Онтология терминальных систем и защита информации в них

Половинчатые решения никогда не бывают выгодными, потому все и стремятся к решениям принципиальным, хотя они и требуют определенного усилия воли. Наверное, построение систем терминального доступа можно смело приводит в качестве самого яркого примера действия этой логики. В самом деле, строя систему с нуля - покупая оборудование, едва ли кто-то сочтет более выгодным использовать в качестве терминалов не специализированные аппаратные, а полноценные персональные компьютеры. Однако в жизни редко все складывается абсолютно идеально - с самого начала внедрить терминальную систему не получается, да и жалко денег, вложенных в уже существующий парк машин, чтобы просто от них отказаться... В итоге получается система, сочетающая в себе самые разные средства: аппаратные терминалы, вышедшие в тираж персоналки в функции терминальных клиентов, сравнительно новые и работоспособные компьютеры, совмещающие в себе функции автономных рабочих мест и терминальных клиентов.

Хорошей можно считать ту систему защиты информации, которая позволяет защитить всю эту разнородную структуру, и при этом сама является как можно менее разнородной. Не одна статья уже была написана о том, как опасны «зоопарки» технических средств - тем более в деле защиты.

Итак, подсистема защиты информации в системе терминального доступа должна иметь возможность работать с терминальными клиентами разных типов - аппаратными терминалами (возможно, разных производителей), «усеченными» ПК - то есть такими, функциональность которых принудительно сужена до функциональности терминала, и с полноценными ПК, для которых работа с терминальным сервером является лишь одним из режимов работы.

Для того чтобы полностью уподобить терминалам обыкновенные персональные компьютеры, необходимо добиться, чтобы при работе в качестве терминала они не содержали ничего «своего» - ни доступной пользователю аппаратуры, и программ (кроме тех, что находятся и выполняются на терминальном сервере в рамках сессии), ни операционной системы, дающей в руки пользователя достаточно возможностей, чтобы напортить или злоупотребить. В случае с отслужившими свое маломощными и просто старыми машинами, в принципе, можно из них все просто изъять, хотя, конечно, ресурс выбросить - без ресурса остаться. Жалко. Но можно. Поступать так с машиной, для которой работа с терминальном сервером - лишь функция - точно не следует. Значит, надо добиться того, чтобы при работе в рамках терминальной сессии те ресурсы, которые все остальное время у компьютера есть - были бы пользователю гарантированно недоступны. То есть одной из функций подсистемы защиты информации должно быть создание изолированной среды, причем на уровне разграничения доступа как к программам и ОС, так и к аппаратуре, портам и прочему.

Итак, раз на терминальном клиенте нет ничего, включая ОС, то загрузка ОС должна производиться по сети. Большинство современных методов удаленной загрузки никаких механизмов защиты не включают, и гарантии, что ОС загружается из надежного источника и в исправном состоянии, а ткаже что это вообще именно ОС, а не что-то другое - нет. Значит, вторая функция, которая совершенно необходима подсистеме защиты информации в системе терминального доступа, - это защищенная загрузка ОС по сети.

Что для этого нужно. Методы контроля загрузки ОС могут быть разными, но на сегодняшний день очевидно, что без «точки опоры» - устройства, обеспечивающего доверенную среду и доверенные вычисления - решить эту проблему невозможно.

Например, загружаемые операционные системы могут быть подписаны электронной цифровой подписью и эта подпись должна проверяться до загрузки ОС. Проверка ЭЦП образа ОС гарантирует его целостность и аутентичность. Эту проверку должна производить программа, загружающая ОС по сети, - загрузчик ОС. При этом целостность и аутентичность загрузчика также проверяется перед началом его работы.

Стало быть, в данном случае критически важная среда - это среда хранения загрузчика, а критически важные вычисления - криптографические вычисления при контроле целостности, значит, реализованы эти функции должны быть аппаратно.

В идеальном случае, если загрузчик стартует из отдельного аппаратного устройства, то терминал сам по себе не имеет вообще никакого собственного программного обеспечения, а значит, неуязвим для модификаций.

