Конявская Текхнология доверенного сеанса связи ДСС и средство 2015
.pdfПосле этого необходимо ввести логин и пароль администратора в стандартную форму ввода (рис. 50).
Рис. 50. Переход в режим администрирования
После перехода в режим администрирования администратор получает доступ к изменению сетевых настроек.
Управление сетевыми настройками
В СОДС «МАРШ!» для настройки сетевых параметров в
графическом виде используется Network Manager ( ), который находится на системной панели (правый верхний угол):
.
СОДС «МАРШ!» может находиться в следующих состояниях:
– Нормальное состояние.
– Сетевой кабель не подключен.
– Происходит попытка соединения.
– Режим настройки VPN-соединения.
– Уровень сигнала беспроводного соединения.
71
Варианты сетевых настроек
2.2.2.1.Автоматическая конфигурация
Вслучае наличия в сети DHCP-сервера параметры сетевого соединения устанавливаются автоматически, и в дополнительных настройках сетевых устройств нет необходимости.
2.2.2.2.Настройка вручную
Вслучае, если при подключении сетевого кабеля не происходит автоматическая настройка параметров сетевого соединения, либо в случае, если у Вас есть IP-адрес, маска подсети и другие данные, которые Вы получили от администратора сети или провайдера услуг, необходимо использовать режим ручного конфигурирования сетевых настроек.
Нажатие правой кнопкой мыши на иконку соединения
( ) позволяет осуществить выбор пункта меню
(рис. 51). |
Рис. 51. Сетевые параметры |
Меню ручной настройки сетевых соединений представляется администратору. Вверху Вы можете видеть список различных видов сетевых соединений (проводные, беспроводные и т. д. –
рис. 52).
Рис. 52. Меню ручной настройки сетевых соединений
72
Обычно на предприятии уже создано проводное соединение с автоматической настройкой (), выделяем его и нажимаем . (Если соединение не было создано автоматически –
нужно выбрать пункт .) В открывшемся окне меняем
на необходимое (например, ), затем выбираем закладку
.
По умолчанию стоит автоматическая настройка
().
Выберите из списка профилей режим «Вручную»
и нажмите кнопку |
(рис. 53). |
Далее вводим данные (IP-адрес, маска сети, шлюз, DNS), которые дал Вам администратор сети (провайдер) или которые Вы всегда вводили в
Microsoft Windows в
свойствах TCP/IP сетевого соединения (рис. 54).
Рис. 53. Профили сетевых соединений
73
Рис. 54. Параметры сетевого соединения
По окончании ввода данных нажимаем . Ручная настройка сети окончена.
Для настройки беспроводного соединения WI-FI нажать левой кнопкой мыши на иконку (рис. 55).
Рис. 55. Настройка Wi-Fi
74
И в списке доступных сетей выбрать свою сеть и ввести пароль
(рис. 56).
Рис. 56. Ввод пароля
При успешном подключении иконка (происходит попытка
соединения) изменится на иконку – показывающую уровень сигнала беспроводного соединения.
Иконка VPN из станет (рис. 57).
Рис. 57. VPN-соединение успешно установлено
75
2.2.2.3. Управление конфигурациями сетевого соединения
Однажды настроенное сетевое соединение сохраняется в менеджере сетевых соединений (Network Manager ( )) – рис. 58.
Рис. 58. Управление конфигурациями сетевого соединения
Сохраненные параметры настроек сетевых соединений можно редактировать (вносить необходимые изменения, если изменились исходные данные), удалять профили сетевых настроек, в которых нет необходимости.
В случае последующего использования СОДС «МАРШ!» на оборудовании (ПК, терминал доступа), подключенном к той же сетевой инфраструктуре, что и в момент предыдущего соединения (сетевая конфигурация не изменена), о котором уже есть запись в менеджере сетевых соединений, подключение к сети и настройка параметров сетевого соединения производятся автоматически, на основе ранее сохраненных параметров.
Важно понимать – и ориентировать на это обучающихся, что в случае возникновения проблем с соединением, в первую очередь, необходимо консультироваться с администратором сети или провайдером сетевых услуг на предмет наличия дополнительных настроек (обычно пользователям дают инструкцию с такими настройками при заключении договора на подключение к сети).
76
3. Интеграция в существующие системы
СОДС «МАРШ!» является не законченным инфраструктурным решением, а инструментом, кирпичиком интеграции. Причем из-за того, что «МАРШ!» по сути сам является клиентом системы, его необходимо корректно «вписать» не только в подсистему информационной безопасности (в лучшем случае – строящуюся, а возможно, что и в уже существующую), но и в имеющуюся архитектуру информационной системы.
Поэтому различные аспекты интеграции «МАРШ!», с «МАРШ!», в «МАРШ!» вынесены в отдельную тему.
3.1. Общие принципы интеграции, обзорно
По отношению к «МАРШ!» в плане интеграции можно выделить 3 различные аспекта:
1)«Внутренняя» интеграция – в том смысле, что «МАРШ!» сам является продуктом интеграции различных решений даже разных вендоров.
2)«Внешняя» интеграция – интеграция самого «МАРШ!» в другие решения.
3)«Системная» интеграция – интеграция «МАРШ!» в инфраструктуру информационных систем.
Ниже о каждом из этих аспектов по-отдельности.
