Защита информации в системах терминального доступа

Светлана Конявская
Заместитель генерального директора “ОКБ САПР"

Использование в качестве терминального клиента не только специализированных аппаратных терминалов, но и разнообразных средств вычислительной техники (СВТ) как с высокими, так и с практически отсутствующими характеристиками позволит избежать двух главных проблем, с которыми сталкиваются организации, эксплуатирующие системы терминального доступа, стремящиеся к унификации терминальных клиентов:

• монопольный поставщик терминалов (с ним может случиться неприятность или он может начать вести себя не совсем хорошо);
• постоянные обновления модельного ряда терминалов, чем грешат практически все бренды (а в результате либо теряется преимущество унификации, либо внезапно снятую с производства модель необходимо приобретать чуть ли не "с рук").

Заметим, что есть производители, которые грешат еще и тем, что терминалы одной модели, абсолютно идентичные по всем параметрам спецификации, оказываются на поверку не имеющими ничего общего (даже на разных чипсетах). Однако это уже, как говорится, другая история.

Итак, возможность строить систему на разнородных СВТ – это существенный плюс. Однако в тени этого плюса скрывается сложность, связанная с тем, что среда исполнения терминального клиента во всех этих случаях (на подлежащих списанию ПЭВМ под Windows XP, мощных машинах проектировщиков под каким-нибудь специфическим Linux, ноутбуке руководителя с Windows 8, ноутбуках или планшетах агентов или инспекторов и вовсе с гарвардской архитектурой) окажется разная.

Это не проблема, если в терминальной системе не нужно обеспечивать информационную безопасность, так как клиенты ICA и RDP есть практически для любой ОС.

Если же система терминального доступа должна быть защищенной, то контролировать необходимо вычислительную среду всех типов терминальных клиентов, иначе получается классическая дыра в заборе, сводящая на нет его высоту и острые шипы по периметру. Выгода системы терминального доступа в части организации защиты информации связана именно с унификацией предмета защиты – ОС терминального клиента, узкоспециальной, обычно небольшой по объему, а следовательно, легко контролируемой.

Если мы теряем эту особенность, то фактически задача с точки зрения защиты информации сводится к точно такой же, как если бы в системе применялись обыкновенные ПЭВМ, только к их количеству и разнообразию добавляются еще терминальные серверы. Более того, любая система, в которой одно и то же СВТ применяется в нескольких режимах, требует, помимо защищенности в каждом режиме отдельно, еще и доказанного отсутствия взаимовлияния этих режимов.

Стоит ли тогда вообще игра свеч?

Безусловно, защита – это только одна сторона дела, и, возможно, не так критично, что теряется выгода именно в ней, ведь остается масса других плюсов, а защита вообще редко связана с выгодой.

Однако есть решение, позволяющее не терять выгоду унификации терминального клиента, но при этом и не терять возможности использовать в этом качестве практически любые СВТ – это загрузка на СВТ необходимой (унифицированной, контролируемой) среды только на тот период, когда оно должно работать в качестве терминального клиента.

Естественно, для СВТ разных типов и назначений нужно использовать различные (подходящие к каждому конкретному случаю) способы обеспечения загрузки этой контролируемой среды терминального клиента, но всегда она должна быть организована таким образом, чтобы загружаемая для работы в системе терминального доступа среда не влияла на основную среду СВТ, и наоборот.

В настоящее время на отечественном рынке представлены решения всех необходимых типов. Их можно разделить на группы в соответствии с ключевыми особенностями защищаемого СВТ:

1. СВТ разных моделей от разных производителей, основная задача которых – работа в терминальной сессии (классические тонкие клиенты);
2. СВТ – это компьютеры различных характеристик, для которых работа в терминальной сессии – эпизодическая задача, а в основном пользователи работают с собственными ресурсами СВТ или с Web-системой;
3. компьютер (ноутбук) руководителя.

Последний тип вполне разумно выносить в отдельную категорию, потому что при всей своей немногочисленности в штатном составе организации руководители – это не та категория сотрудников, которой можно пренебречь.

Способы загрузки эталонной терминальной ОС для каждой группы

Рассмотрим, чем будет отличаться загрузка эталонной терминальной ОС в этих случаях.

1. Унифицировать среду исполнения ПО терминального клиента и одновременно сделать ее защищенной, но гибкой и администрируемой можно с использованием комплексов защищенного хранения и сетевой загрузки ОС терминальных станций.

Универсальная часть образа ОС терминального клиента при этом загружается с отчуждаемого персонального устройства пользователя, а затем со специального сервера хранения и сетевой загрузки на клиент скачивается и после успешной проверки целостности и аутентичности полученного образа загружается та его часть, которая требует администрирования. Эта часть образа, включающая средства поддержки периферии (она может выходить из строя или просто заменяться), ограничения доступа к устройствам ввода-вывода и съемным носителям (принтерам, флешкам) и тому подобные "индивидуальные" настройки, должна быть доступной для изменений, но в то же время верифицируемой. Это и обеспечивается комплексами защищенного хранения и сетевой загрузки образов терминальных станций.

2. Если работа в терминальной сессии является эпизодической задачей, то требования к ОС терминального клиента минимальны, а его модификации маловероятны и, во всяком случае, крайне редки.

Для таких случаев как нельзя лучше подойдет решение с загрузкой эталонного неизменяемого терминального клиента из защищенной памяти отчуждаемого устройства. После окончания работы в терминальной сессии пользователю достаточно отключить устройство и перезагрузиться, чтобы вернуться к работе с ресурсами основного СВТ.

3. На руководителя, как правило, возлагается так много совершенно необходимых обязанностей, что от выполнения "лишних" действий он закономерно хочет быть избавлен. Кроме того, в случае с компьютером или ноутбуком руководителя крайне желательно избегать заметных изменений привычного порядка действий при загрузке компьютера и замедления процедуры загрузки ОС, что неизбежно в первых двух описанных случаях.

Поэтому загрузка ОС с терминальным клиентом на СВТ руководителя должна производиться без подключения дополнительных устройств и через интерфейс, который не станет узким местом по скорости чтения. Это значит, что терминальный клиент должен загружаться на такой компьютер прямо из аппаратного модуля доверенной загрузки, требуя от пользователя только указания желаемого в данный момент режима.

Поскольку все перечисленные типы терминальных клиентов должны (ну, или могут) работать в одной системе, то логично, чтобы производителем была гарантирована их совместимость.

Описанный подход призван унифицировать терминальные клиенты без унификации применяемых СВТ. Это позволит построить подсистему защиты информации в системе терминального доступа и более экономично, и проще с точки зрения администрирования. При этом не будет необходимости разыскивать снятые с производства модели, терять гарантию из-за встраивания сторонних модулей в готовые решения и прочих побочных эффектов унификации, но удастся сохранить разнообразие функциональных возможностей СВТ, работающих вне терминальной сессии. Очевидно, что, когда задача становится слишком сложной, надо искать ошибку в условии. Ошибка – считать, что защищать необходимо строго ту среду, которая есть на СВТ по умолчанию. Из необходимости работать в защищенной среде этого абсолютно не следует.