Если у вас возникли вопросы, или появилось предложение, напишите нам

TrusT Удалёнка

Специальное средство вычислительной техники удалённого доступа

С недавних пор большое внимание уделяется удалённой работе сотрудников – многие компании организуют для своих сотрудников удалённый доступ к информационным ресурсам.

Организация удалённого доступа всегда сопряжена с рисками. Домашний компьютер и сеть как правило, защищены слабо (по сравнению с корпоративными), а при удаленной работе в слабозащищенной среде возникает большая вероятность утечки информации в результате успешных вирусных атак (целевых, фишинг атак), действий инсайдеров (целенаправленных, или невольных, под воздействием, например, социальной инженерии), выхода из строя технических средств (из-за ddos-атак или, попросту, по причине нехватки мощности домашней сети), причем если в офисе восстановление работоспособности рабочего места занимает, как правило, десятки минут, то восстановление работоспособности оборудования, сломавшегося у кого-то дома – задача намного более трудоемкая.

Поэтому при переводе сотрудников на «удалёнку» для защиты клиентского места должны применяться дополнительные меры и средства обеспечения защиты, которые смогут компенсировать возникающие риски удалённого доступа.

Организовать защиту удалённого клиентского рабочего места можно несколькими способами – они описаны на примере ГИС первого класса здесь. Но лучшим решением всегда является не приспосабливание к новой задаче инструментов, предназначенных для других задач, а использование инструментов, предназначенных именно для этой задачи.

Таким специальным средством вычислительной техники удалённого доступа (ССВТ УД) является «TrusT Удалёнка» (доверенная удалёнка – англ.), СВТ, разработанное на платформе «m-TrusT». В состав решения входит СКЗИ, сертифицированное ФСБ по классу КС3.

Аппаратная платформа ССВТ УД представляет собой защищенный микрокомпьютер, архитектура которого обеспечивает невозможность воздействия вредоносного ПО на ССВТ УД. Благодаря наличию встроенного СКЗИ обеспечивается защищенное соединение с ГИС. Входящее в состав СДЗ в совокупности со специальным средством разграничения доступа обеспечивают доверенную загрузку ОС ССВТ УД и блокировку доступа неавторизованных пользователей к ресурсам ГИС. Помимо этого, в ССВТ УД имеется встроенный браузер, что позволяет получить безопасный доступ к различным интернет‑сервисам.

tr1.jpg

Схема работы при использовании ССВТ УД «TrusT Удалёнка» следующая: к компьютеру пользователя подключен микрокомпьютер. При необходимости подключения к ГИС, с него на компьютер пользователя загружается технологическая ОС с терминальным клиентом, и микрокомпьютер становится для компьютера пользователя терминальным сервером.

1.jpg

На компьютере выполняется:

  • PXE-загрузчик, интегрированный в BIOS;
  • технологическая ОС, загружаемая с «TrusT Удалёнка»;
  • ПО терминального клиента (в ОС, загруженной с «TrusT Удалёнка»);

На «TrusT Удалёнка» исполняется:

  • СДЗ уровня BIOS Аккорд-МКТ (сертифицированное ФСТЭК России);
  • российская ОС, в том числе:
  • ПО терминального сервера (навстречу ПЭВМ);
  • ПО терминального клиента (навстречу ГИС);
  • драйвер сети;
  • браузер;
  • TFTP-сервер (поддержка загрузки по PXE);
  • «Аккорд-X K» (для изоляции программной среды по требованиям ФСБ России, сертифицирован ФСТЭК России);
  • СКЗИ DCrypt (сертифицирован ФСБ России на платформе m-TrusT на класс КС3).

При применении ССВТ УД выполняется требование УПД.17, что важно при организации защиты удалённого доступа в ГИС первого класса.

Здесь следует упомянуть, что требование УПД.17 «Доверенная загрузка средств вычислительной техники» выполняется, если обеспечиваются:

  • недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы;
  • контроль доступа пользователей к процессу загрузки операционной системы;
  • контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники.

При загрузке с «TrusT Удалёнка» описанные выше условия обеспечения требования УПД.17 выполняются за счет:

  • контроля целостности программного обеспечения и аппаратных компонентов именно того средства вычислительной техники, на котором исполняется СКЗИ (посредством встроенного СДЗ уровня BIOS «Аккорд‑МКТ»).

ВАЖНО: эта задача не решается с помощью традиционно предлагаемых в качестве решения для удалёнки средств хранения и загрузки на компьютер ОС с защищенного тем или иным образом носителя на базе USB-накопителя. Даже в тех случаях, когда, согласно рекламным материалам, микроконтроллер этого устройства загружается доверенным образом, это никак не связано с УПД.17, так как в этом требовании говорится о контроле целостности СВТ, а не носителя ОС.

  • обеспечения недоступности информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы и контроля доступа пользователей к процессу загрузки операционной системы, которые реализуются за счет того, что память микрокомпьютера m‑TrusT, на базе которого выполнено ССВТ УД, находится в режиме «только чтение». При загрузке команды и данные размещаются в сеансовой памяти, в которой и исполняются – в случае проникновения вирусного ПО в ОС микрокомпьютера, зафиксироваться в памяти оно не сможет.

Таким образом, ключевые преимущества «TrusT Удалёнка» перед остальными решениями для этой задачи таковы:

  • пользователь без каких-либо действий по перенастройке своего компьютера может работать с удаленной защищенной системой из доверенной среды;
  • полностью и без оговорок выполняется мера УПД.17;
  • возможна работа с криптографией до класса КС3 включительно с полным выполнением всех необходимых для этого условий;
  • за счет реализации в «m-TrusT» функции неизвлекаемого ключа, возможно использовать ключ до 3-х лет;
  • не требуется дополнительный ключевой носитель и меры по контролю этих носителей, поскольку ключи хранятся на самом устройстве в неизвлекаемом виде.

Информацию о стоимости ССВТ УД «TrusT Удалёнка» можно запросить по адресу zakaz@okbsapr.ru.

если вам есть что скрывать
Кнопка связи