Москва, ул. Дружинниковская, д. 15, оф. 223

+7 (495) 120-15-37 info@gorizont-vs.ru

МИиКДС «Шина»: принципы функционирования

Модуль идентификации и контроля доверенной среды выполнен в виде платы расширения для IBM PC совместимого компьютера.

В состав изделия входят:

  • плата МИиКДС и программное обеспечение, которое прошивается в микросхемы платы изделия на этапе изготовления;
  • носители ключевой информации – электронные ключи аутентификации администраторов и пользователей, инсталляционный ключ и транспортный ключ;

  • устройство для считывания электронных ключей аутентификации — контактное устройство RDS-13;
  • шлейф для гарантированной блокировки работы ПЭВМ со стороны изделия;
  • специальное программное обеспечение (СПО) – комплекс программ «Администрирование МИиКДС», функционирующий в среде комплекса программ «Терминал-Сервер», который устанавливается на ПЭВМ, выполняющие функции АРМ администратора. СПО МИиКДС «Шина» предназначено для работы на АРМ Администратора.

В состав СПО входят:

  • драйвер – предназначен для обеспечения взаимодействия СПО с платой изделия;
  • программа администратора – предназначена для конфигурирования административной группы и выполнения операций удаленного администрирования через сетевые интерфейсы, установленные на платах изделия;
  • три программы тестирования функций безопасности изделия.

СПО МИиКДС «Шина» поставляется на индивидуальном USB-носителе.

Модуль идентификации и контроля доверенной среды взаимодействует с комплексом программ «Терминал-Сервер» из состава ПАК «Горизонт-ВС».

Комплекс программ поставляется на индивидуальном
USB-носителе.

Индивидуальный USB-носитель с установленным СПО «Терминал-Сервер» должен иметь каждый пользователь, работающий в клиент-серверной системе. СПО загружается с индивидуального носителя на терминале/сервере при входе пользователя в систему.

Индивидуальные USB-носители с установленным СПО МИиКДС «Шина» выдаются только администраторам и предназначены для работы на АРМ Администратора.

В качестве электронного ключа аутентификации администратора, инсталляционного ключа и транспортного ключа используется устройство DS1977 семейства iButton. В качестве электронного ключа аутентификации пользователя может использоваться устройство DS1995 семейства iButton.

Принципы функционирования

В административной группе, в состав которой входят терминалы/серверы виртуализации с установленным изделием, подключенным к отдельной IP-сети, реализована возможность выполнения удаленного администрирования с АРМ Администратора всех терминалов и серверов виртуализации.

АРМ Администратора, терминал и сервер с установленной платой изделия, подключенной к IP-сети, является узлом сети.

Каждый узел в составе административной группы имеет свой порядковый номер. Максимальное число узлов в административной группе 128 (номера от 001 до 128). Узлом № 001 является АРМ Администратора. Остальные номера распределяются между терминалами  и серверами, входящими в АГ:

  • максимальное количество серверов7;
  • максимальное количество терминалов100;
  • максимальное количество зарезервированных шлюзов АГ – 20.

Каждый узел имеет свой IP-адрес. Обмен данными между изделиями одной административной группы осуществляется с помощью маскированных IP-пакетов (управляющих пакетов). Инициатором обмена всегда является АРМ Администратора.

Модуль автоматически фиксирует, классифицирует ошибки пользователей и администраторов, попытки несанкционированного доступа к узлам и заносит эту информацию в журнал регистрации событий.

МИиКДС «Шина» автоматически отличает электронный ключ администратора от ЭК пользователя и дает право управления и слежения за состоянием изделия только администратору средств доверенной загрузки.

Защита от несанкционированного доступа обеспечивается проверкой подлинности предъявленного электронного ключа аутентификации, пароля пользователя, вводимого с клавиатуры, и индивидуального носителя. Доступ – запуск СПО с индивидуальных USB-носителей, будет разрешен только владельцам тех электронных ключей, которые зарегистрированы на данном узле и при условии неизменности контролируемых секторов/файлов на индивидуальном USB-носителе.

Смотрите также: