Доклады, выступления, видео и электронные публикации
Защита терминальных клиентов в идеологии «клиент всегда прав»
Внедрение терминальной системы, как правило, наталкивается на сопротивление сотрудников. Доводы сопротивляющихся можно свести к двум основным:
- пропадает ощущение «своего» рабочего места, персонального информационного пространства;
- у разных сотрудников разные задачи и для их выполнения нужны разные вычислительные ресурсы и шире — по-разному оборудованные рабочие места, а терминальная система — уравнивает все рабочие места маломощными и какими-то несерьезными терминалами.
Обе проблемы снимаются правильным построением системы защиты информации, как ни странно.
Качественная изоляция информационных ресурсов на терминальных серверах с возможностью тонкой настройки рабочей среды каждого пользователя позволит вернуть ему ощущение собственной рабочей среды, если, конечно, не пожалеть времени и сил на минимальное информирование персонала о предпринятых усилиях. Тому, как правильно разделить ресурсы, как впрочем и тому, как поддерживать политико-моральное состояние коллектива, посвящено уже много подробных статей и книг. Остановимся на решении проблемы «уравнения», сотрудников с разными служебными задачами (и, к чему умалчивать? — разными статусами).
Вообще говоря, ставить всем одинаковые маломощные терминалы совсем не обязательно, терминальные системы хороши тем, что позволяют использовать в качестве клиентов практически что-угодно. Кроме возможности использования машин, которые иначе можно только выбросить (что, конечно, ценно), в качестве терминальных клиентов можно использовать и машины, которые обладают прекрасными характеристиками и возможностями. Это позволяет учитывать разнородность служебных функций сотрудников организации, а значит, создать терминальную систему, в которой могли бы работать все сотрудники, даже те, кто в силу своих задач не может работать на терминале типа «тонкий клиент».
Однако в тени этого плюса скрывается сложность, связанная с тем, что среда исполнения терминального клиента во всех этих случаях (на подлежащих списанию ПЭВМ под Windows XP, мощных машинах проектировщиков под каким-нибудь специфическим Linux, ноутбуке руководителя с Windows 8, ноутбуках или планшетах агентов или инспекторов) окажется разная.
Клиенты ICA и RDP есть практически для любой ОС, но выгода системы терминального доступа в части организации защиты информации связана именно с унификацией предмета защиты — ОС терминального клиента, узкоспециальной, обычно небольшой по объему, а следовательно, легко контролируемой, а имея в качестве клиентов СВТ с разной вычислительной средой, мы получаем необходимость контролировать вычислительную среду всех типов терминальных клиентов.
Однако есть решение, позволяющее не терять выгоду унификации терминального клиента, но при этом и не терять возможности использовать в этом качестве практически любые СВТ — это загрузка на СВТ необходимой (унифицированной, контролируемой) среды только на тот период, когда оно должно работать в качестве терминального клиента. Очевидно, что когда задача становится слишком сложной — надо искать ошибку в условии. Ошибка — считать, что защищать необходимо строго ту среду, которая есть на СВТ по умолчанию. На самом деле, защищать нужно ту среду, в которой выполняются критичные с точки зрения безопасности задачи.
Естественно, для СВТ разных типов и назначений нужно использовать различные способы обеспечения загрузки этой контролируемой среды терминального клиента, подходящие к каждому конкретному случаю, но всегда она должна быть организована таким образом, чтобы загружаемая для работы в системе терминального доступа среда не влияла на основную среду СВТ, и наоборот.
ОКБ САПР предлагает средства и технологии для следующих типов рабочих мест, используемых в качестве терминалов:
1) СВТ (терминалы и ненужные компьютеры) разных моделей от разных производителей, основная задача которых — работа в терминальной сессии (классические тонкие клиенты). Для этого варианта идеален ПАК «Центр-Т» — комплекс защищенной сетевой загрузки ОС терминальных клиентов, который включает в себя развитую систему управлениями образами ОС, загружаемыми на клиентские СВТ.
2) Компьютеры различных характеристик, для которых работа в терминальной сессии — эпизодическая задача, а в основном пользователи работают с собственными ресурсами этого компьютера или с web-системой. Для этого варианта тоже вполне применим ПАК «Центр-Т», но достаточно и СОДС «МАРШ!» — локальной загрузки с USB-устройства неизменяемого образа терминального клиента.
3) Компьютер (ноутбук) руководителя. Этот тип вполне разумно выносить в отдельную категорию, потому что при всей своей немногочисленности в штатном составе организации, руководители — это не та категория сотрудников, которой можно пренебречь. Для них мы предлагаем ПАК «Ноутбук руководителя». Это действительно ноутбук, в котором за счет предустановленных средств защиты реализована возможность выбора, какую среду загружать — основную ОС ноубтука, или защищенную ОС из контроллера «Аккорд», предназначенную для соединения с защищенной информационной системой.
Все перечисленные типы терминальных клиентов могут работать в одной системе, терминальные серверы которой защищены ПАК «Аккорд TSE» (в том числе, если они виртуальные, и инфраструктура виртуализации защищена «Аккорд-В.»). Практика показывает, что нет сложностей с интеграцией и с другими средствами защиты, если исторически в системе используется не «Аккорд».
Говорят, главное в оптимизации — чтобы она не привела к критическому снижению эффективности. Достичь этого довольно просто — надо точно понять границы необходимой оптимизации. Если задача — унифицировать вычислительную среду терминального клиента, то никакой необходимости унифицировать СВТ — нет.
Автор: Конявская-Счастная (Конявская) С. В.
Дата публикации: 01.01.2016
Библиографическая ссылка: Конявская С. В. Защита терминальных клиентов в идеологии «клиент всегда прав» // Information Security/Информационная безопасность. М., 2016. № 5 (ноябрь). С. 35.
Метки документа:
защита клиентских рабочих мест
марш!
ноутбук руководителя
центр-т
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.