поиск по сайту

Если у вас возникли вопросы, или вам что-то не нравится, вы можете пожаловаться

Защита информации в системах терминального доступа

Защита информации в системах терминального доступа

Хорошая подсистема защиты информации в системе терминального доступа должна соответствовать нескольким простым требованиям.

Пропустить теоретическую часть

Во-первых, иметь возможность работать с терминальными клиентами разных типов -

1. с аппаратными терминалами (возможно, разных производителей),

2. с <усеченными> ПК - то есть такими, функциональность которых принудительно сужена до функциональности терминала, и

3. с полноценными ПК, для которых работа с терминальным сервером является лишь одним из режимов работы.

Аппаратные терминалы предпочтительны с точки зрения защищенности потому, что на них принципиально не содержится и не обрабатывается информация, а также отсутствуют средства обработки информации - которые при определенных обстоятельствах могут нанести ущерб.

Для того чтобы полностью уподобить терминалам обыкновенные персональные компьютеры, необходимо добиться, чтобы при работе в качестве терминала они не содержали ничего <своего> - ни доступной пользователю аппаратуры, и программ (кроме тех, что находятся и выполняются на терминальном сервере в рамках сессии), ни операционной системы, дающей в руки пользователя достаточно возможностей, чтобы напортить или злоупотребить.

В случае с отслужившими свое маломощными и просто старыми машинами, в принципе, можно из них все просто изъять, хотя, конечно, ресурс выбросить - без ресурса остаться. Жалко. Но можно.

Поступать так с машиной, для которой работа с терминальным сервером - лишь функция - точно не следует. Значит, надо добиться того, чтобы при работе в рамках терминальной сессии те ресурсы, которые все остальное время у компьютера есть - были бы пользователю гарантированно недоступны. То есть одной из функций подсистемы защиты информации должно быть создание изолированной среды, причем на уровне разграничения доступа как к программам и ОС, так и к аппаратуре, портам и прочему.

Итак, на терминальном клиенте не должно быть ничего, включая ОС. Это правильно с той точки зрения, что работать пользователь должен в той ОС, что функционирует на терминальном сервере. Однако для того чтобы открыть терминальную сессию какая-то минимальная ОС необходима, и она должна быть корректно загружена. Методы контроля загрузки ОС могут быть разными, но на сегодняшний день очевидно, что без <точки опоры> - устройства, обеспечивающего доверенную среду и доверенные вычисления - решить эту проблему невозможно.

В большинстве случаев, особенно при использовании аппаратных терминалов, загрузка ОС на терминал производиться по сети. Большинство современных методов удаленной загрузки никаких механизмов защиты не включают, и гарантии, что ОС загружается из надежного источника и в исправном состоянии, а также что это вообще именно ОС, а не что-то другое - нет. Значит, вторая функция, которая совершенно необходима подсистеме защиты информации в системе терминального доступа, - это защищенная загрузка ОС по сети.

Что для этого нужно.

Например, загружаемые операционные системы могут быть подписаны электронной цифровой подписью и эта подпись должна проверяться до загрузки ОС. Проверка ЭЦП, которой подписан образ ОС, гарантирует его целостность и аутентичность. Эту проверку должна производить программа, загружающая ОС по сети, - загрузчик ОС. При этом целостность и аутентичность загрузчика также проверяется перед началом его работы.

Стало быть, в данном случае критически важная среда - это среда хранения загрузчика, а критически важные вычисления - криптографические вычисления при контроле целостности, а это значит, что реализованы эти функции должны быть аппаратно.

В идеальном случае, если загрузчик стартует из отдельного аппаратного устройства, то терминал сам по себе не имеет вообще никакого собственного программного обеспечения, а значит, неуязвим для модификаций.

