ЕГАИС – повышение информационной безопасности рабочих мест

Обеспечение информационной безопасности – это системный вопрос и программно-аппаратный комплекс ЕГАИС – не исключение. Учитывая, что в текущих условиях рабочее место кассира (а это целый комплекс: касса, универсальный транспортный модуль и т.п.) получает выход в Интернет, очевидно необходим комплекс мероприятий по повышению защищенности каждого элемента этого комплекса.

Рассмотрим один из элементов системы — программную платформу, в составе операционной системы и специализированного программного обеспечения ЕГАИС. В качестве операционной системы используем ориентированную на розницу (иначе говоря – ритейл) Microsoft Windows Embedded POSReady 7 (о которой писали в отдельной статье) в которой активируем встроенные защитные системы.

Описанное далее, для опытных пользователей и администраторов операционных систем и прикладного программного обеспечения наверняка покажется очевидным, однако некоторые практические аспекты использования возможности операционных систем будут интересны и им.

Начнем с очевидного:
— должны быть созданы различные пользователи – условно «User» и «Administrator» — пользователи имеющие принципиально различные права на управление операционной системой. «Administrator» может вносить изменения в перечень прикладного программного обеспечения и настройки системы. «User» — должен взаимодействовать с заранее определенным перечнем программ;
— очень удобно использовать AppLocker – простой и гибкий механизм, позволяющий администраторам системы настраивать список приложений, допущенных к использованию в рамках данного рабочего места;
— даже если вы не инсталлируете антивирусного программного обеспечения – обратите ваше внимание на то, что в операционной системе имеется встроенный «Защитник Windows» который обеспечивает защиту, как минимум, от «троянов»;
— конечно необходимо настроить «Windows Firewall».

С него и начнем.

Windows Firewall

Как и написано в описании этой компоненты – она помогает предотвратить несанкционированный доступ к данному компьютеру. Как бы вы не относились ко встроенной Firewall — ее использование существенно увеличит надежность работы, если ее правильно настроить. Мы предполагаем, что программно-аппаратный комплекс ЕГАИС будет работать не в корпоративной сети, где администраторы уже предприняли ряд мер для предупреждения внешних угроз, а в так называемой «Общественной сети». Поэтому надо внимательно настроить Firewall:

image

Рис. 1

Видно, что для Общественной сети мы заблокировали все входящие подключения. Кроме того, можно настроить индивидуальные правила для входящих и исходящих соединений. К примеру: известно, что для отправки данных от компьютера до сервера ЕГАИС должен быть открыт исходящий порт ТСР 443. Это легко можно настроить в режиме уточнения:

image

Рис. 2

Указанные манипуляции можно выполнить и для иных компонент программной части комплекса ЕГАИС или учетной подсистемы заказчика – например для кассового решения.

Теперь расскажем более подробно о специфических возможностях самой операционной системы.

Фильтр диалоговых окон

Часто у пользователя возникает желание запустить приложение, не предназначенное для ежедневной работы. Например, Windows Media Player, RDP и т.д. Одним из способов блокирования возможности использования такого рода приложений позволяет фильтр диалоговых окон. Основная его функция – отключение любых уведомлений, выводящихся на экран работающей системы, но можно его использовать и в другом качестве.
Этот фильтр является дополнительным пакетом и легко инсталлируется в систему при помощи утилиты DISM (примечание: здесь и далее рассматривается один из многих способов использования утилит и встроенных возможностей):

DISM /Online /Add-Package /PackagePath: Е:\DS\winemb-dialog-filter.cab

Причем, это можно сделать прямо на работающей системе (параметр: /Online). Далее запускаем Windows Media и из командной строки запускаем редактор диалоговых окон DialogFilterEditor.exe:

image

Рис. 3
Находим приложение, например, Windows Media, дважды кликаем на нем и определяем правила действий с этим приложением – «Закрыть»:

image

Рис. 4

Сохраняем конфигурацию отредактированного фильтра диалоговых окон, закрываем все открытые нами приложения, запуск которых мы блокировали. Добавляем запуск фильтра диалоговых окон в Автозапуск.
Для этого редактируем реестр:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ‐ мы добавляем DialogFilter.exe в перечень программ, которые запускаются при загрузке для всех пользователей.

