Безопасные компьютеры
Корпоративная система предприятия, как правило, охватывает все стороны его деятельности: административную, производственную, финансовую. В ней содержатся сведения, касающиеся планов, договоров, состояния материальных и финансовых потоков, данные финансового и управленческого учета. Такого рода коммерческая информация носит сугубо конфиденциальный характер, а ее утрата может оказаться критичной для работы всего предприятия. Именно поэтому организация работы пользователей с содержащейся в системе информацией требует специальных мер защиты, обеспечивающих конфиденциальность, целостность и доступность данных. Сегодня во главу угла ИТ-департаменты ставят понятия «безопасность» и «надежность».
Терминальные решения DEPO Computers
Сегодня компании и организации выбирают решения, руководствуясь требованиями к непрерывности работы, безопасности, эргономичности и стоимости. Такие технические моменты, как тактовая частота процессора и объем памяти устройств, уже не играют столь важной роли, как раньше. При оснащении дополнительных мест для работы со стандартными офисными приложениями установка полнофункциональных ПК в ряде случаев нецелесообразна по экономическим, технологическим или организационным причинам. Централизация администрирования — достаточно характерная для последнего времени тенденция — приводит к тому, что технологии, использующие базу клиентских терминалов, переживают сейчас второе рождение. Так называемые тонкие клиенты становятся все более популярным решением среди заказчиков из самых разных сегментов — от небольших и средних компаний, стремящихся сэкономить средства и упростить администрирование сети, до крупных корпораций, для ИТ-служб которых обеспечение информационной безопасности — одна из основных забот.
Тонкий клиент — это устройство ввода и отображения информации, по сути интеллектуальный пульт управления программами и данными, находящимися на серверах. Все прикладные программы выполняются на терминальном сервере, но для пользователя все выглядит так, как будто он работает на обычном ПК — терминальный сервер имитирует среду настольной ОС. Тонкий клиент имеет следующие особенности:
- использует защищенную от взлома ОС размером от 10 Мбайт;
- компактен, полностью бесшумен, потребляет 10—20 Вт электроэнергии;
- не содержит подвижных деталей;
- имеет срок службы до 7 лет и не требует обслуживания;
- обеспечивает повышенную защищенность информации;
- легко внедряется в существующую ИТ-инфраструктуру наряду с офисными ПК.
Тонкие клиенты применяются в основном в организациях с ограниченным штатом ИТ-специалистов, с повышенными требованиями к безопасности данных, где большинство сотрудников используют компьютеры для выполнения однотипных задач: набор данных операторами, просмотр информации (библиотеки, школы, различные справочные бюро), офисная работа. Терминальные решения незаменимы в случае растущих потребностей в вычислительных мощностях, так как срок службы терминала в два-три раза превышает срок службы ПК, а для повышения его производительности требуется обновить только серверную часть (и гораздо реже среду передачи — вычислительную сеть).
Тонкие клиенты рекомендованы для применения в таких организациях, как государственные учреждения, силовые структуры; финансовые структуры, банки, страховые компании; медицинские учреждения, сфера услуг, транспортные и курьерские компании; производственные компании. Обычно на тонких клиентах выполняется работа с документами (Word, Excel, PowerPoint и т. п.), электронной почтой, Интернетом; на них работают системы автоматизации, ERP- и CRM-системы (SAP, Microsoft Dynamics, «1С» и т. п.), а также базы данных и электронные справочники.
Преимущества тонких клиентов
Экономия средств. Не требуется постоянная модернизация всего парка компьютеров с выходом более новых и ресурсоемких ОС и приложений. При желании нужно будет модернизировать только терминальный сервер и серверы баз данных. Терминалы не нуждаются в модернизации в течение длительного времени (7—10 лет). Лицензия терминального доступа дешевле настольной ОС, не нужны локальные антивирусы, сложное ПО для управления парком ПК, что значительно сокращает затраты. Снижается количество рутинных операций, а также перемещений ИТ-персонала для обслуживания подразделений. При использовании терминала не требуются ИБП для защиты от внезапного отключения питания, вся информация сохраняется на серверах.
Надежность. Использование серверной ОС и аппаратуры сервера повышает надежность работы и хранения данных. Выход из строя терминала, его утрата не повлекут за собой потерю или порчу данных на сервере.
Централизация. Все данные хранятся только на серверах, что упрощает процедуру резервного копирования, контроль версий ПО, контроль доступа пользователей. Все ПО находится на серверах, что упрощает администрирование. Пользователь никак не может повлиять на стабильность такой системы.
Эффективность. Загрузка процессора на компьютере в большинстве случаев не превышает 4—5%. Терминальная система с максимальной пользой задействует вычислительные ресурсы сервера, распределяя их между работающими в данный момент пользователями.
Бесшумная работа. Тонкие клиенты построены обычно с применением специальных технологий, что обеспечивает их бесшумную работу.
Снижение энергопотребления. Тонкие клиенты используют энергоэффективные процессоры, в них нет подвижных компонентов, и они потребляют всего 10% мощности обычного ПК
Быстрое развертывание и обновление приложений. В большой компании достаточно непросто распространять ПО для множества пользователей. При использовании тонких клиентов новое ПО устанавливается только на серверах и сразу же становится доступным сотням пользователей.
