Статьи по информационной безопасности

"Центр-Т": управление загрузкой терминалов в новой удобной форме

Written by Екатерина Маренникова | 12/01/22

С развитием техники все более сложные вещи необходимо упрощать. И на современном уровне уже никто не склонен недооценивать важность управляемости системы, а не только наличия в ней тех или иных защитных функций. К категории систем, повышающих управляемость ИС, принадлежит и программно-аппаратный комплекс (ПАК) средств защиты информации “Центр-Т” компании ОКБ САПР [1].

Автор: Екатерина Маренникова, аналитик, ОКБ САПР

ПАК "Центр-Т" предназначен для централизованного администрирования, защищенного хранения и контролируемой загрузки образов программного обеспечения на клиентские рабочие станции в распределенных информационных системах. Работает в два этапа.

Первый этап – с отчуждаемого USB-носителя, который называется "Специальный носитель ПО "Клиент Центр-Т", загружается образ ОС, называемый образом начальной загрузки (ОНЗ). ОНЗ на отчуждаемом носителе хранится в разделе, доступном только для чтения, – тем самым обеспечивается загрузка целостной и аутентифицированной ОС из аутентифицированного источника. Основное и единственное назначение ОНЗ – обеспечение защищенности второго этапа загрузки.

Второй этап – сетевая загрузка того программного обеспечения (ПО), посредством которого производится подключение к терминальному серверу, или, например, к инфраструктуре виртуализации с виртуальными рабочими столами, или веб-серверу. ПО, которое загружается на клиентские рабочие места по сети, рассылается с сервера хранения и сетевой загрузки (СХСЗ). Это серверный элемент инфраструктуры "Центр-Т", ПО которого, включая операционную систему (ОС), в свою очередь, загружается на произвольное средство вычислительной техники со "Специального носителя ПО СХСЗ".

Функциональность ПАК "Центр-Т" обширна – он один сможет заменить совокупность отдельных решений за счет следующих инструментов:

  • наличия собственной системы идентификации и аутентификации;
  • возможности организации доверенного сеанса связи (ДСС);
  • централизованного управления и администрирования ПО рабочих станций (РС);
  • резервирования и восстановления данных;
  • контроля целостности ПО;
  • контроля периферийного оборудования;
  • организации удаленного доступа за счет наличия встроенных средств терминального и удаленного доступа других видов (терминальные клиенты rdp, ica; Horizon View и другие по требованиям конкретной системы);
  • протоколирования событий безопасности, которые связаны с функциональными возможностями комплекса;
  • загрузки ПО с защищенных носителей: ПО СХСЗ и ПО клиента (образ начальной загрузки) хранятся в защищенных разделах памяти специальных носителей, что исключает возможность несанкционированного изменения ПО "Центр-Т".

Преимущества "Центр-Т"

  1. Применение в информационных системах (ИС) различных по назначению средств сопряжено с проблемой стабильности совместного функционирования, в то время как использование "Центр-Т" не требует ни приобретения дополнительных СВТ, ни трудоемких работ по развертыванию инфраструктуры – ПО комплекса загружается на уже имеющиеся в системе СВТ со специальных носителей, входящих в состав комплекса.
  2.  При применении "Центр-Т" архитектура исходной ИС практически не меняется. А внедрение совокупности решений меняет систему кардинально: вводятся новые единицы технических средств, внедряется много нового ПО, что способствует росту нагрузки на сеть, а это, в свою очередь, может привести к нехватке мощности и перебоям в работе ИС (возможен выход из строя объектов ИС).
  3. Различные решения, которые комбинируются и предлагаются интеграторами, как правило, имеют повторяющиеся блоки функциональности (ведь разрабатываются они все по требованиям регуляторов, предопределяющих наличие обязательных функций). В результате многие функции в ИС многократно дублируются, что нецелесообразно и даже вредно, так как может вызывать конфликты.
  4. Совокупность решений интеграторов в несколько раз дороже, чем комплект "Центр-Т".

Применение "Центр-Т" блокирует имманентные системам удаленного доступа уязвимости, такие как:

  • возможность получения доступа к ПО со стороны незарегистрированных пользователей;
  • возможность получения доступа к запрещенным сетевым ресурсам;
  • несанкционированное копирование и перенос информации на съемных носителях;
  • возможность несанкционированной установки пользователями неразрешенного ПО.

Путем применения комплекса в ИС реализуются большинство мер из приказов ФСТЭК России №17 и 21, направленных на реализацию управления и администрирования ПО клиентских РС (группы ОПС, УПД, АНЗ и ИАФ): 82%. Остаются только организационные меры и меры, реализуемые не на РС.

Комплекс "Центр-Т":

  • прост – не требует сложной настройки и прозрачен в эксплуатации;
  • экономичен – заметно сокращаются расходы на обслуживание и администрирование ИС;
  • рационален – при относительно невысокой стоимости обеспечивает надежную защиту ИС и делает ее более управляемой и простой в обслуживании и эксплуатации.
  1. https://www.okbsapr.ru/products/management/PAKTSENTRT/ 
View full post