Клавиатурный фильтр

Одним из путей защиты от случайных или преднамеренных воздействий пользователя на систему и работающие в ней приложения – является использование встроенного клавиатурного фильтра. Этот фильтр так же является дополнительным пакетом, который надо загрузить в систему. Делается это аналогично загрузке фильтра диалоговых окон, но используется E:\DS\winemb-keyboard-filter.cab. После загрузки, в командной строке, с правами администратора, открываем редактор групповых политик Gpedit.msc.
Далее нам необходимо выйти в секцию Computer Configuration\Administrative Templates\System\Keyboard Filter. Для примера – выбираем секцию Security Keys и в ней блокируем каждое действе пользователя (Рис. 6)

image

Рис. 5

image

Рис. 6

Состояние «Включить» – сообщает о том, что данная комбинация клавиш – заблокирована.
Таким образом мы существенно ограничили возможности пользователя для манипулирования системой. Понятно, что блокировки клавиш можно и продолжить.

Обновления безопасности

Стандартное явление — пользователи забывают, что операционная система – развивающийся организм. Обычно, после инсталляции системы, не выполняются работы по обновлению системы. Это серьезная ошибка! Особенно, если дело касается систем типа комплекса ЕГАИС – именно в этом случае надо уделять особое внимание обновлениям, касающимся выявленным уязвимостям операционной системы и приложений.
Обычно этот процесс не выполняют автоматически – только под управлением администратора. Это связано с тем, что обновления могут затронуть функциональность используемого прикладного программного обеспечения. Чтобы исключить такую возможность – можно оставить за собой право ставить только те обновления, которые касаются безопасности (из анализа контекста):

image

Рис. 7

В рамках данной статьи мы не претендуем на раскрытие всего многообразия подходов к повышению устойчивости и надежности работы программно-аппаратного комплекса ЕГАИС. Однако, приведенные выше рекомендации могут существенно упростить первые шаги в направлении надежно работающей системы. Да и еще – все описанное было выполнено штатными средствами компании Microsoft, входящими в состав операционной системы Microsoft Windows Embedded POSReady 7.
  • –7
  • 5,2k
  • 9

Кварта Технологии

22,44

Дистрибутор и интегратор встраиваемых технологий

Поделиться публикацией
Комментарии 9
    0
    При чем тут ЕГАИС и зачем запрещать пользователю блокировать POS-терминал?
      0
      К ЕГАИС это имеет самое непосредственное отношение. Как, используя имеющиеся средства (подчеркиваю — имеющиеся) — существенно увеличить надежность работы терминала. Минимизация времени простоя — это будет главным в обслуживании алкогольной продукции. В статье не предлагается панацея — только соображения здравого смысла и реальный опыт.

      По поводу блокировки терминала — а собственно зачем кассиру его блокировать? Админ — да, наверное?! Он на то и уполномочен.
      Остальные — делают только то, что необходимо для рабочего процесса. Наверное так.
        0
        Блокировать терминал иногда нужно за тем же, зачем и запирать денежный ящик.
          0
          Собственно и не спорю — понятно, что это сделано для исключения доступа посторонних лиц.
          Вопрос в другом — и сам пользователь может нанести «нечаянный» вред программной среде разными комбинациями клавиш, если они не заблокированы. Т.е. типично — что-то нажали, что-то «вылезло» — что-то «нажали» — и теперь — "… да всегда все не работает". Вот этого не хочется. Надо оставить «нужные комбинации» — остальные убрать. Это не сложно.

          Да и манипуляции персонала — даже с инсталлированными программами — наверное не всегда полезно для бизнеса.
      0
      У вас текст на скриншотах немного того, нечитаемый
        0
        Исправили, теперь читаемый.
          0
          Теперь еще хуже.
            0
            Выглядит лучше, но читается все равно с трудом
              0
              Мы хотели просто, слегка, проиллюстрировать выполнение команд, которые достаточно подробно описаны.

              Пожалуйста, попробуйте выполнить описанные действия и Вам станет понятна каждая приведенная картинка.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое