Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защищенное ДБО: несколько слов о самых популярных возражениях

Защищенное ДБО: несколько слов о самых популярных возражениях

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защищенное ДБО: несколько слов о самых популярных возражениях

Новое решение редко принимается рынком сразу и безоговорочно. Так бывает, если применение его почему-либо обязательно или в отрасли недостаточно компетентности для того, чтобы обеспечить пристальный критический анализ новшества. К счастью, в сфере защиты ДБО ни одно из этих условий не выполняется, и всякое новое решение подвергается самому детальному изучению и обсуждению. К счастью – потому, что это делает решения лучше.
Василий
Кравец
Разработчик СЗИ НСД, ЗАО “ОКБ САПР"
Светлана
Конявская
Заместитель генерального директора ЗАО “ОКБ САПР", к.ф.н.
"МАРШ!" – это устройство, которое хранит эталонный образ ОС в специальном разделе. Доступ к такому разделу возможен только для чтения данных, и любая модификация эталонного образа запрещена. Таким образом, пользователь каждый раз при загрузке получает эталонную (доверенную) среду. Загрузить ОС с устройства "МАРШ!" можно на любом компьютере – фактически не требуется выделение дополнительного защищенного рабочего места. Подход к созданию доверенной вычислительной среды на короткий период времени для решения конкретной задачи называется концепцией "Доверенного сеанса связи" (ДСС).

После того как мы предложили рынку решение для защищенного ДБО с использованием семейства продуктов "МАРШ!", в среде специалистов (как по защите информации, так и по ДБО) началось обсуждение этого решения с точки зрения его жизненности в реальных условиях. Признавая, что выделение для общения с банком отдельного компьютера, защищенного на все сто (аппаратный замок (например, "Аккорд-АМДЗ"), антивирусная защита, МЭ, в общем, все, что необходимо для обеспечения и поддержания среды функционирования криптографии), для физлица не вполне уместно и не отвечает логике ДБО, эксперты выдвигают, как правило, два основных контраргумента:

  1. рынок физлиц плохо управляемый, они используют то, что отвечает их собственным представлениям, а не то, что отвечает каким-либо требованиям (например, безопасности), поэтому покупать "МАРШ!" они не будут;
  2. корпоративный рынок использует 1С, и вообще бухгалтеры работают в ОС Windows, так что "МАРШ!" не подходит, ведь в нем Linux и нет возможности использовать программы и данные с жесткого диска компьютера.

На первое возражение мы уже отвечали в своих статьях, и банками воспринята наша логика: предложение клиенту альтернативы между тем, чтобы работать в произвольной среде и самому отвечать за возможные потери, и тем, чтобы работать в защищенной среде и под гарантией ответственности со стороны банка. Этот подход удобен и выгоден всем: у клиента есть выбор (незащищенное, но дешевле и под свою ответственность или защищенное, дороже, но под ответственность банка), а банк несет ответственность только за то, что может контролировать, и не всегда во всем виноват.

Возражение о корпоративном сегменте требует более детального углубления в вопрос.

Корпоративный сегмент

В первую очередь нельзя не согласиться, что есть случаи, когда "МАРШ!" для клиент-банка действительно не требуется. Это те случаи, когда для взаимодействия с банками используются отдельные, специально только для этого отведенные и полностью защищенные компьютеры.

Служебный носитель позволяет оперативно и просто переносить информацию внутри системы согласно ее внутренним правилам, но не позволяет ни выносить хранимую на нем информацию из системы, ни приносить в систему информацию на него извне. Никому, в том числе и легальному пользователю. Только в этом случае носитель не будет снижать общий уровень защищенности системы даже при его физическом выносе за периметр. Концепция защищенного служебного носителя полностью реализована в настоящее время только в линейке продуктов "Секрет".

Однако обычно так бывает только в относительно крупных компаниях. Не каждая компания, даже из тех, что может позволить себе отдельного бухгалтера, может себе позволить выделить отдельный компьютер, поставить на него все перечисленное выше и обучить человека со всем этим работать. Последнее особенно сложно, если человек, который будет работать за компьютером, не будет являться специалистом в области IT. С бухгалтерами такая ситуация встречается довольно часто (в конце концов, ему достаточно быть специалистом в своей области).

Очевидно, что "МАРШ!" тут был бы совершенно уместен, но напомним, бухгалтер работает в OC Windows, а 1С чаще всего использует локальные базы.

Учитывая эти два замечания экспертов рынка, мы создали специальное решение на базе особой версии продукта "МАРШ!" с установленной ОС Windows и поддержкой защищенной работы с локальными данными.

Опишем использование этого решения на примере работы с "1C:Предприятие".

Для обеспечения нормального функционирования "1C:Предприятия" необходимо использовать ОС Windows, поэтому в качестве эталонной ОС на устройстве "МАРШ!" мы выбрали Windows Embedded Standard 7. Это модульная операционная система, бинарно совместимая с Windows 7. Данное решение представляется нам крайне удачным в силу следующих причин:

  • интерфейс Windows Embedded Standard 7 повторяет интерфейс Windows 7, а значит пользователь получит привычное рабочее окружение;
  • модульность позволяет собирать такой образ ОС, который занимает небольшой объем и содержит только те компоненты, которые необходимы для работы;
  • бинарная совместимость с традиционными программами позволит при необходимости установить дополнительные инструменты для работы, не задумываясь о поиске аналогов – можно использовать ровно все те программы, что используются в десктопных версиях Windows.

