Особенности защиты информации при использовании терминальной системы

Защита ИСПДн с применением технологии терминального доступа

Особенности защиты информации при использовании терминальной системы

Терминальный доступ — способ доступа к информационной системе (ИС), при котором локальная машина (терминал) не выполняет вычислительной работы, а лишь осуществляет перенаправление ввода информации (от мыши и клавиатуры) на центральную машину (терминальный сервер) и отображает графическую информацию на монитор.

Терминальные системы впервые появились в 1998 году, но сама идея терминальных систем была разработана в конце 80-х годов Эдом Якобуччи (глава и основатель Citrix System). В 1996 году Citrix System начала разработку WinFrame 2.0. В 1998 году Microsoft выпустила Windows NT server 4.0 Terminal edition, первую ОС для тонких клиентов.

К основным преимуществам терминального доступа можно отнести следующее:

  • все данные хранятся и обрабатываются на одной машине (сервере), уменьшаются нагрузки на трафик, так как передается только изображение для монитора пользователя и данные от клавиатуры и мыши,
  • сокращаются затраты на администрирование и обслуживание информационной системы в целом,
  • снижаются затраты на модернизацию устаревшего программно-аппаратного обеспечения,
  • пользователи информационной системы получают возможность работать удаленно в режиме on-line,
  • увеличивается масштабируемость информационной системы.

Построение системы защиты ИСПДн осуществляется в соответствии с требованиями Постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказа ФСТЭК России № 21 от 18.02.2013 г.

«Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее — Приказ ФСТЭК № 21).

Применяемые средства защиты информации для безопасности персональных должны пройти оценку соответствия в форме обязательной сертификации по требованиям безопасности.

Рассмотрим типовую ИСПДн с применением технологии терминального доступа Citrix XenApp (см. рисунок ниже):

Рисунок 1 — Типовая терминальная ИСПДн на базе Citrix XenApp

Система терминального доступа (СТД) состоит из связанных между собой логических сегментов:

  • серверная часть,
  • клиентская часть,
  • подсистема администрирования.

Защита фермы серверов

Ключевой компонент такой ИСПДн — терминальный сервер, на котором будет запущен терминальный сервис. В его функции входит обеспечение сотрудников вычислительными ресурсами, поэтому терминальные сервера являются критичными с точки зрения информационной безопасности ресурсами, и защищаться они должны очень тщательно.

В соответствии с требованиями Приказа ФСТЭК № 21 на терминальном сервере необходимо обеспечить:

  • доверенную загрузку операционной системы,
  • идентификацию/аутентификацию пользователей;
  • разграничение доступа пользователей к ресурсам сервера,
  • регистрацию событий безопасности;
  • антивирусную защиту системы.

С точки зрения средств защиты для такой системы понадобится установить на сервер ПАК СЗИ от НСД «Аккорд-Win32»/«Аккорд-Win64» Terminal Server Edition (TSE) и купить лицензии для защиты терминального доступа по количеству подключаемых терминалов, а также сертифицированное средство антивирусной защиты.

Аналогичным образом должны защищаться и остальные сервера, образующие ИТ-инфраструктуру информационной системы, с той лишь разницей, что терминальный доступ к этим серверам требуется только ИТ-персоналу и Администраторам ИБ.

Защита ПЭВМ

Если в ИСПДн в качестве рабочих мест применяются полнофункциональные ПЭВМ на которых осуществляется как локальная обработка персональных данных, так и удаленная на серверах в режиме терминального доступа, необходимо, так же, как и для серверов, обеспечить доверенную загрузку, разграничение доступа к ресурсам, регистрацию событий безопасности и антивирусную защиту рабочей станции.

С точки зрения средств защиты понадобится установить на рабочую станцию:

  • ПАК «Аккорд-Win32»/«Аккорд-Win64» для управления доступом в локальном режиме обработки персональных данных;
  • специальное программное обеспечение «Аккорд-ТК» (модуль поддержки совместной работы с ПАК «Аккорд-Win32»/«Аккорд-Win64» (TSE) для работы в защищенном режиме с терминальным сервером по протоколам RDP и ICA;
  • сертифицированное средство антивирусной защиты.

