Если у вас возникли вопросы, или появилось предложение, напишите нам

СУЦУ
СУЦУ

ПАК ЦЕНТР-Т

Регистрационный номер в реестре отечественного ПО: 2025

В наши дни использование распределенных централизованных систем стало повсеместной практикой. Такие системы используются в самых разных организациях различного размера, отраслей деятельности и форм собственности.  

Вопросы защиты информации в таких системах также поднимались не раз, и не раз находились на них ответы. Основным подходом к обеспечению безопасности (в отличии от имитации безопасности) стала защита всех компонентов системы, в том числе и клиентов – СВТ, с которых происходит подключение к ресурсам системы, вне зависимости от того, что именно выступает в роли такого клиента: устаревшие ПК, специализированные аппаратные терминалы или машины с высокой производительностью.

В основе обеспечения безопасности для любых СВТ лежит доверенная загрузка операционной системы (ОС). Однако требование установки СДЗ в терминал звучит довольно абсурдно – их заводят для уменьшения расходов на инфраструктуру, а не наоборот. Кроме того, стационарная защита клиентов влечет за собой необходимость выстраивания продуманной системы их администрирования – причем и системного, и администрирования безопасности информации. Словом, теряется весь смысл.

ПАК «Центр-Т» обеспечивает возможность централизованной контролируемой загрузки образов на клиентские рабочие станции, а также их централизованного администрирования.

В ПАК «Центр-Т» защищённая сетевая загрузка терминальных станций происходит в 2 этапа. На первом с отчуждаемого носителя загружается образ ОС, называемый образом начальной загрузки (ОНЗ). ОНЗ на отчуждаемом носителе хранится в разделе, доступном только на чтение, тем самым обеспечивается доверенная загрузка операционной системы. Основная и единственная цель ОНЗ – обеспечение безопасного второго этапа, а именно сетевой загрузки программного обеспечения, посредством которого будет происходить подключение к терминальному серверу (сервер может быть не обязательно именно терминальный, будем называть его для примера именно так, на самом же деле это может быть, например, инфраструктура виртуализации с виртуальными рабочими столами или веб-сервер). Такое разделение на два этапа позволяет обеспечить безопасность загрузки ОС вне зависимости от того, какое именно оборудование используется в качестве терминального клиента с соблюдением следующих условий для аппаратной части:

  • Архитектура процессора х86-64 с поддержкой аппаратной виртуализации;
  • Наличие 2 гигабайт оперативной памяти;
  • Возможность загрузки с USB-носителей.

 1.jpg

Структурная схема комплекса

ПО на терминалы загружается с Сервера хранения и сетевой загрузки (СХСЗ), –  компонента «Центр-Т», состоящего из аппаратной (Специальный носитель ПО «СХСЗ» ) и программной (само записанное на носитель ПО «СХСЗ») частей. Другим компонентом ПАКа является Клиент – Специальный носитель ПО «Клиент Центр-Т» (клиентское устройство) с записанным на него ОНЗ. Подробнее о Специальных носителях ПО «Центр-Т» здесь.

Управление и настройка «Центр-Т» осуществляется посредством утилиты Удалённого управления СХСЗ.

 2.jpg

Схема информационного взаимодействия компонентов инфраструктуры с ПАК «Центр-Т»

Для каждого пользователя терминальных станций на СХСЗ сохраняются данные о номере клиентского устройства, о назначенном ему образе, а также о настройках подключения к терминальному серверу (шаблон). После загрузки ОНЗ на клиентском устройстве происходит запуск Клиентского сервиса. Он получает информацию о номере носителя, который подключен к терминальной станции, и отправляет на СХСЗ запрос на получение образа и шаблона. СХСЗ в свою очередь определяет, какой образ и шаблон назначены пользователю, соответствующему указанному в запросе номеру носителя, и отправляет в ответ Клиенту имя образа и его настройки (шаблон). После получения этой информации Клиент начинает скачивание образа, находящегося на СХСЗ. Затем происходит запуск контейнера из образа, и работа пользователя продолжается внутри него. Полученный с СХСЗ шаблон определяет, к какому терминальному сервису начнётся подключение.

Как правило, СХСЗ и клиенты находятся в одном контуре, а вот терминальный сервер зачастую расположен удаленно. В случае необходимости в состав загружаемого образа может включаться клиент VPN для защиты канала между клиентом и сервером.

Для настройки и управления комплексом в процессе его эксплуатации в «Центр-Т» разделение административных полномочий производится между пятью ролями:

  • Администратором сервисного режима. Администратор сервисного режима производит первоначальную настройку СХСЗ для работы. В дальнейшем в процессе эксплуатации СХСЗ Администратор сервисного режима отвечает за запуск и завершение работы СХСЗ, редактирование сетевых и других настроек, таких как разрешение экрана, резервирование и восстановление СХСЗ.
  • Администратором. Администратор управляет учетными записями и шаблонами. Также администратор отвечает за настройки терминальной станции, за которой работает пользователь: разрешение экрана и кэширование образов ПО терминала.
  • Администратором безопасности информации. Администратор безопасности информации отвечает за назначения пользователям образов ПО терминальной станции и шаблонов. В составе ПО терминальных станций содержится клиент для подключения к терминальному серверу, тем самым Администратор безопасности информации, назначая пользователю определенный образ, задает протокол подключения, а назначая шаблон, определяет, к какому терминальному серверу произойдет подключение.
  • Контролером эксплуатации. Контролер эксплуатации выполняет аудит настроек шаблонов и пользователей. Контролер может только просматривать настройки, но не вносить в них изменения.
  • Администратором нештатного режима. Администратор нештатного режима выполняет функции Администратора и Администратора безопасности информации при возникновении нештатных ситуаций, когда срочно необходимо внести изменения.

Администратор сервисного режима выполняет свои функции локально в ПО сервисного режима. Администратор, Администратор безопасности информации, Администратор нештатного режима и Контролер эксплуатации выполняют свои функции с собственных рабочих мест при помощи Утилиты удаленного управления СХСЗ. Также через эту Утилиту Администраторам и Контролеру доступны журнал событий, собираемых с СХСЗ и всех клиентских устройств, и информация о терминальных станциях, с которых пользователи производят подключение.

Путем применения ПАК «Центр-Т» в информационной системе выполняются следующие меры, включенные в базовый набор мер защиты информации Приказов ФСТЭК России №17 и 21:
ИАФ: 1, 2, 3, 4, 5, 7;
УПД: 1, 2, 4, 5, 9, 10, 11, 13, 17;
ОПС: 1, 2, 3;
ЗНИ: 2, 5;
РСБ: 1, 2, 3, 5, 6, 7;
АНЗ: 1, 2, 3, 5;
ОЦЛ: 1, 3;
ОДТ: 2, 3;
ЗИС: 1, 5, 15;
ИНЦ: 2;
УКФ: 2.
И дополнительные (не включенные в базовый набор) меры:
ЗНИ: 6, 7;
РСБ: 8;
ЗИС: 4, 14, 18, 19.

А также следующие меры Приказа №31 ФСТЭК России:
ИАФ: 1, 2, 3, 4, 7;
УПД: 1, 2, 3, 4, 5, 9, 10, 11, 13;
ОПС: 1, 2;
ЗНИ: 2, 5, 6, 7;
АУД: 3, 4, 6, 7, 9;
ОЦЛ: 1;
ОДТ: 2, 3, 6;
ЗИС: 1, 13, 20, 21, 35;
ИНЦ: 2;
УКФ: 2;
ОПО: 4;
ДНС; 4, 5;
а также дополнительные (не включенные в базовый набор) меры:
ИАФ: 6;
ЗИС: 12, 14, 30.

Подробнее о выполнении этих мер можно прочитать здесь.

от базиса
к надстройке
Кнопка связи