Доклады, выступления, видео и электронные публикации
Центр-Т: управление загрузкой терминалов в новой удобной форме
С развитием техники все более сложные вещи необходимо упрощать. Собственно, в этом и смысл развития техники. И на современном уровне уже никто не склонен недооценивать важность управляемости системы, а не только наличия в ней тех или иных защитных функций. К категории систем, повышающих управляемость ИС, принадлежит и программно‑аппаратный комплекс (ПАК) средств защиты информации «Центр‑Т» компании ОКБ САПР [1].
ПАК «Центр-Т» предназначен для централизованного администрирования, защищенного хранения и контролируемой загрузки образов программного обеспечения (ПО) на клиентские рабочие станции в распределенных информационных системах. Работает в два этапа:
Первый этап – с отчуждаемого USB-носителя, который называется «Специальный носитель ПО “Клиент Центр-Т”», загружается образ ОС, называемый образом начальной загрузки (ОНЗ). ОНЗ на отчуждаемом носителе хранится в разделе, доступном только для чтения, – тем самым обеспечивается загрузка целостной и аутентифицированной ОС из аутентифицированного источника. Основное и единственное назначение ОНЗ – обеспечение защищенности второго этапа загрузки.
Второй этап – сетевая загрузка того ПО, посредством которого производится подключение к терминальному серверу или, например, к инфраструктуре виртуализации с виртуальными рабочими столами, или веб-серверу. ПО, которое загружается на клиентские рабочие места по сети, рассылается с Сервера хранения и сетевой загрузки (СХСЗ). Это серверный элемент инфраструктуры «Центр-Т», ПО которого, включая ОС, в свою очередь, загружается на произвольное средство вычислительной техники (СВТ) со «Специального носителя ПО СХСЗ».
Функциональность ПАК «Центр‑Т» обширна – он один сможет заменить совокупность отдельных решений за счет следующих инструментов:
- наличия собственной системы идентификации и аутентификации;
- возможности организации доверенного сеанса связи (ДСС);
- централизованного управления и администрирования ПО рабочих станций (РС);
- резервирования и восстановления данных;
- контроля целостности ПО;
- контроля периферийного оборудования;
- организации удаленного доступа за счет наличия встроенных средств терминального и удаленного доступа других видов (терминальные клиенты rdp, ica; Horizon View и другие по требованиям конкретной системы);
- протоколирования событий безопасности, которые связаны с функциональными возможностями комплекса;
- загрузки ПО с защищенных носителей: ПО СХСЗ и ПО Клиента (образ начальной загрузки) хранятся в защищенных разделах памяти специальных носителей, что исключает возможность несанкционированного изменения ПО «Центр‑Т».
Преимущества «Центр-Т»
- Применение в информационных системах (ИС) различных по назначению средств сопряжено с проблемой стабильности совместного функционирования, в то время как использование «Центр‑Т» не требует ни приобретения дополнительных СВТ, ни трудоемких работ по развертыванию инфраструктуры – ПО комплекса загружается на уже имеющиеся в системе СВТ со специальных носителей, входящих в состав комплекса.
- При применении «Центр‑Т» архитектура исходной ИС практически не меняется. А внедрение совокупности решений меняет систему кардинально: вводятся новые единицы технических средств, внедряется много нового ПО, что способствует росту нагрузки на сеть, а это, в свою очередь, может привести к нехватке мощности и перебоям в работе ИС (возможен выход из строя объектов ИС).
- Различные решения, которые комбинируются и предлагаются интеграторами, как правило, имеют повторяющиеся блоки функциональности (ведь разрабатываются все они по требованиям регуляторов, предопределяющих наличие обязательных функций). В результате многие функции в ИС многократно дублируются, что нецелесообразно и даже вредно, так как может вызывать конфликты.
- Совокупность решений интеграторов в несколько раз дороже, чем комплект «Центр‑Т».
Применение «Центр-Т» блокирует имманентные системам удаленного доступа уязвимости, такие как:
- возможность получения доступа к ПО со стороны незарегистрированных пользователей;
- возможность получения доступа к запрещенным сетевым ресурсам;
- несанкционированное копирование и перенос информации на съемных носителях;
- возможность несанкционированной установки пользователями неразрешенного ПО.
Путем применения комплекса в ИС реализуются большинство мер из Приказов ФСТЭК России № 17 и 21 [2, 3], направленных на реализацию управления и администрирования ПО клиентских РС (группы ОПС, УПД, АНЗ и ИАФ): 82%. Остаются только организационные меры и меры, реализуемые не на РС.
Комплекс «Центр-Т»:
- прост – не требует сложной настройки и прозрачен в эксплуатации;
- экономичен – заметно сокращаются расходы на обслуживание и администрирование ИС;
- рационален – при относительно невысокой стоимости обеспечивает надежную защиту ИС, и делает ее более управляемой и простой в обслуживании и эксплуатации.
Список источников
- ПАК «Центр‑Т» // Официальный сайт ОКБ САПР. [Электронный ресурс]. URL: https://www.okbsapr.ru/products/management/PAKTSENTRT/ (дата обращения: 08.10.2021);
- Приказ ФСТЭК России от 11 февраля 2013 года №17 // Официальный сайт ФСТЭК. [Электронный ресурс]. URL: https://fstec.ru/component/attachments/download/566;
- Приказ ФСТЭК России от 18 февраля 2013 года №21 // Официальный сайт ФСТЭК. [Электронный ресурс]. URL: https://fstec.ru/component/attachments/download/561.
Автор: Маренникова Е. А.
Дата публикации: 08.12.2021
Библиографическая ссылка: Маренникова Е. А. Центр-Т: управление загрузкой терминалов в новой удобной форме // Information Security / Информационная безопасность. М., 2021. № 5. С. 46.
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.