Перечисленные обстоятельства позволяют полностью повторить для ОС Windows классическую версию работы в режиме доверенного сеанса связи (ДСС) – загрузить из защищенной памяти устройства эталонную рабочую среду на непродолжительное время, обеспечив тем самым доверенную среду исполнения критически важной задачи.

Особенность работы "1С:Предприятие"

Однако вспомним, что для работы "1С:Предприятия" требуется рабочая база данных.

Доступ к этой базе данных может осуществляться по сети или локально – в зависимости от логики построения информационной инфраструктуры в конкретной организации.

Если доступ осуществляется по сети, то в строгом соответствии с классической реализацией ДСС в эталонный образ включается ПО для защиты канала связи, например VPN-клиент. Но в небольших организациях, не выделяющих для клиент-банка отдельного защищенного компьютера, такая инфраструктура встречается редко. Как же быть, если работа с базой происходит локально?


Первое решение, которое нам настоятельно предлагали реализовать, – расположение базы на устройстве "МАРШ!" – не выдерживает никакой критики: к эталонному образу ОС и защищаемым данным нельзя подходить с одной меркой. При такой реализации база оставалась бы доступной для чтения при подключении устройства к любому компьютеру.

Делать доступным какой-то раздел жесткого диска ПК недопустимо потому, что теряется главное достижение – изолированность среды. В этом случае защищенность ПК должна быть не ниже защищенности среды, загружаемой с "МАРШ!".

Необходимо некое защищенное хранилище, которое будет доступно только из ОС, загруженной с "МАРШ!", и не будет доступно ни при каких других обстоятельствах.

Большой "Секрет"

Очевидно, что напрашивается использование уже существующего и хорошо себя зарекомендовавшего решения: защищенного служебного носителя "Секрет".

Из существующих на сегодняшний день продуктов линейки "Секрет" оптимально подходит для применения в описываемой системе "Секрет Особого Назначения", поскольку для регистрации компьютера как разрешенного он использует следующий набор параметров:

"Секрет" – это флешка, которая монтируется и запрашивает PIN-код только на тех компьютерах, которые в ней зарегистрированы как разрешенные, а на остальных – не монтируется и не опознается как "съемный диск".
  1. номер материнской платы;
  2. UID операционной системы;
  3. имя компьютера;
  4. имя домена/рабочей группы (если есть);
  5. номер аппаратного модуля доверенной загрузки, если есть.

Это дает возможность привязать "Секрет" сразу к связке ПК и "МАРШ!а". То есть сотрудник сможет работать с защищаемой базой не только исключительно в доверенной среде, но и исключительно на своем рабочем месте.

Единственным разрешенным компьютером для такого "Секрета" должен быть задан компьютер с "1С:Предприятие", загруженный с "МАРШ!а". В этом случае характеристики "имя компьютера" и UID ОС будут взяты из ОС "МАРШ!а", а номер материнской платы – от ПК.

"Секрет" имеет множество преимуществ перед обычными носителями, перечислим самые важные:

  • можно не беспокоиться o потере или краже такого устройства – если его подключить к любому компьютеру, даже к тому же самому, на котором он ранее использовался при подключенном "МАРШ!е", флешка не примонтируется, и доступа к данным не будет;
  • не имея возможности использовать "Секрет" на различных компьютерах, пользователь не заразит его вирусами;
  • устройство ведет внутренний журнал подключений – администратор всегда сможет узнать, когда, к какому ПК и с каким результатом подключали "Секрет", даже если подключение было бессмысленным и открыть его не удалось.

Защищенная работа

Таким образом, защищенная работа с "1С:Предприятие" будет выглядеть так.

Пользователь работает на компьютере в обычном режиме, используя электронную почту, ICQ, Интернет и другие вредные для защищенности ресурсы. Затем у него возникает необходимость поработать с "1С:Предприятие". Он перезагружает ПК и загружается с "МАРШ!а".

После загрузки ОС он подключает "Секрет Особого Назначения" и вводит PIN-код.

Теперь пользователь может работать с программой "1С:Предприятие" в привычном режиме без каких-либо изменений.

Единственное отличие – после завершения работы с программой, прежде чем перейти к переписке по электронной почте или другим делам, необходимо снова перезагрузиться, отключив "МАРШ!".

Работа по такой схеме с использованием ПО "1C:Предприятие" на "МАРШ!" с "Секретом Особого Назначения" была подробно протестирована и является полноценно работающим решением, одновременно недорогим, не требующим от пользователя специальных знаний и навыков и в то же время обеспечивающим достаточный уровень безопасности.

ОКБ САПР, ЗАО
115114 Москва,
2-й Кожевнический пер., 8
Тел.: (499) 235-6265
Факс: (495) 234-0310
E-mail: okbsapr@okbsapr.ru
www.okbsapr.ru,
www.accord.ru,
www.shipka.ru,
www.proSecret.ru,
www.proTerminaly.ru,
www.accord-v.ru,
www.марш.рф

Статьи про теме