2014-02-13
1405
Изолированная программная среда
Целью реализации модели изолированной программной среды является определение порядка безопасного взаимодействия субъектов системы, обеспечивающего невозможность воздействия на систему защиты и модификации ее параметров или конфигурации, результатом которых могло бы стать изменение реализуемой системой защиты политики разграничения доступа.
Модель изолированной программной среды реализуется путем изоляции субъектов системы друг от друга и путем контроля порождения новых субъектов таким образом, чтобы в системе могли активизироваться только субъекты из предопределенного списка. При этом должна контролироваться целостность объектов системы, влияющих на функциональность активизируемых субъектов.
Защищённая загрузка терминальных клиентов — способность терминальных клиентов безопасно загружать операционную систему. Основным решением безопасной загрузки является проверка целостности и аутентичности файлов операционной системы, которые могут храниться на локальном жёстком диске, мобильном носителе или загружаться по сети
|
|
|
Один из основных принципов защиты информации, сформулированный в конце 20-го столетия, гласит, что вычисления, критичные с точки зрения безопасности информации, должны происходить в доверенной вычислительной среде.
Со временем происходило развитие средств вычислительной техники, увеличивалось число функциональных возможностей операционных систем, росло количество прикладного программного обеспечения. Вместе с этим формировались следующие подходы к определению понятия доверенная вычислительная среда:
¾ функционально замкнутая среда;
¾ изолированная программная среда;
¾ доверенная вычислительная среда на основе резидентных компонентов безопасности.
При построении систем защиты терминального доступа используются все три категории, которые, в основном, защищают терминальный сервер. Во время терминальных систем, когда терминал представлял собой монитор, клавиатуру и систему соединения с центральным сервером, этого было достаточно. С развитием средств вычислительной техники такое решение стало недостаточным, хотя суть терминальной сессии осталась прежней: обработка и хранения информации осуществляется на сервере, к терминалу передаётся обработанная сервером информация, а к серверу передаются данные с устройств терминала. Однако терминалы стали более функциональными, обладают собственной операционной системой, собственным жёстким диском и собственными периферийными устройствами.
В связи с тем, что терминальные клиенты являются неотъемлемой частью системы, то из мультипликативной парадигмы защиты («степень защищённости системы определяется степенью защищённости её самого «слабого» звена») следует, что для построения защищенной терминальной системы необходимо обеспечивать защиту каждого элемента.
|
|
|
Таким образом, считают, что не только терминальный сервер нуждается в защите, но и терминальные клиенты. Поэтому для полной защиты терминальной сессии используют решения, защищающие как сервер, так и клиент, и в состав которых входит защищённая загрузка терминальных клиентов.
Способы загрузки
Загрузка ОС терминального клиента может осуществляться различными способами:
¾ загрузка с локального жёсткого диска;
¾ загрузка с мобильного носителя;
¾ загрузка по сети.
В первых двух способах для защиты загрузки используют доверенную загрузку компьютера клиента и последующую взаимную идентификацию и аутентификацию сервер-клиент. Однако, эти способы имеют недостатки:
¾ тяжело администрировать (например, при изменении загрузочного образа требуется оснастить им терминальные клиенты)
¾ требуют от терминальных клиентов наличия некоторых дополнительных устройств (жёсткий диск или оптический привод для запуска ОС, PCI-слот для установки систем защиты информации).
Различие двух способов в том, что при локальной загрузке необходимо контролировать состав оборудования только одного терминала. А при мобильной загрузке требуется четко идентифицировать каждый терминальный клиент и контролировать состав именно того оборудования, с которого происходит загрузка.
Для загрузки по сети способ защиты немного отличается от двух предыдущих, так как образ передается по сети от некоторого сервера к терминальному клиенту. Однако он лишен недостатков, которые есть у локальных способов загрузки, то есть с точки зрения администрирования он легко масштабируем, его настройка производится централизованно, и не требует наличия на клиенте жёсткого диска или оптического привода. Последнее свойство позволяет использовать «тонкие клиенты», которые зачастую содержат минимальный набор устройств.
В то же время, распределенный характер данного способа загрузки несет в себе дополнительные угрозы несанкционированного доступа к информации. Например, одна из угроз позволяет злоумышленнику применить атаку «человек посередине» на TFTP протокол, используемый в PXE для загрузки ОС, и послать вместе с файлами ОС вредоносный код.
Для устранения угроз, как и для предыдущих способов, применяется проверка контроля целостности и аутентичности файлов ОС и оборудования. Только в данном случае проверяется не только список контролируемого оборудования терминала, с которого возможна загрузка, и загружаемый образ, но и сервер, с которого разрешено получать образы.
