Если у вас возникли вопросы, или появилось предложение, напишите нам

Средства защищенной сетевой загрузки Центр-Т
Средства защищенной сетевой загрузки Центр-Т

Средства защищенной сетевой загрузки Центр-Т

ПАК«Центр-Т» представляет собой комплекс программных и аппаратных средств, позволяющий осуществлять хранение и сетевую загрузку программного обеспечения (ПО) терминальных станций (ТС), используемых в системе терминального доступа, с возможностью обработки информации ограниченного доступа.

Организация загрузки образов ПО терминальных станций по сети позволяет обеспечивать оперативное администрирование состава образа и контролировать его целостность и аутентичность, что делает возможным обеспечение на терминале доверенной среды и создание предпосылок для осуществления непрерывной защиты терминальной системы.

ПАК «Центр-Т» полностью реализован на специальных носителях информации (и клиентские, и серверные компоненты размещаются на дисках, встроенных в эти устройства, и могут исполняться на любом ПК), что обеспечивает комплексу значительную аппаратную независимость.

В состав аппаратных средств ПАК«Центр-Т» входят следующие компоненты:

  • носитель ПО Сервера хранения и сетевой загрузки (СХСЗ);
  • носитель ПО Клиента (далее также– клиентские устройства).

Возможности

ПАК «Центр-Т» реализует следующие основные функции:

  • назначение пользователю образа ПО ТС, доступного ему для загрузки;
  • сетевая загрузка ПО на терминальные станции;
  • контроль подлинности и целостности загружаемого ПО ТС;
  • создание и редактирование шаблонов настроек образов ПО ТС;
  • ведение журналов загрузки ПО ТС с момента включения терминалов до начала сеанса с терминальным сервером и подключения к терминальному серверу.

Особенности

Управление образами и шаблонами настроек образов ПО ТС для разных пользователей с разным набором возможностей позволяет достаточно оперативно реагировать на изменение ситуации (например, когда пользователю необходимо работать с терминальным сервером с другой терминальной станции, к которой подключен другой монитор с другими параметрами экрана) без снижения уровня информационной безопасности.

Комплекс предоставляет возможность разделения административных полномочий администратора и администратора безопасности информации, что усиливает его защитные свойства.

Рассмотрим особенности компонентов комплекса.

1. СХСЗ

СХСЗ представляет собой автоматизированное рабочее место, предназначенное для сетевой загрузки ПО ТС.

Специализированное ПО СХСЗ хранится и загружается со встроенного flash-диска носителя ПО СХСЗ.

Схема работы выглядит следующим образом:

1) со встроенного flash-диска носителя ПО СХСЗ стартует ПО СХСЗ. На момент начала эксплуатации он содержит предварительно подготовленные образы ОС Linux, содержащие все необходимое ПО для соединения с терминальным сервером;

2) с носителя ПО Клиента стартует ОНЗ, также реализованный на основе ОС Linux. Далее на СХСЗ посылается запрос на получение образа с ПО ТС;

3) СХСЗ обрабатывает запрос и выдает клиенту нужный образ ПО ТС;

4) клиентское устройство принимает образ по сети и проверяет его. Если проверка образа завершается успешно, то он загружается в оперативную память СВТ и ему передается дальнейшее управление ресурсами компьютера;

5) ПО, запущенное из полученного образа, инициирует соединение с терминальным сервером и осуществляет идентификацию пользователя на сервере.

Функции СХСЗ в системе терминального доступа таковы:

  • управление учетными записями пользователей;
  • управление образами и шаблонами настроек образов ПО ТС;
  • предоставление образов клиентам (загрузка по сети).

ПО СХСЗ

  1. Оборудование. ПО загружается на любую отведенную для этого ПЭВМ со специального носителя, выполняется в оперативной памяти ПЭВМ, но не остается на ПЭВМ после отключения носителя.
  2. Функциональность. Создание пользователей, назначение им Клиентских устройств, сопоставление Клиентским устройствам образов ПО терминальных станций и шаблонов.
  3. Безопасность. СХСЗ загружается только со специального носителя. На ПЭВМ, на которой исполняется ПО СХСЗ, не хранится ни само ПО, ни загружаемые с СХСЗ образы. На СХСЗ ведется журналирование работы пользователей с момента включения терминальной станции до старта сессии с терминальным сервером и с момента разрыва сессии до выключения терминальной станции, а также журналирование всех действий администратора СХСЗ и администратора безопасности информации СХСЗ.
  4. Размещение. СХСЗ рекомендуется устанавливать в рамках общего защищенного контура с терминальными клиентами, которые с него загружаются. Рекомендуется устанавливать один СХСЗ на каждые 50 клиентов, иначе могут быть затруднения, связанные с пропускной способностью канала связи, при одновременной загрузке всех станций.

2. Клиент Центр-Т

Подготовка к старту терминальной сессии

  1. Оборудование. ПО начальной загрузки терминальных станций загружается с Клиентских специальных носителей, поэтому терминальным клиентом может быть практически любое СВТ, поддерживающее загрузку с USB-устройств, с процессором x64, поддерживающим технологию виртуализации, и с оперативной памятью не менее 1 Гб.
  2. Функциональность. Образ начальной загрузки (ОНЗ) стартует с диска специального носителя, обращается к СХСЗ, получает образ, сопоставленный этому носителю, проверяет код аутентификации, и, в случае корректности кода аутентификации, разрешает исполнение ПО терминальной станции. Данный образ ПО терминальной станции поддерживает работу с ПАК «Аккорд-Win32»TSE / «Аккорд-Win64TSE», а специальный носитель выступает в роли идентификатора пользователя в ПО «Аккорда» на терминальном сервере.
  3. Безопасность. Аппаратная идентификация / аутентификация пользователя, проверка подлинности и целостности загружаемых образов.
  4. Размещение. Специальный носитель Клиента Центр-Т должен быть выдан каждому пользователю, имеющему доступ к терминальному серверу.

Документация


Речь может идти только о предпосылках потому, что ПАК «Центр-Т», подобно «Аккорду-АМДЗ», обеспечивает только правильный старт, и дальше должен быть поддержан средствами защиты, функционирующими на следующих этапах. Поэтому в рекомендациях по условиям применения комплекса указано использование в системах терминального доступа или виртуальных инфраструктурах, защищенных СЗИ НСД «Аккорд TSE» или «Аккорд-В.».

В отдельных случаях по тем или иным причинам совместимость ПАК «Центр-Т» с СВТ не может быть обеспечена или требует совместных работ с вендорами СВТ. На нашем сайте систематически публикуются результаты проверок совместимости продукта с СВТ. Проведение проверки бесплатно при условии предоставления интересующей модели для проведения работ. Выдача сертификата совместимости на СВТ – платная.

от базиса
к надстройке
Кнопка связи