Доклады, выступления, видео и электронные публикации

Двухконтурный моноблок

 Конявская С. В.,

зам. генерального директора ЗАО «ОКБ САПР», к.ф.н.

Шамардина Е. Г.,

аналитик ЗАО «ОКБ САПР»

Предотвратить несанкционированный доступ к данным в кредитной организации, не снижая эффективности сотрудников, можно!

Сегодня не кажется чем-то из ряда вон выходящим необходимость делать несколько дел сразу. Мало кто из имеющих основание считать себя эффективными и ценными сотрудниками имеет возможность (да, откровенно говоря, и желание) не переключаться в течение дня между совершенно разными со всех точек зрения задачами. Такие случаи – непереключения – все более уверенно становятся исключением. И дело тут не только в том, что в сложной экономической ситуации (а она, по правде говоря, всегда сложная) работодатель предпочтет тех, кто может и готов совмещать, но и в том, что совершенствование орудий труда и самосовершенствование объективно позволяет человеку быть эффективнее и от этого счастливее.

Компьютеры могут делать несколько дел сразу, как никто другой. Однако выполнение разных задач часто должно быть разнесено по разным вычислительным средам из соображений безопасности.

Чтобы безопасность не мешала сотруднику, а значит, и работодателю – становится счастливым, на сегодняшний день существует уже целый ряд защищенных решений, позволяющих решать задачи, которые должны выполняться в разных контурах защищенности, не сходя с одного рабочего места.

Решения с применением ПАК «Центр-Т», СОДС МАРШ![2], включая вариант M!&M – предназначены в наибольшей степени для тех случаев, когда нужно разделить защищенную и незащищенную среду, хотя ничто не мешает настроить доверенную вычислительную среду и на том компьютере, к которому предполагается подключать устройства из состава этих решений. Но если задача осознана уже на стадии проектирования, то можно выбрать решение «под ключ» – двухконтурный моноблок[3].

Двухконтурный моноблок – это, собственно, моноблок, позволяющий пользователю работать в одной из двух защищенных ОС (в общем случае одна из них Windows, а вторая – Linux). ОС Windows загружается с жесткого диска моноблока. При работе в этом режиме пользователь может устанавливать любое ПО и инициировать любые подключения в рамках заданных для него правил разграничения доступа: в ОС установлен ПАК «Аккорд-Win64»[4].

При запуске Двухконтурного моноблока во втором режиме ОС Linux загружается из защищенного от записи раздела памяти микрокомпьютера «MKT-card long»[5], то есть не просто с другого жесткого диска, а с другого компьютера.

Принципиальное отличие этого решения от решений на базе подключаемых носителей доверенной среды состоит в том, что он не мобилен, но при этом предоставляет пользователю две полнофункциональные среды, а не только защищенный доступ к некоторой системе, при этом работа в этих средах может вестись параллельно, а не последовательно, для переключения не требуется ни перезагрузка, ни смена сеанса, все процессы продолжаются в каждой ОС своим чередом.

То есть это решение, которое:

  • использует все возможности полноценного ПК;
  • обеспечивает полноценную одновременную работу пользователя в любом режиме (удаленного доступа или локальном);
  • позволяет использовать любой из режимов в качестве основного;
  • обеспечивает необходимый уровень безопасности информации в каждом из режимов;
  • позволяет легко осуществлять переход от одного режима обработки данных к другому.

На базе такой конструкции может создаваться целая палитра решений в зависимости от задач, определенных при проектировании системы: при желании заказчика может быть реализован вариант исполнения, для которого оба режима работы подразумевают терминальное соединение или, наоборот, локальную обработку данных etc. Неизменной остается идея продукта, подразумевающая реализацию следующих принципов:

  • возможность работы на одном СВТ одновременно (насколько позволяет использование общего монитора, клавиатуры и мыши) с одним из двух контуров безопасности, изолированных друг от друга;
  • соответствие каждому из режимов работы собственной ОС: ОС первого режима доступна только для чтения и содержит ПО, предустановленное на эта производства, ОС второго – доступна для записи (следовательно, возможна самостоятельная установка ПО пользователем) и содержит СЗИ;
  • надежное обеспечение информационной безопасности в каждом из режимов работы при правильной настройке Двухконтурного моноблока.

Переключение между режимами выполняется посредством нажатия:

  • кнопки переключения для смены экрана, расположенной на корпусе моноблока, и
  • KVM-переключателя, установленного внутрь моноблока, для передачи сигналов клавиатуры и мыши к текущей системе (сигнал KVM-переключателю подается с клавиатуры, лезть внутрь корпуса пользователю, конечно, не нужно).

Интересно остановиться на варианте, для которого реализация в виде двухконтурного моноблока кажется усложнением, но при ближайшем рассмотрении оказывается вариантом, который был бы идеальным, будь он еще и бесплатным. Это задача работы на одном и том же АРМ в защищенном локальном режиме (это не значит, что в автономном, а означает лишь использование собственных ресурсов компьютера) и в защищенном режиме удаленного (например, терминального) доступа.

