Защита клиентского рабочего места: новые решения, новые технологии

Юрий Акаткин
Кандидат экономических наук, директор ФГУП
“КБ полупроводникового машиностроения"
государственной корпорации “Ростех"

За проблемой следят регуляторы

Если вчера контроль за информацией был заботой технических администраторов, то сегодня этот контроль стал предметом беспокойства каждого пользователя, который при этом абсолютно не обязан быть специалистом по ИБ.

Надо отметить, что федеральные регуляторы пристально следят за рассматриваемой проблемой.

Например, по сообщению пресс-службы Минкомсвязи от 29 июля 2014 г., в рамках исполнения поручения Президента России В.В. Путина были проведены учения по предотвращению сбоев Интернета на территории страны в результате хакерских атак. В учениях приняли участие сотрудники Минобороны, ФСБ, ФСО, МВД.

Была проведена общая оценка состояния защищенности и стабильности функционирования национального сегмента сети, степень критичности его связанности с глобальной инфраструктурой, оценены потенциальные уязвимости, определен уровень готовности к совместной работе отраслевых организаций, операторов связи и ситуационных центров федеральных органов исполнительной власти в случае негативного целенаправленного воздействия.

ФСТЭК России был принят "Методический документ от 11.02.2014 г. "Меры защиты информации в государственных информационных системах". Документ детализирует организационные и технические меры защиты информации, принимаемые в государственных информационных системах (ГИС) в соответствии с требованиями о защите информации, не составляющей государственную тайну, в том числе для локального доступа в систему.

Таким образом, защита пользователей в ГИС, большинство которых являются территориально распределенными, становится крайне важной в современных условиях, когда любая деятельность сопряжена с оперированием большими объемами информации, производимой широким кругом лиц. Это многократно увеличивает опасность утечки конфиденциальных данных.

Обработка информации в доверенной среде

Сегодня меры защиты конечного пользователя – это административные руководящие документы, аппаратные устройства или дополнительные программы.

Обработка информации, критичной с точки зрения безопасности, должна происходить в доверенной среде: функционально замкнутой среде, изолированной программной среде, вычислительной среде на основе резидентных компонентов безопасности (РКБ). При этом в современных условиях защищен должен быть не только сервер как часть системы, но и удаленный клиент. Не только ПО, ОС и данные должны быть проверенными, необходимо также гарантировать "невредоносность" аппаратных средств, что решается вынесением необходимых операций в изолированную аппаратную среду (такое решение и получило название РКБ). Ясно, что устанавливать РКБ на каждый компьютер клиента дорого и нерационально, поэтому эффективным является установление доверенной вычислительной среды не "навсегда", а только на время работы с защищенной ИС, то есть установление доверенного сеанса связи (ДСС). Доверенность среды обеспечивается свойствами специального носителя.

Цена традиционного х86-компьютера, который обеспечит выполнение всех пожеланий рядового потребителя, – не менее $1 тыс. Дополнив его необходимыми средствами защиты, такими как аппаратный модуль доверенной загрузки (например, "Аккорд-АМДЗ"); средства разграничения доступа (например, "Аккорд-Win32"); средства электронной подписи; средства потоковой криптографической защиты, мы получим еще дополнительно около $500. Весьма немало. Трудно придумать мотивацию потратить такие деньги для семьи с небольшими доходами.

Кроме того, пользователи, заинтересованные в защите информации клиентских рабочих мест, параллельно решают и смежные задачи (например, доступ в Интернет вне офиса или переоснащение), а значит, им требуется полная линейка услуг, в которой одновременно с обеспечением технологии доверенного сеанса связи, переработанной и проверенной ОС и программным обеспечением будут реализованы те возможности, которые требуются заказчику.

СОДС "МАРШ!"

Реализация технологии доверенного сеанса связи для традиционных х86-компьютеров с использованием средства обеспечения доверенного сеанса СОДС "МАРШ!" обеспечила отчуждение операционной системы в доверенную среду, оставив компьютеру исполнение ОС и задач в ней, коммуникации и отображение информации. СОДС "МАРШ!" выполняет задачу защиты клиентских рабочих мест в корпоративной сети или при наличии сетевого подключения/стационарного доступа в Интернет.

