Центр-Т Система защищенной сетевой загрузки программного обеспечения на терминальные станции

Назначение системы 1.Организация терминального доступа с бездисковых рабочих станций путем загрузки образов ПО терминальных станций (ПО ТС) по сети; 2.Обеспечение централизованного управления и аудита процесса загрузки образов; 3.Контроль целостности загружаемых образов; 4.Осуществление входа пользователя на терминальный сервер, защищенный ПАК СЗИ Аккорд TSE с использованием аппаратного идентификатора, в роли которого выступает ПСКЗИ ШИПКА.

Состав системы ШИПКА-А – ШИПКА Администратора АРМ «Центр» ШИПКА-С – ШИПКА Сервера хранения и сетевой загрузки ШИПКА-К – ШИПКА Пользователя Сервер хранения и сетевой загрузки (ШИПКА-С) Терминальный сервер Терминальная станция + ШИПКА-К

Функции сервера хранения и сетевой загрузки Управление учетными записями пользователей; Редактирование сетевых настроек образов для терминальных станций; Просмотр журналов; Раздача образов ПО ТС Клиентам.

Сервер хранения и сетевой загрузки Интерфейс ПО СХСЗ - Создание учетной записи администратора ИБ

Безопасность сервера хранения и сетевой загрузки ПО загружается только с ШИПКИ-С на любую отведенную для этого ПЭВМ и выполняется в оперативной памяти ПЭВМ, но не остается на ПЭВМ после отключения ШИПКИ-С. На ПЭВМ, на которой исполняется ПО СХЗС, не хранится ни само ПО, ни загружаемые с СХСЗ образы. Ведется журналирование работы пользователей и всех действий администратора СХСЗ и администратора безопасности информации СХСЗ.

Функции АРМ «Центр» Конструирование образов ПО ТС на основе задаваемых параметров; Вычисление КА для образов ПО ТС; Начальная инициализация устройств; Управление набором образов ПО ТС.

АРМ «Центр» Интерфейс ПО АРМ «Центр» -редактирование шаблона ПО ТС.

Безопасность АРМ «Центр» ПО загружается на любой отведенный для этого ПЭВМ с ШИПКИ-А и выполняется в оперативной памяти ПЭВМ. После отключения ПСКЗИ ШИПКА не остается ни ПО «Центр», ни подготовленных шаблонов, ни собранных образов ПО - все хранится только в устройстве ШИПКА-А. Целостность и подлинность образов контролируется с помощью кодов аутентификации (КА).

Функции ШИПКИ пользователя (ШИПКИ-К) Аутентификация пользователя в ПСКЗИ ШИПКА посредством ввода PIN-кода; Получение образа ПО ТС с СХСЗ по сети; Проверка подлинности образа ПО ТС; Передача управления образу ПО ТС; Ведение журнала активности пользователя и отправка его на СХСЗ; Использование ШИПКИ-К в качестве аппаратного идентификатора при входе на терминальный сервер, защищенный ПАК СЗИ Аккорд TSE.

Состав ПО терминального клиента 1. Образ начальной загрузки : конструируется на АРМ «Центр» единообразно для всех ТС; загружается с ШИПКИ-К при подключении к ТС; обращается к СХСЗ; получает образ, сопоставленный этой ШИПКЕ-К; проверяет КА, и, в случае корректности КА, разрешает исполнение образа ПО ТС.

2. Образ ПО ТС: конструируется на АРМ «Центр» на основе шаблона индивидуально для каждой ТС; загружается с СХСЗ для исполнения на сопоставленной ТС; поддерживает работу с ПАК СЗИ Аккорд TSE и серверным ПО для ПСКЗИ ШИПКА; автоматически подключается к терминальному серверу по протоколу Citrix ICA или RDP; пробрасывает USB-принтеры и flash-носители, подключенных к ТС в рамках терминальной сессии. Состав ПО терминального клиента

Развертывание системы: количество устройств ШИПКА администратора АРМ "Центр" – 1-2 устройства. ШИПКА сервера хранения и сетевой загрузки – количество устройств выбирается исходя из следующих критериев: –В каждом сегменте сети должен присутствовать как минимум 1 Сервер хранения и загрузки ПО ТС; –Количество устройств для каждого сегмента сети зависит от максимального числа клиентов в данном сегменте и пропускной способности сети; –Рекомендуется держать в запасе по одному устройству на каждый сегмент сети. ШИПКА пользователя – по количеству пользователей. ШИПКА Администратора СХСЗ ШИПКА АИБа СХСЗ Если есть разделение функций на СХСЗ

Резервные устройства Резервирование предполагает наличие одной резервной ШИПКИ на каждую ШИПКУ Администратора АРМ "Центр" и ШИПКУ Сервера хранения и сетевой загрузки (N шт. * 2). Пример: Кол-во ШИПКА-А – 2 шт.; Кол-во ШИПКА-А вместе с резервом – 4 шт. Кол-во ШИПКА-С – 5 шт.; Кол-во ШИПКА-С вместе с резервом – 10 шт.

Развертывание системы: последовательность действий На ШИПКЕ Администратора через интерфейс АРМ «Центр» необходимо: –Сгенерировать ключевую пару на «ШИПКЕ администратора»; –Выполнить начальную инициализацию всех «ШИПОК Сервера хранения и сетевой загрузки» и «ШИПОК Пользователей»; –Осуществить сборку образов ПО ТС и вычислить для них КА; –Сформировать набор образов на «ШИПКАХ Сервера хранения и сетевой загрузки». После этого на каждой из «ШИПОК Сервера хранения и сетевой загрузки» необходимо: –Настроить сетевые параметры Сервера хранения и сетевой загрузки; –Создать учетные записи пользователей, сопоставив им «ШИПКИ Пользователей»; –Каждой учетной записи пользователя сопоставить образ ПО ТС; –Настроить сетевые параметры каждой «ШИПКИ Пользователя».

Развертывание системы – создание образов ТС На АРМ «Центр»: Вырабатывается КА на «ШИПКЕ Администратора»; Выполняется инициализация «ШИПОК Сервера хранения и сетевой загрузки» и «ШИПОК Пользователей»; Конструируются и подписываются образы ПО ТС. Образы ПО ТС с КА записываются на «ШИПКИ Сервера хранения и сетевой загрузки», «ШИПКИ Сервера хранения и сетевой загрузки» передается на СХСЗ. «ШИПКИ Пользователей» с записанным образом начальной загрузки (ОНЗ) и КА передаются пользователям СТД.

Развертывание системы – создание пользователей На СХСЗ: Настраиваются сетевые параметры СХСЗ; Создаются учетные записи пользователей, им сопоставляются «ШИПКИ Пользователей»; Каждой учетной записи сопоставляется образ ПО ТС; Настраиваются параметры каждой «ШИПКИ Сервера хранения и сетевой загрузки».

Порядок работы пользователей СТД 1.Пользователь запускает ТС с подключенной «ШИПКОЙ Пользователя»; 2.С «ШИПКИ Пользователя» загружается Образ Начальной Загрузки (ОНЗ), запрашивается PIN-код; 3.После ввода PIN-кода с СХСЗ загружается образ ПО ТС, проверяется его подлинность; 4.После успешной проверки подлинности управление передается образу ПО ТС; 5.Запускается терминальная сессия.

Спасибо за внимание