Защита терминальных клиентов в идеологии "клиент всегда прав"

Внедрение терминальной системы, как правило, наталкивается на сопротивление сотрудников. Доводы сопротивляющихся можно свести к двум основным:

1. пропадает ощущение "своего" рабочего места, персонального информационного пространства;
2. у разных сотрудников разные задачи, и для их выполнения нужны разные вычислительные ресурсы и шире – по-разному оборудованные рабочие места, а терминальная система уравнивает все рабочие места маломощными и какими-то несерьезными терминалами.

Обе проблемы снимаются правильным построением системы защиты информации, как ни странно.

Вообще говоря, ставить всем одинаковые маломощные терминалы совсем не обязательно, терминальные системы хороши тем, что позволяют использовать в качестве клиентов практически что угодно. Кроме возможности использования машин, которые иначе можно только выбросить (что, конечно, ценно), в качестве терминальных клиентов можно использовать и машины, которые обладают прекрасными характеристиками и возможностями. Это позволяет учитывать разнородность служебных функций сотрудников организации, а значит, создать терминальную систему, в которой могли бы работать все сотрудники, даже те, кто в силу своих задач не может работать на терминале типа "тонкий клиент".

Однако в тени этого плюса скрывается сложность, связанная с тем, что среда исполнения терминального клиента во всех этих случаях (на подлежащих списанию ПЭВМ под Windows XP, мощных машинах проектировщиков под каким-нибудь специфическим Linux, ноутбуке руководителя с Windows 8, ноутбуках или планшетах агентов или инспекторов) окажется разная.

Клиенты ICA и RDP есть практически для любой ОС, но выгода системы терминального доступа в части организации защиты информации связана именно с унификацией предмета защиты – ОС терминального клиента, узкоспециальной, обычно небольшой по объему, а следовательно, легко контролируемой, а имея в качестве клиентов СВТ с разной вычислительной средой, мы получаем необходимость контролировать вычислительную среду всех типов терминальных клиентов.

Однако есть решение, позволяющее не терять выгоду унификации терминального клиента, но при этом и не терять возможности использовать в этом качестве практически любые СВТ, – это загрузка на СВТ необходимой (унифицированной, контролируемой) среды только на тот период, когда оно должно работать в качестве терминального клиента. Очевидно, что когда задача становится слишком сложной – надо искать ошибку в условии. Ошибка – считать, что защищать необходимо строго ту среду, которая есть на СВТ по умолчанию. На самом деле защищать нужно ту среду, в которой выполняются критичные с точки зрения безопасности задачи.

Естественно, для СВТ разных типов и назначений нужно использовать различные способы обеспечения загрузки этой контролируемой среды терминального клиента, подходящие к каждому конкретному случаю, но всегда она должна быть организована таким образом, чтобы загружаемая для работы в системе терминального доступа среда не влияла на основную среду СВТ, и наоборот.

Решения для терминалов

ОКБ САПР предлагает средства и технологии для следующих типов рабочих мест, используемых в качестве терминалов:

1. СВТ (терминалы и ненужные компьютеры) разных моделей от разных производителей, основная задача которых – работа в терминальной сессии (классические тонкие клиенты). Для этого варианта идеален ПАК "Центр-Т" – комплекс защищенной сетевой загрузки ОС терминальных клиентов, который включает в себя развитую систему управлениями образами ОС, загружаемыми на клиентские СВТ.

2. Компьютеры различных характеристик, для которых работа в терминальной сессии - эпизодическая задача, а в основном пользователи работают с собственными ресурсами этого компьютера или с web-системой. Для этого варианта тоже вполне применим ПАК "Центр-Т", но достаточно и СОДС "МАРШ!" - локальной загрузки с USB-устройства неизменяемого образа терминального клиента.

3. Компьютер (ноутбук) руководителя. Этот тип вполне разумно выносить в отдельную категорию, потому что при всей своей немногочисленности в штатном составе организации руководители - это не та категория сотрудников, которой можно пренебречь. Для них мы предлагаем ПАК "Ноутбук руководителя". Это действительно ноутбук, в котором за счет предустановленных средств защиты реализована возможность выбора, какую среду загружать - основную ОС ноутбука или защищенную ОС из контроллера "Аккорд", предназначенную для соединения с защищенной информационной системой.

Все перечисленные типы терминальных клиентов могут работать в одной системе, терминальные серверы которой защищены ПАК "Аккорд TSE" (в том числе если они виртуальные, и инфраструктура виртуализации защищена "Аккорд-В."). Практика показывает, что нет сложностей с интеграцией и с другими средствами защиты, если исторически в системе используется не "Аккорд".

Говорят, главное в оптимизации - чтобы она не привела к критическому снижению эффективности. Достичь этого довольно просто - надо точно понять границы необходимой оптимизации. Если задача - унифицировать вычислительную среду терминального клиента, то никакой необходимости унифицировать СВТ - нет.