Система удаленного централизованного управления СЗИ от НСД «Аккорд»

Для удобства управления СЗИ от НСД семейства «Аккорд», обеспечивающих защиту серверов и рабочих станций, можно применять систему удаленного централизованного управления (СУЦУ) средствами защиты информации от несанкционированного доступа «Аккорд».

Рисунок 2 — Схема взаимодействия компонентов СУЦУ СЗИ от НСД «Аккорд»

Читайте также  Назначение системы противодымной защиты

СУЦУ обеспечивает:

  • централизованный сбор и хранение информации о зарегистрированных событиях доступа к подконтрольным объектам;
  • возможность централизованного управления средствами защиты информации от несанкционированного доступа на подконтрольных объектах;
  • единую точку контроля доступа к периферийным устройствам и контроля использования отчуждаемых машинных носителей.

Защита тонких клиентов

Для защиты тонких клиентов существует ряд решений:

Пак «центр-т»

ПАК СЗИ НСД «Центр-Т» предназначенный для обеспечения защищенной загрузки образов программного обеспечения терминальных станций по сети.

Комплекс состоит из трех компонент:

  • автоматизированное рабочее место (АРМ) «Центр» (загрузка АРМ осуществляется с USB-устройства ШИПКА-А);
  • сервер хранения и сетевой загрузки (СХСЗ) (загрузка сервера осуществляется с USB-устройства ШИПКА-С);
  • клиентские ПСКЗИ ШИПКА для терминальных станций (загрузка станции осуществляется с USB-устройства ШИПКА-К).

Организация загрузки ПО терминальных станций с помощью Пак «центр-т» позволяет контролировать его целостность и обеспечивать оперативное администрирование прав, назначаемых пользователям в этих образах, так как образы защищаются кодами аутентификации, которые проверяются перед загрузкой на терминальную станцию аппаратным клиентским устройством (ШИПКА-К).

Рисунок 3 — Схема взаимодействия компонентов Пак «центр-т»

АРМ «Центр» загружается на любую отведенную для этого ПЭВМ с ШИПКИ-А, выполняется в оперативной памяти ПЭВМ, но не остается на ПЭВМ после отключения ШИПКИ. На АРМ «Центр» производится конструирование образов ПО терминальных станций, выработка ЭЦП для контроля их подлинности и целостности, работа с ключевыми парами, предназначенными для контроля подлинности и целостности образов ПО терминальных станций, инициализация и обновление ШИПОК-С (СХСЗ) и ШИПОК-К.

СХСЗ загружается на любой отведенной для этого ПЭВМ с ШИПКИ-С, выполняется в оперативной памяти ПЭВМ, но не остается на ПЭВМ после отключения ШИПКИ-С. На сервере производится создание пользователей, назначение им ШИПОК-К, сопоставление ШИПКАМ-К образов ПО терминальных станций.

ПО начальной загрузки терминальных станций загружается с клиентских ШИПОК-К, поэтому терминальным клиентом может быть любое СВТ, поддерживающее загрузку с USB-устройств (в том числе и «устаревшие» ПЭВМ, которыми располагал парк вычислительной техники информационной системы).

Образ начальной загрузки стартует с диска ШИПКИ-К, обращается к СХСЗ, получает образ, сопоставленный этой ШИПКЕ-К, проверяет ЭЦП и, в случае корректности ЭЦП, разрешает исполнение ПО терминальной станции. Образ, прошедший проверку подлинности, в дальнейшем загружается в оперативную память терминальной станции. Загруженное ПО терминальной станции инициирует соединение с терминальным сервером.

С использованием клиентских ШИПОК-К пользователи терминальных станций осуществляют идентификацию в ПАК «Аккорд-Win64» (TSE) при входе на терминальный сервер (ШИПКА используется как аппаратный идентификатор).

Содс «марш!»

ПАК Содс «марш!» реализует концепцию доверенного сеанса связи (ДСС). Комплекс представляет собой загрузочное USB-устройство с собственным микропроцессором, управляющим доступом к нескольким аппаратно разделённым областям памяти на основании назначенных для них атрибутов, содержащее загрузочную ОС, набор функционального ПО, СЗИ НСД и СКЗИ.

