Ноутбук руководителя

Счастный Дмитрий Юрьевич, заместитель генерального директора ЗАО «ОКБ САПР».

Концепция Доверенного Сеанса Связи (ДСС), разработанная около семи лет назад [1-6], и воплощенная в продукте Средство Обеспечения Доверенного Сеанса Связи (СОДС) МАРШ! [7], уже прочно заняла свое место в области защиты информации. Это подтверждается не только массовыми продажами и успешными внедрениями [8, 9], но и появлением аналогов, реализующих идею ДСС по мере сил, понимания и возможностей [10, 11].

Напомню вкратце суть концепции: в том случае, если нет технологической необходимости в постоянной полноценной и комплексной защите СВТ, нужно создать условия для защищенной работы этого СВТ только на некоторое время. А после вернуть СВТ в исходное состояние. СОДС МАРШ! реализует эту концепцию на деле.

СОДС МАРШ! – это мобильное usb-устройство, позволяющее перевести почти любое СВТ в защищенный режим работы. При разработке СОДС МАРШ! помимо прочих решалась задача обеспечения максимальной независимости пользователя от того компьютера, на котором он будет работать. Но опыт внедрения показал, что есть ряд пользователей (руководители), для которых более важно обеспечить возможность перевода в режим ДСС только какого-то вполне определенного СВТ (причем это СВТ - ноутбук). При этом необходимо обеспечить возможность защищенной работы с удаленной информационной системой с минимальной нагрузкой на пользователя. В результате решения этой задачи появился продукт Ноутбук Руководителя (НР), о котором и хочется рассказать.

Очевидно, что при подобной постановке задачи применение usb-устройства становится неприемлемым: во-первых, устройство необходимо носить с собой и подключать к ноутбуку в определенные моменты времени, во-вторых, оно будет выступать за пределы корпуса и доставлять определенные неудобства при перемещениях ноутбука, в-третьих, для загрузки с usb-устройства необходимо выполнить ряд вполне определенных действий и во вполне определенное время (нужно во время загрузки ноутбука из списка возможных загрузочных устройств в bios выбрать МАРШ! и сделать это нужно до передачи управления штатной операционной системе). Значит устройство, обеспечивающее доверенный сеанс связи в ноутбуке руководителя, должно

• быть постоянно установлено в ноутбук
• незначительно выступать (или вообще не выступать) за пределы корпуса
• предоставлять пользователю выбор режима работы ноутбука с помощью одного (максимум двух) простых действий.

Контроллер Аккорд-GXM (GXMH), выполненный в форм-факторе miniPCIe (miniPCIe half size), идеально подходит в качестве такого устройства: его достаточно просто установить внутрь ноутбука в свободный слот miniPCIe или вместо wifi-адаптера (в этом случае в качестве модуля wifi может использоваться миниатюрное usb-устройство, выступающее за пределы корпуса ноутбука на 3-5 мм). Также контроллер Аккорд-GXM (GXMH) может самостоятельно перехватывать загрузку компьютера и загружать либо собственную операционную систему, либо операционную систему ноутбука. В качестве простого события, переводящего ноутбук в защищенный режим, был выбран вариант подключения к ноутбуку смарт-карты. Ее форм-фактор удобен для ношения и привычен для применения. Считыватели контактных смарт-карт часто поставляются как опция для ноутбуков, а считыватели бесконтактных смарт-карт (например, nfc-считыватели) зачастую входят в штатную поставку ноутбуков.

Следующей задачей, после выбора форм-фактора и определения механизма перевода ноутбука в защищенный режим, был перенос операционной системы и функционала МАРШ! с usb-устройства на контроллер Аккорд-GXM (GXMH). ОС Linux Ubuntu 12.04, которая функционирует на СОДС МАРШ!, занимает порядка 2 ГБ. Разместить ее в памяти контроллера Аккорд-GXM (GXMH), размер которой составляет 32 (в максимальной комплектации 64) МБ, невозможно. Но в этом и нет необходимости. Важно обеспечить функционал МАРШ!, который обеспечивают приложения терминальных или облачных клиентов, и защитить канал связи к серверу ДСС. А объем этого программного обеспечения составляет единицы МБ. Кроме того задача упрощается за счет того, что четко определено СВТ, на котором должны функционировать ОС и приложения, так как нет необходимости иметь избыточный набор драйверов для поддержки периферийного оборудования. В данной парадигме вполне реально разместить в памяти контроллера ОС, приложение терминального или облачного клиента и vpn-клиента.

Таким образом, СОДС НР выглядит так: в ноутбук установлен miniPCIe-контроллер Аккорд- GXM (GXMH), firmware которого по факту отсутствия смарт-карты в считывателе загружает ноутбук штатным образом (ОС с жесткого диска), а в случае наличия смарт-карты в считывателе загружает собственную ОС, в которой загружается приложение доступа к защищенному ЦОДу. Таким порядок действий руководителя для перехода в режим ДСС сводится к привычной в обычной жизни работе со смарт-картой: установил смарт-карту, ввел pin-код и получил доступ к защищенным ресурсам.

Список литературы

1. Конявский В. А. Доверенный сеанс связи. Развитие парадигмы доверенных вычислительных систем – на старт, внимание, МАРШ! // Комплексная защита информации. Материалы XV международной научно-практической конференции (Иркутск (Россия), 1–4 июня 2010 г.). М., 2010.
2. Каннер А. М. Средство организации доверенного сеанса как альтернатива доверенной вычислительной среде // Информационные технологии управления в социально-экономических системах. Вып. 4. М., 2010. С. 140–143.
3. Чугринов А. В. Доверенные сеансы связи и средства их обеспечения // Information Security/Информационная безопасность. 2010. № 4 (август-сентябрь). С. 54–55.
4. Съемный носитель информации. Патент на полезную модель № 102139. 10.02.2011, бюл. № 4.
5. Съемный носитель информации с безопасным управлением доступом. Патент на полезную модель № 123571. 27.12.2012, бюл. № 36.
6. Съемный носитель информации на основе энергонезависимой памяти с расширенным набором функций информационной безопасности. Патент на полезную модель № 130441. 20.07.2013, бюл. № 20.
7. Сайт программно-аппаратного комплекса «Средство обеспечения доверенного сеанса “МАРШ!”» [Электронный ресурс]. URL: http://www.sodsmarsh.ru (дата обращения: 10.05.2015).
8. «МАРШ!» в защиту персональных данных // Уездный доктор. Апрель 2013. С. 20–21.
9. Совещание по итогам эксплуатации СОДС «МАРШ!» в образовательных организациях [Электронный ресурс]. URL: http://www.temocenter.ru/o-nas/info/novosti/106-soveshchanie-po-itogam-ekspluatatsii-sods-marsh-v-obrazovatelnykh-organizatsiyakh.html (дата обращения: 10.05.2015).
10. СПДС «ПОСТ» [Электронный ресурс]. URL: http://www.s-terra.com/products/productline/post (дата обращения: 10.05.2015).
11. Электронная подпись в доверенной среде на базe загрузочной Ubuntu 14.04 LTS и Рутокен ЭЦП Flash [Электронный ресурс]. URL: http://habrahabr.ru/company/aktiv-company/blog/253619/ (дата обращения: 10.05.2015).

Автор: Счастный Д. Ю.

Дата публикации: 01.01.2015

Библиографическая ссылка: Счастный Д. Ю. Ноутбук руководителя // Комплексная защита информации. Материалы XX научно-практической конференции. Минск, 19–21 мая 2015 г. Минск: РИВШ, 2015. С. 112–113.

---