3.1.1. «МАРШ!» как продукт интеграции решений («внутренняя интеграция»)
Впервую очередь, необходимо еще раз подчеркнуть, что СОДС «МАРШ!» – это совместная разработка ОКБ САПР и ФГУП КБПМ.
Резидентная криптография, применяемая в устройстве, – криптоядро ШИПКИ (разработки ОКБ САПР).
ВОС разработки КБПМ могут быть встроены помимо драйверов и прочего системного ПО следующие продукты: «Аккорд-Х» (ОКБ САПР), «Аккорд-ТК» (ОКБ САПР), «Библиотека ЭП» (ОКБ САПР), VPN Gate (S-Terra CSP), ViPNet Terminal (Инфотекс), ЗАСТАВА (Элвис-Плюс), LirSSL (Лисси), StoneGate (Stonesoft), Маг-
Про OpenVPN-ГОСТ (КриптоКом), CSP VPN Gate (Сигнал-КОМ).
77
Возможна интеграция в «МАРШ!» и других продуктов, функции которых по тем или иным причинам необходимы в системе, например, как уже было упомянуто, возможна реализация поддержки в «МАРШ!» СН «Секрета» – «Личный Секрет» или «Секрет Особого Назначения». В случае нежелания (или каких-либо запретов) использования резидентного СКЗИ из состава и устройства «МАРШ!» в качестве хранилища ключей возможна поддержка
в«МАРШ!» ключевого носителя, например ШИПКИ-лайт Slim. Поддержка этого устройства (ШИПКИ-лайт Slim) возможна также
вкачестве идентификатора – для тех случаев, когда по тем или иным причинам это необходимо (например, необходимо, чтобы у пользователя был один и тот же аппаратный идентификатор на нескольких разных его АРМ, один из которых – «МАРШ!»). И так далее.
Любые варианты обсуждаемы.
Также именно в области «внутренней» интеграции различных решений лежат направления развития линейки продуктов «МАРШ!», например, «М!&М» («МАРШ!» + модем) или «МАРШ!» со встроенной ОС не Linux, а Windows.
«М!&М»
Стандартная схема применения «МАРШ!» выглядит так, как показано ниже.
Рис. 59. СОДС. Стандартная схема подключения
В соответствии с этой схемой взаимодействие клиента с удаленным ресурсом осуществляется через сетевые подключения компьютера. Это совершенно нормально для компаний, но у обычного
78
пользователя может вызвать трудности в настройках, так как на территории страны услуги предоставляют сотни различных провайдеров, зачастую с проприетарными механизмами.
Пользователю, не владеющему навыками работы с сетевыми подключениями, лучше предоставить ненастраиваемое устройство, избавив его от множества проблем. В этом случае взаимодействие может осуществляться не через компьютер, а непосредственно через «МАРШ!», как показано на следующем рисунке.
Рис. 60. СОДС. Схема подключения через встроенный модем
В этом случае обеспечиваются и простота эксплуатации, и высокий уровень защищенности. Достигается такой режим путем встраивания в СОДС беспроводного модема. Настройка на провайдера обеспечивается только SIM-картой.
Описанное решение («МАРШ!» + модем, «М!&М») имеет специализированную архитектуру.
Рис. 61. Архитектура аппаратных средств ДСС для ДБО («колпачок» справа от микроконтроллера – это модем)
79
Такой подход позволяет использовать устройство как идентификатор, как носитель неизвлекаемых ключей, как модем и как устройство обеспечения доверенного сеанса связи.
«МАРШ!» с OC Windows
При создании «МАРШ!» не планировалось, что в него будет записываться ОС, отличная от Linux. Однако жизнь почти сразу продиктовала такую необходимость. Мы считаем в корне неверным навязывать ограничения функциональной системе там, где их можно не навязывать, поэтому создали версии с OC Windows Embedded.
Упоминания тут заслуживают две версии, наиболее интересные именно с точки зрения интеграции: версия для планшета Dell и
версия для бухгалтерии − с поддержкой «1С» и служебного носителя «Секрет» в качестве защищенного локального хранилища.
Именно эти версии выбраны потому, что они представляют собой симбиоз «внутренней» и «внешней» интеграции.
«МАРШ!» для планшетов Dell
Планшетный компьютер уже давно перестал быть редкой и уникальной вещью. Чем больше людей его используют, тем шире круг задач, которые нужно выполнять с помощью планшета. Времена, когда планшеты использовались исключительно для игр, прошли – теперь это полнофункциональный рабочий инструмент. Планшет – по форм-фактору – мини-компьютер, но это не означает, что его достаточно защищать «мини-защитой».
Планшет не привязан к конкретному месту, а значит, физическая охрана и большинство организационных мер не помогут.
Планшет изначально задуман как неизменяемая аппаратная платформа, поэтому установить в него что-либо (например, защитную плату) самостоятельно нельзя, да и места под нее не предусмотрено.
Планшет изначально задуман как инструмент максимально комфортного построения персональной вычислительной среды, поэтому никаких встроенных ограничений на скачивание и установку любых программ и данных в нем нет и быть не может, наоборот, огромная бизнес-инфраструктура поощряет пользователя постоянно «улучшать» свое программное окружение, иногда даже не заботясь о том, чтобы ставить его в известность об этих улучшениях.
80