Образ ОС Содс «марш!» может включать в себя необходимое функциональное ПО для доступа к терминальным системам, веб-сервисам, виртуальным и облачным инфраструктурам.

Для СТД на базе Citrix XenApp в состав образа ОС СОДС «Марш!» может быть включен клиент Citrix Receiver.

Комплексы Пак «центр-т» и Содс «марш!» также подойдут и для АРМ на базе полнофункциональных ПЭВМ, если обработка данных ведется исключительно на терминальном сервере.

Защищенные облачные микрокомпьютеры MKT-card

В основе защищенных микрокомпьютеров лежит принципиально новая архитектура на базе «гарвардских» процессоров, чья цена на порядок ниже стоимости традиционных ПK с аналогичными вычислительными характеристиками и аналогичным уровнем защищенности.

MKT-card — это защищенный микрокомпьютер с динамически изменяемой архитектурой. Конструктивно MKT-card оформлен как док-станция с отчуждаемым компьютером. Док-станция содержит 8 USB-портов, выход HDMI, сетевой разъем RJ-45, разъем питания. Возможно также использование Wi-Fi. Активная часть компьютера MKT-card размещается в отчуждаемом модуле размерами 120×40×10, что позволяет хранить его в стандартном пенале для ключей. Микрокомпьютер создан на базе четырехъядерного Cortex-A9 процессора, причем в его состав включен мощный видеоускоритель, позволяющий воспроизводить файлы Full HD.

Программное обеспечение MKT-card размещено в памяти с физически устанавливаемым доступом read only (RO), что исключает его искажение и обеспечивает неизменность (стабильность) среды функционирования, тем самым обеспечивается доверенная загрузка операционной системы и функционального ПО автоматизированного рабочего места пользователя. Обеспечение стабильности среды функционирования также позволяет встраивать и применять любые сертифицированные СКЗИ, предназначенные для работы в ОС Android и Linux, и использовать MKT-card как средство электронной подписи (СЭП) в терминальных и облачных инфраструктурах.

Читайте также  Защита личной информации в интернете

C точки зрения технологий защищенной загрузки ОС MKT-card существует в двух вариантах исполнения:

  • MKT-card, работающий в режиме локальной загрузки эталонной ОС со встроенного защищенного диска;
  • MKT-card, поддерживающий технологию сетевой загрузки доверенного образа ОС, то есть работающий в качестве компонента «ШИПКА-К» из состава комплекса Пак «центр-т». Образ начальной загрузки для Пак «центр-т» расположен в разделе памяти MKT-card, защищенном от перезаписи на аппаратном уровне.

В состав образа операционной системы микрокомпьютеров МКТ-card, работающих в режиме локальной загрузки эталонной ОС, входит функциональное программное обеспечение, обеспечивающее защищённый удалённый доступ к терминальным и виртуальным инфраструктурам, эксплуатирующимся в Банке России.

Состав образа ОС МКТ-card с локальной загрузкой включает:

  • Citrix Receiver — клиентское ПО, которое обеспечивает доступ к установленным системам XenDesktop и XenApp;
  • Аккорд-TK — модуль поддержки совместной работы с ПАК «Аккорд-Win32»/ «Аккорд-Win64» TSE;
  • клиент Remote Desktop Protocol (RDP);
  • прикладное офисное ПО.

В микрокомпьютерах МКТ-card с поддержкой технологии защищенного хранения и сетевой загрузки (Пак «центр-т») в состав программной среды включен образ начальной загрузки ПО терминальных станций. При этом МКТ-card с поддержкой Пак «центр-т» может функционировать в уже существующей инфраструктуре защищённой сетевой загрузки ПО, что не требует приобретения дополнительных серверов СХСЗ (Пак «центр-т»).

При необходимости состав программного обеспечения МКТ-card может быть изменён под задачи конкретной автоматизированной системы.

МКТ-card могут использоваться в качестве аппаратного идентификатора пользователя в виртуальных инфраструктурах или системах терминального доступа.

Структура защищенной ИСПДн на базе технологий терминального доступа изображена на рисунке ниже:

Рисунок 4 — Защищенная ИСПДн

Источник: https://www.okbsapr.ru/products/solutions/protect-ispdn/

Особенности защиты информации при использовании терминальной системы

Особенности защиты информации при использовании терминальной системы

Под терминальным доступом, здесь и далее, понимается чтение и запись информации в IED, осуществляющиеся единовременно, по инициативе человека, с применением программных средств и технологий, отличных от используемых для оперативного обмена информацией между IED.

Применение терминального доступа обуславливается двумя основными причинами:

  • Необходимость получения журналов событий и конфигураций устройств, во время расследование происшествий;
  • Необходимость изменения конфигураций устройств (уставок).

Иные задачи для использования терминального доступа к устройствам, например описанные в ‎[1] и ‎[2], являются либо подмножеством выше перечисленных задач, либо решаются штатными средствами систем сбора и передачи технологической информации.

Наиболее распространенными являются следующие технологии терминального доступа:

  • Использование интерфейса командной строки (CLI). Данный способ наиболее распространен среди сетевого оборудования.
  •  Использование встроенного Web-сервера. На сегодня является наиболее типовым и поддерживается большинством современных IED.

Использование специализированного инструментального программного обеспечения. Данный способ реализован в большинстве технологических IED и обеспечивает максимальный уровень доступа к устройству.

Рис. 1. Интерфейс встроенного Web сервера коммутатора Power Mice.

Способов реализации терминального доступа на сегодняшний день также несколько:

  • 1й способ. Локальное подключение по последовательным интерфейсам, с помощью инженерного ноутбука;
  • 2й способ. Удаленное подключение по последовательным интерфейсам, с помощью инкапсуляции их в IP;
  • 3й способ. Удаленное подключение, с помощью сетевых интерфейсов устройства.

Первый и второй способ реализации терминального доступа функционально идентичны, а третий зачастую имеет некоторые функциональные ограничения, вызванные, в том числе, необходимостью соблюдать хоть какой-то уровень информационной безопасности. Так при третьем способе терминального доступа, некоторыми производителями, официально разрешается только чтение информации из устройства или замена не критических параметров конфигурации

Рис. 2. Способы реализации терминального доступа.

Кибербезопасность терминального доступа

В качестве сценариев угроз терминального доступа рассмотрим наиболее очевидный вариант: получение злоумышленником терминального доступа к устройству РЗА.

На первый взгляд, степень угрозы в данном случае является максимальной, так как злоумышленник получает полный доступ к управлению уставками устройства. Именно на защиту от такого типа угроз и направлены основные меры безопасности, изложенные в рекомендациях NERC и других организаций. Основным способом защиты от этого и подобных сценариев является сегментация сети и защита удаленных каналов связи с помощью создания зашифрованных туннелей. Пример такого подхода изображен на рисунке 3.

Рис. 3. Защита сетей передачи данных способом сегментирования‎.

Приведенный способ защиты не подразумевает угроз внутри защищаемых сегментов сети. Если рассматривать это в контексте терминального доступа, то получается, что устройство всегда считает подключающегося к нему клиента терминального доступа – доверенным и заслуживающим уважение партнером. Для исключения этой ситуации, производители предусматривают меры парольной защиты к терминальному доступу к устройству.

Однако, реализация этой парольной защиты, сколько-нибудь надежна только у производителей сетевого оборудования, но и у них регулярно находят уязвимости. Реализация же паролей на доступ к устройствам РЗА разбивается об необязательность из изменения в процессе наладки и эксплуатации устройств.

Читайте также  Грозозащита для воздушных абонентских линий

Если провести аудит установленных на объектах ОАО «ФСК ЕЭС» современных комплексов РЗА и АСУ ТП, то по нашему мнению, в большинстве случаев пароль совпадет с указанным в заводской инструкции по эксплуатации.

Вопросы организации доверенной среды на технологических АРМ, особенно на инженерных ноутбуках, достойны отдельного обсуждения. В рамках данного доклада стоит отметить, что применение обычного антивируса не гарантирует чистоты инженерной станции, так как многие инструментальные средства для конфигурирования микропроцессорных устройств настолько сложные и одновременно хрупкие, что попытка антивируса обратить внимание на уязвимость или подозрительную активность не будет воспринята всерьез.

