Контакты
Подписка 2024
МЕНЮ
Контакты
Подписка

Инструменты контроля доступа для организации удаленной работы

Светлана Конявская, 16/04/21

Чего сегодня на рынке защиты информации (и информационных технологий в целом) с избытком, так это разнообразных средств организации более-менее безопасной удаленной работы. Как водится, не все они одинаково полезные, однако конъюнктура момента такова, что пригодится все.

Автор: Светлана Конявская, заместитель генерального директора ОКБ САПР

Мы тоже предлагаем целый ряд решений этой задачи, и, как пишут сегодня все вендоры с историей, это решения, не быстро сооруженные в новых обстоятельствах, а разработанные давно, хорошо продуманные и имеющие внедрения. О них мы не раз писали, в том числе и на страницах этого журнала [1–3]. Ведется работа в данном направлении и регуляторами. И пока нормативные и методические требования в стадии разработки и утверждения, мы решили обратить внимание читателей на то, что сегодня вполне возможно построить удаленную работу в привычных категориях защищенной корпоративной информационной системы, в которой все компоненты, участвующие каким-либо образом в обработке данных, являются частью этой системы и полностью подконтрольны ее управляющему персоналу.

Это решение – защищенные терминалы. Оно очевидно, но обычно не рассматривается, потому что предполагается, что раздать всем сотрудникам терминалы для удаленной работы окажется слишком дорого. Защищенные терминалы разработки ОКБ САПР – m-TrusT Терминал и Центр-TrusT позволяют сделать организацию удаленного рабочего места, защищенного до класса КС3 включительно, не только достаточно простой и эффективной, но и недорогой.

Варианты реализации защищенного терминала различаются способом организации хранения и загрузки ОС:

  • первый вариант – ОС полностью хранится в памяти микрокомпьютера, доступной в режиме "только чтение". Такой вариант реализации защищенного терминала называется m-TrusT Терминал;
  • второй вариант – в переменную часть выделяется не только конфигурация, но и некий набор функционального ПО, то, что не может располагаться в неизменяемой памяти. В этом случае загружаться переменная часть образа ОС может по технологии защищенной сетевой загрузки "Центр-Т". Такой вариант реализации защищенного терминала называется Центр-ТrusT.

Функциональность защищенного терминала такова, что пользователь может работать на нем, как на обычном ПК, но при этом посредством криптографических механизмов обеспечивается защита критичной информации и высокий уровень вычислительной мощности.


Рис. 1. m-TrusT Терминал

Построены эти терминалы на базе специализированного микрокомпьютера с аппаратной защитой данных m-TrusT [4].

Защищенный терминал на базе микрокомпьютера m-TrusT является компьютером Новой гарвардской архитектуры, что обеспечивает ему "вирусный иммунитет". Встроенный резидентный компонент безопасности (РКБ) позволяет создать и поддерживать доверенную среду функционирования криптографии и высокий уровень конфиденциальности. Подключение к серверам обработки данных по защищенному каналу связи и использование встроенного аппаратного блока неизвлекаемого ключа обеспечивает простоту использования с соблюдением всех требований регулятора.

Аппаратная платформа терминала имеет производительный процессор – RK3399, поддерживает последние версии ядра Linux, интерфейсы USB 3.0 и USB Type-C, что обеспечивает высокий уровень вычислительной мощности.


Рис. 2. Общий вид микрокомпьютера m-TrusT

Ресурсы терминала позволяют обеспечить СФК, дающую возможность сертифицировать вариант исполнения различных СКЗИ на m-TrusT на класс КС3. В настоящее время есть СКЗИ с действующими сертификатами классов КС2 и КС3 в исполнении на m-TrusT.

В m-TrusT Терминал предустановлено СДЗ (Аккорд-MKT), сертифицированное ФСТЭК России, а также опционально – СЗИ НСД, также сертифицированное ФСТЭК России (Аккорд-X K).

Дополнительно возможны:

  • реализация поддержки sd-карт;
  • реализация блока защиты от инвазивных атак.

Размеры микрокомпьютера позволяют делать терминалы на его основе миниатюрными, как на рис. 3, что может быть крайне полезным при их использовании для организации защищенной удаленной работы. Миниатюрность при этом никак не сказывается на производительности рабочего места.


Рис. 3. Микрокомпьютер m-TrusT в корпусе


  1. Конявская С.В. Доверенные мобильные решения, 5G и другие кошмары // Inside. Защита информации. 2020. № 5 (95). С. 25–31.
  2. Конявская С.В. Средства обеспечения контролируемой вычислительной среды удаленного пользователя // Information Security/Информационная безопасность. 2020. № 2. С. 34–35.
  3. Конявская С.В. Самоизоляция сотрудников не защитит от заражения информационную систему // Information Security/Информационная безопасность. 2020. № 2. С. 6.
  4. Батраков А.Ю., Конявский В.А., Счастный Д.Ю., Пярин В.А. Специализированный компьютер с аппаратной защитой данных. Патент на полезную модель № 191690. 15.08.2019, бюл. № 23.
Темы:СКУДОКБ САПРЖурнал "Информационная безопасность" №1, 2021

Актуальные вопросы защиты информации
Организатор: ФСТЭК России
14 февраля 2024

Жми для участия
Кибербезопасность в новой реальности
15 февраля 2024. Подходы и инструменты управления процессом безопасной разработки. От сертификации СЗИ к сертификации РБПО
Регистрируйтесь и приходите на ТБ Форум 2024!
Статьи по той же темеСтатьи по той же теме

  • Аккорд-KVM Control Point: пункт управления защитой виртуальной инфраструктуры
    Екатерина Маренникова, Аналитик ОКБ САПР
    Для защиты инфраструктур виртуализации разработаны специальные средства защиты, они контролируют целостность ВМ и компонентов, исключая перехват управления
  • Защищенные флешки "Секрет Особого Назначения" запрещают делать только то, что нельзя
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    От решений, которые позиционируются как “защищенные", ожидают двух неприятностей: либо они не могут помешать злоумышленнику, либо они очень сильно мешают работать легальному пользователю. В худшем случае оба подозрения оказываются верны.
  • О физиках, лириках и флешках
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Техническая задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. Эта задача решена в защищенной флешке “Секрет Особого Назначения”. Коротко рассмотрим, как.
  • Построение защиты объектов КИИ: использовать неподходящее или делать самому?
    На рынке представлено решение, спроектированное именно для КИИ, с учетом основной технологической особенности таких систем. Это одноплатный микрокомпьютер с аппаратной защитой данных m-TrusT
  • Проблемы использования биометрии в качестве фактора аутентификации
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Старо, как мир бесконечно нарушаемое правило – не регистрировать в разных ресурсах один и тот же пароль. Однако, когда в разных ресурсах регистрируется одно и то же лицо (в прямом физическом смысле), ситуация даже хуже, ведь пароль в случае компрометации поменять существенно легче, чем лицо.
  • Повышение защищенности автоматизированных систем управления технологическими процессами
    Валерий Конявский, д.т.н., зав. кафедрой "Защита информации" МФТИ
    В большинстве технологических процессов используется программно-управляемое оборудование, выполняющее программы, поступающие из центра управления по каналам связи. При этом центр управления может быть значительно удален от конечного оборудования, а в качестве каналов связи могут использоваться любые физические линии с любыми протоколами. Все это создает предпосылки для возможного вмешательства в технологический процесс извне.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность в новой реальности
15 февраля 2024. Доверенные отечественные ИТ-системы и российское ПО для ключевых отраслей
Регистрируйтесь!

More...
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
Жми, чтобы участвовать