При этом используемое для загрузки ОС средство защиты информации, по крайней мере в случае с аппаратным терминалом - должно быть персональным, во-первых, поскольку установить в аппаратный терминал стационарное средство как правило невозможно, а во-вторых, чтобы оно выполняло также и функции идентификации/аутентификации пользователя, и для последнего загружались бы именно положенные ему модули. Соответственно, в случае, если в качестве терминала выступает ПК, на который уже установлено стационарное СЗИ (напомним, для обеспечения изолированной среды), обладающее достаточными ресурсами для обеспечения защищенной загрузки по сети, то некий персональный идентификатор все равно совершенно необходим. Значит, при смешанной системе, включающей как специализированные терминалы, так и ПК в терминальной функции, целесообразно использовать именно персональные СКЗИ, особенно если предполагается возможность работы одного и того же пользователя на разных терминальных клиентах.

Итак, необходимый минимум операционной системы надежно загружен и можно открывать терминальную сессию. Что требуется от подсистемы защиты информации дальше? Безусловно, разграничение доступа пользователей к ресурсам терминального сервера.

Для этого, разумеется, необходима аутентификация пользователя на терминальном сервере, чтобы он смог работать в рамках назначенных для него прав доступа. Учитывая, что пользователь уже был аутентифицирован на терминале, имеет смысл, чтобы данные аутентификации передавались на сервер автоматически - это не только позволит освободить пользователя от повторных действий, но и не даст ему возможность попытаться представиться серверу пользователем с бОльшими правами.

Система разграничения доступа должна давать возможность администратору безопасности информации описывать политику безопасности информации с помощью не только дискреционного, но и мандатного метода разграничения доступа, поскольку только мандатный механизм дает возможность контролировать потоки информации, что в целом ряде случаев совершенно необходимо, а в случае систем терминального доступа - необходимо почти всегда.

Базы данных пользователей и их прав, разумеется, должны храниться в независимой от процессора сервера памяти СЗИ, и доступ к ней должен быть строго регламентирован. То же касается журналов событий безопасности информации.

Еще одна очень важная функция подсистемы защиты информации в системе терминального доступа - это взаимная аутентификация терминального сервера и терминала. Терминал должен работать с <правильным> терминальным сервером, а не с чем-то похожим на него, а терминальный сервер должен допускать работу не только исключительно зарегистрированных пользователей, но и исключительно с зарегистрированных терминалов. Более того, только в зарегистрированном сочетании (то есть легальный пользователь с положенного именно ему терминала, а не с любого зарегистрированного в системе). Как это можно обеспечить, если в терминале совершенно ничего нет, - тоже хорошо понятно - аутентификация должна производиться на уровне аппаратных средств защиты информации, имеющих собственный активный процессор с программным обеспечением, защищенным от модификаций, включающим криптографические функции, поскольку процесс взаимной аутентификации преполагает обмен пакетами, подписанными ЭЦП обменивающихся устройств и, соответственно, проверки этих подписей.

В идеале такая взаимная аутентификация должна происходить не только при открытии сессии, но и время от времени на всем ее протяжении.

В результате приходим к очевидному по своей сути положению. Системы терминального доступа создаются и внедряются в совершенно разных условиях, исходя из разных обстоятельств, задач и ограничений, поэтому состав технических средств, образующих систему терминального доступа, может быть разным. Более того, развитие той или иной системы может складываться не всегда именно так, как планировалось при ее создании - могут возникнуть новые задачи, новое необходимое в работе ПО может требовать другой аппаратной базы, и т. д. и т. п.  И подсистема защиты информации в системе терминального доступа должна соответствовать именно этим реальным условиям, а не тем, что существуют <в идеале> (или в представлениях разработчиков). А значит, она должна решать все рассмотренные выше задачи.

Итак, определение необходимой для защиты системы терминального доступа функциональности средств защиты информации дает возможность сделать вывод о том, что эти средства должны соответствовать следующим требованиям:

1. быть аппаратными (неподверженными модификациям извне),

2. активными (независимыми от процессоров внешних устройств и при этом находящимися во взаимодействии, образующими систему) и

3. иметь аппаратно реализованную криптографическую подсистему (позволять организовать доверенный обмен данными по сети).

