поиск по сайту
Загрузка по сети ОС терминальной станции, хранящейся на мобильном устройстве: ПАК "Центр-Т"

перейти в прайс

рассчитать стоимость для Вашей системы

Сочетание загрузки ОС на терминал по сети с мобильным хранением ОС для терминального клиента реализовано в системе, загружающей ОС на терминал с сервера хранения и сетевой загрузки, который, в свою очередь, вместе со всеми хранящимися на нем образами разворачивается на любом ПК с отдельного мобильного устройства.

Плюсов у такого построения системы два:

  1. гораздо проще организовать защищенное хранение оразов ОС в мобильном устройстве, где к собственным защитным механизмам аутентификации пользователя при доступе к его памяти может быть добавлена такая организационная мера, как хранение в сейфе в нерабочее время;
  2. гораздо удобнее организовать администрирование образов ОС терминальных станций централизованно, а не на каждом сервере хранения и сетевой загруки по отдельности.

Именно так построен программно-аппаратный комплекс «Центр-Т».

ПАК СЗИ НСД «Центр-Т» предназначен для обеспечения защищенной загрузки образов программного обеспечения терминальных станций по сети.

Такая организация загрузки ПО терминальных станций позволяет контролировать его целостность и обеспечивать оперативное администрирование прав, назначаемых пользователям в этих образах, так как образы подписываются ЭЦП, которая проверяется перед загрузкой на терминальную станцию аппаратным клиентским устройством (ПСКЗИ ШИПКА).

ПАК «Центр-Т» характеризуется двумя основными особенностями:

  1. он аппаратно независим, так как полностью реализован на ПСКЗИ ШИПКА (и клиентские, и серверные компоненты размещаются на дисках, встроенных в эти устройства и могут исполняться на любом ПК)
  2. он позволяет гарантировать контролируемую целостность и подлинность образов ПО терминальных станций, загружаемых по сети, криптографическими методами, реализованными полностью аппаратно.

Наличие в составе комплекса специального автоматизированного рабочего места (АРМ «Центр») позволяет конструировать образы ПО терминальных станций для разных пользователей с разным набором возможностей. Это позволяет достаточно оперативно реагировать на изменение ситуации (например, когда пользователю необходимо работать с терминальным сервером с другой терминальной станции, к которой подключен другой локальный принтер и монитор с другими параметрами экрана) без снижения уровня информационной безопасности.

Комплекс предоставляет возможность разделения административных полномочий администратора и администратора безопасности информации, что усиливает его защитные свойства.

ПАК СЗИ НСД «Центр-Т» состоит из трех компонент:

 

  • Автоматизированное рабочее место «Центр» (АРМ «Центр»);
  • Сервер хранения и сетевой загрузки (СХСЗ);
  • Клиентские ПСКЗИ ШИПКА для терминальных станций в составе СТД (ШИПКА-К).

1. АРМ Администратора Центра - ШИПКА-А.

ПО загружается на любую отведенную для этого ПЭВМ с ШИПКИ-А (на базе ПСКЗИ ШИПКА-2.0 КС2 и ПО), выполняется в оперативной памяти ПЭВМ, но не остается на ПЭВМ после отключения ШИПКИ-А.

На АРМе производится конструирование образов ПО терминальных станций (ТС), выработка ЭЦП для контроля их подлинности и целостности, работа с ключевыми парами, предназначенными для контроля подлинности и целостности образов ПО терминальных станций, инициализация и обновление ШИПОК-С и ШИПОК-К. 

На ПЭВМ, на которой выполняется сборка образов ПО терминальных станций, после отключения ПСКЗИ ШИПКА не остается ни ПО «Центр», ни подготовленных шаблонов, ни собранных образов ПО – все хранится только в устройстве ШИПКА-А. Целостность и подлинность образов контролируется с помощью ЭЦП.

Достаточно установить по одному АРМ «Центр» для каждого терминального сервера, однако их количество может быть и больше, если организация имеет значительное количество терминальных клиентов и конструирование образов ПО ТС одним администратором представляется затруднительным.

2. Сервер хранения и сетевой загрузки ПО терминальных станций (СХСЗ).

ПО загружается на любую отведенную для этого ПЭВМ с ШИПКИ-С (на базе ПСКЗИ ШИПКА-2.0 КС2 и ПО), выполняется в оперативной памяти ПЭВМ, но не остается на ПЭВМ после отключения ШИПКИ-С.

На сервере производится создание пользователей, назначение им ШИПОК-К, сопоставление ШИПКАМ-К образов ПО терминальных станций.

