Если у вас возникли вопросы, или появилось предложение, напишите нам

Защищенный терминал на базе «MKT-card long»

Вне зависимости от варианта исполнения защищенного терминала на базе «MKT-card long» и режима работы, после включения микрокомпьютера загружается его локальная ОС. ОС «MKT‑card long» размещена в памяти, доступной только для чтения (read only, RO), что исключает возможность её несанкционированного изменения, обеспечивает доверенную загрузку ОС, и, как следствие, неизменность среды исполнения функционального ПО. Память «MKT‑card long» защищена от записи на аппаратном уровне.

Варианты реализации защищенного терминала на базе «MKT‑card long» различаются способом организации хранения и загрузки ОС с использованием этой архитектурной особенности.

  1. Базовый вариант — ОС полностью хранится в памяти RO микрокомпьютера и загружается локально. ОС содержит терминальный клиент (RDP или ICA — в зависимости от заказа) и клиент Аккорд TSE (Аккорд-ТК), а также может содержать другое функциональное ПО в соответствии с требованиями Заказчика.
  2. Второй вариант локальной загрузки отличается тем, что конфигурационная информация, которая потенциально нуждается в изменении, выделяется из основного образа ОС и выносится на sd-карту, которая устанавливается в отчуждаемый компьютер из состава «MKT‑card long».
  3. Однако может быть необходимость разделить ОС и иначе, выделив в переменную часть не только конфигурации, но и некий набор функционального ПО, в том числе и терминальный клиент, и что-то еще, что может потребовать изменения, и потому не может располагаться в неизменяемой памяти. В этом случае загружаться переменная часть образа ОС может по технологии защищенной сетевой загрузки, применяемой в ПАК «Центр-Т», с контролем целостности и аутентичности образа, загружаемого с СХСЗ. Такой вариант реализации защищенного терминала называется «MKT-card long с поддержкой технологии Центр-Т».

После загрузки на микрокомпьютер функционального ПО и проверки его подлинности устанавливается соединение с терминальным сервером, производится идентификация и аутентификация пользователя на сервере с использованием аппаратного идентификатора ПИ ШИПКА (опционально «MKT‑card long» может сам выполнять функции аппаратного идентификатора пользователя). По завершении данной операции запускается терминальный клиент, и пользователь может приступить к работе в терминальной сессии. В рамках терминальной сессии пользователю может быть предоставлена возможность использования USB-устройств, подключенных непосредственно к «MKT‑card long».

  1. Для систем, в которых с одногоАРМ пользователю нужно получать доступ в два разных контура, разделенных по функциональному принципу или по уровню защищенности, но так или иначе, изолированных один от другого, реализован вариант защищенного терминала «двойного назначения». В этом случае на этапе загрузки неизменяемой части ОС из защищенной памяти «MKT-card long» пользователь выбирает, в какой контур ему нужен доступ в данный момент, и, в зависимости от этого выбора загружается одна или другая переменная часть ОС из одного или другого источника (с sd-карты, с СХСЗ или из RO памяти микрокомпьютера, в зависимости от заказа). Такой вариант реализации защищенного терминала называется «MKT-card long для двойного применения».

Защищенность технологии доступа к терминальному серверу с использованием «MKT‑card long» обеспечивается:

  • технологически — за счет размещения ОС и встроенных средств защиты информации от несанкционированного доступа в защищенной от перезаписи памяти,
  • технически — за счет примененияСЗИ НСД и двухфакторной идентификации с применением аппаратного отчуждаемого персонального идентификатора (каковым может являться как дополнительное устройство (ТМ-идентификатор, ПИ ШИПКА, так и отчуждаемая часть терминала),
  • организационно — отчуждаемый ПК из состава терминала после окончания работы может запираться пользователем в сейфе, сдаваться под охрану или сохраняться под персональную ответственность иным способом.

Габариты отчуждаемого ПК из состава «MKT‑card long» позволяют убирать его в пенал для ключей.

Размеры MKT-card long:

  1. в сборе — 12 (с учетом антенны WiFi — 13) х 6.4×2.6 см;
  2. отчуждаемый ПК — 12×3.8×1.3 см.

Вес MKT-card long:

  1. в сборе — 160 гр.;
  2. отчуждаемый ПК — 49 гр.

Удаленный доступ с защищенного терминала на базе «MKT‑card long» может осуществляться с помощью встроенных средств, выбранных на этапе заказа:

  • клиента, обеспечивающего работу с фермой Citrix (Citrix Receiver);
  • VMware Horizon Client;
  • или Free RDP.

При использовании «MKT‑card long» во всех перечисленных вариантах обеспечиваются:

  • идентификация и аутентификация пользователя на сервере;
  • регистрация действий пользователя, в том числе, в отношении использования USB-устройств;
  • целостность загружаемой ОС и защита от несанкционированной модификации программ и данных;
  • поддержка применения в рамках терминальной сессии защищенных USB-носителей «Секрет Особого Назначения»;
  • возможность применения токенов CCID, в том числе, поддерживающих технологию «привязки» к разрешенной рабочей среде («Идеальный токен»).

Защищенный терминал на базе «MKT‑card long» имеет ряд преимуществ перед решениями на базе традиционных аппаратных терминалов, поскольку его использование позволяет:

  • снизить влияние на состояние системы фактора поддержки периферийного оборудования операционной системой терминального клиента;
  • повысить защищенность информации за счет схемотехнической защиты от несанкционированной (в том числе, случайной) перезаписи и/или повреждения операционной системы терминального клиента (применения «Новой гарвардской» архитектуры компьютера);
  • повысить эффективность организационных мер обеспечения защиты информации за счет возможностей аппаратной архитектуры;
  • снизить стоимость комплекта «аппаратный терминал + средства обеспечения его защищенной загрузки»;
  • упростить процесс администрирования системы за счет возможности унификации клиентских рабочих мест.
от базиса
к надстройке
Кнопка связи