клиента, но не терять и возможность использовать в этом качестве практически любые СВТ, – это загрузка на СВТ необходимой (унифицированной, контролируемой) среды только на тот период, когда оно должно работать в качестве клиента централизованной системы.

Естественно, для СВТ разных типов и назначений нужно использовать различные (подходящие к каждому конкретному случаю) способы обеспечения загрузки этой контролируемой среды, но она всегда должна быть организована таким образом, чтобы загружаемая для работы в системе удаленного доступа среда не влияла на основную среду СВТ и наоборот.

В настоящее время на отечественном рынке представлены решения всех необходимых типов. Их можно разделить на группы в соответствии с ключевыми особенностями защищаемого СВТ:

1) СВТ разных моделей от разных производителей, основная задача которых – работа в системе удаленного доступа (классические «тонкие клиенты»);

2) СВТ – это компьютеры с различными характеристиками, для которых работа в сессии связи с сервером – эпизодическая задача, а в основном пользователи работают с собственными ресурсами СВТ или с веб-системой;

3) компьютер (ноутбук) руководителя.

Последний тип вполне разумно выносить в отдельную категорию, потому что при всей своей немногочисленности в штатном составе организации руководители – это не та категория сотрудников, которой можно пренебречь.

Рассмотрим, чем будет отличаться загрузка эталонной ОС в этих случаях.

Классические «тонкие клиенты»

Унифицировать среду исполнения ПО и одновременно сделать ее защищенной, но гибкой и администрируемой можно с использованием комплексов защищенного хранения и сетевой загрузки ОС терминальных станций.

Универсальная часть образа ОС клиента загружается с отчуждаемого персонального устройства пользователя, а затем та часть образа, которая требует администрирования, скачивается на клиент со специального сервера хранения и сетевой загрузки и после успешной проверки целостности и аутентичности полученного образа загружается. Эта часть образа, включающая средства поддержки периферии (она может выходить из строя или просто заменяться), ограничения доступа к устройствам ввода-вывода и съемным носителям (принтерам, флешкам) и тому подобные «индивидуальные» настройки, должна быть доступной для изменений, но в то же время верифицируемой. Это и обеспечивается комплексами защищенного хранения и сетевой загрузки образов терминальных станций.

Таким комплексом средств защищенного хранения и загрузки по сети образов ПО терминальных станций является ПАК «Центр-Т».

Работа с ЦОД как эпизодическая задача

Если работа в терминальной, виртуальной сессии или веб-сессии является эпизодической задачей, то требования к ОС клиента минимальны, а его модификации маловероятны – во всяком случае, крайне редки.

Для таких ситуаций как нельзя лучше подойдет решение с загрузкой эталонного неизменяемого образа из защищенной памяти отчуждаемого устройства. После окончания работы в сессии пользователю достаточно отключить устройство и перезагрузиться, чтобы вернуться к работе с ресурсами основного СВТ.

Это и есть краткое описание доверенного сеанса связи (ДСС), реализуемого, в частности, СОДС (средством обеспечения доверенного сеанса связи) «МАРШ!».

Суть концепции доверенного сеанса связи с точки зрения безопасности заключается в следующем: раз компьютер практически всегда используется в незащищенных сетях и только иногда – в защищенных, значит, нужно добиваться не «тотальной» защиты, что дорого и неудобно, а защиты, при которой защищенные и «опасные» ресурсы разделяются и не могут использоваться совместно.

При этом очевидно, что целесообразность применения «постоянной» защиты или средства обеспечения доверенного сеанса связи прямо пропорциональна тому, сколько данный конкретный компьютер должен использоваться в режиме доверенной среды. Если постоянно или большую часть времени – то его необходимо полноценно, хоть и со значительными затратами, защищать, создавая ИПС, защищая каналы связи и т. д. Если же это короткие сеансы в течение дня – то логично использовать СОДС.

Успешность атаки определяется в том числе временем, в течение которого злоумышленник имеет возможность ее осуществлять. Это математически доказуемое и доказанное положение давно стало общим местом и в результате, к сожалению, дало почву для злоупотреблений, когда несанкционированное использование злоумышленниками ключей, хранящихся в токенах, объяснялось тем, что пользователи слишком надолго оставляли токены подключенными.

Ошибочность этого объяснения настолько очевидна, что его сложно считать именно ошибочным. Однако предпосылки понятны: любая атака требует подготовки, создания условий для ее успешного проведения.

Подготовить условия для проведения атаки в постоянной среде удобнее, чем в среде, создающейся на ограниченное время. Поэтому постоянная вычислительная среда должна быть более устойчивой к воздействиям.

Однако для того, чтобы повысить устойчивость системы, не обязательно непременно повышать устойчивость среды. Альтернатива повышению устойчивости среды к воздействию – повышение устойчивости системы за счет уменьшения периодов времени существования целевой (для хакера) среды.

Вспомним распространенный мотив из детективов и боевиков: для того чтобы засечь место, из которого производится телефонный звонок, специалистам необходимо N секунд. Поэтому тот, кому звонят, старается продержать абонента на связи нужное время, а звонящий – прервать сеанс на (N – 2) – й секунде. После этого можно перезванивать снова: специалистам опять понадобится N секунд, а не только две оставшиеся, так как результат их действий не накапливается, а создается всякий раз с нуля.

Примерно такова и логика ДСС.

Доверенная вычислительная среда создается комплексом средств единожды и на постоянное время и стоит дорого. Доверенный сеанс связи создается многократно по мере необходимости в нем на непродолжительный промежуток времени (сеанс), и средства его обеспечения стоят ощутимо меньше.

Почему же тогда неверна логика кратковременности подключения токенов? Почему ключи успевают попасть в руки злоумышленников даже в тех случаях, когда токены подключаются только для подписания платежки и даже если ключи в них неизвлекаемые?

Принципиальное требование к сеансу, детерминирующее безопасность применения этой технологии, – «обнуление» среды при разрыве сеанса, возвращение ее в исходное состояние. Именно это не дает злоумышленнику возможность накопить результаты воздействий на среду, подготовить условия для проведения атаки. В случае с СОДС это обеспечивается тем, что доверенная среда взаимодействия загружается из раздела памяти Read Only и модифицировать ее можно только во время сеанса связи.

В случае же с токенами среда компьютера постоянна, все необходимые манипуляции с ней злоумышленник может произвести в любое удобное время вне зависимости от того, подключен ли токен. И потом даже предельно кратковременного подключения будет достаточно для того, чтобы доступ к ключам был получен.

Безусловно, возможны атаки и на «МАРШ!» (например, атакой через сеть, так как остальные ресурсы компьютера не поддерживаются средой, загружаемой с «МАРШ!»). Даже если такая атака состоялась, например в доверенную среду попал вирус или была осуществлена попытка «инъекции кода», то после отключения «МАРШ!» от компьютера среда вернется в исходное состояние, так как вирус не сможет записаться в память RO.

Работа с ЦОД как задача руководителя

На руководителя, как правило, возлагается так много совершенно необходимых обязанностей, что от выполнения лишних действий он закономерно хочет быть избавлен. Кроме того, в случае с компьютером или ноутбуком руководителя крайне желательно избегнуть заметных изменений привычного порядка действий при загрузке компьютера и замедления процедуры загрузки ОС, что неизбежно в первых двух описанных случаях.

Поэтому