"Центр-Т": управление загрузкой терминалов в новой удобной форме
Екатерина Маренникова, 12/01/22
С развитием техники все более сложные вещи необходимо упрощать. И на современном уровне уже никто не склонен недооценивать важность управляемости системы, а не только наличия в ней тех или иных защитных функций. К категории систем, повышающих управляемость ИС, принадлежит и программно-аппаратный комплекс (ПАК) средств защиты информации “Центр-Т” компании ОКБ САПР [1].
Автор: Екатерина Маренникова, аналитик, ОКБ САПР
ПАК "Центр-Т" предназначен для централизованного администрирования, защищенного хранения и контролируемой загрузки образов программного обеспечения на клиентские рабочие станции в распределенных информационных системах. Работает в два этапа.
Первый этап – с отчуждаемого USB-носителя, который называется "Специальный носитель ПО "Клиент Центр-Т", загружается образ ОС, называемый образом начальной загрузки (ОНЗ). ОНЗ на отчуждаемом носителе хранится в разделе, доступном только для чтения, – тем самым обеспечивается загрузка целостной и аутентифицированной ОС из аутентифицированного источника. Основное и единственное назначение ОНЗ – обеспечение защищенности второго этапа загрузки.
Второй этап – сетевая загрузка того программного обеспечения (ПО), посредством которого производится подключение к терминальному серверу, или, например, к инфраструктуре виртуализации с виртуальными рабочими столами, или веб-серверу. ПО, которое загружается на клиентские рабочие места по сети, рассылается с сервера хранения и сетевой загрузки (СХСЗ). Это серверный элемент инфраструктуры "Центр-Т", ПО которого, включая операционную систему (ОС), в свою очередь, загружается на произвольное средство вычислительной техники со "Специального носителя ПО СХСЗ".
Функциональность ПАК "Центр-Т" обширна – он один сможет заменить совокупность отдельных решений за счет следующих инструментов:
- наличия собственной системы идентификации и аутентификации;
- возможности организации доверенного сеанса связи (ДСС);
- централизованного управления и администрирования ПО рабочих станций (РС);
- резервирования и восстановления данных;
- контроля целостности ПО;
- контроля периферийного оборудования;
- организации удаленного доступа за счет наличия встроенных средств терминального и удаленного доступа других видов (терминальные клиенты rdp, ica; Horizon View и другие по требованиям конкретной системы);
- протоколирования событий безопасности, которые связаны с функциональными возможностями комплекса;
- загрузки ПО с защищенных носителей: ПО СХСЗ и ПО клиента (образ начальной загрузки) хранятся в защищенных разделах памяти специальных носителей, что исключает возможность несанкционированного изменения ПО "Центр-Т".
Преимущества "Центр-Т"
- Применение в информационных системах (ИС) различных по назначению средств сопряжено с проблемой стабильности совместного функционирования, в то время как использование "Центр-Т" не требует ни приобретения дополнительных СВТ, ни трудоемких работ по развертыванию инфраструктуры – ПО комплекса загружается на уже имеющиеся в системе СВТ со специальных носителей, входящих в состав комплекса.
- При применении "Центр-Т" архитектура исходной ИС практически не меняется. А внедрение совокупности решений меняет систему кардинально: вводятся новые единицы технических средств, внедряется много нового ПО, что способствует росту нагрузки на сеть, а это, в свою очередь, может привести к нехватке мощности и перебоям в работе ИС (возможен выход из строя объектов ИС).
- Различные решения, которые комбинируются и предлагаются интеграторами, как правило, имеют повторяющиеся блоки функциональности (ведь разрабатываются они все по требованиям регуляторов, предопределяющих наличие обязательных функций). В результате многие функции в ИС многократно дублируются, что нецелесообразно и даже вредно, так как может вызывать конфликты.
- Совокупность решений интеграторов в несколько раз дороже, чем комплект "Центр-Т".
Применение "Центр-Т" блокирует имманентные системам удаленного доступа уязвимости, такие как:
- возможность получения доступа к ПО со стороны незарегистрированных пользователей;
- возможность получения доступа к запрещенным сетевым ресурсам;
- несанкционированное копирование и перенос информации на съемных носителях;
- возможность несанкционированной установки пользователями неразрешенного ПО.
Путем применения комплекса в ИС реализуются большинство мер из приказов ФСТЭК России №17 и 21, направленных на реализацию управления и администрирования ПО клиентских РС (группы ОПС, УПД, АНЗ и ИАФ): 82%. Остаются только организационные меры и меры, реализуемые не на РС.
Комплекс "Центр-Т":
- прост – не требует сложной настройки и прозрачен в эксплуатации;
- экономичен – заметно сокращаются расходы на обслуживание и администрирование ИС;
- рационален – при относительно невысокой стоимости обеспечивает надежную защиту ИС и делает ее более управляемой и простой в обслуживании и эксплуатации.