Рассмотрим требования по защите информации, предъявляемые к такому решению.

Очевидно, что на любом терминале должна обеспечиваться целостность клиентского ПО: системного, которое предназначено для доступа к терминальному серверу, и функционального – необходимого для работы в рамках терминальной сессии. Именно обеспечиваться, а не контролироваться, так как в режиме терминального доступа корректность работы этого ПО критически важна.

Также пользователь должен быть лишен возможности установки лишнего ПО, так как оно может повлиять на работоспособность клиентской станции в целом.

Получается, что ОС и все клиентское ПО, так или иначе применяемое для работы терминального клиента, должно запускаться из некоторой памяти, защищенной от несанкционированной модификации.

Однако в случае использования полноценного ПК состав установленного программного обеспечения не ограничивается клиентским ПО для доступа к терминальному серверу. Для локальной обработки данных используются свои программы, причем в процессе работы может понадобиться как установка дополнительных программ, так и обновление, перенастройка или удаление уже имеющегося ПО. Это означает, что такое ПО должно загружаться из другого раздела памяти – уже доступного для модификации. А так как ПО функционирует в рамках некоей операционной среды, должна существовать вторая ОС, в которой пользователь может выполнять все необходимые действия, так, как это происходит при работе на традиционном ПК.

Если предполагается, что данные, обрабатываемые в локальном режиме, подвержены постоянному санкционированному изменению, то пытаться обеспечивать целостность этих данных бессмысленно. Но возможно ее контролировать. Для этого в режиме локальной обработки информации должно быть установлено СЗИ, оснащенное собственной подсистемой контроля целостности. Далее, очевидно, что в общем случае к данным на ПК необходимо разграничивать доступ, а значит, это СЗИ должно также обладать собственными подсистемами идентификации/ аутентификации и разграничения доступа.

Система защиты выглядит достаточно сложной, но поставленная задача не имеет целью разработку простого решения, а направлена на разработку решения надежного.

Итак, в результате анализа требований к защите информации вырисовывается следующая картина: полноценный ПК, с которого осуществляется доступ к терминальному серверу, должен иметь две ОС. Одна из них должна быть размещена в защищенной от несанкционированной модификации памяти и иметь в своем составе ПО, позволяющее пользователю инициировать соединение с терминальным сервером. Это ПО также должно загружаться из защищенной от модификации памяти. Вторая ОС должна запускаться из доступной для модификации памяти и позволять пользователю выполнять установку/изменение/удаление пользовательского ПО. В этой ОС должно быть установлено СЗИ, позволяющее, как минимум, выполнять процедуры разграничения доступа и контроля целостности.

В одном из вариантов исполнения Двухконтурный моноблок предоставляет пользователю два режима на выбор:

  • локальный режим обработки данных (используется ОС семейства Windows);
  • терминальный режим обработки данных (используется ОС Linux).

В локальном режиме ОС загружается с жесткого диска моноблока. При работе в этом режиме пользователь может устанавливать любое ПО (в рамках назначенных ему прав) и инициировать любые подключения. В ОС установлен ПАК «Аккорд-Win64», и при необходимости выполнения контрольных процедур до или во время работы пользователя администратор может произвести соответствующую настройку комплекса.

При запуске Двухконтурного моноблока во втором режиме ОС загружается из защищенного от записи раздела памяти микрокомпьютера «MKT-card long». При работе в этом режиме пользователю доступно только ПО для доступа к терминальному серверу и дополнительное ПО, необходимое для работы в рамках терминальной сессии.

Обновление «MKT-card long» возможно по специальной защищенной процедуре, поэтому при необходимости внесения изменений в проект системы и систему – защищенность «MKT-card long» от изменений не станет к этому препятствием.

Как правило, информационная среда кредитной организации защищена неплохо, и тот факт, что несанкционированный доступ к данным в этой среде все же оказывается возможен, часто объясним именно тем, что, стремясь повысить эффективность собственной работы, сотрудники размывают границы разных контуров защищенности. Чтобы желание сделать как лучше не становилось угрозой безопасности, достаточно дать сотрудникам подходящее орудие труда.

Литература:

СОДС «МАРШ!»

Двухконтурный моноблок

ПАК Аккорд-Win32(TSE) и ПАК Аккорд-Win64(TSE)

MKT-card и MKT-card long

Авторы: Конявская С. В.; Шамардина(Чепанова) Е. Г.

Дата публикации: 01.01.2017

Библиографическая ссылка: Конявская С. В., Шамардина (Чепанова) Е. Г. Двухконтурный моноблок // Национальный банковский журнал. М., 2017. № 6 (160), июнь. С. 90–92.


Scientia potestas est
Кнопка связи