Если у вас возникли вопросы, или появилось предложение, напишите нам

Работа с одного рабочего места в двух разных контурах защищенности

1) Организация возможности выполнения отдельных критичных операций в среде более высокого уровня защищенности, изолированной от основной рабочей вычислительной среды.

2) Обеспечение возможности доступа одного сотрудника в сегменты информационной системы с разными уровнями защищенности с одного рабочего места. Эта задача отличается от предыдущей тем, что в обоих — разных по требованиям к защищенности — контурах у пользователя должно быть полноценное рабочее место с некоторой относительно универсальной функциональностью.

1. Изоляция вычислительной среды, предназначенной для выполнения отдельных критичных операций (например, клиент-банк, или подписание документов ЭП), от основной рабочей вычислительной среды.

Это классическая задача для доверенного сеанса связи, понимаемого как кратковременный период работы с удаленным защищенным ресурсом с компьютера, на который загружена доверенная среда организации этого сеанса.

В чем особенности этого сценария. В подавляющем числе случаев человек не нуждается в доверенной среде, он не работает с чувствительными к безопасности ресурсами и не выполняет критичных с точки зрения безопасности операций. Таких действий у большинства людей случается не более, чем несколько за день. Перевести деньги online, получить гос.услугу, подписать документ (предположим, что вне задач получения гос.услуг или перевода денег, а для чего-то еще). Все остальное время доверенная среда ему будет только мешать, потому что она ограничивает далеко не только Интернет.

Часто из-за этого люди просто идут на риск. Это вариант настолько скверный, что рассматривать его не будем совсем. Не намного лучше и вариант с двумя компьютерами для одного сотрудника.

Еще в 2008 году в качестве решения задачи работы госслужащих с Интернет в соответствии Указом 351 ОКБ САПР была предложена первая реализация этой стратегии: разделение не на уровне ПК, а на уровне жестких дисков.

Итак, на одном и том же ПК должны быть установлены два независимых друг от друга жестких диска, с которых загружаются разные операционные системы. Один из дисков предназначен для обработки сведений ограниченного распространения, а другой - нет. Соответственно, для первого жесткого диска подключение к Интернет исключено, а для другого - разрешено. Хорошо понятно, что защищенность в такой модели может быть обеспечена на должном уровне только в одном случае - если доступ к этим дискам строго разграничен, и у них нет общих ресурсов, через которые могла бы произойти утечка информации. То есть это по сути должны быть два разные компьютера в одном корпусе.

Как же это реально можно осуществить? Хорошо понятно, что программными средствами - нельзя. Но и не любыми аппаратными средствами можно обеспечить разграничение доступа на уровне не приложений, ОС или внешних устройств типа принтера или сканера, а на уровне разграничения доступа к дисковым устройствам.

ОКБ САПР разработано и поставляется устройство блокировки и коммутации SATA-устройств, которым может комплектоваться любой контроллер Аккорд. С помощью этого коммутатора доступ к тому или иному жесткому диску блокируется на аппаратном уровне, и эту блокировку невозможно обойти в принципе. Единственный общий ресурс в этом решении - это оперативная память. Во избежание утечек через оперативную память - ее очистка обеспечивается механизмами Аккорда.

Итак, в целом, решение выглядит следующим образом: ПК с двумя изолированными один от другого жесткими дисками, в который установлен контроллер Аккорд-5.5 c USB-хостом, оснащенный SATA-блокиратором. В зависимости от того, подключена ли в момент подачи питания к USB-хосту контроллера ПСКЗИ ШИПКА, зарегистрированная в контроллере как принадлежащая лицу с необходимым уровнем доступа, коммутируется один или другой жесткий диск и после контрольных процедур АМДЗ загружается соответствующая ОС, в каждой из которых установлено ПО Аккорд– Подсистема разграничения доступа, в соответствии с правилами которой ведется работа каждым легальным пользователем.

