Технология «тонкого клиента» для защиты информации в системах терминального доступа Сергей Александрович Буров, ЗАО «Фирма НТЦ КАМИ» 2 ноября 2010 г., г. Ярославль
План презентации 2. Архитектура решения 4. Система защиты информации 3. Возможности решения 5. Преимущества решения «КАМИ-Терминал» 7. Успешные внедрения 8. Вопросы 1. Базовые принципы решения 4.1. Принципы реализации 4.2. Динамика 3.1. Стандартные возможности 3.2. Принципиально новые 6. Экономические аспекты
1. Базовые принципы решения безопасность; надёжность; масштабируемость; модульность архитектуры; экономическая привлекательность.
2. Архитектура решения Система включает в себя: терминальные станции (тонкие клиенты); выделенный сервер загрузки терминалов; подсеть терминалов; терминальные серверы; сегменты существующей информационной системы с различными уровнями доступа (защиты) информации.
2. Архитектура решения
3.1. Стандартные возможности решения обеспечение высокой надёжности СТД за счёт развёртывания кластерных систем, состоящих как из терминальных серверов, так и серверов загрузки и управления; масштабируемость системы до уровня ИС предприятия при практически отсутствующей потребности существенной модернизации терминальных станций и клиентского СПО; использование серверных платформ RedHat Enterprise Linux или SuSE Linux Enterprise Server, позволяющих обеспечить высокую готовность и производительность сервера загрузки и управления; поддержка возможности использования на терминальном устройстве внешних USB- накопителей (флэш-дисков), USB-устройств типа floppy и CD-ROM, принтеров; поддержка звука на терминальном устройстве.
3.2. Принципиально новые возможности решения построение системы разграничения доступа к информационным ресурсам с различными уровнями защиты информации с использованием идеологии виртуальных IP-сетей (VLAN); формирование образа загружаемой на терминале ОС в адаптивном режиме в соответствии с полномочиями пользователя и характером решаемых задач; предоставление пользователю одновременного запуска нескольких Windows сессий (протоколы ICA, RDP) на клиентском рабочем месте с переключением между ними в процессе работы. Каждая сессия запускается на отдельной виртуальной консоли; создание многоуровневой системы защиты информации, начиная с формирования среды доверительной загрузки ОС терминала на локальном уровне (сразу после включения питания).
4. Система защиты информации (вариант терминала)
Серверная системаКлиентское рабочее место ___ Исключение устройств долговременного хранения данных; Минимальное необходимое количество портов ввода/вывода. Аппаратный уровень (конфигурация) Сервер загрузки терминалов (Linux) Верификация процесса «отгрузки» образа ОС на терминал; Терминальные серверы (Windows) Разграничение полномочий администратора СТД и администратора информационной безопасности СТД. (АМДЗ + СПО) формирование среды доверительной загрузки ОС (КАМИ-BIOS); аутентификация пользователя терминала и затем пользователя Windows при обращении к терминальному серверу (ПСКЗИ). Аппаратно- программный уровень 4.1. Система защиты информации (принципы реализации) Сервер загрузки терминалов (Linux) Предоставление загружаемых на терминалы образов ОС в соответствии с полномочиями пользователей («принцип минимума полномочий»); Аудит работы терминалов Терминальные серверы (Windows) Выполнение роли «посредника» для доступа к информационным ресурсам. Минимальный слой ПО, необходимый для подключения к серверу загрузки терминалов и обеспечения функциональности СКЗИ; Усеченный вариант загружаемого ядра ОС (Linux); Работа ОС терминала только в ОЗУ. Программный уровень
4.2. Система защиты информации (динамика) 1. Локальные процессы 2. Сетевая загрузка ОС 3. Запуск клиентских приложений
«KАМИ-Терминал» – комплексное системное решение, предназначенное для создания защищенных автоматизированых систем, и обеспечивающее эффективный и безопасный доступ к сетевым информационным ресурсам на принципах технологии терминального доступа.
5. В чем преимущества решения КАМИ- Терминал? Вы экономите средства: - на техническую поддержку - на программное обеспечение - на модернизацию парка оборудования Вы экономите время: - на восстановление работоспособности оборудования на рабочих местах пользователей - на установку программного обеспечения и оборудования Вы обеспечиваете сохранность Вашей информации: - централизованно управляя доступом к ней - централизованно защищая от потери в случае выхода из строя оборудования и действий вредоносных программ -программный комплекс «Ками-Терминал» сертифицирован ФСТЭК России по 4 уровню НДВ и на 5 класс РД СВТ Вы получаете квалифицированную техническую поддержку разработчика: - если терминал что-то «не умеет» – мы постараемся «научить» его согласно Вашим потребностям! - решение разработано компанией «Фирма НТЦ КАМИ»
Продукт сертифицирован согласно требованиям безопасности информации:
6. Экономические аспекты сбалансированная стоимость терминальной станции и решения в целом; возможность использования имеющегося парка Intel-совместимых персональных компьютеров, что дает возможность сохранения уже вложенных в инфраструктуру инвестиций; применение ОС Linux; снижение затрат на проведение плановой модернизации ИС за счёт обновления программной и аппаратной составляющих, используемых исключительно на серверной стороне; практическое полное исключение затрат на «локальное администрирование».
Пятилетний опыт реализации систем терминального доступа в подразделения Министерства Обороны (на базе ОС МСВС); Выполнение опытно-конструкторской работы по созданию СТД в информационно коммуникационной системе Совета Федерации (2006 – 2008 гг.). 7. Успешные внедрения Решение Центрального Банка России о принятии решения Ками-Терминал в качестве типового терминального решения в информационной структуре (2008год). Начало внедрения в управлениях территориальных подразделений банка ( гг.).
8. Ваши вопросы ?
Наши координаты Россия, г. Москва, ул. Героев Панфиловцев, д. 10 Тел.: (495) г. Ярославль, ул. Чайковского, д. 40а, Тел.: (4852)
Спасибо за внимание !