![](https://habrastorage.org/storage2/26d/296/aa7/26d296aa7cf03c8f28ce98bedb17aa37.png)
Существует множество программно-аппаратных средств защиты информации и доверенной загрузки, но сейчас речь пойдет о модуле Аккорд-АМДЗ (аппаратный модуль доверенной загрузки), интегрированного в решение по консолидации CAD-систем. Модуль Аккорд устанавливается в удаленную графическую станцию и перехватывает загрузку операционной системы. А аутентификация пользователя производится на PCoIP-терминале с помощью персонального средства криптографической защиты ШИПКА (Шифрование, Идентификация, Подпись, Коды Аутентификации), которое также можно использовать и для аутентификации при входе в домен.
Аппаратная составляющая серверной части решения
Модуль Аккорд-АМДЗ устанавливается в рабочую станцию, находящуюся в ЦОД в пределах локальной сети предприятия. Форм-фактор графической станции может быть различный.
![](https://habrastorage.org/storage2/2b8/1f8/162/2b81f81620d1fd8cb51299dd99b9a2ae.jpg)
![](https://habrastorage.org/storage2/623/346/b12/623346b12ca929eafbbddacfe6a52e8a.jpg)
1U-платформа, в свою очередь, отличается меньшей стоимостью, более надежной локальной дисковой подсистемой и возможностью устанавливать до двух карт NVIDIA Quadro или Tesla.
В качестве 1-процессорного решения была разработана более бюджетная модель графических станций в стоечном исполнении — это DEPO Race C250S2U.
![](https://habrastorage.org/storage2/81d/38a/0cf/81d38a0cf0544427549676584ffb9f5e.jpg)
![](https://habrastorage.org/storage2/997/9ee/215/9979ee21518759ef0acec48bc53e3f71.jpg)
Система охлаждения корпуса реализована двумя 80мм вентиляторами спереди и одним 70мм сзади. При эксплуатации рабочей станции в более жестких температурных условиях есть возможность дополнительно установить сзади корпуса два 40мм вытяжных вентилятора.
Дисковая подсистема строится из 4 дисков без возможности горячей замены — 2 спереди и 2 сзади.
Блок питания имеет горизонтальный продув 80мм вентилятором. БП с 120мм вентилятором в этот корпус не подходят — это связано с расположением блока в корпусе.
Передняя панель оснащена съемным пылевым фильтром. Также имеются отсеки для установки оптического привода и карт-ридера.
Состав СЗИ
![](https://habrastorage.org/storage2/f64/07b/a3b/f6407ba3b954f4fc9f21ddef0ece9573.jpg)
Ключи ШИПКА имеют интерфейс USB и бывают двух типов: первый для доверенной загрузки ОС — он используется пользователем и второй для администрирования и настройки.
Принцип действия
Рабочая станция включается удаленно с помощью PCoIP-терминала. Перед загрузкой ОС Аккорд перехватывает управление. На этот момент хост-карта активирована и уже обеспечивает полную связь рабочей станции с терминалом. На экране появляется следующий запрос:
![](https://habrastorage.org/storage2/ca6/ab1/3f0/ca6ab13f07d558855b4f9e263ba9d092.jpg)
Далее необходимо вставить ключ-идентификатор ШИПКА в любой USB-порт PCoIP-портала.
Система произведет идентификацию ключа и запросит пароль.
![](https://habrastorage.org/storage2/ce0/42d/00e/ce042d00e4f6e49aac5911e7997ca511.jpg)
Если был вставлен пользовательский ключ, то при корректной аутентификации произойдет запуск операционной системы. Если же мы использовали ключ администратора, то увидим следующее окно:
![](https://habrastorage.org/storage2/e7c/19e/006/e7c19e0064eabd6b82eb309fc65a6de1.jpg)
Выбрав «Администрирование» мы попадаем в меню настройки модуля Аккорд.
![](https://habrastorage.org/storage2/7cf/99f/78a/7cf99f78a6ef35df9a0079fe35c81f1b.jpg)
Здесь можно настроить обеспечение контроля за целостностью как отдельных файлов, так и целых директорий. Система сохраняет контрольную сумму охраняемых объектов и проверяет ее перед каждой загрузкой операционной системы. Если пользователь в процессе работы случайно или намеренно произвел изменения в охраняемых объектах, то при следующем запуске рабочей станции ОС не будет загружена, а вход будет возможен только с помощью админского ключа. Таким образом набедокуревший юзер будет вынужден вызвать сисадмина и не сможет скрыть вмешательства.
Usikoff,
технический специалист DEPO Computers