...
Динамический контроль вычисляет и проверяет электронную цифровую подпись исполняемых файлов в момент их запуска. Если ЭЦП нет или она неправильная, в запуске программ будет отказано.
Рисунок 2 – Схема работы динамического контроля ЭЦП
МИиКДС «Шина» предназначен для использования в клиент-серверных системах и предназначен для защиты АРМ, являющихся терминалами, серверами виртуализации и АРМ администратора от несанкционированного доступа (НСД).
Изделие выполнено в виде платы расширения для IBM PC совместимого компьютера. В состав изделия входят:
- плата МИиКДС «Шина» и программное обеспечение, которое прошивается в микросхемы платы изделия на этапе изготовления;
- специальное программное обеспечение (СПО) - комплекс программ «Администрирование МИиКДС» (СПО МИиКДС «Шина»), функционирующий в среде комплекса программ, который устанавливается на ПЭВМ, выполняющие функции АРМ администратора.
Рисунок 3 – Плата МИиКДС «Шина»
Административной группе (АГ), в состав которой входят терминалы/серверы виртуализации с установленным изделием, подключенным к отдельной IP-сети, реализована возможность выполнения удаленного администрирования с АРМ Администратора всех терминалов и серверов виртуализации.
Схема обмена управляющими пакетами в рамках АГ представлена на рисунке 4.
АРМ Администратора, терминал и сервер с установленной платой изделия, подключенной к IP-сети, является узлом сети. Каждый узел в составе административной группы имеет свой порядковый номер. Максимальное число узлов в АГ 128 (номера от 001 до 128). Узлом № 001 является АРМ Администратора. Остальные номера распределяются между терминалами и серверами, входящими в АГ:
...
Каждый узел имеет свой IP-адрес. Обмен данными между изделиями одной АГ осуществляется с помощью маскированных IP-пакетов (управляющих пакетов). Инициатором обмена всегда является АРМ Администратора.
Рисунок 4 – Схема обмена управляющими пакетами
Данный подход позволил ПАК Горизонт-ВС обеспечить требования приказа №17 № 17 ФСТЭК «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ» касательно пункта XI. Защита среды виртуализации (ЗСВ) Приложение N 2 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (таблица 2)
Таблица 2 – Требованиям о защите информации, не составляющей государственную тайну содержащейся в государственных информационных системах
...
В Горизонт-ВС ВМ никогда не запускается под пользователем с root правами, только под непривилегированным пользователем, что исключает доступ к гипервизору через ВМ. Так же Горизонт позволяет запускать несертифицированные гостевые ОС в аттестованном контуре. |
|
Структура компонентов Горизонт-ВС и их взаимодействия между собой представлена на рисунке 5. 
...