Доклады, выступления, видео и электронные публикации

Защита терминальных клиентов в идеологии «клиент всегда прав»

Внедрение терминальной системы, как правило, наталкивается на сопротивление сотрудников. Доводы сопротивляющихся можно свести к двум основным:

  • пропадает ощущение «своего» рабочего места, персонального информационного пространства;
  • у разных сотрудников разные задачи и для их выполнения нужны разные вычислительные ресурсы и шире — по-разному оборудованные рабочие места, а терминальная система — уравнивает все рабочие места маломощными и какими-то несерьезными терминалами.

Обе проблемы снимаются правильным построением системы защиты информации, как ни странно.

Качественная изоляция информационных ресурсов на терминальных серверах с возможностью тонкой настройки рабочей среды каждого пользователя позволит вернуть ему ощущение собственной рабочей среды, если, конечно, не пожалеть времени и сил на минимальное информирование персонала о предпринятых усилиях. Тому, как правильно разделить ресурсы, как впрочем и тому, как поддерживать политико-моральное состояние коллектива, посвящено уже много подробных статей и книг. Остановимся на решении проблемы «уравнения», сотрудников с разными служебными задачами (и, к чему умалчивать? — разными статусами).

Вообще говоря, ставить всем одинаковые маломощные терминалы совсем не обязательно, терминальные системы хороши тем, что позволяют использовать в качестве клиентов практически что-угодно. Кроме возможности использования машин, которые иначе можно только выбросить (что, конечно, ценно), в качестве терминальных клиентов можно использовать и машины, которые обладают прекрасными характеристиками и возможностями. Это позволяет учитывать разнородность служебных функций сотрудников организации, а значит, создать терминальную систему, в которой могли бы работать все сотрудники, даже те, кто в силу своих задач не может работать на терминале типа «тонкий клиент».

Однако в тени этого плюса скрывается сложность, связанная с тем, что среда исполнения терминального клиента во всех этих случаях (на подлежащих списанию ПЭВМ под Windows XP, мощных машинах проектировщиков под каким-нибудь специфическим Linux, ноутбуке руководителя с Windows 8, ноутбуках или планшетах агентов или инспекторов) окажется разная.

Клиенты ICA и RDP есть практически для любой ОС, но выгода системы терминального доступа в части организации защиты информации связана именно с унификацией предмета защиты — ОС терминального клиента, узкоспециальной, обычно небольшой по объему, а следовательно, легко контролируемой, а имея в качестве клиентов СВТ с разной вычислительной средой, мы получаем необходимость контролировать вычислительную среду всех типов терминальных клиентов.

Однако есть решение, позволяющее не терять выгоду унификации терминального клиента, но при этом и не терять возможности использовать в этом качестве практически любые СВТ — это загрузка на СВТ необходимой (унифицированной, контролируемой) среды только на тот период, когда оно должно работать в качестве терминального клиента. Очевидно, что когда задача становится слишком сложной — надо искать ошибку в условии. Ошибка — считать, что защищать необходимо строго ту среду, которая есть на СВТ по умолчанию. На самом деле, защищать нужно ту среду, в которой выполняются критичные с точки зрения безопасности задачи.

Естественно, для СВТ разных типов и назначений нужно использовать различные способы обеспечения загрузки этой контролируемой среды терминального клиента, подходящие к каждому конкретному случаю, но всегда она должна быть организована таким образом, чтобы загружаемая для работы в системе терминального доступа среда не влияла на основную среду СВТ, и наоборот.

ОКБ САПР предлагает средства и технологии для следующих типов рабочих мест, используемых в качестве терминалов:

1) СВТ (терминалы и ненужные компьютеры) разных моделей от разных производителей, основная задача которых — работа в терминальной сессии (классические тонкие клиенты). Для этого варианта идеален ПАК «Центр-Т» — комплекс защищенной сетевой загрузки ОС терминальных клиентов, который включает в себя развитую систему управлениями образами ОС, загружаемыми на клиентские СВТ.

2) Компьютеры различных характеристик, для которых работа в терминальной сессии — эпизодическая задача, а в основном пользователи работают с собственными ресурсами этого компьютера или с web-системой. Для этого варианта тоже вполне применим ПАК «Центр-Т», но достаточно и СОДС «МАРШ!» — локальной загрузки с USB-устройства неизменяемого образа терминального клиента.

3) Компьютер (ноутбук) руководителя. Этот тип вполне разумно выносить в отдельную категорию, потому что при всей своей немногочисленности в штатном составе организации, руководители — это не та категория сотрудников, которой можно пренебречь. Для них мы предлагаем ПАК «Ноутбук руководителя». Это действительно ноутбук, в котором за счет предустановленных средств защиты реализована возможность выбора, какую среду загружать — основную ОС ноубтука, или защищенную ОС из контроллера «Аккорд», предназначенную для соединения с защищенной информационной системой.

Все перечисленные типы терминальных клиентов могут работать в одной системе, терминальные серверы которой защищены ПАК «Аккорд TSE» (в том числе, если они виртуальные, и инфраструктура виртуализации защищена «Аккорд-В.»). Практика показывает, что нет сложностей с интеграцией и с другими средствами защиты, если исторически в системе используется не «Аккорд».

Говорят, главное в оптимизации — чтобы она не привела к критическому снижению эффективности. Достичь этого довольно просто — надо точно понять границы необходимой оптимизации. Если задача — унифицировать вычислительную среду терминального клиента, то никакой необходимости унифицировать СВТ — нет.

Автор: Конявская С. В.

Дата публикации: 01.01.2016

Библиографическая ссылка: Конявская С. В. Защита терминальных клиентов в идеологии «клиент всегда прав» // Information Security/Информационная безопасность. М., 2016. № 5 (ноябрь). С. 35.


Scientia potestas est
Кнопка связи