Онтология терминальных систем и защита информации в них

Онтология терминальных систем и защита информации в них

Светлана Конявская, к.ф.н., ОКБ САПР

ПОЛОВИНЧАТЫЕ решения никогда не бывают выгодными, потому все и стремятся к решениям принципиальным, хотя они требуют определенного усилия воли. Наверное, построение систем терминального доступа можно смело приводить в качестве самого яркого примера действия этой логики. Строя систему с нуля и покупая оборудование, вряд ли кто-то сочтет более выгодным использовать в качестве терминалов не специализированные аппаратные устройства, а полноценные персональные компьютеры. Однако в жизни редко все складывается идеально: с самого начала внедрить терминальную систему не получается, да и жалко денег, вложенных в уже существующий парк машин, чтобы просто от них отказаться... В итоге получается система, сочетающая в себе самые разные средства: аппаратные терминалы, вышедшие в тираж "персоналки" в функции терминальных клиентов, сравнительно новые и работоспособные компьютеры, совмещающие в себе функции автономных рабочих мест и терминальных клиентов.

Хорошей можно считать ту систему защиты информации, которая позволяет защитить всю эту разнородную структуру и которая сама является при этом как можно менее разнородной. Не одна статья уже была написана о том, как опасны "зоопарки" технических средств - тем более в деле защиты.

Функции подсистемы защиты информации

Итак, подсистема защиты информации в системе терминального доступа должна иметь возможность работать с терминальными клиентами разных типов:

• аппаратными терминалами (возможно, разных производителей);
• "усеченными" ПК - такими, функциональность которых принудительно сужена до функциональности терминала;
• полноценными ПК, для которых работа с терминальным сервером является лишь одним из режимов работы.

Для того чтобы полностью уподобить терминалам обыкновенные персональные компьютеры, необходимо добиться, чтобы они не содержали ничего "своего" - ни доступной пользователю аппаратуры и программ (кроме тех, что находятся и выполняются на терминальном сервере в рамках сессии), ни операционной системы, дающей пользователю достаточно возможностей для злоупотреблений. В случае с маломощными и старыми машинами можно из них все изъять, хотя, конечно, ресурс выбросить - без ресурса остаться. Жалко, но можно. Поступать так с машиной, для которой работа с терминальным сервером лишь функция, точно не следует. Значит, надо добиться того, чтобы при работе в рамках терминальной сессии те ресурсы, которые все остальное время у компьютера есть, были бы пользователю гарантированно недоступны. Это значит, что одной из функций подсистемы защиты информации должно являться создание изолированной среды, причем на уровне разграничения доступа как к программам и ОС, так и к аппаратуре, портам и пр.

Если на терминальном клиенте нет ничего, включая ОС, то ее загрузка должна производиться по сети. Большинство современных методов удаленной загрузки никаких механизмов защиты не включают, и гарантии, что ОС загружается из надежного источника и находится в исправном состоянии, а также что это вообще именно ОС, а не что-то другое, - нет. Значит, вторая функция, которая совершенно необходима подсистеме защиты информации в системе терминального доступа, - это защищенная загрузка ОС по сети.

Что для этого нужно? Методы контроля загрузки ОС могут быть разными, но на сегодняшний день очевидно, что без "точки опоры" - устройства, обеспечивающего доверенную среду и доверенные вычисления, - решить эту проблему невозможно.

Например, загружаемые операционные системы могут быть подписаны электронной цифровой подписью, и эта подпись должна проверяться до загрузки ОС. Проверка ЭЦП образа ОС гарантирует его целостность и аутентичность. Эту проверку должна производить программа, загружающая ОС по сети, - загрузчик ОС. При этом целостность и аутентичность загрузчика также проверяются перед началом его работы.

В данном случае критически важной средой является среда хранения загрузчика, а критически важными вычислениями -криптографические - при контроле целостности. Из этого следует, что эти функции должны быть реализованы аппаратно.

