поиск по сайту
Защита информации в системах терминального доступа
С. В. Конявская
Россия, Москва, ОКБ САПР

Защита информации в системах терминального доступа

Концептуальная основа технологии защиты информации ОКБ САПР состоит в убежденности, что защита эффективна только в том случае, если защищены все типы объектов, то есть решен весь комплекс задач технической защиты информации:

  • СВТ от несанкционированного доступа;
  • разграничение прав доступа к данным;
  • обеспечение неизменности технологии обработки данных (то есть сохранение состава операций, производимых над данными, и порядка этих операций (те же операции в другом порядке могут дать совершенно другие результаты));
  • передача данных в защищенном виде.

Безусловно, в зависимости от того, что представляет собой система, которую требуется защитить, набор объектов защиты может варьироваться. Один из случаев, когда необходимо защитить все эти объекты, - это подсистема защиты информации в терминальных системах, поскольку такая система включает в себя и СВТ, и данные, и технологии их обработки, и передачу этих данных.

Для того чтобы обеспечить защиту на всех этих узловых моментах, СЗИ должны, во-первых, работать на всех СВТ, занятых в процессе обработки информации, во-вторых, быть активными, то есть находиться во взаимодействии - для того чтобы обеспечивать непрерывность этой защиты,  и в-третьих, обладать криптографической функциональностью, необходимой для создания защищенного виртуального канала обмена данными между терминальным сервером и терминалами.

Рассмотрим систему защиты информации в системе терминального доступа (СТД), базирующуюся на ПАК СЗИ НСД Акоорд-NT/2000 Терминальной редакции. Комплекс сертифицирован ФСТЭК России для применения на объектах информатизации до второй категории.

Функционирует Аккорд-NT/2000 на всей ветви операционных систем (ОС) Microsoft NT + , на терминальных серверах, построенных на базе ОС Windows 2000 Advanced Server и на базе серверов семейства Windows 2003, и на ПО Citrix Metaframe XP, работающем на этих ОС.

Комплекс использует собственную систему разграничения доступа и служит фильтром между ядром ОС и расположенным выше прикладным ПО терминальных служб. Это значит, что действия, разрешенные прикладным ПО, но запрещенные АККОРДОМ - будут запрещены пользователю.

Рассматриваемая схема терминального доступа предполагает подключение с терминала к серверу загрузки, загрузку на терминал с сервера загрузки образа ОС, отключение от сервера загрузки, а затем работу с терминала на терминальном сервере. При этом на сервере загрузки регистрируются пользователи, формируются списки загружаемых на терминал для того или иного пользователя модулей, осуществляется сбор журналов и т. д., а непосредственная работа пользователя с терминала происходит на терминальном сервере.

Согласно принципу о непрерывности контура защиты, а также исходя из современного устройства терминальных систем, комплекс средств защиты информации должен быть установлен на всех входящих в систему СВТ - и на серверах, и на терминалах.

Взаимодействие ПО терминального сервера ОС Windows (Windows 2000 Advanced Server, Windows 2003) с клиентом происходит в рамках специального протокола - Remote Desktop Protocol (RDP). В рамках этого протокола от пользователя на сервер передаются нажатия на клавиши и движения мыши на терминальном клиенте, а от сервера передается изображение виртуального экрана. С точки зрения пользователя терминального клиента взаимодействие с сервером под управлением Citrix MetaFrame ничем не отличается от работы с терминальным сервером под управлением Windows. На самом деле, то же самое взаимодействие клиента и сервера здесь протекает по протоколу Independent Computing Architecture (ICA), который отличается от протокола RDP.

Оба эти протокола предоставляют возможность построения так называемых виртуальных каналов. С точки зрения прикладного программного обеспечения, выполняющегося на терминальном сервере в рамках терминальной сессии, виртуальные каналы обеспечивают передачу данных между сервером и клиентом независимо от протоколов транспортного уровня (TCP/IP, IPX) и сами в свою очередь являются некоторым подобием реализации протоколов транспортного уровня. Таким образом, если запрос на создание терминальной сессии обработан с положительным результатом, то все взаимодействие между терминалом и терминальным сервером происходит в рамках этого виртуального канала.

