Новое решение для хорошо забытого старого

Сейчас уже для всех очевидно, что терминальные решения переживают вторую молодость. Начав с "больших" ЭВМ, пройдя через эру персональных ЭВМ, информационные технологии вновь возвращаются к идее единого центра обработки и хранения данных. Причин на то много, и они хорошо известны. Терминальные решения дешевле в установке и эксплуатации - поскольку задача оснащенности рабочих мест, например лицензионным ПО, решается установкой его только на сервере, а не на каждой рабочей станции. То же с разного рода обновлениями и модернизациями - соответственно, терминальные решения удобнее в обслуживании и администрировании. В общем случае они надежнее с точки зрения возможных потерь информации при инцидентах с клиентскими рабочими станциями, поскольку данные хранятся на сервере. Все это не только служит доводом в пользу применения терминальных решений, но и зачастую создает впечатление о том, что обеспечение защищенности информации в таких системах требует намного меньшего внимания, чем для системы обычных ПК - автономных или объединенных в локальную сеть.

Суть терминальной сессии осталась прежней: хранение и обработка данных происходит на сервере, к пользователю передаются изменения изображения на экране, от пользователя на сервер передаются нажатия клавиш и манипуляции с мышью.

На первый взгляд, работу пользователя в рамках терминальной сессии можно по-прежнему представить так, будто он работает непосредственно на сервере, из которого тянутся "длинные провода" к монитору, клавиатуре и мыши.

Однако в процессе эволюции и терминальные сервера, и терминалы значительно изменились. Это утверждение в равной мере относится как к аппаратной составляющей системы, так и к программной.

Если раньше в качестве сервера могла выступать только действительно большая ЭВМ, то сейчас ПО терминального сервера может выполняться не только на обычном ПК, но и даже на notebook'е.

Типичный терминал раньше представлял собой только монитор, клавиатуру и блок соединения с сервером и носил гордое название "алфавитно-цифровой терминал". Сегодня же, чаще всего, "терминальная функция" - это только одна из задач, которая может выполняться на компьютере. И называется это теперь "тонким клиентом".

Такой "тонкий клиент" может иметь собственную ОС и не уступать в смысле состава ПО "обычным" ПК. Изменился и характер данных, которыми обмениваются сервер и терминал: теперь это, как правило, уже не побайтовый обмен, а обмен сетевыми пакетами.

Было бы странно ожидать, что все эти изменения никак не отразились на защищенности информации в терминальных системах. В рамках концепции "длинных проводов" для обеспечения защищенности достаточно решить традиционные вопросы безопасной обработки данных на сервере и обеспечить надежную передачу данных от терминального сервера к терминалу. В то время, когда терминал был только "алфавитно-цифровым", такие системы защиты делали терминальные решения действительно надежно защищенными.

Но приход "тонких клиентов" разрушил концепцию "длинных проводов". В силу того, что "тонкие клиенты" обладают собственной операционной системой, собственным жестким диском, собственной периферией (дисководом, портами ввода/вывода, USB-разъемами) их уже нельзя представить как просто удаленные от терминального сервера монитор, клавиатуру и мышь. Да и сетевой адаптер из конца "длинного провода" превратился в самостоятельный периферийный элемент.

Очевидно, что для надежной защиты информации в терминальных системах недостаточно обеспечить защиту терминального сервера и коммуникаций, нужно еще защищать и "тонкие клиенты" - либо с помощью навесных средств, либо сводя их к "алфавитно-цифровому терминалу".

При этом необходимо иметь в виду, что "точечная" защита - когда терминальный сервер защищен отдельно, а "тонкие клиенты" защищены отдельно - не решает полностью вопроса обеспечения безопасности терминальных решений. Необходимо обеспечить взаимодействие защитных механизмов "тонкого клиента" и терминального сервера. В этом случае возможно обеспечить режим, при котором с терминальным сервером сможет работать пользователь только с защищенного "тонкого клиента" и наоборот, пользователь сможет работать только с защищенным терминальным сервером.

Для этого в момент создания терминальной сессии со стороны терминального сервера необходимо проверять не только пользователя, но и "тонкий клиент", а со стороны "тонкого клиента" необходимо убедиться в том, что терминальный сервер действительно тот, с которым должен работать пользователь.

Эти возможности обеспечивает программно-аппаратный комплекс (ПАК) СЗИ НСД Аккорд-NT/2000 V3.0 - в режиме TSE (Terminal Server Edition).

ПАК Аккорд-NT/2000 V3.0 включает в себя аппаратную и программную части: контроллер Аккорд-АМДЗ[1] и ПО Аккорд-NT/2000 V3.0.

Соотвественно предлагаемой концепции защиты ПАК Аккорд-NT/2000 V3.0 должен быть установлен как на терминальном сервере, так и на "тонких клиентах".

