Защита информации в системах терминального доступа

Терминальные системы хороши тем, что позволяют использовать в качестве клиентов практически что-угодно. В первую очередь это значит, что можно использовать все, что уже никому не нужно, а выбросить жалко. Это очень важно, однако это далеко не единственный плюс такой неприхотливости терминальных систем.

Кроме возможности использования машин, которые иначе можно только выбросить (и сохранения инвестиций за счет этого), в качестве терминальных клиентов можно использовать и машины, которые обладают прекрасными характеристиками и возможностями. Это позволяет учитывать разнородность служебных функций сотрудников организации, а значит, создать терминальную систему, в которой могли бы работать все сотрудники, даже те, кто в силу своих задач не может работать на терминале типа <тонкий клиент>.

Можно отказаться от того, чтобы такие сотрудники работали в режиме терминального доступа, однако это заметно снизит эффект от ее внедрения, поскольку использование централизованного ресурса наиболее значимо как раз для тех задач и данных, которые являются общими для сотрудников всех категорий.

Использование в качестве терминального клиента не только специализированных аппаратных терминалов, но и разнообразных средств вычислительной техники (СВТ) — как с высокими, так и с практически отсутствующими характеристиками позволит избегнуть двух главных проблем, с которыми сталкиваются организации, эксплуатирующие системы терминального доступа, стремящиеся к унификации терминальных клиентов:

1) Монопольный поставщик терминалов (с ним может случиться неприятность, или он может начать вести себя не совсем хорошо);

2) Постоянные обновления модельного ряда терминалов, чем грешат практически все <бренды> (а в результате либо теряется преимущество унификации, либо внезапно снятую с производства модель необходимо разыскивать чуть ли не <с рук>).

Заметим, что есть производители, грешащие тем, что и терминалы одной модели, абсолютно идентичные по всем параметрам спецификации оказываются на поверку не имеющими ничего общего (даже на разных чипсетах). Однако это уже, как говорится, другая история.

Итак, возможность строить систему на разнородных СВТ — это очень существенный плюс. Однако в тени этого плюса скрывается сложность, связанная с тем, что среда исполнения терминального клиента во всех этих случаях (на подлежащих списанию ПЭВМ под Windows XP, мощных машинах проектировщиков под каким-нибудь специфическим Linux, ноутбуке руководителя с Windows 8, ноутбуках или планшетах агентов или инспекторов — вовсе с гарвардской архитектурой) окажется разная.

Это не проблема, если в терминальной системе не нужно обеспечивать информационную безопасность, так как клиенты ICA и RDP есть практически для любой ОС.

Если же система терминального доступа должна быть защищенной, то контролировать необходимо вычислительную среду всех типов терминальных клиентов, иначе получается классическая дыра в заборе, сводящая на нет его высоту и острые шипы по периметру. Выгода системы терминального доступа в части организации защиты информации связана ведь именно с унификацией предмета защиты — ОС терминального клиента, узкоспециальной, обычно небольшой по объему, а следовательно, легко контролируемой.

Если мы теряем эту особенность, то, фактически задача с точки зрения защиты информации сводится к точно такой же, как если бы в системе применялись обыкновенные ПЭВМ, только к их количеству и разнообразию добавляются еще терминальные серверы. Более того, любая система, в которой одно и то же СВТ применяется в нескольких режимах, требует, помимо защищенности в каждом режиме отдельно — еще и доказанного отсутствия взаимовлияния этих режимов.

Стоит ли тогда вообще игра свеч? Безусловно, защита — это только одна сторона дела, и, возможно, не так критично, что теряется выгода именно в ней, ведь остается масса других плюсов, а защита вообще редко связана с выгодой.

Однако есть решение, позволяющее не терять выгоду унификации терминального клиента, но при этом и не терять возможности использовать в этом качестве практически любые СВТ — это загрузка на СВТ необходимой (унифицированной, контролируемой) среды только на тот период, когда оно должно работать в качестве терминального клиента.

Естественно, для СВТ разных типов и назначений нужно использовать различные (подходящие к каждому конкретному случаю) способы обеспечения загрузки этой контролируемой среды терминального клиента, но всегда она должна быть организована таким образом, чтобы загружаемая для работы в системе терминального доступа среда не влияла на основную среду СВТ, и наоборот.

В настоящее время на отечественном рынке представлены решения всех необходимых типов. Их можно разделить на группы в соответствии с ключевыми особенности защищаемого СВТ:

1) СВТ разных моделей от разных производителей, основная задача которых — работа в терминальной сессии (классические тонкие клиенты);

2) СВТ — это компьютеры различных характеристик, для которых работа в терминальной сессии — эпизодическая задача, а в основном пользователи работают с собственными ресурсами СВТ или с web-системой;

3) компьютер (ноутбук) руководителя.

Последний тип вполне разумно выносить в отдельную категорию, потому что при всей своей немногочисленности в штатном составе организации, руководители — это не та категория сотрудников, которой можно пренебречь.

Рассмотрим, чем будет отличаться загрузка эталонной терминальной ОС в этих случаях.

1. Унифицировать среду исполнения ПО терминального клиента и одновременно сделать ее защищенной, но гибкой и администрируемой, можно с использование комплексов защищенного хранения и сетевой загрузки ОС терминальных станций.

Универсальная часть образа ОС терминального клиента при этом загружается с отчуждаемого персонального устройства пользователя, а затем, со специального сервера хранения и сетевой загрузки на клиент скачивается и после успешной проверки целостности и аутентичности полученного образа — загружается та его часть, которая требует администрирования. Эта часть образа, включающая средства поддержки периферии (она может выходить из строя или просто заменяться), ограничения доступа к устройствам ввода-вывода и съемным носителям (принтерам, флешкам) и тому подобные <индивидуальные> настройки, должна быть доступной для изменений, но в то же время верифицируемой. Это и обеспечивается комплексами защищенного хранения и сетевой загрузки образов терминальных станций.

2. Если работа в терминальной сессии является эпизодической задачей, то требования к ОС терминального клиента минимальны, а его модификации маловероятны и, во всяком случае, крайне редки.

Для таких случаев как нельзя лучше подойдет решение с загрузкой эталонного неизменяемого терминального клиента из защищенной памяти отчуждаемого устройства. После окончания работы в терминальной сессии пользователю достаточно отключить устройство и перезагрузиться, чтобы вернуться к работе с ресурсами основного СВТ.

3. На руководителя как правило возлагается так много совершенно необходимых обязанностей, что от выполнения «лишних» действий он закономерно хочет быть избавлен. Кроме того, в случае с компьютером или ноутбуком руководителя — крайне желательно избегнуть заметных изменений привычного порядка действий при загрузке компьютера и замедления процедуры загрузки ОС, что неизбежно в первых двух описанных случаях.

Поэтому загрузка ОС с терминальным клиентом на СВТ руководителя должна производиться без подключения дополнительных устройств и через интерфейс, который не станет узким местом по скорости чтения. Это значит, что терминальный клиент должен загружаться на такой компьютер прямо из аппаратного модуля доверенной загрузки, требуя от пользователя только указания желаемого в данный момент режима.

Поскольку все перечисленные типы терминальных клиентов должны (ну, или могут) работать в одной системе, то логично, чтобы производителем была гарантирована их совместимость.

Среда исполнения терминального клиента — это не единственное, что должно быть контролируемым в системе терминального доступа. В строгом соответствии с теорией, для обеспечения защищенности данных должна быть обеспечена безопасность их хранения, обработки и передачи. Значит, защитить необходимо все задействованные в этих процессах компоненты — терминальные серверы с программным обеспечением и средой его функционирования, каналы передачи данных, терминальные клиенты и отчуждаемые носители информации. А поскольку все это должно представлять собой единую подсистему защиты информации, а не набор разрозненных средств, чреватый дырами на стыках, то при выборе конкретной реализации каждой из перечисленных технологий нужно отдавать предпочтение тем, что интегрированы со средствами защиты терминальных серверов и как минимум проверены на возможность одновременного использования в одной системе. Ведь задача — защитить разнородные клиенты именно одной системы, которая должна единообразно администрироваться и мониториться.

Описанный подход призван унифицировать терминальные клиенты без унификации применяемых СВТ. Это позволит построить подсистему защиты информации в системе терминального доступа и более экономично, и проще с точки зрения администрирования. При этом не будет необходимости разыскивать снятые с производства модели, терять гарантию из-за встраивания сторонних модулей в готовые решения и прочих побочных эффектов унификации, но удастся сохранить разнообразие функциональных возможностей СВТ, работающих вне терминальной сессии. Очевидно, что когда задача становится слишком сложной — надо искать ошибку в условии. Ошибка — считать, что защищать необходимо строго ту среду, которая есть на СВТ по умолчанию. Из необходимости работать в защищенной среде этого абсолютно не следует.

Автор: Конявская С. В.

Дата публикации: 01.01.2014

Библиографическая ссылка: Конявская С. В. Защита информации в системах терминального доступа // Information Security/Информационная безопасность. М., 2014. № 3. С. 53–54.

---