем более в деле защиты.

Итак, подсистема защиты информации в системе терминального доступа должна иметь возможность работать с терминальными клиентами разных типов – аппаратными терминалами (возможно, разных производителей), «усеченными» ПК – то есть такими, функциональность которых принудительно сужена до функциональности терминала, и с полноценными ПК, для которых работа с терминальным сервером является лишь одним из режимов работы.

Для того чтобы полностью уподобить терминалам обыкновенные персональные компьютеры, необходимо добиться, чтобы при работе в качестве терминала они не содержали ничего «своего» – ни доступной пользователю аппаратуры, и программ (кроме тех, что находятся и выполняются на терминальном сервере в рамках сессии), ни операционной системы, дающей в руки пользователя достаточно возможностей, чтобы напортить или злоупотребить. В случае с отслужившими свое маломощными и просто старыми машинами, в принципе, можно из них все просто изъять, хотя, конечно, ресурс выбросить – без ресурса остаться. Жалко. Но можно. Поступать так с машиной, для которой работа с терминальном сервером – лишь функция – точно не следует. Значит, надо добиться того, чтобы при работе в рамках терминальной сессии те ресурсы, которые все остальное время у компьютера есть – были бы пользователю гарантированно недоступны. То есть одной из функций подсистемы защиты информации должно быть создание изолированной среды, причем на уровне разграничения доступа как к программам и ОС, так и к аппаратуре, портам и прочему.

Если на терминальном клиенте нет своей ОС, то какая-то минимальная ОС нужна для установления терминальной сессии. Поэтому для любого типа клиента актуальна задача доверенной загрузки ОС. Но объем и характер этой задачи может быть совершенно разным – и это предмет отдельного описания и классификации. 

Итак, необходимый минимум операционной системы загружен и можно открывать терминальную сессию. Что требуется от подсистемы защиты информации дальше? 

В первую очередь, защищенное взаимодействие между терминальным сервером и терминалом. Для этого в момент создания терминальной сессии со стороны терминального сервера необходимо проверять не только пользователя, но и «тонкий клиент», а со стороны «тонкого клиента» необходимо убедиться в том, что терминальный сервер действительно тот, с которым должен работать пользователь. 

Следующая задача, безусловно, разграничение доступа пользователей к ресурсам терминального сервера.

Для этого, разумеется, необходима аутентификация пользователя на терминальном сервере, чтобы он смог работать в рамках назначенных для него прав доступа. Учитывая, что пользователь уже был аутентифицирован на терминале, имеет смысл, чтобы данные аутентификации передавались на сервер автоматически – это не только позволит освободить пользователя от повторных действий, но и не даст ему возможность попытаться представиться серверу пользователем с бОльшими правами.

Система разграничения доступа должна давать возможность администратору безопасности информации описывать политику безопасности информации с помощью не только дискреционного, но и мандатного метода разграничения доступа, поскольку только мандатный механизм дает возможность контролировать потоки информации, что в целом ряде случаев совершенно необходимо, а в случае систем терминального доступа – необходимо почти всегда.

Базы данных пользователей и их прав, разумеется, должны храниться в независимой от процессора сервера памяти СЗИ, и доступ к ней должен быть строго регламентирован. То же касается журналов событий безопасности информации.

Правила разграничения доступа пользователей на терминалах и серверах должны быть синхронизированы между собой

Как уже не раз упоминалось выше, в качестве терминалов могут выступать вполне современные ПЭВМ, для которых работа с терминальным сервером является только одной из множества функций. И очень важно, чтобы правила разграничения доступа, установленные для пользователя на терминальном сервере, поддерживались бы и на терминале. Если пользователю запрещено печатать тот или иной документ, хранящийся на терминальном сервере, то нужно обеспечить реализацию этого требования и на терминале, для того чтобы он не смог все-таки распечатать документ, например, как копию экрана.

Еще одна очень важная функция подсистемы защиты информации в системе терминального доступа – это взаимная аутентификация терминального сервера и терминала. Итак, терминал должен работать с «правильным» терминальным сервером, а не с чем-то похожим на него, а терминальный сервер должен допускать работу не только исключительно зарегистрированных пользователей, но и исключительно зарегистрированных терминалов. Более того, только в зарегистрированном сочетании (то есть легальный пользователь с положенного именно ему терминала, а не с любого зарегистрированного в системе). Как это можно обеспечить, если в терминале совершенно ничего нет, - тоже хорошо понятно - аутентификация должна производиться на уровне аппаратных средств защиты информации, имеющих собственный активный процессор с программным обеспечением, защищенным от модификаций, включающим криптографические функции, поскольку процесс взаимной аутентификации предполагает обмен пакетами, подписанными ЭЦП обменивающихся устройств и, соответственно, проверки этих подписей.

В идеале такая взаимная аутентификация должна происходить не только при открытии сессии, но и время от времени на всем ее протяжении.

В результате приходим к очевидному по своей сути положению. Системы терминального доступа создаются и внедряются в совершенно разных условиях, исходя из разных обстоятельств, задач и ограничений, поэтому состав технических средств, образующих систему терминального доступа, может быть разным. Более того, развитие той или иной системы может складываться не всегда именно так, как планировалось при ее создании – могут возникнуть новые задачи, новое необходимое в работе ПО может требовать другой аппаратной базы, и т. д. и т. п. И подсистема защиты информации в системе терминального доступа должна соответствовать именно этим реальным условиям, а не тем, что существуют «в идеале» (или в представлениях разработчиков). А значит, она должна решать все рассмотренные выше задачи.

Итак, определение необходимой для защиты системы терминального доступа функциональности средств защиты информации дает возможность сделать вывод о том, что эти средства должны соответствовать следующим требованиям: 

 

  1. быть аппаратными (неподверженными модификациям извне), 
  2. активными (независимыми от процессоров внешних устройств и при этом находящимися во взаимодействии, образующими систему) и
  3. иметь аппаратно реализованную криптографическую подсистему (позволять организовать доверенный обмен данными по сети). 
  4. При этом СЗИ, используемые на терминальных клиентах должны быть персональными или включать персональное средство как один из компонентов.

 

Не утверждая, что программно-аппаратный комплекс (ПАК) средств защиты информации (СЗИ) Аккорд является принципиально единственным вариантом основы для построения такой системы защиты, приводить примеры в дальнейшем будем именно на его материале. Подробно о ПАК СЗИ НСД Аккорд читайте в соответствующем подразделе раздела «Продукты».


ЦеныЦены
Прайс-лист
ЗаказатьЗаказать
Купить наши изделия
ФорумФорум
Форум на сайте ОКБ САПР
программирование и верстка сайта - shs