Конявская Текхнология доверенного сеанса связи ДСС и средство 2015
.pdfСледовательно, добиться ситуации, чтобы «родная» вычислительная среда планшета была доверенной в любой момент времени, невозможно.
Но раз ее нельзя создать, то ее можно привнести извне. Именно такой подход и использует программно-аппаратный комплекс «МАРШ!». С точки зрения железа, «МАРШ!» – это микроконтроллер, позволяющий осуществлять криптографические операции, и внешняя память с управляемым доступом. В этой памяти размещается эталонный образ операционной системы и аппаратно запрещаются любые изменения. Пользователь, загрузившись с устройства «МАРШ!», гарантированно получает исходную эталонную среду, даже если в ходе предыдущего сеанса работы он ее как-то модифицировал (вольно – установив что-либо сознательно, или невольно – подцепив где-то вирус).
Типовое применение «МАРШ!» для планшетов мы видим в том, что, загрузившись с устройства «МАРШ!», пользователь получит возможность в защищенных условиях установить удаленное соединение с нужным ему сервером (терминальный сервер, ферма виртуальных машин, web-приложение) и спокойно поработать, не беспокоясь о вирусах, недоверенных компонентах и прочих потенциально вредоносных факторах, гарантировать отсутствие которых на своем планшете он в общем случае не может. Такой подход мы называем доверенный сеанс связи.
Операционная система, загруженная с «МАРШ!», изолирована от той среды, которая изначально находится в планшете. Это означает, что «МАРШ!» не может повлиять на ту среду, что в планшете, и «родная» операционная система не повлияет на «МАРШ!». То есть пользователь может без ограничений использовать любые «небезопасные» ресурсы, устанавливать любые программы, и вообще «делать все, что нельзя», но, как только он подключает «МАРШ!» и загружается с него, он снова получает «стерильную» среду, на которую никак не влияют все «улучшения», привнесенные в основную систему. При этом работа в ОС, загруженной с «МАРШ!», не окажет влияния на изменения основной ОС, когда он отключит «МАРШ!», все они будут в силе, ничего не «сбросится».
Планшеты Dell с операционной системой Windows 8 идеально подходят для бизнес-задач. В первую очередь, это связано с тем, что почти все бизнес-приложения реализованы под операционную систему Windows и на планшете можно использовать ровно те же
81
самые приложения, не ожидая, когда их портируют на Android, пользоваться привычным интерфейсом, кроме того, в планшетах Dell есть 3G-модуль, что освобождает пользователя от необходимости находиться в зоне действия Wi-Fi-сети. Чтобы сохранить это преимущество, в качестве эталонной операционной системы в устройстве «МАРШ!» используется Microsoft Windows Embedded 8 Standard.
Это модульная операционная система, бинарно совместимая с Windows 8. Модульность подразумевает то, что мы может выбрать только необходимые для работы компоненты, исключив лишнее. Чем меньше количество компонентов, тем проще проверить исходный образ на отсутствие уязвимостей. Бинарная совместимость приложений означает, что все те приложения, которые запускаются на самой Windows 8, запустятся и на WE8S, разрешая таким образом работу, например, «толстым» клиентам приложений.
Заметим, что выбор операционной системы зависит не только от желания пользователей, но и от возможностей используемой аппаратной базы. В планшетах из-за их форм-фактора зачастую используются весьма специфические компоненты, для которых бывает довольно сложно найти соответствующие драйверы. Производитель планшета обычно решает эту задачу прозрачно для пользователя – последний получает готовый продукт, в котором все работает. Но если запускать на этом устройстве другую ОС, то надо быть готовым к решению проблем совместимости с комплектующими. Нельзя на 32-битном процессоре запустить 64-битную операционную систему. Да и отсутствие, например, Wi-Fi-модуля пользователя не обрадует. Выбирая для «МАРШ!» ОС, бинарно совместимую с изначальной ОС планшета, мы заведомо получаем систему, для которой можем обеспечить работоспособность всех ее составляющих.
Сценарий работы при использовании планшета Dell, укомплектованного устройством «МАРШ!», выглядит примерно так.
Пользователь работает без подключения устройства так, как он привык, без ограничений.
При необходимости решения задачи, для которой требуется доверенная вычислительная среда (например, подключение к корпоративной почте, или терминальному (физическому или виртуальному) серверу, обрабатывающему информацию ограниченного до-
82
ступа, или виртуальному рабочему месту), пользователь подключает «МАРШ!» и загружается с него.
В привычном программном окружении пользователь стартует защищенную сессию с необходимым ему ресурсом и выполняет необходимые операции.