При этом используемое средство, по крайней мере в случае с аппаратным терминалом - должно быть персональным, во-первых, поскольку установить в аппаратный терминал стационарное средство как правило невозможно, а во-вторых, чтобы оно выполняло также и функции идентификации/аутентификации пользователя, и для него загружались бы именно положенные ему модули. Соответственно, в случае, если в качестве терминала выступает ПК, на который уже установлено стационарное СЗИ (напомним, для обеспечения изолированной среды), обладающее достаточными ресурсами для обеспечения защищенной загрузки по сети, то некий персональный идентификатор все равно совершенно необходим. Значит, при смешанной системе, включающей как специализированные терминалы, так и ПК в терминальной функции, целесообразно использовать именно перональные СКЗИ, если предполаегается возможность работы одного и того же пользователя на разных терминальных клиентах.

Итак, необходимый минимум операционной системы загружен и можно открывать теминальную сессию. Что требуется от подсистемы защиты информации дальше? Безусловно, разграничение доступа пользователей к ресурсам терминального сервера.

Для этого, разумеется, необходима аутентификация пользователя на терминальном сервере, чтобы он смог работать в рамках назначенных для него прав доступа. Учитывая, что пользователь уже был аутентифицирован на терминале, имеет смысл, чтобы данные аутентификации передавались на сервер автоматически - это не только позволит освободить пользователя от повторных действий, но и не даст ему возможность попытаться представиться серверу пользователем с бОльшими правами.

Система разграничения доступа должна давать возможность администратору безопасности информации описывать политику безопасности информации с помощью не только дискреционного, но и мандатного метода разграничения доступа, поскольку только мандатный механизм дает возможность контролировать потоки информации, что в целом ряде случаев совершенно необходимо, а в случае систем терминального доступа - необходимо почти всегда.

Базы данных пользователей и их прав, разумеется, должны храниться в независимой от процессора сервера памяти СЗИ, и доступ к ней должен быть строго регламентирован. То же касается журналов событий безопасности информации.

Еще одна очень важная функция подсистемы защиты информации в системе терминального доступа - это взаимная аутентификация терминального сервера и терминала. Терминал должен работать с «правильным» терминальным сервером, а не с чем-то похожим на него, а терминальный сервер должен допускать работу не только исключительно зарегистрированных пользователей, но и исключительно зарегистрированных терминалов. Более того, только в зарегистрированном сочетании (то есть легальный пользователь с положенного именно ему терминала, а не с любого зарегистрированного в системе). Как это можно обеспечить, если в терминале совершенно ничего нет, - тоже хорошо понятно - аутентификация должна производиться на уровне аппаратных средств защиты информации, имеющих собственный активный процессор с программным обеспечением, защищенным от модификаций, включающим криптографические функции, поскольку процесс взаимной аутентификации преполагает обмен пакетами, подписанными ЭЦП обменивающихся устройств и, соответственно, проверки этих подписей.

В идеале такая взаимная аутентификация должна происходить не только при открытии сессии, но и время от времени на всем ее протяжении.

В результате приходим к очевидному по своей сути положению. Системы терминального доступа создаются и внедряются в совершенно разных условиях, исходя из разных обстоятельств, задач и ограничений, поэтому состав технических средств, образующих систему терминального доступа, может быть разным. Более того, развитие той или иной системы может складываться не всегда именно так, как планировалось при ее создании - могут возникнуть новые задачи, новое необходимое в работе ПО может требовать другой аппаратной базы, и т. д. и т. п. И подсистема защиты информации в системе терминального доступа должна соответствовать именно этим реальным условиям, а не тем, что существуют «в идеале» (или в представлениях разработчиков). А значит, она должна решать все рассмотренные выше задачи.

Итак, определение необходимой для защиты системы терминального доступа функциональности средств защиты информации дает возможность сделать вывод о том, что эти средства должны соответствовать следующим требованиям: быть аппаратными (неподверженными модификациям извне), активными (независимыми от процессоров внешних устройств и при этом находящимися во взаимодействии, образующими систему) и иметь аппартно реализованную криптографическую подсистему (позволять организовать доверенный обмен данными по сети). При этом СЗИ, используемые на терминальных клиентах должны быть персональными или включать персональное средство как один из компонентов.

Автор: Конявская С. В.

Дата публикации: 01.01.2008

Библиографическая ссылка: Конявская С. В. Онтология терминальных систем и защита информации в них // Information Security/Информационная безопасность. М., 2008. N 4 (июнь). С. 46–47.

---