Устранение поддержки конечных узлов. ПК — источник аппаратных проблем и проблем локальных конфигураций. При использовании тонких клиентов администратору нет необходимости обходить пользовательские устройства для настройки системы, установки и ремонта программ, помощи в настройке приложений, замены сломанных деталей. Тонкие клиенты используют ОС терминального сервера, а приложения устанавливаются на серверах. Служба техподдержки может помогать пользователям посредством удаленного управления их терминальными сеансами. При выходе тонкого клиента из строя его легко заменить, и это может проделать сотрудник, даже не имеющий ИТ-образования.
Защита от вирусов. Тонкие клиенты не подвержены заражению вирусами, антивирусное ПО на них не устанавливается. Достаточно установить антивирусное ПО на серверы.
Защита от внутренних угроз. Отсутствие на клиентских машинах жестких дисков, флоппи-дисководов и приводов оптических дисков позволяет избежать несанкционированного копирования и выноса данных (при желании заказчика все приводы и жесткие диски можно подключить). Отсутствие непосредственной передачи данных по сети исключает их перехват. Все ПО устанавливается только системным администратором. При краже или изъятии обычного компьютера есть риск потерять важные конфиденциальные данные, хранящиеся на нем. Терминал гораздо менее привлекателен для воров, поскольку неприменим в домашних условиях, а данные на нем не хранятся.
Неконтролируемые действия пользователя терминала крайне ограничены — имеется только кнопка включения и выключения, но отключение терминала даже во время сеанса работы не ведет к потере данных. Пользователь получает доступ только к той информации, на которую имеет права, предоставленные ему администратором. Он не имеет никакой возможности установить и использовать «левые» программы. Попытка передачи любой информации через открытые каналы связи (Интернет) будет также прозрачна для системного администратора.
Одна из основных особенностей современных терминалов — системы аутентификации пользователей при помощи электронных ключей или смарт-карт. В этом случае данные о пользователе, включая имя и пароль, хранятся в памяти ключа (карты), а сам пользователь может их вообще не знать. При отсутствии ключа или карты получить доступ к пользовательским данным невозможно. При двухступенчатой аутентификации у каждого ключа (карты) имеется еще и PIN-код, не зная которого войти в систему также невозможно. Это обеспечивает защиту данных на случай утери или кражи ключа или карты.
Тонкие клиенты DEPO Sky
В 2007 г. компания DEPO Computers впервые представила свой новый продукт — тонкий клиент DEPO Sky, предназначенный для организации автоматизированных рабочих мест в компаниях малого и среднего бизнеса, крупных корпорациях и государственных учреждениях. Построение информационных систем на базе тонких клиентов обеспечивает высокий уровень безопасности информации, упрощает администрирование и сокращает затраты на обслуживание рабочих мест.
DEPO Sky 220 — платформа для построения терминалов на базе различных ОС: это может быть Linux- или Unix-терминал с загрузкой образа по протоколу PXE или же с локального носителя IDE-флэш. Выбор и эксплуатация ОС — зона ответственности заказчика. DEPO Sky 222 — классический тонкий клиент (Windows-терминал) для использования в терминальной среде Windows Server и Citrix MetaFrame (Presentation Server). Он реализован на новейшей аппаратной платформе, поддерживает протоколы RDP и ICA, а также удаленное управление настройками. Тонкий клиент DEPO Sky 222 полностью русифицирован и в отличие от импортных аналогов адаптирован под предложения российских разработчиков.
DEPO Sky 223 — тонкий клиент (Windows-терминал) на базе Windows XP Embedded, совместимый с платформой Win32, локально обрабатывает ПО, совместимое с Windows XP Pro (банк-клиент, ПО биометрии, Web-камеры), которое можно встроить в его ОС. Обладает всеми свойствами тонкого клиента, поддерживает RDP- и ICA-протоколы, полностью совместим с Citrix Presentation Server 4.5, системой «1C». Имеет полнофункциональный встроенный браузер Internet Explorer и медиаплеер. Тонкие клиенты на базе ОС Windows XP Embedded нашли широкое применение в тех же областях, что и классические тонкие клиенты на базе Windows CE .NET. Терминалами DEPO Sky 223 комплектуются рабочие места, на которых используются разнообразные периферийные устройства, работающие с драйверами Win32.
Модель DEPO Sky 223 построена на базе НМС CN700 и процессора VIA C7 Eden с минимально возможным энергопотреблением при частоте 1 ГГц. Модель оснащена 256 Мбайт оперативной памяти DDR2-533 и производительной видеоподсистемой VIA UniChrom Pro с 64 Mбайт видеопамяти. Поддерживается частота системной шины 400 МГц. Компактный эргономичный корпус DEPO Sky 223 предназначен для вертикальной установки на специальное ложе. На передней панели терминала расположена кнопка включения питания, два USB-порта и аудиоразъемы. На задней панели находятся порты для подключения монитора, клавиатуры и мыши, последовательный и параллельный порт, а также разъем для подключения к локальной сети. Питание DEPO Sky осуществляется от внешнего адаптера 100—240 В 60 Вт, потребляемая мощность составляет 7—15 Вт. С учетом низкого энергопотребления и отсутствия движущихся частей в DEPO Sky 223 реализована полностью пассивная система охлаждения, что делает эту модель совершенно бесшумной.
