поиск по сайту
О безопасности терминальных систем и размерах ОС терминальных станций

О безопасности терминальных систем и размерах ОС терминальных станций*

В обсуждении достоинств тех или иных «тонких клиентов» очень часто фигурирует довод о том, что «в тонком клиенте Х операционная система на базе Y совсем маленькая, это ОЧЕНЬ тонкий клиент, и стало быть, это безопасно». Тем более безопасными анонсируются «нулевые клиенты» - ведь у них нет никакой ОС!

Эта логика звучит предельно убедительно в силу своей гениальной простоты, однако, стоит углубиться в вопрос, каким же именно образом связана информационная безопасность и размер операционной системы.

Утверждение, что терминальные системы «безопаснее» систем на базе автономных ПК, основано на простом и понятном базисе: на  терминальных клиентах не обрабатываются и не хранятся данные.

Однако, даже если утверждение с определенными оговорками принимаем, то это не значит:

  • что они вообще нигде не обрабатываются и не хранятся в терминальных системах (они таки обрабатываются - на терминальном сервере);
  • что, не обрабатываясь и не хранясь на терминальном клиенте, данные со стороны  терминального клиента неуязвимы (уязвимы, ведь именно с тонких клиентов осуществляется к ним доступ).

4 классических объекта защиты информации (СВТ, данные, технологии, каналы передачи) в терминальной системе в сущности никуда не деваются, но они являют себя в других феноменах.

Рассмотрим феноменологию подробнее.

1. В автономном ПК

  1. СВТ: ПК.
  2. Данные:
    • место хранения и обработки - ПК (жесткий диск, оперативная память),
    • доступ - через интерфейсы ПК.
  3. Технологии обработки:
    • реализованы, исполняются - на ПК (ПО на жестком диске, исполняется в оперативной памяти),
    • доступ - через интерфейсы ПК.
  4. Каналы передачи - внутри ПК.

По сути феномен, подлежащий защите (комплексной, всесторонней) - один: ПК. На одном и том же физическом объекте осуществляется и доступ к данным и программам, и их обработка, и их передача (с места на место хранения, от программы к программе). На этом же одном и том же физическом объекте требуется установить СЗИ, реализующие все необходимые функции - доступ к данным и программам, доверенную среду их исполнения, защита потоков данных.

2. В ЛВС

  1. СВТ: ПК.
  2. Данные:
    • место хранения и обработки - ПК (жесткий диск, оперативная память),
    • доступ - через интерфейсы ПК, через сетевые интерфейсы.
  3. Технологии обработки:
    • реализованы, исполняются - на ПК (ПО на жестком диске, исполняется в оперативной памяти),
    • доступ - через интерфейсы ПК, через сетевые интерфейсы.
  4. Каналы передачи - каналы связи ЛВС.

Феномена, подлежащих защите, два - ПК и каналы связи. Контроль доступа к данным и программам, доверенная среда их исполнения - должны обеспечиваться на ПК, передача - контролироваться в каналах.

3. В терминальной системе

  1. СВТ: терминальные серверы и терминальные клиенты.
  2. Данные:
    • место хранения и обработки - терминальный сервер (жесткий диск, оперативная память),
    • доступ - через интерфейсы терминального сервера, через сетевые интерфейсы с терминальных клиентов.
  3. Технологии обработки:
    • реализованы, исполняются - на сервере (ПО на жестком диске, исполняется в оперативной памяти),
    • доступ - через интерфейсы терминального сервера, через сетевые интерфейсы с терминальных клиентов.
  4. Каналы передачи - каналы взаимодействия терминального сервера с терминальными клиентами.

Феномена, подлежащих защите, три - терминальные серверы, терминальные клиенты и каналы связи.  Контроль доступа к данным должен быть обеспечен на терминальном сервере и на терминальном клиенте (так как осуществляется он оттуда), доверенная среда обработки данных - на сервере, передача - контролироваться в каналах.

Безопасность незащищенной терминальной системы не выше, и не ниже, чем безопасность незащищенного ПК или незащищенной ЛВС, она так же условна. Это обязательно нужно ясно понимать, чтобы не попасть в ловушку безосновательной успокоенности.

Значит ли это, что разницы нет с точки зрения защиты информации? Не значит, разница есть.

Она в том, какие усилия (технический, инвестиционные, организационные) должны быть направлены на защиту каждого физического объекта защиты в каждом случае.

И вот тут, казалось бы, мы и подходим к зависимости между «сложностью» защиты информации и «размером» ОС.

На что же влияет размер ОС терминальной станции?

На безопасность терминального сервера? Очевидно, что нет. Значит, и на защиту - тоже не влияет. Сервер должен быть защищен всесторонне, полноценно и комплексно, он - основной информационный ресурс системы.

На безопасность доступа к терминальному серверу? Строго говоря, в обеспечении доступа к терминальному серверу и состоит назначение ОС терминального клиента. Все остальные ее функции второстепенны.

Чем больше объем ОС, тем больше в ней ресурсов. В их числе и ресурсы, позволяющих изменить (в том числе, несанкционированно) реализацию доступа к терминальному серверу. В том числе и тогда, когда на терминальный клиент установлены некие СЗИ для контроля доступа пользователя, ведь СЗИ, не обеспечивающие доверенную загрузку ОС (разного рода ключи для двухфакторной аутентификации, и тому подобное), зависимы от ОС.

Заметим, однако, что ресурсов для изменения реализации доступа нужно не так уж и много. И вопрос от постановки «достаточна ли эта ОС для того, чтобы получить несанкционированный доступ к серверу с ее помощью» (достаточна!) смещается в сторону постановки «есть ли у потенциального нарушителя доступ к ОС терминальной станции». Если есть - получить доступ к серверу он сможет. Если нет - не сможет, не важно, насколько велика ОС.

Вопрос не «размера», а контролируемости. Теми или иными мерами должен контролироваться источник загрузки ОС и ее целостность.

Что меняется, если клиент «нулевой»? Тут очень часто срабатывает логика «нет ОС - нет проблемы». Эта логика очень опасна, потому что «нет ОС» - в принципе невозможно. То, что ОС нет на диске тонкого клиента - не означает, что ее нет вообще. Где-то она есть. И откуда-то она на него загрузится, иначе сессия с терминальным сервером не будет инициализирована.

А это значит, что вопрос сводится к предыдущему: имеет ли потенциальный злоумышленник доступ к этой ОС? Контролируема ли она?

Все уязвимости системы контроля доступа при этом те же, просто блокироваться они должны иначе, но обязательно должны. Должен контролироваться источник загрузки и целостность ОС.

Что из этого следует

Значит ли это все, что для защиты информации вообще не имеет значения, толстый, тонкий, или нулевой клиент?

Конечно, имеет.

Исходя именно из этого фактора выбираются средства защиты так, чтобы:

  1. Соответствовать именно этой инфраструктуре и не вести к потере инвестиций в парк СВТ
  2. Соответствовать модели угроз именно этой системы и не вести к затратам на противодействие неактуальным для системы угрозам
  3. Соответствовать планам развития именно этой системы - поддерживать ее масштабируемость и гибкость, или наоборот статичность  и стабильность, и не требовать каждый раз начинать все с нуля.

А добиться одинаково высокого уровня защищенности для каждой из систем - вполне реально. Мы знаем, как.


* В журнале по техническим причинам статья вышла в сокращенном виде, здесь приведен ее полный текст.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них
ЛичноеЛичное
Защита частной жизни