В идеальном случае, если загрузчик стартует из отдельного аппаратного устройства, то терминал сам по себе не имеет вообще никакого собственного программного обеспечения, а значит, неуязвим для модификаций.

При этом используемое средство, по крайней мере в случае с аппаратным терминалом, должно быть персональным:

• во-первых, поскольку установить в аппаратный терминал стационарное средство, как правило, невозможно;
• а во-вторых, чтобы оно выполняло также и функции идентификации/аутентификации пользователя, и для него загружались бы именно положенные ему модули.

Соответственно, если в качестве терминала выступает ПК, на который уже установлено стационарное СЗИ (напомним, для обеспечения изолированной среды), обладающее достаточными ресурсами для обеспечения защищенной загрузки по сети, то некий персональный идентификатор все равно совершенно необходим. Значит, при смешанной системе, включающей в себя как специализированные терминалы, так и ПК в терминальной функции, целесообразно использовать именно персональные СКЗИ, если предполагается возможность работы одного и того же пользователя на разных терминальных клиентах.

Итак, необходимый минимум операционной системы загружен, и можно открывать терминальную сессию. Что требуется от подсистемы защиты информации дальше? Безусловно, разграничение доступа пользователей к ресурсам терминального сервера.

Для этого, разумеется, необходима аутентификация пользователя на терминальном сервере, чтобы он смог работать в рамках назначенных для него прав доступа. Учитывая, что пользователь уже был аутентифицирован на терминале, имеет смысл, чтобы данные аутентификации передавались на сервер автоматически - это не только позволит освободить пользователя от повторных действий, но и не даст ему возможность попытаться представиться серверу пользователем с большими правами.

Система разграничения доступа должна давать возможность администратору безопасности информации описывать политику И Б с помощью не только дискреционного, но и мандатного метода разграничения доступа, поскольку только мандатный механизм дает возможность контролировать потоки информации, что в случае систем терминального доступа безусловно необходимо.

Базы данных пользователей и их прав, разумеется, должны храниться в независимой от процессора сервера памяти СЗИ, и доступ к ней должен быть строго регламентирован. То же касается журналов событий безопасности информации.

Еще одна очень важная функция подсистемы защиты информации в системе терминального доступа - это взаимная аутентификация терминального сервера и терминала. Терминал должен работать с "правильным" терминальным сервером, а не с чем-то похожим на него, а терминальный сервер должен допускать работу не только исключительно зарегистрированных пользователей, но и исключительно зарегистрированных терминалов и только в зарегистрированном сочетании (то есть легальный пользователь с положенного именно ему терминала, а не с любого зарегистрированного в системе).

Вот как это можно обеспечить, если в терминале совершенно ничего нет: должна производиться взаимная аутентификация терминала и сервера. Производиться она должна на уровне аппаратных средств защиты информации, имеющих собственный активный процессор с программным обеспечением, защищенным от модификаций, включающим криптографические функции, поскольку процесс взаимной аутентификации предполагает обмен пакетами, подписанными ЭЦП обменивающихся устройств, и соответственно проверку этих подписей.

Выводы

В идеале такая взаимная аутентификация должна происходить не только при открытии сессии, но и время от времени на всем ее протяжении.

В результате приходим к очевидному по своей сути положению: системы терминального доступа создаются и внедряются в совершенно разных условиях, исходя из разных обстоятельств, задач и ограничений, поэтому состав технических средств, образующих систему терминального доступа, может быть разным. Более того, развитие той или иной системы может складываться не всегда именно так, как планировалось при ее создании, - могут возникнуть новые задачи, новое ПО может требовать другой аппаратной базы и т.п. Кроме того, подсистема защиты информации в системе терминального доступа должна соответствовать именно этим реальным условиям, а не тем, что существуют "в идеале" или в представлениях разработчиков. А значит, она должна решать все рассмотренные выше задачи.