Важно, что если удаленный ресурс, к которому подключается пользователь, защищен ПАК СЗИ НСД «Аккорд», то «МАРШ!» может выступать в роли аппаратного идентификатора пользователя в «Аккорде». Но при необходимости может быть поддержано и использование других идентификаторов.
После завершения выполнения задачи, требующей защищенного режима, пользователь отключает «МАРШ!» и возвращается в привычную, незащищенную среду.
Представляется, что в условиях заметной потребности рынка в решении, сочетающем удобство планшетов с защищенностью классических рабочих мест, планшет Dell с устройством «МАРШ!» является оптимальным решением, не изображающим принятие защитных мер, а обеспечивающим безопасность работы.
«МАРШ!» с поддержкой «1С» и защищенных локальных хранилищ
Одно из основных замечаний к «МАРШ!» заключалось в том, что корпоративный рынок использует «1С», и вообще бухгалтеры работают в ОС Windows, а в «МАРШ!» – Linux и нет возможности использовать программы и данные с жесткого диска компьютера.
В первую очередь, нельзя не согласиться, что есть случаи, когда «МАРШ!» для клиент-банка, действительно, не требуется. Это те случаи, когда для взаимодействия с банками используются отдельные, специально только для этого отведенные и полностью защищенные компьютеры.
Однако обычно так бывает только в относительно крупных компаниях. Не каждая компания, даже из тех, что может позволить себе отдельного бухгалтера, может себе позволить выделить отдельный компьютер, поставить на него все перечисленное выше и обучить человека со всем этим работать. Последнее особенно сложно, если человек, который будет работать за компьютером, не будет являться специалистом в области IT. С бухгалтерами такая ситуация встречается довольно часто (в конце концов, им достаточно быть специалистами в своей области).
83
Очевидно, что «МАРШ!» тут был бы совершенно уместен, но, напомним, «бухгалтер работает в OC Windows», а «”1С” чаще всего использует локальные базы». Строго говоря, существует клиент «1С» для Linux. Но, действительно, в подавляющем большинстве случаев используется все-таки не он.
Стало быть, необходимо специальное решение на базе особой версии продукта «МАРШ!» с установленной ОС Windows и поддержкой защищенной работы с локальными данными.
Опишем использование этого решения на примере работы с «1C:Предприятием».
Для обеспечения нормального функционирования «1C:Предприятия» необходимо использовать ОС Windows, поэтому в качестве эталонной операционной системы на устройстве
«МАРШ!» мы выбрали Windows Embedded Standard 7. Это модуль-
ная операционная система, бинарно совместимая с Windows 7. Данное решение представляется нам крайне удачным в силу следующих причин:
1)интерфейс Windows Embedded Standard 7 повторяет интер-
фейс Windows 7, а значит, пользователь получит привычное рабочее окружение;
2)модульность позволяет собирать такой образ ОС, который занимает небольшой объем и содержит только те компоненты, которые необходимы для работы;
3)бинарная совместимость с традиционными программами позволит, при необходимости, установить дополнительные инструменты для работы, не задумываясь о поиске аналогов – можно использовать ровно все те программы, что используются в десктопных версиях Windows.
Перечисленные обстоятельства позволяют полностью повторить для ОС Windows классическую версию работы в режиме доверенного сеанса связи – загрузить из защищенной памяти устройства эталонную рабочую среду на непродолжительное время, обеспечив тем самым доверенную среду исполнения критически важной задачи.
Однако вспомним, что для работы «1С:Предприятия» требуется рабочая база данных.
Доступ к этой базе данных может осуществляться по сети или локально – в зависимости от логики построения информационной инфраструктуры в конкретной организации.
84
Если доступ к базе осуществляется по сети, то в строгом соответствии с классической реализацией ДСС в эталонный образ включается программное обеспечение для защиты канала связи, например VPN-клиент. Но в небольших организациях, не выделяющих для клиент-банка отдельного защищенного компьютера, такая инфраструктура встречается редко. Как же быть, если работа с базой происходит локально?
Первое решение, которое нам настоятельно предлагали реализовать, – расположение базы на устройстве «МАРШ!» – не выдерживает никакой критики: к эталонному образу ОС и защищаемым данным нельзя подходить с одной меркой. При такой реализации база оставалась бы доступной для чтения при подключении устройства к любому компьютеру.
Делать доступным какой-то раздел жесткого диска ПК недопустимо потому, что теряется главное достижение – изолированность среды. В этом случае защищенность ПК должна быть не ниже защищенности среды, загружаемой с «МАРШ!».