DEPO Sky 330 — модульное решение для построения офисных и встраиваемых вычислительных/управляющих устройств. Основное его отличие, оно же и преимущество, — это полностью безвентиляторное решение, с пассивным охлаждением и минимальным энергопотреблением (10—15 Вт). В качестве рекомендованных носителей информации предлагаются DOM (Disk-On-Module) или жесткий диск форм-фактора 2,5 дюйма. Есть возможность добавления полноразмерной PCI-карты. Поддерживаются основные ОС — MS-DOS, Windows XP Professional, Windows XP Embedded, Linux. В зависимости от комплектации этот тонкий клиент применяется в самых разных областях: например, как ПК для банковского сектора (локальной вычислительной мощности достаточно для выполнения большинства клиентских частей банковских ПО), а в варианте со второй сетевой картой — как ПК для работы в двух раздельных банковских сетях. Терминал может работать в запыленных средах, таких как текстильная пыль, которая губит вентиляторы за месяц, или в качестве управляющего устройства для вендинг-машин: например, аппараты по продаже товаров и приему платежей в большинстве своем используют Mini-ITX — системную плату с пассивным охлаждением, интегрированную в корпус, который крепится внутри аппарата. В случае интеграции с модемом PCI GSM может использоваться как шлюз между локальной сетью и Интернетом через GPRS-канал.
DEPO Sky 333 — решение на базе ОС Windows XP Embedded с заказной конфигурацией ПО. Принципиально отличается от предыдущих моделей возможностью аппаратного расширения за счет таких компонентов, как полноразмерная PCI-карта, жесткие диски форм-фактора 2,5 или 3,5 дюйма, оптический привод, 3,5-дюйм привод для флоппи-дисков, slim DVD-привод, оставаясь при этом в корпусе формата mini-ITX. DEPO Sky 333 использует современную системную плату VIA CN10000 на базе НМС VIA CN700 с интегрированным процессором VIA Eden 1 ГГц и большим радиатором для полностью пассивного охлаждения. Вся аппаратная часть производится под строгим технологическим контролем, что обеспечивает высокое качество и стабильность работы устройства в целом.
В зависимости от комплектации Sky 333 может использоваться как универсальный клиент, позволяющий работать автономно, временами подключаясь к удаленному серверу в терминальном режиме для обмена и синхронизации информации. При этом в ОС клиента встраиваются приложения заказчика для автономной работы. Другое применение — в качестве специализированного управляющего устройства для вендинг-машин, информационных киосков, устройств оплаты и т.д., с заказной аппаратно-программной конфигурацией, настроенной на выполнение функций основного агрегата. Разрабатывается на заказ инженерами DEPO Computers в соответствии с требованиями заказчика, что снимает проблемы при установке оборудования. В DEPO Computers эту модель называют супертрансформером и уверены, что такого «конструктора» больше нет ни у кого. В классе встраиваемых систем (Embedded Systems) и форм-факторе mini-ITX на сегодняшний день это одно из лучших решений по возможностям конфигурирования.
Программно-аппаратные решения «Аквариус»
В современных условиях залогом эффективной деятельности государственных структур, устойчивой работы промышленных предприятий, финансовых и коммерческих компаний становится обеспечение информационной безопасности. Принятый Госдумой Российской Федерации 8 июля 2006 г. Закон «О персональных данных» поставил перед госсектором и коммерческими предприятиями ряд конкретных задач, которые должны быть решены в ближайшее время. Положения нормативно-правовых актов, в частности постановления Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», переводят задачу защиты персональных данных в России в практическую плоскость.
Для обеспечения информационной безопасности и защиты персональных данных компания «Аквариус» предлагает следующие решения и услуги:
- изготовление и поставка АРМ со средствами защиты информации, сертифицированными ФСТЭК России и ФСБ России и соответствующими требованиям закона о персональных данных;
- поставка ПК со специальными проверками и исследованиями;
- установка общесистемного и антивирусного ПО, сертифицированного ФСТЭК России и ФСБ России;
- консалтинг по вопросам защиты информации, в том числе персональных данных;
- услуги по установке и настройке программных и программно-аппаратных средств защиты информации («Аккорд-АМДЗ», «Аккорд-NT/2000», «Соболь», Secret Net, «Криптон-замок», Secret Disk, АПМДЗ «Цезарь», iButton, Rutoken, eToken Windows Logon, «Страж-NT 2.5» и т. д.);
- шифрование трафика передачи данных на базе продукта ViрNet.
Стоит отметить, что компания имеет необходимые для работы по обеспечению защиты информации сертификаты, лицензии и разрешения, включая лицензии ФСТЭК и ФСБ РФ. Кроме того, сервисная сеть «Аквариус» — одна из крупнейших в России, она состоит из более чем 300 авторизованных сервисных центров. Помимо гарантийного и постгарантийного обслуживания, сервисные центры и сервисные партнеры оказывают комплексные услуги по модернизации компьютерной техники. Грамотный подбор комплектующих, высокая культура производства, полный входной контроль компонентов и тщательное тестирование собранной продукции — слагаемые, обеспечивающие качество компьютеров Aquarius. Обязательное 24-часовое тестирование в термокамере гарантирует безотказную работу компьютеров при температуре до +40°С.
Тонкий клиент Aquarius TCC S54
Решения на основе терминальных серверов и тонких клиентов существенно упрощают администрирование локальной сети, позволяют решить проблему безопасности и отказоустойчивости системы, сохранности конфиденциальных данных при минимальной совокупной стоимости владения и размерах терминала. Новый тонкий клиент Aquarius TCC S54 создан на базе процессоров VIA C3 с малым энергопотреблением, что позволило обойтись пассивной вентиляцией всех компонентов и получить бесшумно работающий продукт. Модель имеет компактный корпус, массу 1,4 кг, не требует высокопроизводительного дорогостоящего процессора, так как вся работа выполняется на сервере, а терминал — тонкий клиент — используется только для ввода и отображения информации. Поэтому TCC S54 комплектуется центральным процессором с тактовой частотой 1000 МГц, а набор микросхем VIA CLE266/VT823CD обеспечивает ему оптимальные производительность и функционал. Терминал оборудован жестким диском емкостью 128 Мбайт на основе флэш-технологии, имеет встроенный сетевой адаптер 10/100 Мбит, четыре порта USB, параллельный и последовательный порты, а также гнезда для подключения клавиатуры и мыши.
Тонкий клиент «Аквариус» — это комплексное решение, подразумевающее, помимо аппаратной части, методику настройки и специализированное ПО, основанное на ПО с открытым исходным кодом и обеспечивающее эффективное и быстрое взаимодействие с серверными ресурсами предприятия по протоколам Citrix ICA, Microsoft RDP, X11. Благодаря решению aQuaNix пользователь получает полный доступ к терминальному серверу и ко всем типам приложений, включая приложения Web.
Основные функции специализированного ПО AquariusAdminTC:
- автоматический поиск терминалов в сети;
- мониторинг и диагностика всего парка тонких клиентов с одного централизованного рабочего места;
- управление конфигурацией отдельного терминала через WebTop с удаленного рабочего места;
- группирование устройств согласно организационной структуре предприятия и управление конфигурацией группы;
- клонирование конфигурационной информации с одного тонкого клиента на другой или на группу тонких клиентов;
- ролевое управление терминалами или группами терминалов;
- установка обновлений специализированного ПО на отдельные устройства или группу устройств в терминальной сети;
- возможность отправки сообщений клиентам в терминальной сети.
Тонкий подход к терминальным решениям — aQuaNix PRO
Развитие бизнеса тесно связано с виртуальной средой. Появление новых технологий увеличивает число удаленных пользователей, которым требуется доступ к приложениям со специфической конфигурацией. В такой ситуации возрастает роль технологий тонкого клиента. Благодаря решению aQuaNix PRO пользователь получает полный доступ к терминальному серверу и ко всем типам приложений. Системы aQuaNix PRO, работающие на терминалах «Аквариус», — это оптимальное решение для доступа к среде Citrix Presentation Server, Microsoft RDP и Linux/Unix. Удобная система управления терминальной средой предоставляет все основные функции, необходимые для администрирования тонких клиентов, в том числе поиск терминалов в сети и отображение конфигурации тонких клиентов, объединение терминалов в группы с единой конфигурацией, ролевое управление и удаленное обновление ПО.
Ноутбук для агента 007
В основе сотрудничества компаний «Аквариус» и Aladdin лежит стремление повысить уровень безопасности конфиденциальных и приватных данных, хранящихся и обрабатываемых на ноутбуках. По данным экспертов по информационной безопасности, наибольшее количество утечек конфиденциальной информации (около 50%) связано с мобильными устройствами, и такие утечки влекут за собой серьезные убытки как для самих пользователей мобильных компьютеров, так и для работодателей. Наиболее надежным решением для защиты данных на мобильных носителях считается шифрование и использование электронного ключа для аутентификации при входе в систему. Данный метод дает гарантию того, что даже в случае хищения самого ноутбука информация не будет прочитана или скопирована злоумышленником. Согласно OEM-соглашению между "Аквариус" и Aladdin, любая модель ноутбуков Aquarius по пожеланию заказчика может быть оснащена системой защиты Secret Disk 4, обеспечивающей защиту конфиденциальной информации и персональных данных, хранящихся и обрабатываемых на ноутбуке, от несанкционированного доступа и раскрытия, когда есть риск кражи ноутбука, утери или несанкционированного использования.
Secret Disk 4 обладает следующими возможностями:
- шифрование системного раздела, разделов на жестких дисках, томов на динамических дисках, виртуальных дисков и съемных носителей;
- аутентификация пользователя по USB-ключу eToken для загрузки ОС и доступа к зашифрованным данным;
- восстановление доступа к данным в случае утери USB-ключа;
- защита данных от сбоев во время операций шифрования, включая перебои электропитания;
- режим энергосбережения для ноутбуков;
- поддержка «спящего» режима с сохранением образа оперативной памяти в зашифрованном виде; в зашифрованном виде сохраняется и образ памяти, записываемый ОС на жесткий диск в случае фатальных ошибок;
- блокирование компьютера в перерывах между работой и автоматическое отключение зашифрованных дисков при отсоединении eToken;
- при корпоративном использовании — запрет доступа по сети к зашифрованным данным для всех пользователей, включая системного администратора.
