151
В первом случае для работы с защищаемыми данными пользователь из
основной ОС запускает клиента терминального доступа. При этом на компью-
тере могут быть установлены средства защиты информации от несанкциони-
рованного доступа. Преимуществом данного способа является возможность
организации дополнительной защиты (шифрования) сетевого трафика путем
использования протокола IPSec (в ОС Windows XP) либо специализированных
СЗИ.
Во втором случае пользователь для работы с защищаемыми данными
загружает компьютер со специально подготовленного носителя (CD-ROM или
дискеты), на который записывается ОС Linux с клиентом терминального сер-
вера. Может быть применена бездисковая станция, загружаемая с сервера при
помощи сетевого адаптера, разрешающего удаленную загрузку. Отрицатель-
ным свойством этого решения является невозможность применения дополни-
тельных средств шифрования трафика. Причина заключается в том, что не из-
вестны сертифицированные средства защиты информации, загружаемые с
внешнего носителя или по сети.
Для обработки защищаемых данных пользователь запускает программу-
клиента терминала, регистрируется на терминальном сервере с использовани-
ем рядовой учетной записи. Особенностью настройки терминального сервера
является установка ряда запретов для пользователей, наиболее важным из ко-
торых является запрет использования совместного буфера обмена. Благодаря
данному запрету решается проблема несанкционированного копирования за-
щищаемых данных на носители рабочих станций. Пользователь терминала
может выделить и скопировать в буфер обмена терминальной Windows как
файл с данными, так и содержимое информационного окна. Однако операцию
вставки можно выполнить только в окне терминального сервера. В окне рабо-
чей станции возможность вставки из буфера будет заблокирована.
Таким образом, копирование всей защищаемой информации либо ее
части может быть осуществлено лишь на носители, физически подключенные
к серверу. Это накладывает некоторые ограничения на возможность экспор-
та/импорта данных, так как операции экспорта и импорта также осуществля-
ются только через носители, установленные на сервере. Основным преимуще-
ством является то, что все носители, включая внешние, на которых может ока-
заться полная или частичная копия защищаемых данных, расположены только
на сервере под контролем администратора. Это упрощает централизованный
антивирусный контроль и блокирует возможность появления вредоносных
программ.
Проблема образования технологического «мусора» на рабочих станциях
также решается автоматически. Для каждого терминального сеанса на сервере
создается временный каталог. Если установлены соответствующие настройки,
то по окончании сеанса этот каталог будет удален. Таким образом, технологи-
ческий «мусор» остается лишь на носителях терминального сервера.