Таким образом, перед злоумышленником или перед вредоносной программой стоит только одна задача – проникнуть в защищаемую сеть, а так как сеть это довольна большая и строится по стандартным технологиям, то и задача эта становится вполне выполнимой. Следовательно, то что мы не слышали о «Stuxnet» для систем РЗА говорит либо об отсутствии заказчика на эту разработку, либо о его хорошей маскировке.

Конечно, сообщество производителей и специалистов в области информационной безопасности, также озабоченно решением этих проблемам. Одним из средств решения выступают меры, изложенные в стандартах серии МЭК 62351 ‎[4]. Но если посмотреть на эти стандарты с практической точки зрения, то для проблем терминального доступа там предлагается уменьшение защищаемого сегмента сети до размера одного устройства.

При всем при этом с нашей точки зрения, главная уязвимость терминального доступа к устройствам это его вседозволенность или широта возможностей. Таким образом, мы втягиваемся в бесконечную борьбу между производителями средств устройств и противостоящими им потенциальными злоумышленниками с постоянным преимуществом вторых. В то же время напрашивается, возможно, не очень элегантное, но довольно простое решение – ограничить функциональную необходимость терминального доступа.

Как уже говорилось в начале доклада подавляющее большинство случаев использования терминального доступа к устройствам в процессе эксплуатации, составляют операции чтения из устройств конфигурационных данных и внутренних журналов событий. Конечно, существуют сценарии, когда требуется изменение конфигурации уставок внутри устройств, но операции, выполняемые в этих сценариях, не должны быть удаленными.

В докладе ‎[1], несмотря на некоторые спорные суждения, сделан один из основных выводов, позволяющих, радикально уменьшить частоту использования терминального доступа – необходимость обязательной реализации в устройствах всех параметров модели данных МЭК 61850 ‎[5], в том числе и опциональных (см. пример на Рисунке 4).

Не реализуя в своих устройствах возможности считывания уставок стандартными средствами, производитель пытается навязать нам использование своего проприетарного инструментального ПО, одновременно с этим повышая уязвимость своих устройств.

Рис. 4. Фрагмент описания типа дистанционной защиты в стандарте IEC61850-7-4.

Для тех случаев, когда без терминального доступа не обойтись, механизм авторизации для изменения уставок или микропрограммы (firmware) устройства должен быть дополнен аппаратной блокировкой, выполненной на устройстве.

Выводы

Необходимость терминального доступа к микропроцессорным устройствам – это данность нынешнего уровня развития систем автоматизации подстанций. Потенциальная уязвимость данного вида информационного обмена, до сих пор адекватно не оценена пользователями этих устройств – специалистами релейной защиты, хотя наиболее известный инцидент в промышленной информационной безопасности – StuxNet – использовал именно этот вид доступа к ПЛК.

Существующие способы защиты терминального доступа не представляют серьезной угрозы для злоумышленников или специально разработанного вредоносного программного обеспечения. Применяя стандартные протоколы и способы доступа к информации, получаемой обычно с помощью терминального доступа, мы существенно упрощаем защиту этой информации и уменьшаем возможный ущерб.

Вынужденное использование терминального доступа должно выполняться локально на подстанции, с выполнением необходимых административных и технические мероприятий, аналогичных выполняемым при других работах в электроустановках.

За пределами данного доклада намеренно оставлен вопрос обеспечения доверенной среды, особенно на ноутбуках инженерного персонала.

Источник: http://digitalsubstation.com/blog/2013/07/23/obespechenie-kiberbezopasnosti-pri-organizacii-terminalnogo-dostupa-k-mikroprocessornym-ustrojjstvam-informacionno-tekhnologicheskikh-sistem-podstancijj-2/

Информационная безопасность: система защиты информации при использовании платформ ТОНК | TONK

Сегодня на каждом шагу, можно услышать такие понятия, как «система защиты информации», «кибербезопасность». За этой терминологией скрывается довольно разносторонний подход к информационной безопасности (ИБ). Так например, термин «кибербезопасность» нельзя встретить ни в одном из нормативных документов по ИБ.

Источник: https://rutd-ksk.com/osobennosti-zaschity-informatsii-pri-ispolzovanii-terminalnoy-sistemy/