Линейка продуктов Secret Disk включает решения для корпоративного или личного использования (для госучреждений предлагается специальная версия — Secret Disk NG 3.1 с сертификатом ФСТЭК). Стоимость Secret Disk 4, установленного на ноутбук Aquarius, существенно ниже розничной цены продукта, что обеспечивает выгодные условия приобретения для покупателей, заботящихся о сохранности как корпоративных данных, так и личной информации.
Кроме того, «Аквариус» и Aladdin представили на рынок аQua-CryptoAll — персональный ноутбук бизнес-класса Aquarius с системой защиты данных Aladdin. Согласно заявлению разработчиков, выпуск совместного комплексного решения продиктован ростом уровня угроз, связанных с утечками конфиденциальной информации, хранящейся на мобильных носителях. В аQua-CryptoAll возможности современного мощного ноутбука корпоративного класса Aquarius сочетаются с преимуществами проверенных временем технологий защиты информации Aladdin. В состав решения входит ноутбук Aquarius NE515 на базе Intel Centrino 2 с предустановленной и настроенной системой защиты конфиденциальной информации производства Aladdin — Secret Disk 4 в комплекте с защищенным носителем информации USB-ключом eToken NG-Flash (флэш-памятью объемом от 1 до 4 Гбайт).
Решение аQua-CryptoAll предназначено для директоров и владельцев бизнеса, руководителей высшего и среднего звена, хранящих на своих ноутбуках и съемных носителях конфиденциальные данные и ценную информацию. Оно также будет полезным для сотрудников компаний, работающих с персональными данными и с любой другой информацией, подлежащей защите. Известно, что риск кражи ноутбуков и носителей с конфиденциальной информацией значительно больше при разъездном характере работы. Решение аQua-CryptoAll существенно повысит уровень защиты для сотрудников, регулярно бывающих в командировках или работающих вне офиса. Комплексное решение аQua-CryptoAll гарантирует надежную защиту всей информации, хранящейся на ноутбуке, включая системную область и данные во флэш-памяти. Даже в случае кражи или потери ноутбука или защищенного носителя злоумышленник не сможет получить доступ к информации.
Защищаемые данные на жестком диске ноутбука и съемных носителях всегда хранятся в зашифрованном виде. При чтении с зашифрованного диска происходит автоматическое и незаметное для пользователя расшифрование данных, а при записи на зашифрованный диск — их шифрование. Все операции первоначального шифрования и последующего перешифрования дисков проводятся в фоновом режиме, с возможностью приостановки и продолжения операции в любое удобное время. Это обеспечивает быстрый запуск системы и не влияет на производительность компьютера. Важное условие обеспечения защиты — раздельное хранение ноутбука и USB-ключа eToken. Но даже если ключ утрачен вместе с ноутбуком, дополнительным рубежом защиты данных станет персональный PIN-код. Входящий в состав комплекта USB-ключ eToken можно также применять в любом приложении для дополнительной аутентификации.
Построение защищенных сетей
Сотрудничество «Аквариус» с ведущими производителями средств защиты информации позволяет предложить заказчикам широкий спектр решений и услуг для обеспечения информационной безопасности и защиты персональных данных. Для комплексного решения задач информационной безопасности компания «Аквариус» выполняет поставку и настройку средств построения виртуальных частных сетей (VPN), а также подбор оптимальной конфигурации аппаратной платформы для межсетевых экранов и криптомаршрутизаторов на базе серверов Aquarius. Так, совместно с бизнес-партнером компанией «Инфотекс» было создано решение для построения защищенных сетей на базе продукта ViPNet Custom 3.0 и серверов Aquarius. Телекоммуникационные серверы AquaServer T40 S42 с процессором Intel Core 2 Duo — оптимальное по функциональности и стоимости владения решение для обслуживания до 100 клиентов на одном криптошлюзе. Более мощный сервер AquaServer T50 D55 с двумя двухъядерными процессорами Intel Xeon — надежная платформа для высокопроизводительных, в том числе кластерных, криптошлюзов ViPNet Coordinator.
Напомним, что двухпроцессорная модель AquaServer T50 D55 создана на основе самых современных технологий: один или два многоядерных процессора Intel Xeon серии 5400 с частотой до 2,83 ГГц и кэш-памятью до 12 Мбайт, системная шина на частоте до 1333 МГц. Выполненный в корпусе форм-фактора 1U сервер обладает большой вычислительной мощностью и демонстрирует один из лучших показателей по плотности вычислений на единицу площади. Рост его производительности достигает 80% на приложениях, адаптированных к параллельным вычислениям (в среднем 50%), показатель производительность/ватт улучшен на 43% в сравнении с предыдущими поколениями процессоров Intel Xeon. AquaServer T50 D55 оптимален в качестве сервера баз данных, приложений, электронной почты, файл-сервера, сервера резервного копирования, сервера авторизации или для работы в составе вычислительного кластера. Его также можно использовать в составе решения для обеспечения информационной безопасности, антивирусной защиты, как средство кэширования трафика и ведения статистики состояния сети.
Измеряемая при демонстрации производительность криптошлюзов на базе серверов Aquarius Server T50 D55 с установленной ОС Windows 2003 Server достигала скорости 840—850 Мбит/с. При использовании специально подготовленной Linux-подобной ОС этот параметр обещает быть еще выше. Такая скорость позволяет применять указанные криптошлюзы в качестве корпоративных решений, к которым предъявляются самые жесткие требования по пропускной способности. В ближайшем будущем также планируется выпустить отказоустойчивый кластер криптошлюзов ViPNet Coordinator на базе серверов Aquarius.
Комплексные решения Kraftway
В последнее время наметилась тенденция перехода российских компаний на централизованную модель вычислений. Поэтому компания Kraftway, пополнив свой товарный портфель двумя моделями терминальных станций, продолжила работать в этом направлении, чтобы предложить российским заказчикам выбор оптимальных программных платформ в зависимости от потребностей их бизнеса. По оценкам зарубежных аналитических агентств, применение терминальных систем во многих случаях снижает стоимость владения на 5—40%, а наши эксперты считают, что для отечественного рынка эти цифры далеко не предел. Именно этим объясняется рост популярности терминальных решений.
Терминальные станции (тонкие клиенты) Kraftway Credo представляют собой бездисковые компактные ПК, к которым подключаются обычные периферийные устройства — клавиатура, мышь, монитор, акустические системы и т. п. Тонкие клиенты через локальную сеть соединяются с сервером, на котором установлено все системное ПО и исполняемые приложения, хранятся все необходимые данные и выполняются все вычисления. Пользователь, за каким бы терминалом он ни работал, будет воспринимать его как свой компьютер, поскольку на экране монитора он увидит именно свой рабочий стол и свои документы. Преимущества такой централизованной модели вычислений очевидны — это экономия средств на сопровождение, эксплуатацию и модернизацию оборудования, простота настройки и администрирования, надежность и защита данных, минимизация потерь и утечек данных, компактность и мобильность внутри организации. Мощность же всей системы определяется мощностью центрального звена — терминального сервера.
Терминальная станция Kraftway Credo VV12 — это экономичное и в то же время эффективное решение для построения ИТ-инфраструктуры предприятия, учебных классов, офисных терминальных систем. Эта модель не имеет в своем составе жестких и оптических дисков, флоппи-дисководов, вентиляторов охлаждения, поэтому терминальные станции Kraftway Credo VV12 превосходят ПК по таким параметрам, как бесперебойность работы, эргономичность и энергопотребление; кроме того, они абсолютно бесшумны. На терминалах не хранятся пользовательские данные, поэтому их повреждение практически исключено: достаточно один раз настроить резервирование данных на сервере. Терминальная станция Kraftway Credo VV23 использует процессор VIA С7, поддерживающий технологию шифрования данных VIA PadLock, а наличие четырех COM-портов (RS-232) позволяет подключать к этой терминальной станции множество внешних устройств, что часто необходимо для POS-систем и торговых терминалов. Использование терминальной сети значительно снижает расходы на оборудование, администрирование и обслуживание подобных систем.
Каждая терминальная станция имеет защиту от модификации программно-аппаратной части. Загрузка ОС выполняется только после успешного тестирования оборудования, идентификации пользователя, проверки компонентов и конфигурации ОС. За счет этого не допускается подмена компонентов для получения несанкционированного доступа к информации с помощью не доверенных или модифицированных программных или аппаратных средств. Данную модель можно использовать для построения защищенных (в том числе удаленных) рабочих мест, например, для безопасной дистанционной работы в филиалах организаций, для работы из дома, в помещениях, не требующих обязательных условий контроля и ограничения доступа.
Терминальные станции на основе Windows CE 5.0
Выпустив на рынок терминальный клиент на основе новой версии OC Microsoft Windows CE 5.0, Kraftway стала первой и на тот момент единственной российской компанией, представленной в соответствующем каталоге решений Microsoft с собственной версией терминальных станций на основе данной ОС. Разработка и продвижение серверно-терминальных комплексов, все шире использующихся российскими предприятиями для создания защищенных корпоративных информационных систем, признаны одним из приоритетных направлений работы Центра компетенции Kraftway. Помимо активного применения в бизнесе, такие комплексы с успехом используются при создании учебных классов, расчетно-кассовых центров, в Интернет-кафе — везде, где большое количество пользователей решает задачи, не требующие особой производительности клиентской системы, и заказчики предъявляют повышенные требования к защищенности своих данных. Заметим, что одна из главных задач Центра компетенции — адаптация новых технологий и предложение пользователям как можно более широкого выбора терминального ПО, оптимально отвечающего их потребностям. Необходимость дополнения существующих решений на базе ПО с открытым кодом собственной версией терминального клиента на базе ПО Microsoft была продиктована запросами корпоративных клиентов, принявших продукты Microsoft в качестве корпоративного стандарта.
В ОС Windows CE 5.0, используемую в моделях терминальных станций Kraftway, вошел ряд новых и улучшенных технологий, увеличивающих производительность и надежность устройств. Среди них:
- новая версия протокола RDP, повышающая устойчивость и производительность работы с терминальным сервером;
- Microsoft Internet Explorer версии 6.0 для Windows CE 5.0 с поддержкой HTML 4.01, DHTML, CSS1 и CSS2, cookies, Imaging;
- расширенные мультимедийные функции — Direct3D Mobile для запуска мультимедийных, игровых и других приложений;
- повышенная безопасность — прогнозирование опасностей, настройки безопасности по умолчанию, поддержка стандарта шифрования AES и SSPI (Kerberos и CryptoAPI);
- поддержка протокола подключения к терминальному серверу Citrix.