Необходимо некое защищенное хранилище, которое будет доступно только из ОС, загруженной с «МАРШ!», и не будет доступно ни при каких других обстоятельствах. Служебный носитель.
Служебный носитель – это такой носитель, который позволяет оперативно и просто переносить информацию внутри системы согласно ее внутренним правилам, но не позволяет ни выносить хранимую на нем информацию из системы, ни приносить в систему информацию, записанную на него вне системы. Никому, в том числе и легальному, пользователю. Только в этом случае носитель не будет снижать общего уровня защищенности системы даже при его физическом выносе за ее периметр. Концепция защищенного служебного носителя полностью реализована в настоящее время только в линейке продуктов «Секрет». Этой линейке посвящено отдельное учебное пособие и отдельный раздел курса обучения.
Очевидно, что напрашивается использование уже существующего и хорошо себя зарекомендовавшего решения: защищенного служебного носителя «Секрет». «Секрет» – это флешка, которая монтируется и запрашивает PIN-код только на тех компьютерах, которые в ней зарегистрированы как разрешенные, а на остальных
– не монтируется и не опознается как устройство типа mass-storage.
85
Из существующих на сегодняшний день продуктов линейки «Секрет» оптимально подходит для применения в описываемой системе «Секрет Особого Назначения», поскольку для регистрации компьютера как разрешенного он использует следующий набор параметров:
1)номер материнской платы,
2)UID операционной системы,
3)имя компьютера,
4)имя домена/рабочей группы (если есть),
5)номер аппаратного модуля доверенной загрузки (если есть). Это дает возможность «привязать» «Секрет» сразу к связке ПК
и«МАРШ!». То есть сотрудник сможет работать с защищаемой базой не только исключительно в доверенной среде, но и исключительно на своем рабочем месте.
Единственным разрешенным компьютером для такого «Секрета» должен быть задан компьютер с «1С:Предприятием», загруженный с «МАРШ!». В этом случае характеристики «имя компьютера» и «UID ОС» будут взяты из ОС «МАРШ!», а номер материнской платы – от ПК.
«Секрет» имеет множество преимуществ перед обычными носителями. Перечислим самые важные:
1)Можно не беспокоиться о потере или краже такого устройства: если его подключить к любому компьютеру, даже к тому же самому, на котором он ранее использовался при подключенном «МАРШ!», флешка не примонтируется и доступа к данным не будет.
2)Не имея возможности использовать «Секрет» на различных компьютерах, пользователь не заразит его вирусами.
3)Устройство ведет внутренний журнал подключений – администратор всегда сможет узнать, когда, к какому ПК и с каким результатом подключали «Секрет», даже если подключение было бессмысленным и открыть его не удалось.
Таким образом, защищенная работа с «1С:Предприятием» будет выглядеть так.
Пользователь работает на компьютере в обычном режиме, используя электронную почту, ICQ, Интернет и другие вредные для защищенности ресурсы. Затем у него возникает необходимость поработать с «1С:Предприятием». Он перезагружает ПК и загружается с «МАРШ!».
86
После загрузки ОС он подключает «Секрет Особого Назначения» и вводит PIN-код.
Теперь пользователь может работать с программой «1С:Предприятие» в привычном режиме без каких-либо изменений.
Единственное отличие – после завершения работы с программой, прежде чем перейти к переписке по электронной почте или другим делам, необходимо снова перезагрузиться, отключив
«МАРШ!».
Работа по такой схеме с использованием ПО «1C:Предприятие» на «МАРШ!» с «Секретом Особого Назначения» была подробно протестирована и является полноценно работающим решением, одновременно недорогим, не требующим от пользователя специальных знаний и навыков и в то же время обеспечивающим достаточный уровень безопасности.
Принципиальное отличие разработчика от интегратора состоит именно в том, что он легче видит и более прямо и оперативно может влиять на свойства продуктов под воздействием изменения внешних обстоятельств. Для эффективного использования этого свойства разработчика интеграторы должны обязательно привлекать его к работе над проектом системы, когда есть время и возможность адаптировать разработку так, чтобы она подходила идеально.
