Если у вас возникли вопросы, или появилось предложение, напишите нам

Специальные носители ПО «Центр-Т»
Специальные носители ПО «Центр-Т»

Специальные носители ПО «Центр-Т»

ПАК «Центр-Т» представляет собой комплекс программных и аппаратных средств, позволяющий организовать защищенное хранение и сетевую загрузку программного обеспечения (ПО) терминальных станций (ТС), используемых в системе удаленного (в основном, терминального) доступа, с возможностью обработки информации ограниченного доступа.

Особенностью ПАК «Центр-Т» является то, что все его обязательные компоненты реализованы на специальных носителях информации, обеспечивающих значительную аппаратную независимость комплекса. И клиентские, и серверные его компоненты размещены на специальных носителях и могут исполняться, загружаясь с этих носителей, на любом ПК. После отключения носителей от ПК на нем не остается никаких компонентов комплекса или используемых им данных.

При этом организация загрузки образов ПО ТС по сети позволяет обеспечивать оперативное администрирование состава образа и контролировать его целостность и аутентичность, что делает возможным обеспечение на терминале доверенной среды и создание предпосылок для осуществления непрерывной защиты терминальной системы.

Комплекс предоставляет возможность разделения административных полномочий между пятью ролями:

  1. Администратором сервисного режима,
  2. Администратором,
  3. Администратором безопасности информации,
  4. Контролером эксплуатации и
  5. Администратором нештатного режима.

Это заметно усиливает защитные свойства комплекса, повышая контролируемость системы.

Функции этих ролей подробно описаны здесь.

В состав аппаратных компонентов ПАК «Центр-Т» входят следующие специальные носители:

  • Специальный носитель ПО Сервера хранения и сетевой загрузки (СХСЗ);
  • Специальный носитель ПО «Клиент Центр-Т» (далее также – клиентские устройства).

Конструктивно носители ПО различаются по объему диска (8ГБ или 4ГБ). В качестве носителя ПО СХСЗ используется Специальный носитель 8ГБ, а в качестве носителей ПО «Клиент Центр-Т» могут выступать оба специальных носителя.

Носители, как правило, поставляются с уже записанными образами ПО СХСЗ и ПО «Клиент Центр-Т», но нужный образ может быть загружен на носитель и с помощью специальной утилиты из комплекта поставки. Поэтому в случае целесообразности для эксплуатирующей организации именно такого порядка работы она может приобрести «нейтральные» носители и по мере необходимости, купив соответствующую лицензию, самостоятельно записать на них образы ПО СХСЗ или ПО «Клиент Центр-Т».

Схема работы комплекса выглядит следующим образом:

 1.jpg

Схема информационного взаимодействия

1) со Специального носителя ПО СХСЗ загружается на СВТ соответствующее ПО и разворачивается АРМ, на котором хранятся предварительно подготовленные для загрузки на терминальные станции образы ОС Linux с необходимым ПО для соединения с терминальным сервером и шаблоны новых образов;

2) со Специального носителя ПО «Клиент Центр-Т» стартует образ начальной загрузки (ОНЗ) клиента «Центр-Т», также на основе ОС Linux;

3) ОНЗ посылает на СХСЗ запрос на получение образа с ПО ТС;

4) СХСЗ обрабатывает запрос и выдает клиенту образ ПО ТС, назначенный для этого Специального носителя;

5) при скачивании образа на стороне клиента производится проверка его целостности и аутентичности; если проверка образа завершается успешно, то он загружается в оперативную память СВТ и ему передается дальнейшее управление ресурсами компьютера;

6) ПО, запущенное из полученного образа, инициирует соединение с терминальным сервером, а клиентская часть «Аккорда TSE» («Аккорд-ТК»), которая является обязательным компонентом загружаемого образа, обеспечивает идентификацию и аутентификацию пользователя на сервере, на котором установлена серверная часть «Аккорда TSE» («Аккорд-ТС»).

ВНИМАНИЕ! «Аккорд TSE» и лицензии на подключения его терминальных агентов не входят в состав продукта «Центр-Т» и приобретаются отдельно! Наличие в составе загружаемых образов компонента «Аккорд-ТК» не является основанием для бесплатного получения лицензии на его подключения к «Аккорду» на сервере.

Более подробно функции СХСЗ описаны здесь.

Загрузка со Специальных носителей ПО «Центр-Т» разворачивает на произвольном СВТ АРМ одного из двух типов: терминал или Сервер хранения и сетевой загрузки.

1. АРМ «Сервер хранения и сетевой загрузки» (СХСЗ)

Функции СХСЗ в системе терминального доступа следующие:

  • управление учетными записями пользователей (определение и назначение ролей);
  • управление образами и шаблонами настроек образов ПО ТС (выбор базового образа и применение к нему шаблона настроек);
  • предоставление образов клиентам (загрузка по сети).

 2.jpg

ПО СХСЗ хранится и загружается из памяти Специального носителя ПО СХСЗ, кроме случая, когда приобретается АРМ Защищенного хранения и сетевой загрузки – в этом случае ПО установлено стационарно и не загружается всякий раз с отчуждаемого носителя.

СХСЗ рекомендуется устанавливать в рамках общего защищенного контура с терминальными клиентами, которые с него загружаются. Рекомендуется устанавливать один СХСЗ на каждые 50 клиентов, иначе могут быть затруднения, связанные с пропускной способностью канала связи, при одновременной загрузке всех станций.

2. АРМ «Клиент Центр-Т»

На СВТ клиента системы (в общем случае это аппаратный терминал, но может быть и любое СВТ, удовлетворяющее минимальным требованиям, приведенным ниже) последовательно загружается сначала ОНЗ со Специального носителя ПО «Центр-Т», а затем – ассоциированный с этим Специальным носителем образ ПО ТС с СХСЗ.

При этом первый инициирует запрос второго и проверяет перед запуском его подлинность и аутентичность:

3.jpg 

Функции ПО «Клиент Центр-Т» разделены между тремя ролями: Администратор, Администратор БИ и Пользователь. Администратор устанавливает сетевые настройки Клиента, Администратор БИ – сетевые настройки для подключения к СХСЗ. После того, как эти настройки заданы, ПО «Клиент Центр-Т» становится образом начальной загрузки терминала и выполняет эту функцию под ролью Пользователь.

Роль Пользователя выполняется автоматически, от пользователя как человека требуется только аутентификация.

Функция загружаемого образа – старт сессии с терминальным сервером.

Управляемые характеристики образа – это то, что определяет, как эта сессия будет организована: с помощью Citrix клиента, или Citrix клиента с поддержкой технологии единого входа (Single Sign-On, или SSO), или дополнительно канал связи будет защищен TLS. В каждом случае в сессии могут пробрасываться или не пробрасываться USB-устройства, подключенные к терминалу.

Исходя из необходимого набора этих параметров выбирается один из доступных базовых образов (набор базовых образов расширяемый, зависит от потребностей АС эксплуатирующих организаций).

К выбранному образу применяются шаблоны настроек, включающие либо только URL брокера терминального сервера, или дополнительно еще настройки, необходимые для TLS (в настоящее время это ПО из состава СКЗИ «СКАД “Сигнатура”», но по требованию Заказчиков может устанавливаться и другое ПО).

Каждая пара «образ + шаблон настроек» организует одно терминальное подключение.

Каждому Пользователю могут быть назначены несколько образов, и он сможет работать в нескольких одновременных терминальных подключений (сессиях). Если открыто несколько терминальных сессий, для переключения между ними доступна всплывающая панель, в которой выбирается необходимое подключение. В выпадающей панели для каждого подключения отображается имя шаблона, применённого к образу при создании пары для этого подключения.

Минимальные требования к СВТ для того, чтобы на нем можно было развернуть АРМ «Клиент Центр-Т»:

  1. архитектура x86_64,
  2. аппаратная поддержка виртуализации;
  3. возможность загрузки с USB-устройств;
  4. не менее 1Гб RAM, крайне желательно 2Гб;

В то же время существуют и готовые решения с процессорами ARM для применения в инфраструктуре «Центр-Т» в качестве АРМ «Клиент Центр-Т» на базе защищенных специализированных компьютеров с аппаратной защитой данных – защищенные терминалы Новой гарвардской архитектуры «Центр-TrusT».

от базиса
к надстройке
Кнопка связи