Тонкие клиенты Kraftway на базе Microsoft Windows CE 5.0 обладают рядом существенных преимуществ. Например, большое количество видеорежимов (разрешение до 1280х1024 с частотой обновления экрана до 85 Гц, 32-битный цвет) позволяет подключать практически любые модели мониторов, создавая комфортные условия для работы пользователя. Все настройки тонкого клиента защищены паролем, доступ к конфигурации имеет только системный администратор. Немаловажно, что встроенную ОС можно безопасно обновлять через локальную сеть или Интернет (через защищенное соединение с ftp-сервером). Кроме того, специалисты Kraftway способны модифицировать ядро тонкого клиента под конкретные требования заказчика, добавить или удалить сервисы, изменить оболочку тонкого клиента, обеспечить поддержку нужных заказчику специализированных устройств.
Одновременно с завершением разработки собственной версии ПО для терминальных станций на основе Windows CE 5.0 Kraftway объявила о поддержке на своей 64-разрядной платформе GEG Express 400 и G-Scale серверной ОС Microsoft Windows Server 2003 x64 Edition, позволяющей подключать существенно больше терминальных пользователей, чем ранее. При использовании пакета программ Microsoft Office рост числа клиентов может составить до 80% по сравнению с 32-разрядной версией серверной ОС. При этом 32-разрядные приложения исполняются в режиме WOW64, что обеспечивает высокую скорость их выполнения и прекрасную совместимость клиентского и серверного ПО при существенном росте скорости доступа к дискам и пропускной способности в целом. Если четырехпроцессорный сервер GEG Express 400 под управлением 32-разрядной ОС Windows Server 2003 позволяет одновременно подключить до 280 пользователей в терминальном режиме, при переходе на 64-разрядную версию число пользователей увеличивается до 500—700 (в зависимости от используемых процессоров и конфигурации сервера). Более того, если для 32-разрядной системы узким местом было ограничение размера используемой памяти, то в случае 64-разрядной системы эффективность зависит только от производительности процессоров.
Электронные ключи для терминалов Kraftway
Для аутентификации на терминалах Kraftway служат электронные ключи eToken производства компании Aladdin. Использование электронных ключей eToken, предназначенных для двухфакторной аутентификации при доступе к защищенным ресурсам, а также для безопасного хранения ключевой информации, профилей пользователей и других конфиденциальных данных, стало отличительной чертой терминальных решений Kraftway. Архитектура электронного ключа eToken базируется на встроенной микросхеме смарт-карты, а также на криптографическом ядре, что обеспечивает высокую степень защищенности хранимых на eToken данных. Ключи изготавливаются как в форм-факторе смарт-карты, так и в виде USB-устройства, напрямую подключаемого к USB-порту компьютера. Для аутентификации пользователя применяется цифровой сертификат Х.509, установленный на eToken, что позволяет полностью отказаться от потенциально слабой процедуры аутентификации по имени/паролю и перейти к электронным ключам как единому универсальному средству безопасного доступа к компьютерным системам предприятия. Связанный с сертификатом закрытый ключ шифрования хранится в защищенной памяти, доступ к которой имеет только встроенный в eToken криптопроцессор. Для выполнения криптографических операций с закрытым ключом пользователь должен ввести персональный PIN-код. Все это обеспечивает безопасный доступ к данным.
Необходимость интеграции электронных ключей eToken в терминальные решения Kraftway обусловлена объективными требованиями рынка. В качестве основных потребителей усовершенствованных моделей тонких клиентов в Kraftway видят финансовые институты, страховые компании, банки. Для подобных структур, имеющих разветвленную региональную сеть, информационная безопасность — один из важных вопросов нормального функционирования. Использование терминальных технологий в филиалах позволяет повысить безопасность системы, исключив хранение и обработку данных непосредственно на рабочих местах и в самом филиале, и сконцентрировать ресурсы для защиты вычислительного центра головного офиса. Особый эффект повышения безопасности дает сочетание технологий тонкого клиента и двухфакторной системы аутентификации.
Модернизация систем и повышение безопасности
Сервис крупных производителей компьютерного оборудования предполагает не только поддержку в гарантийных случаях, но и постоянную модернизацию систем через обновления ПО, драйверов и прошивки (firmware). Прошивка выступает как посредник между аппаратной составляющей компьютера и ОС, отвечая за бесперебойную работу всех узлов станции. Новая версия прошивки и встроенного ПО v3.1.0 для терминальных станций Kraftway предоставляет пользователям и администраторам ряд новых функций. Для локального администрирования был создан «безопасный» режим загрузки, его характеризует SVGA-режим с разрешением экрана 800×600, доступ к командной строке, доступ к локальному администрированию через Web-интерфейс. Доступ в безопасный режим защищен паролем. В целях безопасности Web-интерфейс локальных настроек и доступ к командной строке в режиме пользователя отключен.