4. При этом СЗИ, используемые на терминальных клиентах должны быть персональными или включать персональное средство как один из компонентов.

Пример такой системы - внедренный и успешно работающий в целом ряде государственных информационных систем - это совместная разработка компаний КАМИ и ОКБ САПР - на базе КАМИ-терминала и комплекса СЗИ НСД ПАК Аккорд-Win32(TSE) и ПАК Аккорд-Win64(TSE) с контроллерами Аккорд-5.5 и ПСКЗИ ШИПКА в качестве аппаратной части.

ПАК Аккорд-Win32(TSE) и ПАК Аккорд-Win64(TSE) сертифицированы ФСТЭК России для применения на объектах информатизации до второй категории.

Функционирует он на всей ветви операционных систем (ОС) Microsoft NT + , на терминальных серверах, построенных на базе ОС Windows 2000 Advanced Server и на базе серверов семейства Windows 2003, и на ПО Citrix Metaframe XP, работающем на этих ОС.

Согласно принципу о непрерывности контура защиты, а также исходя из современного устройства терминальных систем, комплекс средств защиты информации должен быть установлен на всех входящих в систему СВТ - и на серверах, и на терминалах.

Работа с разными типами СВТ, используемых в качестве терминалов

В функции терминальных клиентов в системе, защищенной таким образом, могут использоваться и специализированные аппаратные терминалы - в этом случае аппаратной частью комплекса будет ПСКЗИ ШИПКА, и ПЭВМ - как устаревшие и не используемые никак кроме терминала, так и такие, которые вне терминальной сессии работают автономно. В обоих последних случаях в качестве аппаратной части комплекса средств защиты информации должен применяться Аккорд-АМДЗ.

Создание изолированной среды

Аккорд-АМДЗ помимо собственно доверенной загрузки операционной системы (то есть такой, при которой на немодифицированном ПК из определенного источника определенным пользователем в определенное время загружается определенная ОС а немодифицированном виде) реализует также функции аппаратной блокировки подключаемых устройств (типа принтеров, сканеров и прочих) - c помощью специальных реле, дисковых устройств - с помощью специального SATA-блокиратора, и USB-устройств - с помощью специального USB-блокиратора. Кроме того контроллер оснащен реле отключения питания, что позволяет ему отключить ПК в том случае, если через установленное время после включения компьютера управление не было передано контроллеру.

Защищенная загрузка ОС и взаимодействие терминала и сервера

Рассматриваемая схема терминального доступа предполагает подключение с терминала к серверу загрузки, загрузку на терминал с сервера загрузки образа ОС, отключение от сервера загрузки, а затем работу с терминала на терминальном сервере. При этом на сервере загрузки регистрируются пользователи, формируются списки загружаемых на терминал для того или иного пользователя модулей, осуществляется сбор журналов и т. д., а непосредственная работа пользователя с терминала происходит на терминальном сервере.

На сервере загрузки заранее регистрируются легальные пользователи со своими ШИПКАМИ. Для контроля целостности загружаемых на терминал модулей, вычисляются и записываются в ШИПКИ пользователей их хеши. Другой вариант контроля целостности - с использованием ЭЦП: с помощью системной ШИПКИ (не принадлежащей никому из пользователей) пакеты с загружаемыми файлами подписываются ЭЦП, а копии открытого ключа ключевой пары, на которой они подписываются, записываются в ШИПКУ пользователя.

Подключая ШИПКУ к терминалу и вводя PIN-код, пользователь отправляет по защищенному каналу на сервер загрузки свои аутентификационные данные. Если они совпадают с сохраненными на сервере загрузки, на терминал отправляются предназначенные этому пользователю файлы. ШИПКОЙ вычисляются хеши полученных модулей и сравниваются с хранящимися в ее памяти, либо проверяется подпись полученных пакетов.

Взаимодействие ПО терминального сервера ОС Windows (Windows 2000 Advanced Server, Windows 2003) с клиентом происходит в рамках специального протокола - Remote Desktop Protocol (RDP). В рамках этого протокола от пользователя на сервер передаются нажатия на клавиши и движения мыши на терминальном клиенте, а от сервера передается изображение виртуального экрана. С точки зрения пользователя терминального клиента взаимодействие с сервером под управлением Citrix MetaFrame ничем не отличается от работы с терминальным сервером под управлением Windows. На самом деле, то же самое взаимодействие клиента и сервера здесь протекает по протоколу Independent Computing Architecture (ICA), который отличается от протокола RDP.

Оба эти протокола предоставляют возможность построения так называемых виртуальных каналов. Виртуальные каналы обеспечивают передачу данных между сервером и клиентом независимо от протоколов транспортного уровня (TCP/IP, IPX), сами являясь некоторым подобием реализации протоколов транспортного уровня.

Таким образом, если запрос на создание терминальной сессии обработан с положительным результатом, то все взаимодействие между терминалом и терминальным сервером происходит в рамках этого виртуального канала.

При запросе на открытие терминальной сессии по защищенному виртуальному каналу от ПСКЗИ ШИПКА с терминала на терминальный сервер передаются данные пользователя, которые сравниваются Аккорд-Win32/64 с теми, что хранятся в его базе. В случае положительного результата обработки этих данных, пользователь может работать в рамках терминальной сессии с соответствии с правами доступа, назначенными для него в ПО Аккорд-Win32/64.

Разграничение доступа пользователей к ресурсам терминального сервера

Комплекс использует собственную систему разграничения доступа и служит фильтром между ядром ОС и расположенным выше прикладным ПО терминальных служб. Это значит, что действия, разрешенные прикладным ПО, но запрещенные СЗИ - будут запрещены пользователю.

Система включает в себя более 10 атрибутов, в том числе контроль запуска программ, что помогает описать политику безопасности для каждого пользователя очень детально и индивидуально.

В случае с терминальными системами совершенно принципиальным является наличие мандатного механизма разграничения доступа, а не только дискреционного, поскольку именно мандатный механизм позволяет разграничивать доступ к потокам данных. В подсистеме разграничения доступа Аккорд-Win32/64 реализовано оба механизма.

Помимо этого специфичными именно для терминальной редакции комплекса являются следующие функции:

  • идентификация / аутентификация пользователей, подключающихся к терминальному серверу (с использованием ПСКЗИ ШИПКА);
  • опциональная автоматическая идентификация в системе Windows NT+ и на терминальном сервере пользователей, аутентифицированных защитными механизмами ПСКЗИ ШИПКА,
  • управление терминальными сессиями,
  • контроль печати на принтерах, подключенных как к терминальным серверам, так и к пользовательским терминалам, который позволяет протоколировать вывод документов на печать и маркировать эти документы.

Журналы протоколирования событий, базы данных пользователей и их прав доступа хранятся в энергонезависимой и защищенной от несанкционированных модификаций памяти контроллера и доступны только администратору безопасности информации.

Взаимная аутентификация технических средств

Взаимодействие на этом слое защиты происходит непосредственно между СЗИ (контроллерами Аккорд и ПСКЗИ ШИПКА), установленными на терминалах, серверах загрузки и терминальных серверах, с целью подтверждения их подлинности. Взаимная аутентификации производится путем обмена пакетами, подписанными ЭЦП каждого из устройств.

***

Итак, главное для защищенности терминальной системы - это правильный старт. То, что стартует на терминале должно а) быть загружено из правильного места и б) быть правильно проверено. То, как это происходит в описанной системе, показано на рис. 1.

 

Рис. 1. Схема взаимодействия средств защиты системы терминального доступа

Взаимными стрелками, соединяющими на этой схеме средства защиты, показан обмен пакетами аутентифицирующих данных, подписанными ЭЦП каждого из этих устройств. С помощью этого обмена подтверждается подлинность участвующих во взаимодействии аппаратных средств.


Для участников ВЭДДля участников ВЭД
декларирующих товары и услуги в электронной форме
ЦеныЦены
Прайс-лист
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них