Соответственно, в случае работы на жестком диске, предназначенном для обработки информации, подпадающей под действие Указа, второй жесткий диск – с ОС с подключением к Интернет будет недоступен (физически - просто отключен от контроллера на материнской плате), а случае же работы на жестком диске с ОС, имеющей подключение к Интернет, недоступен будет жесткий диск с данными ограниченного распространения.

Причем, поскольку на разных жестких дисках одного ПК в описываемой модели работа ведется под управлением разных ОС, то с помощью настроек сети или специального ПО либо аппаратных решений несколько таких компьютеров можно объединить в локальную сеть на уровне ресурсов одного контура (уровня доступа), и для этой сети ресурсов другого уровня доступа вообще не будет существовать. Или они могут быть объединены параллельно в две изолированные друг от друга локальные сети.

Такая модель не только была разработана, но и реализована, внедрена и успешно функционирует, возможно, по сей день. А главное, она дала толчок к созданию концепции Доверенного сеанса связи.

Для случая, когда основное рабочее место стационарное и имеет сетевой интерфейс, оптимально СОДС МАРШ!. МАРШ! обеспечивает загрузку доверенной неизменяемой среды, хранящейся в его защищенной памяти с управляемым доступом, и, с использованием сетевых ресурсов ПК — подключение к нужному информационному ресурсу, защищенное VPN.

В тех случаях, когда основные компьютеры не имеют сетевого интерфейса, или его нельзя использовать, или это неудобно (например, это ноутбук с WiFi-модулем, и значит, сетевые настройки всякий раз могут оказаться разными) — целесообразно применение специфической версии МАРШ! а — «М! & М», что расшифровывается как «МАРШ! и Модем». Это устройство, как очевидно из названия, имеющее собственный модуль подключения к беспроводной сети. Во всем остальном схема работа получается точно такой же, просто для установления доверенного сеанса связи не используются сетевые ресурсы основного ПК.

Обратим внимание, что, строго говоря, ничто не мешает при использовании этих подходов основной рабочее место тоже делать защищенным так, как это требуется политикой предприятия. Но если задача осознана уже на стадии проектирования, то можно выбрать решение «под ключ» — двухконтурный моноблок.

Двухконтурный моноблок — это, собственно, моноблок, позволяющий пользователю параллельно работать в одной из двух защищенных ОС (в общем случае одна из них Windows, а вторая — Linux). ОС Windows загружается с жесткого диска моноблока. При работе в этом режиме пользователь может устанавливать любое ПО и инициировать любые подключения в рамках заданных для него правил разграничения доступа: в ОС установлен ПАК «Аккорд-Win64».

При запуске Двухконтурного моноблока во втором режиме ОС загружается из защищенного от записи раздела памяти микрокомпьютера «MKT-card long». То есть вообще из другого компьютера. При работе в этом режиме пользователю доступно только то ПО, которое изначально установлено в образ ОС — этот состав определяется при заказе и затем может изменяться только в рамках обновления ОС в установленном порядке по специальной защищенной процедуре.

Переключение между режимами выполняется посредством KVM-переключателя для передачи сигналов клавиатуры и мыши к текущей системе и нажатия кнопки переключения для смены экрана, расположенной на корпусе моноблока.

Таким образом один моноблок сочетает в себе две на физическом уровне изолированных одна от другой ОС разных семейств, обе из которых защищены, но каждая по специфичным для своих задач требованиям.

Еще одно решение — это целая ветка семейства защищенных компьютеров на базе Новой гарвардской архитектура MKT — компьютеры MKTrusT. Это микрокомпьютер, позволяющий работать в одном из двух режимов — защищенном или незащищенном. Работа в разных режимах производится в разных ОС, загружающихся из разных, физически разделенных, разделов памяти (то есть взаимовлияние ОС исключено технологически). Переключение режимов работы производится с помощью физического переключателя, расположенного на корпусе устройства, то есть необходимый режим выбирает пользователь, и не может выбрать хакер (невозможно программное воздействие на выбор режима). В этой ветке есть собственно модель MKTrusT, а также защищенный планшет TrusTPad.