СХСЗ загружается только с ШИПКИ-С. На ПЭВМ, на которой исполняется ПО СХЗС, не хранится ни само ПО, ни загружаемые с СХСЗ образы. На СХСЗ ведется журналирование работы пользователей с момента включения терминальной станции до старта сессии с терминальным сервером и с момента разрыва сессии до выключения терминальной станции, а также журналирование всех действий администратора СХСЗ и администратора безопасности информации СХСЗ.

СХСЗ необходимо устанавливать в рамках общего защищенного контура с терминальными клиентами, которые с него загружаются.

3. Терминальные станции.

 

ПО начальной загрузки терминальных станций загружается с клиентских ШИПОК (на базе ШИПКИ-2.0 КС2 с поддержкой САЭС и с клиентской лицензией для «Центра-Т»), поэтому терминальным клиентом может быть любое СВТ, поддерживающее загрузку с USB-устройств.

Образ начальной загрузки стартует с диска ШИПКИ-К, обращается к СХСЗ, получает образ, сопоставленный этой ШИПКЕ-К, проверяет ЭЦП, и, в случае корректности ЭЦП, разрешает исполнение ПО ТС. Данный образ ПО ТС поддерживает работу с ПАК СЗИ НСД Аккорд-NT/2000 V.3.0 TSE и серверным ПО для ПСКЗИ ШИПКА, обеспечивающее корректную работу ПСКЗИ ШИПКА в терминальном режиме с поддержкой всех ее внутренних возможностей.

Производится аппаратная идентификация / аутентификация пользователя, проверка подлинности и целостности загружаемых образов путем проверки ЭЦП.

ШИПКА-К должна быть выдана каждому пользователю, имеющему доступ к терминальному серверу.

Для загрузки ПО на ТС в ПАК СЗИ НСД «Центр-Т» применяется сетевой протокол FTP, который хорошо масштабируется и позволяет производить централизованную настройку.

До начала работы ПАК СЗИ НСД «Центр-Т» Администратору АРМ «Центр» необходимо осуществить инициализацию, а также установить параметры аутентификации всех ШИПОК (ШИПКА-А, ШИПКА-С, ШИПКИ-К), предназначенных для использования в ПАК СЗИ НСД «Центр-Т» в соответствии с эксплуатационной документацией на ПСКЗИ ШИПКА. 

В процессе первоначального развертывания ПАК СЗИ НСД «Центр-Т» Администратору АРМ «Центр» необходимо с помощью АРМ «Центр»:

 

  • создать необходимые образы ПО ТС с заданными параметрами (тип и настройки терминального подключения, возможность «проброса» клиентских устройств на сервер и т.д.);
  • вычислить ЭЦП для созданных образов ПО ТС с помощью ПСКЗИ ШИПКА – ШИПКА-А (при этом ШИПКА-А в дальнейшем используется для защищенного хранения закрытого ключа, на котором производится вычисление ЭЦП для образов ПО ТС);
  • записать сконструированные образы ПО ТС и открытый ключ для проверки ЭЦП на ШИПКИ-С;
  • записать на клиентские ПСКЗИ ШИПКА образы начальной загрузки (далее ОНЗ или ОНЗ ТС), а также сохранить открытый ключ для проверки ЭЦП в защищенное внутреннее хранилище ПСКЗИ ШИПКА.

 

В дальнейшем все инициализированные ПСКЗИ ШИПКА передаются администраторам СХСЗ.

Далее необходимо с помощью ПО СХСЗ создать и настроить соответствующие записи для пользователей (клиентов) СТД. При этом для Администратора СХСЗ доступны следующие возможности настройки:

 

  • возможность управления учетными записями пользователей;
  • возможность настройки параметров идентификации для учетной записи;
  • возможность изменения сетевых параметров клиента ТС СТД;
  • возможность назначить пользователю образ ПО ТС (образ должен быть предварительно создан Администратором «Центр-Т» и передан на СХСЗ).

 

Образ, прошедший проверку подлинности в дальнейшем загружается в оперативную память ТС. Загруженное ПО ТС инициирует соединение с терминальным сервером.

С использованием клиентских ПСКЗИ ШИПКА пользователи ТС также в дальнейшем осуществляют идентификацию в ПАК Аккорд при входе на терминальный сервер (ПСКЗИ ШИПКА используется как аппаратный идентификатор).

В рамках терминальной сессии может осуществляться «проброс» USB-принтеров и/или flash-накопителей, подключенных к ТС СТД. Таким образом эти устройства становятся доступными в рамках терминальной сессии на терминальном сервере. Соответствующие параметры (а также возможность использования USB-принтеров и/или flash-накопителей) задаются Администратором АРМ «Центр» в процессе конструирования соответствующего образа ПО ТС.

 


ЦеныЦены
Прайс-лист
ЗаказатьЗаказать
Купить наши изделия
ФорумФорум
Форум на сайте ОКБ САПР
программирование и верстка сайта - shs