3.1.2. Интеграция «МАРШ!» в другие решения («внешняя интеграция»)
На сегодняшний день СОДС «МАРШ!» интегрирован со всеми продуктами ОКБ САПР, предназначенными для защиты систем, удаленное взаимодействие с которыми может осуществляться с использованием «МАРШ!». Это ПАК «Аккорд-Win32» и «АккордWin64», в том числе TSE, «Аккорд-В.», «ГиперАккорд». Клиентские рабочие места – не вещь в себе, они являются частью системы, поэтому между средствами защиты клиентских рабочих мест и подсистемой информационной безопасности основной системы не должно быть разрыва. Центральное средство защиты должно быть способно контролировать подлинность клиентов, аутентификация пользователя клиентского рабочего места должна однозначно «пробрасываться» в СЗИ НСД основной системы, чтобы дальше пользователь мог работать только в рамках своего профиля, и т. д.
87
В случае возникновения стыков возрастает вероятность уязвимости.
Также необходимо отметить еще один важный момент: на базе устройства «МАРШ!» может строиться не только СОДС «МАРШ!», являющийся продуктом ОКБ САПР и ФГУП КБПМ, но и продукты других вендоров, использующие это устройство как аппаратную базу для своих СКЗИ. В этом случае поставщиком решения является тот вендор, который выпускает СКЗИ на базе «МАРШ!», и состав продукта формирует этот вендор. Так, ОАО «Инфотекс» и ЗАО «С-Терра» имеют сертификаты ФСБ России на свои продукты в исполнении на «МАРШ!», еще ряд вендоров получили положительные заключения того же регулятора.
В этом смысле необходимо понимать одно: отвечает за продукт та компания, которая его выпускает, и если приобретается не «МАРШ!», а продукт на базе устройства «МАРШ!», то его сопровождением занимается техническая поддержка и сервисные центры той компании, которая его выпустила. Ничем – даже консультацией – помочь в случае с таким продуктом техническая поддержка ОКБ САПР или КБПМ не сможет, так как ни та, ни другая просто не располагают никакими данными о составе и содержании ОС устройства и каких-либо еще его особенностях, кроме аппаратной архитектуры.
3.1.3. Интеграция «МАРШ!» в системы («системная» интеграция)
Для интеграции с функциональной подсистемой, построенной на основе web-сервисов, со стороны серверной части достаточно установить физический или виртуальный сервер доверенного сеанса связи – сервер ДСС.
Рис. 62. «МАРШ!», клиентский ПК, сервер доверенного сеанса связи
88
Его задача – поддержка VPN со стороны канала (клиента) и поддержка web-сервиса со стороны центра. Функции сервера ДСС также опциональны в зависимости от потребности в них в конкретной системе:
-идентификация/аутентификация пользователей с их «МАРШ!» (эта подсистема может входить и в функциональную серверную часть – той web-системы, к которой подключается пользователь),
-криптошлюз (ответная часть для VPN-клиента на «МАРШ!»),
-сервер обновлений (если предполагается централизованное обновление образов ОС на клиентских «МАРШ!»),
-сервер управления (если он нужен в системе),
-сервер загрузки (например, какого-то дополнительного ФПО на сеанс).
Рис. 63. Состав сервера доверенного сеанса связи
Имеющийся опыт интеграции показывает, что на этом этапе при правильно разработанной системе трудностей не возникает.
При интеграции с системой, построенной не на web-сервисной технологии, система может быть дополнена типовым защищенным программно-аппаратным шлюзом, который помимо функций сервера ДСС реализует преобразование форматов взаимодействия
89
между системами. В этом случае интеграция заключается в описании и настройках сервисов на шлюзе. Такое решение, выпускаемое серийно, предлагает ФГУП КБПM – это программно-аппаратный комплекс «Агент межведомственного взаимодействия» (АМВ), поскольку такого рода интеграция сейчас востребована именно в контексте оказания государственных услуг в электронном виде. Однако эта логика легко переносится на любые другие системы.
АМВ – это решение, которое обеспечивает интеграцию существующих информационных систем ОИВ/ОМСУ (органов исполнительной власти или органов местного самоуправления) в процесс оказания государственных услуг без существенной модернизации. Решение удовлетворяет всем требованиям Системы межведомственного электронного взаимодействия (СМЭВ), в том числе в части информационной безопасности, и при этом позволяет обеспечить быстрое внедрение. Предназначен АМВ для оказания государственных услуг в органах исполнительной власти и местного самоуправления на основе единой методологии СПГУ (Системы подготовки государственных услуг).
АМВ используется в качестве защищенного сертифицированного программно-аппаратного шлюза между СМЭВ и информационными системами, эксплуатируемыми в муниципальных образованиях, в федеральных и региональных органах власти, которые на текущий момент не могут обеспечить соответствие требованиям подключения к СМЭВ или не прошли процесс регистрации в системе.
Рис. 64. Место АМВ в системе
90