Незащищенная ОС в обоих случаях Android, а защищенная — обычно в MKTrusT — Linux, а в TrusTPad — Android, но может быть и наоборот — зависит от задач той системы, под которую адаптируется решение.

2. Доступ одного сотрудника в сегменты информационной системы с разными уровнями защищенности с одного рабочего места.

Эта задача принципиально близка предыдущей, разница только в потенциальной широте функциональности «второй» рабочей среды. В предыдущих случаях это отдельные задачи (заметно более опасные, или заметно более чувствительные к защищенности, чем основная среда), а в этом случае обе среды «полнофункциональные» — с некоторым множеством приложений, но разными ограничениями.

Вместе с тем практика сложилась так, что как раз такая задача крайне редко решается путем настройки для одного сотрудника двух компьютеров. Заметно чаще для этого настраивают два разных профиля пользователя. Вообще говоря, это можно сделать действительно защищенно, если изолировать среду полностью, от старта компьютера. Однако зачастую этого не происходит, потому что, как правило, задача касается работы в режиме удаленного доступа, а не локальной, а при этом компьютер, с которого осуществляется доступ, воспринимается как терминал, которому можно уделять крайне мало внимания с точки зрения защиты информации. Профили создаются, предположим, на разных терминальных серверах, оборудованных комплектами всех необходимых защитных средств, сервера работают в разных сетях, возможно, разделенных физически, а не только логически. Все сделано крайне добросовестно, кроме одного — компьютер, с которого осуществляется доступ, — один и тот же. Более того, как правило, он загружен под профилем одного и того же пользователя ОС и, в случае, если на нем вообще установлено СЗИ НСД — под профилем одного и того же пользователя СЗИ НСД, а значит, с одними и теми же правами, ему доступны одни и те же ресурсы компьютера при работе в разных контурах системы. Такая ситуация создает опасную иллюзию изолированности контуров один от другого, оставляя очень удобную для потенциального нарушителя уязвимость.

Избегнуть ее можно с помощью целого ряда наших решений, различными способами реализующих «два-в-одном». Это уже упоминавшиеся МАРШ! , MKTrusT и двухконтурный моноблок. В данном случае особенность решений будет в том, «куда ведет» ОС, загружаемая с МАРШ! и с MKT-card long соответственно. Если в предыдущем случае эти ОС содержали средства выполнения той конкретной задачи, для которой нужна особая среда исполнения, но в данном случае они будут, например, содержать терминальный клиент для доступа к нужному серверу, или VPN-клиент к нужному шлюзу и межсетевой экран, настроенный так, чтобы позволить доступ к строго определенному веб-ресурсу, и тому подобное. При этом ОС, загруженной с МАРШ! а будут не доступны сетевые ресурсы, доступные из «основной» ОС компьютера. Разумеется, возможность доступа в тот или иной контур только из той или иной среды должны быть поддержана системой защиты информации самого централизованного ресурса (терминального или веб-сервера, виртуальной системы, или того иного, к чему, собственно, подключаемся), иначе в один и тот же контур можно будет попасть и с МАРШ! ем и без. А такое «два-в-одном» никому не нужно.

Решением, очень близким по «внешним» признакам, также нацеленным на доступ с одного СВТ в два разные контура, является ПАК «Центр-Т». С применением этого комплекса можно реализовать даже сразу две разные стратегии. Если в качестве рабочих мест используются машины, пригодные для применения в одном из контуров как они есть, то доступ в один из контуров осуществляется из их собственной ОС, а во второй — из ОС, загружаемой с помощью Центр-Т. Если же зоопарк терминалов таков, что управлять ими слишком сложно, то целесообразно сопоставить клиентским устройствам по 2 загружаемых образа и при старте выбирать, какой получить в данный момент. Один образ будет инициировать сессию в одном контуре системы, а другой — в другом.


esperentia est optima magistra
Кнопка связи