Центр-Т: управление загрузкой терминалов в новой удобной форме

 

С развитием техники все более сложные вещи необходимо упрощать. Собственно, в этом и смысл развития техники. И на современном уровне уже никто не склонен недооценивать важность управляемости системы, а не только наличия в ней тех или иных защитных функций. К категории систем, повышающих управляемость ИС, принадлежит и программно‑аппаратный комплекс (ПАК) средств защиты информации «Центр‑Т» компании ОКБ САПР [1].

ПАК «Центр-Т» предназначен для централизованного администрирования, защищенного хранения и контролируемой загрузки образов программного обеспечения (ПО) на клиентские рабочие станции в распределенных информационных системах. Работает в два этапа:

Первый этап – с отчуждаемого USB-носителя, который называется «Специальный носитель ПО “Клиент Центр-Т”», загружается образ ОС, называемый образом начальной загрузки (ОНЗ). ОНЗ на отчуждаемом носителе хранится в разделе, доступном только для чтения, – тем самым обеспечивается загрузка целостной и аутентифицированной ОС из аутентифицированного источника. Основное и единственное назначение ОНЗ – обеспечение защищенности второго этапа загрузки.

Второй этап – сетевая загрузка того ПО, посредством которого производится подключение к терминальному серверу или, например, к инфраструктуре виртуализации с виртуальными рабочими столами, или веб-серверу. ПО, которое загружается на клиентские рабочие места по сети, рассылается с Сервера хранения и сетевой загрузки (СХСЗ). Это серверный элемент инфраструктуры «Центр-Т», ПО которого, включая ОС, в свою очередь, загружается на произвольное средство вычислительной техники (СВТ) со «Специального носителя ПО СХСЗ».

Функциональность ПАК «Центр‑Т» обширна – он один сможет заменить совокупность отдельных решений за счет следующих инструментов:

• наличия собственной системы идентификации и аутентификации;
• возможности организации доверенного сеанса связи (ДСС);
• централизованного управления и администрирования ПО рабочих станций (РС);
• резервирования и восстановления данных;
• контроля целостности ПО;
• контроля периферийного оборудования;
• организации удаленного доступа за счет наличия встроенных средств терминального и удаленного доступа других видов (терминальные клиенты rdp, ica; Horizon View и другие по требованиям конкретной системы);
• протоколирования событий безопасности, которые связаны с функциональными возможностями комплекса;
• загрузки ПО с защищенных носителей: ПО СХСЗ и ПО Клиента (образ начальной загрузки) хранятся в защищенных разделах памяти специальных носителей, что исключает возможность несанкционированного изменения ПО «Центр‑Т».

Преимущества «Центр-Т»

1. Применение в информационных системах (ИС) различных по назначению средств сопряжено с проблемой стабильности совместного функционирования, в то время как использование «Центр‑Т» не требует ни приобретения дополнительных СВТ, ни трудоемких работ по развертыванию инфраструктуры – ПО комплекса загружается на уже имеющиеся в системе СВТ со специальных носителей, входящих в состав комплекса.
2. При применении «Центр‑Т» архитектура исходной ИС практически не меняется. А внедрение совокупности решений меняет систему кардинально: вводятся новые единицы технических средств, внедряется много нового ПО, что способствует росту нагрузки на сеть, а это, в свою очередь, может привести к нехватке мощности и перебоям в работе ИС (возможен выход из строя объектов ИС).
3. Различные решения, которые комбинируются и предлагаются интеграторами, как правило, имеют повторяющиеся блоки функциональности (ведь разрабатываются все они по требованиям регуляторов, предопределяющих наличие обязательных функций). В результате многие функции в ИС многократно дублируются, что нецелесообразно и даже вредно, так как может вызывать конфликты.
4. Совокупность решений интеграторов в несколько раз дороже, чем комплект «Центр‑Т».

Применение «Центр-Т» блокирует имманентные системам удаленного доступа уязвимости, такие как:

• возможность получения доступа к ПО со стороны незарегистрированных пользователей;
• возможность получения доступа к запрещенным сетевым ресурсам;
• несанкционированное копирование и перенос информации на съемных носителях;
• возможность несанкционированной установки пользователями неразрешенного ПО.

Путем применения комплекса в ИС реализуются большинство мер из Приказов ФСТЭК России № 17 и 21 [2, 3], направленных на реализацию управления и администрирования ПО клиентских РС (группы ОПС, УПД, АНЗ и ИАФ): 82%. Остаются только организационные меры и меры, реализуемые не на РС.

Комплекс «Центр-Т»:

• прост – не требует сложной настройки и прозрачен в эксплуатации;
• экономичен – заметно сокращаются расходы на обслуживание и администрирование ИС;
• рационален – при относительно невысокой стоимости обеспечивает надежную защиту ИС, и делает ее более управляемой и простой в обслуживании и эксплуатации.

Список источников

• ПАК «Центр‑Т» // Официальный сайт ОКБ САПР. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/management/PAKTSENTRT/ (дата обращения: 08.10.2021);
• Приказ ФСТЭК России от 11 февраля 2013 года №17 // Официальный сайт ФСТЭК. [Электронный ресурс]. URL: https://fstec.ru/component/attachments/download/566;
• Приказ ФСТЭК России от 18 февраля 2013 года №21 // Официальный сайт ФСТЭК. [Электронный ресурс]. URL: https://fstec.ru/component/attachments/download/561.

Автор: Маренникова Е. А.

Дата публикации: 08.12.2021

Библиографическая ссылка: Маренникова Е. А. Центр-Т: управление загрузкой терминалов в новой удобной форме // Information Security / Информационная безопасность. М., 2021. № 5. С. 46.