В Kraftway Linux Terminal реализуются современные подходы к созданию безопасного подключения к терминальной сессии на основе многоуровневой аутентификации пользователя с помощью ключей eToken. Поддерживается подключение по протоколам RDP и Citrix. Организовано регулирование доступа пользователей к USB-носителям, есть возможность подключения USB-носителей в режиме «только чтение». В версии 3.1.0 расширены возможности дистанционного управления терминальной станцией: к функциям дистанционного администрирования (по Web-интерфейсу) теперь добавлена возможность удаленного обновления встроенного ПО (прошивки) станции. Администраторы по достоинству оценят основательный подход к сбору и анализу статистики сетевого трафика, реализованный в этой версии прошивки. Помимо сбора данных о количестве переданных и полученных пакетов создан график сетевого интерфейса, благодаря которому можно в режиме реального времени отслеживать изменение нагрузки на интерфейс. Таким же образом отображается информация о локальной нагрузке на процессор и оперативную память. Эти данные доступны и удаленно.
Подготовленный заранее сценарий подключения позволяет администраторам отгородить пользователей от излишних действий и организовать рабочие места так, чтобы пользователю для входа в свою сессию было достаточно включить терминальную станцию. Это особенно востребовано при применении терминальных станций в качестве информационных терминалов. Кроме того, в Kraftway Linux Terminal расширены возможности работы с периферийным оборудованием: принтерами, сканерами, различными USB-, COM-, LPT-устройствами. Станция может выступать в роли сервера печати и сканер-сервера.
Регулярное обновление прошивки и встроенного ПО — один из ключевых моментов сервисной поддержки компании Kraftway. В результате сочетания всех факторов терминальные станции Kraftway Linux Terminal сохраняют лидирующее положение на рынке.
Защищенные компьютеры «Базальт»
В прошлом году компания Kraftway представила новый продукт — специализированные ПК «Базальт», предназначенные для предприятий с повышенными требованиями к защите данных, включая организации, обрабатывающие конфиденциальную информацию. Серия ПК «Базальт» в первую очередь предназначена для использования в защищенных информационных системах государственных учреждений и крупных частных компаний. Компьютеры имеют сбалансированную конфигурацию и оптимизированы для безопасного выполнения операций шифрования, электронной цифровой подписи документов, обработки конфиденциальной информации. Встроенные аппаратные средства защиты совместно с ПО контроля доступа позволяют применять эти модели в автоматизированных системах до класса 1Г включительно. Все модели специализированной серии «Базальт» содержат независимый аппаратный генератор (датчик) случайных чисел, который может применяться в криптографических приложениях.
В соответствии с задачами и размерами предприятий модельный ряд защищенных компьютеров Kraftway представлен несколькими видами устройств. Компонентная база «Базальт 01» проходит дополнительное тестирование и ориентирована на работу как с офисными, так и с аналитическими приложениями. Встроенный модуль доверенной загрузки и специальное ПО управления доступом позволяют применять компьютер для обработки персональных данных и другой конфиденциальной информации. «Базальт 02» — продукт эволюционного развития ПК «Базальт 01», в этой модели реализовано ускорение российских криптографических алгоритмов и функций, что позволяет безопасно выполнять необходимые вычисления с высокой производительностью. Система сбалансирована как для эффективной работы с типовыми офисными приложениями, так и для обработки данных в защищенных автоматизированных системах с использованием электронной цифровой подписи. Функциональные возможности позволяют применять «Базальт 02» в государственных учреждениях и коммерческих структурах, устанавливающих повышенные требования к производительности и безопасности процессов обработки информации.
Серия «Базальт ВР» представляет собой расширение модельного ряда ПК «Базальт». Эти компьютеры оснащены встроенным аппаратным модулем доверенной загрузки «Аккорд» разработки ОКБ САПР, отвечающим за контроль состояния аппаратного и программного обеспечения и идентификацию пользователя. Компьютерная система сбалансирована для эффективной работы как с типовыми офисными приложениями, так и для обработки данных в защищенных автоматизированных системах с применением электронной цифровой подписи и шифрования. «Базальт ВР» рекомендован к использованию в государственных учреждениях и коммерческих структурах, устанавливающих повышенные требования к производительности и безопасности процессов обработки информации.
Терминальная станция «Базальт ВТ» — это защищенная серия безопасных тонких клиентов, оснащенных модулем «Аккорд». Каждая терминальная станция имеет защиту от модификации программно-аппаратной части. Данная модель может использоваться для построения защищенных, в том числе удаленных, рабочих мест, например, для безопасной дистанционной работы в филиалах организаций, для работы из дома, в помещениях, не требующих обязательных условий контроля и ограничения доступа.
И, наконец, новая терминальная станция «Базальт ВС», разработанная Kraftway совместно с ОКБ САПР, позволяет создавать защищенные терминально-серверные решения в соответствии с требованиями российского законодательства по защите персональных данных, государственной и коммерческой тайны. Продукция «Базальт ВС» может применяться для организации рабочих мест при работе с информацией, требующей защиты от несанкционированного доступа, такой как персональные данные (в рамках исполнения федерального закона), коммерческая тайна, государственная тайна.
Новые специализированные ПК и терминальные станции Kraftway отвечают всем требованиям и условиям развивающегося рынка информационной безопасности. Качество техники при больших объемах поставки обеспечивается благодаря многоступенчатому контролю на всех стадиях производства на новом высокотехнологичном заводе компании в Обнинске.