На сервере загрузки и на терминальном сервере в качестве аппаратной части комплекса Аккорд-NT/2000 используется контроллер Аккорд.

На терминалах же функцию аппаратной части комплекса выполняет ПСКЗИ ШИПКА (в случае, если пользователи работают на специализированных аппаратных терминалах), или также контроллеры Аккорд (если в функции терминала используется ПЭВМ).

Основные два блока функциональности ШИПКИ, делающие ее привлекательной для построения корпоративных систем - это 1) возможность использовать ее в стандартных случаях применения смарт-карт (для организации доступа к различным приложениям и тому подобное), и 2) обеспечение подтверждения авторства и целостности электронных сообщений и документов в ЛВС или при использовании технологий терминального доступа.

Это достигается за счет того, что

- ключевая информация и криптографические библиотеки сосредоточены в одном устройстве, доступны на исполнение они только авторизованному пользователю и технологически защищены от чтения и модификации;

- собственные ресурсы устройства достаточны для организации защиты виртуальных каналов.

На аппаратном уровне - на уровне firmware - в ШИПКЕ реализованы

  • файловая система, подобная ISO/IEC 7816-4, позволяющая хранить данные в файлах, и организовывать иерархическую структуру каталогов. Кроме того, объекты файловой системы обладают атрибутами, которые ограничивают доступ к данным;
  • подсистема идентификации /аутентификации, позволяющая назначать PIN-код для доступа к функциям, требующим авторизации, задавать политики работы с PIN-кодом, назначать политики блокировки/разблокировки устройства;
  • подсистема работы с ключевой информацией: генерация (с использованием физического ДСЧ), импорт/экспорт, хранение в data flash (причем число ключей может быть ограничено только особенностями реализации файловой системы). Доступ к ключам разрешается только после проведения процедур аутентификации (предъявления корректного PIN-кода);
  • криптографическая библиотека (алгоритмы шифрования, вычисления хеш-функций, вычисления и проверки ЭЦП).

Таким образом, все функции, касающиеся криптографических преобразований, реализованы в ШИПКЕ аппаратно, и при этом ее внутреннее ПО (firmware) не нуждается ни в адаптации для терминального либо локального использования, ни в дополнительной настройке процедур взаимодействия для работы с ПО различных производителей (благодаря поддержке стандартных интерфейсов - PKCS#11 и СSP).

Задача всего остального программного обеспечения сводится к реализации транспортной составляющей: нужно корректно передать команды и данные в ПСКЗИ ШИПКА для последующих преобразований и корректно доставить результат этих преобразований.

Существенное достоинство ПСКЗИ ШИПКА заключается в том, что помимо тех функций, которые ей предписаны реализацией подсистемы защиты системы терминального доступа, пользователь может использовать по мере необходимости и другие ее функции. В первую очередь, это шифрование и подпись файлов на диске; <Помощник авторизации> - программа, которая запоминает вводимые в формах авторизации данные и предлагает их заполнять автоматически (не запутаться в своих паролях для разных сервисов почти невозможно, а ШИПКА - не запутается, и, что важнее, хранятся эти данные в ее памяти защищенно); аппаратная идентификация/аутентификация на компьютерах (с помощью своей ШИПКИ можно настроить вход в ОС на разных компьютерах, на которых пользователь зарегистрирован, и вводить везде пин, а не логин и пароль); ШИПКУ можно использовать как ключевой контейнер и аппаратный ДСЧ для различных криптографических приложений, в частности, КриптоПро; к смарт-карточным функциям относятся, например, организация защищенной переписки (подпись и шифрование почтовых сообщений) в программах Outlook, Outlook Express и The BAT! (с использованием как стандарта PKCS#11, так и CSP), получение сертификатов Удостоверяющих центров, и т. п.

Из всех тех возможностей, над добавлением которых в ШИПКУ мы постоянно работаем, наиболее важными для защиты СТД являются на наш взгляд следующие:

  • Организация доступа к персональной ключевой информации по предъявлению биометрических данных. Для этого будет добавлен сканер, считывающий отпечаток пальца и механизм распознавания отпечатка пальца.
  • Реализация возможности применения ШИПКА в системах контроля физического доступа (интеграция в устройство ШИПКА (точнее – в корпус ШИПКИ) RFID и возможность защищенного хранения в ШИПКЕ биометрических данных пользователя и корректного их предъявления). Таким образом, интегрированное устройство обеспечит контроль доступа на всех уровнях – на предприятие, в комнату, в компьютер, в сеть, при этом целостность биометрических данных обеспечивается криптографическими возможностями ШИПКИ. Макет такой системы разработан и демонстрировался Банку России.
  • Добавление защищенного шифрованием персонального диска пользователя и переход на USB High Speed, что позволит эффективно использовать этот диск.
  • Разработка механизмов хранения в ПСКЗИ ШИПКА и последующей загрузки в ОЗУ терминала наиболее критичных с точки зрения безопасности информации компонентов ОС терминала.
  • Реализация контроля целостности файлов, загружаемых с Сервера Загрузки, с помощью ЭЦП. Это сделает систему контроля целостности проще и надежнее, чем при контроле путем вычисления хеша.
  • Разработка системы работы с ЭЦП в терминалах, при которой на терминале находится ключ, формируются информационные наборы и происходит проверка/выработка подписи.

Помимо этого мы работаем над реализацией дополнительного слоя защиты, на котором будет происходить взаимная аутентификация технических средств. Взаимодействие будет происходить непосредственно между СЗИ (контроллерами Аккорд и ПСКЗИ ШИПКА), установленными на терминалах, серверах загрузки и терминальных серверах, с целью подтверждения их подлинности. Взаимная аутентификации будет происходить путем обмена подписанными ЭЦП каждого из устройств пакетами. Возможность такой проверки, несомненно, повысит защишенность системы в целом.

Итак, главное для защищенности терминальной системы - это правильный старт. То, что стартует на терминале должно а) быть загружено из правильного места и б) быть правильно проверено. В нашем случае дела будут обстоять следующим образом. На сервере загрузки заранее регистрируются легальные пользователи со своими ШИПКАМИ. Для контроля целостности загружаемых на терминал модулей, вычисляются и записываются в ШИПКИ пользователей их хеши. Другой вариант контроля целостности - с использованием ЭЦП: с помощью системной ШИПКИ (не принадлежащей никому из пользователей) пакеты с загружаемыми файлами подписываются ЭЦП, а копии открытого ключа ключевой пары, на которой они подписываются, записываются в ШИПКУ пользователя.

Подключая ШИПКУ к терминалу и вводя PIN-код, пользователь отправляет по защищенному каналу на сервер загрузки свои аутентификационные данные. Если они совпадают с сохраненными на сервере загрузки, на терминал отправляются предназначенные этому пользователю файлы. ШИПКОЙ вычисляются хеши полученных модулей и сравниваются с хранящимися в ее памяти, либо проверяется подпись полученных пакетов.

При запросе на открытие терминальной сессии по защищенному виртуальному каналу от ПСКЗИ ШИПКА с терминала на терминальный сервер передаются данные пользователя, которые сравниваются Аккордом-NT/2000 с теми, что хранятся в его базе. В случае положительного результата обработки этих данных, пользователь может работать в рамках терминальной сессии с соответствии с правами доступа, назначенными для него в ПО Аккорд-NT/2000.

 

 

Взаимными стрелками, соединяющими на этой схеме средства защиты, показан обмен пакетами аутентифицирующих данных, подписанными ЭЦП каждого из этих устройств. С помощью этого обмена подтверждается подлинность участвующих во взаимодействии аппаратных средств.

Очевидно, такая схема защиты СТД может быть реализована только потому, то применяемые СЗИ обладают тремя принципиальными свойствами: они аппаратные (то есть независимые от ОС компьютера), активные (то есть способные к взаимодействию и работающие во взаимодействии) и имеют криптографическую функциональность (что, помимо прочего, означает наличие собственных проверочных механизмов).


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них