Комплекс работает на всей ветви операционных систем (ОС) Microsoft NT +, соответственно, он может быть установлен на терминальных серверах, построенных на базе ОС Windows 2000 Advanced Server и на базе серверов семейства Windows 2003, а также ПО Citrix Metaframe XP, работающем на этих ОС.

На таких "тонких клиентах", в которых нет свободного слота для установки контроллера Аккорд, можно использовать комплекс Аккорд-NT/2000 V3.0 на базе ПСКЗИ[2] ШИПКА (Шифрование, Идентификация, Подпись, Коды Аутентификации)[3]. При этом ШИПКА будет выполнять функции одновременно и персонального идентификатора пользователя, и аппаратной части комплекса.

Аккорд-АМДЗ, установленный на терминальном сервере и на "тонких клиентах", обеспечивает на этих машинах доверенную загрузку ОС, то есть такой режим, при котором происходит загрузка строго определенной, не измененной ОС только в том случае, если подтверждено, что в компьютере не произошло никаких несанкционированных изменений (на аппаратном уровне и в критичной части приложений) и что включает его именно тот пользователь, который имеет право на нем работать именно в это время.

ПО Аккорд-NT/2000 V3.0 обеспечивает следующие возможности как на терминальном сервере, так и на "тонком клиенте":

· контроль целостности программ и данных и их защиту от несанкционированных модификаций;

· создание индивидуальной для каждого пользователя изолированной рабочей программной среды;

· запрет запуска неразрешенных программ;

· разграничение доступа пользователей к массивам данных и программам с помощью дискреционного метода контроля доступа;

· разграничение доступа пользователей и процессов к массивам данных с помощью мандатного метода контроля доступа;

· управление потоками информации;

· контроль доступа к сетевым ресурсам, USB-устройствам и съемным дискам;

· контроль печати на принтерах (позволяет протоколировать вывод документов на печать и маркировать эти документы, например, грифом секретности документа, именем пользователя, именем принтера, именем документа и другой служебной информацией);

· подключение внешних антивирусных модулей (в качестве такого модуля может применяться Антивирусное ядро Vba32 или Антивирусное ядро DrWeb);

· автоматическое ведение протокола событий;

· усиленная аутентификация терминальных станций на базе контроллера Аккорд-АМДЗ или ПСКЗИ ШИПКА,

· идентификация/аутентификация пользователей, подключающихся к терминальному серверу (с использованием ТМ-идентификатора или ПСКЗИ ШИПКА и пароля),

· опциональная автоматическая идентификация в системе Windows NT+ и на терминальном сервере пользователей, аутентифицированных защитными механизмами контроллера АМДЗ (при таком подходе в ОС будет загружен профиль именно того пользователя, который был аутентифицирован в контроллере АМДЗ, и при подключении к терминальному серверу профиль будет тот же - без повторной идентификации пользователей).

· управление терминальными сессиями (контрольные процедуры проводятся не только в момент подключения пользователя "тонкого клиента" к терминальному серверу, но и на протяжении всей его работы в рамках терминальной сессии, обеспечивая режим, при котором легальный пользователь "тонкого клиента", подлинность которого подтверждена, действует строго в рамках своих полномочий на терминальном сервере, подлинность которого также подвердждена).

Программное обеспечение Аккорд-NT/2000 V3.0 позволяет администратору безопасности информации реализовать любую непротиворечивую политику безопасности, описанную на основе достаточного набора атрибутов.

Это семь атрибутов операций с файлами (разрешение на открытие файлов только для чтения, разрешение на открытие файлов для записи, разрешение на создание файлов на диске, разрешение на удаление файлов, разрешение на переименование файлов, видимость файлов, эмуляция разрешения на запись информации в файл), четыре атрибута операций с каталогами (создание каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут), удаление каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут), разрешение перехода в этот каталог, переименование каталога), два атрибута регистрации (регистрируются все операции чтения файлов из этого каталога в журнале и регистрируются все операции записи файлов из этого каталога в журнале) и атрибут разрешения на запуск программ.

Аккорд-NT/2000 V3.0 использует собственную систему разграничения доступа (мандатный и дискреционный методы контроля) и служит фильтром между ядром ОС и расположенным выше прикладным ПО терминальных служб. Это значит, что действия, разрешенные системой разграничения доступа ОС, но запрещенные Аккордом, - будут запрещены пользователю.

Взаимодействие комплексов Аккорд, установленных на терминальных серверах и на пользовательских терминалах, происходит по защищенным (аутентифицированным и шифрованным) виртуальным каналам, построенным на протоколах RDP и ICA, которые организуются внутри уже установленной связи между сервером и терминалом.

При этом состав полномочий пользователя инвариантен как к протоколу подключения, так и к типу терминального сервера (Microsoft или Citrix). Другими словами, нет необходимости несколько раз отдельно назначать полномочия для одного и того же пользователя, если он работает с разным ПО, используя разные протоколы подключения. Если согласно политике безопасности состав его полномочий постоянен, то достаточно задать его единожды, а не для каждого из этих случаев.

Проиллюстрировать взаимодействие СЗИ в терминальной системе пошагово можно на примере отрытия терминальной сессии с использованием Аккорд-NT/2000 V3.0.

Итак, при начале работы терминального сервера и при начале работы рабочей станции, установленными на них контроллерами АМДЗ была обеспечена доверенная загрузка ОС, то есть пользователю, не обладающему правами администратора была запрещена загрузка с внешних носителей, целостность аппаратной части ПК, ОС и критичной части приложений была проконтроллирована, пользователь был аппаратно идентифицирован и аутентифицирован паролем, и работает теперь в рамках полномочий, реализованных для его профиля в подсистеме разганичения доступа ПО Аккорд-NT/2000 V3.0. При этом работает пользователь в режиме автономного ПК, а не в режиме терминальной сессии.

Взаимодействие защитных средств терминального сервера и рабочей станции начинается тогда, когда пользователь рабочей станции пытается открыть терминальную сессию и начать работу в качестве "тонкого клиента". В этом процессе выделяется два ключевых этапа - 1) организация защищенного виртуального канала между терминальным сервером и терминалом и 2) передача аутентифицирующих данных пользователя "тонкого клиента" и проверка его прав доступа.

Организация защищенного виртуального канала.

1. "Тонкий клиент" (ТК) обращается к трминальному серверу (ТС) с запросом на открытие сессии (1).

2. Системная программа WinLogOn на ТС передает запрос библиотеке AcGina.dll (входящей в ПО Аккорд-NT/2000) (2).

3. AcGina.dll определяет, что работа идет в терминальном режиме и вызывает библиотеки виртуального канала (3).

4. Библиотеки виртуального канала запрашивают у контроллера АМДЗ аутентифицирующие ТС данные (4) и отправляют их на ТК с запросом его аутентифицирующих данных (5).

5. Библиотеки виртуального канала ТК проверяют аутентифицирующие данные ТС и, в случае успеха, запрашивают аутентифицирующие данные ТК у аппаратной части комплекса (контроллера АМДЗ или ПСКЗИ ШИПКА) (6) и передают их на ТС (7).

6. AcGina.dll проверяет аутентифицирующие данные ТК и, в случае успеха, защищенное соединение между ТС и ТК установлено.

II. Аутентификация пользователя ТК и проверка прав его доступа.

1. После того, как подтверждена подлинность ТК, AcGina.dll на ТС передает запрос аутентификации пользователя ТК через специальную библиотеку TmAttach.dll (8).

2. Получив запрос, библиотеки виртуального канала ТК запрашивают аутентифицирующие данные пользователя (9), и передают их на ТС (10).

3. AcGina.dll проверяет полученные данные и, если пользователь легальный, передает его данные в подсистему разграничения доступа ПО Аккорд-NT/2000 (11).

4. Все дальнейшие действия пользователя ТК в рамках этой сессии регулируются подсистемой разграничения доступа ПАК СЗИ Аккорд-NT/2000 в соответствии с описанными в ней для этого пользователя правилами.

Такое достаточно схематичное описание показывает, тем не менее, что защита информации в терминальных решениях с помощью ПАК Аккорд-NT/2000 V3.0 является действительно комплексной - то есть не просто многосоставной, а полной (охватывающей все объекты) и системной (а не точечной): защищенный "тонкий клиент" взаимодействует с защищенным терминальным сервером, при этом взаимодействие происходит не только на уровне станций (что обеспечивает собственно терминальную сессию), но и на уровне СЗИ (что обеспечивает необходимый уровень ее защищенности).

В заключение добавим, что комплекс прошел сертификационные испытания, по результатам которых ОКБ САПР получен сертификат соответствия требованиям ФСТЭК России № 1161, удостоверяющий, что комплекс Аккорд-NT/2000 V3.0 может применяться на объектах информатизации второй категории.

Это первое сертифицированное российское СЗИ для защиты терминальных решений.

---

[1] Аппаратный модуль доверенной загрузки. Права на товарный знак АМДЗ, согласно свидетельству №277792, принадлежат ОКБ САПР.

[2] Персональное средство криптографической защиты информации (ПСКЗИ) - это СКЗИ, предназначенное для использования вне контролируемой зоны, или для которого допускается вынос за пределы контролируемой зоны.

[3] Права на товарный знак ШИПКА, согласно свидетельству № 240660, принадлежат ОКБ САПР.

Авторы: Конявская С. В.; Счастный Д. Ю.; Макейчик Ю. С.

Дата публикации: 01.01.2007

Библиографическая ссылка: Конявская С. В., Счастный Д. Ю., Макейчик Ю. С. Новое решение для хорошо забытого старого // Комплексная защита информации. Материалы XI Международной конференции. 20–23 марта 2007 года, Новополоцк. Мн., 2007. С. 129–134.

---