СОДС "МАРШ!" может эффективно использоваться как средство электронной подписи, то есть в варианте СЭП. Начиная доверенный сеанс связи, пользователь загружается на произвольном компьютере с СОДС "МАРШ!", обеспечивая тем самым доверенную вычислительную среду. В рамках доверенного сеанса связи обеспечивается защищенный обмен информацией, например, между банком и клиентом с соблюдением всех требований № 63-ФЗ "Об электронной подписи". В настоящее время использование СЭП "МАРШ!" отработано совместно с ЗАО "РФК" ("Российские финансовые коммуникации") для варианта применения с системами ДБО "Спектр" и "Клиент-WEB". Проведенные испытания показали, что "МАРШ!" может быть адаптирован к различным системам ДБО, существенно повышая их безопасность и эффективность при минимальных затратах. Сегодня СЭП "МАРШ!" – уникальное решение, которое имеет все шансы стать эталоном защиты в системах ДБО. Стоимость СЭП "МАРШ!" в разы ниже стоимости существующих традиционных решений, накладывающих к тому же массу ограничений на привычную работу с защищенным компьютером.

"МАРШ!" c модемом

Независимо от наличия стационарного доступа в Интернет, доступ к системе пользователю необходим. Поэтому следующим шагом стала интеграция модема в специальный носитель, которая позволила перенести в доверенную среду и коммуникации (М!&М). М!&M – "МАРШ!" с модемом – обеспечивает безопасный доступ к информационным системам из любой точки мира с помощью обычных сетей мобильных операторов и не требует настройки сетевых подключений, избавляет от необходимости использовать отдельные устройства для решения задач защиты и доступа в Интернет.

Очередной шаг может быть только один – перенести в специальный носитель и исполнение задач, оставив среде только функции пассивного отображения информации. То есть наш носитель должен сам стать компьютером, причем таким, который по пользовательским характеристикам удовлетворяет требованиям потребителя.

МКT

Развитие современных hard-ware-технологий позволяет без потери производительности и увеличения стоимости перейти на гарвардскую архитектуру, а значит, реализовать механизмы защиты, принципиально недоступные для x86-компьютеров, в которых инструкции (команды) и данные используют одну и ту же системную шину.

Защищенный микрокомьпютер "МАРШ!"-МКT – совместная разработка ОКБ САПР и "КБ полупроводникового машиностроения" госкорпорации "Ростех" – обеспечивает принципиально новый подход к организации защищенных клиентских рабочих мест. В основе 4-ядерного процессора Cortex-A9 ядро с гарвардской архитектурой, в которой хранилище инструкций и хранилище данных представляют собой разные физические устройства, а канал инструкций и канал данных также физически разделены. Это дает возможность применять самые современные методы защиты при решении задач оснащения/переоснащения рабочих мест пользователей, значительно сокращая расходы и увеличивая производительность.

МКТ представляет собой компактный микрокомпьютер, выполненный в виде dongle mini PC и имеющий HDMI-выход. Его можно использовать практически с любым монитором или телевизором, а также с устройствами с DVI-разъемом при наличии переходника. В состав устройства включен мощный видеоускоритель, позволяющий воспроизводить файлы Full HD.

Ключевая особенность MKТ – высокая защищенность. В МКТ применяются сертифицированные СКЗИ для создания криптографической защиты канала связи (VPN) и выработки электронной подписи. Операционная система поддерживается компанией "Мобильные защищенные компьютерные системы" (МЗКС) и выполнена на основе ОС Android.

Применение МКТ в области оснащения и переоснащения рабочих мест позволит обеспечить доступ к информационной и телекоммуникационной инфраструктуре организации, максимально эффективно использовать современные Web-технологии и специализированное облачное программное обеспечение для автоматизации деятельности государственных органов власти и коммерческих структур, заинтересованных в защите информации.

При этом микрокомпьютер может использоваться и как замена стационарному домашнему компьютеру. МКТ имеет габариты большой флешки, обеспечивает своему владельцу доступ в Интернет, электронную почту, Skype, YouTube и все другие "блага цивилизации", включая высококачественное проигрывание видеофайлов. Доступны приложения из Google Play Store, а также офисные, медиа-, интернет-приложения и многие другие. Таким образом, МКТ применяется для работы с документами, общения с коллегами и друзьями. Устройство обеспечивает онлайн-просмотр потокового видео из YouTube, RuTube и др. Питание от USB-порта телевизора или монитора либо внешнего блока питания (5 В, 2 A). Подключение к Интернету осуществляется по беспроводному Wi-Fi.

Такого микрокомпьютера в защищенном исполнении вполне достаточно для всего, что нужно в обычной жизни и в организации рабочих мест сотрудников. С учетом того, что цена МКТ в 10–15 раз ниже традиционного компьютера на базе x86, можно с уверенностью утверждать, что это и есть современное решение для безопасного информационного взаимодействия [2].

Литература

1. IBusiness от 14.03.2014.
2. Конявский В.А. Серебряная пуля для хакера // www.okbsapr.ru.