Вопросы обеспечения информационной безопасности должны решаться системно и комплексно. Важную роль в этом играют надежные механизмы защищенного доступа, в том числе аутентификация пользователей и защита передаваемых данных.
Информационная безопасность невозможна без аутентификации, а проникновение в корпоративную среду мобильных устройств и облачных технологий не может не влиять на принципы обеспечения ИБ. Аутентификация — процедура подтверждения подлинности субъекта в информационной системе по некоему идентификатору (см. Рисунок 1). Надежная и адекватная система аутентификации пользователей — важнейший компонент корпоративной системы информационной безопасности. Конечно, в разных коммуникационных каналах могут и должны применяться разные механизмы аутентификации, каждый из которых имеет свои достоинства и недостатки, отличается по надежности и стоимости решений, удобству применения и администрирования. Поэтому при их выборе необходимо анализировать риски и оценивать экономическую целесообразность внедрения.
Рисунок 1. Идентификация и аутентификация с точки зрения применяемых технологий (по информации компании «Аладдин Р.Д.»). |
Для аутентификации пользователей применяются разные технологии — от паролей, смарт-карт, токенов до биометрии (см. врезку «Биометрические методы аутентификации»), основанной на таких персональных свойствах человека, как отпечаток пальца, структура сетчатки глаза и т. д. Системы строгой аутентификации проверяют два и более факторов.
Биометрические методы аутентификации
Системы двухфакторной аутентификации применяются в таких областях, как электронная коммерция, включая интернет-банкинг, и аутентификация при удаленном доступе с недоверенного рабочего места. Более строгую аутентификацию обеспечивают биометрические методы. Такие системы реализуют доступ по отпечатку пальца, геометрии лица, отпечатку или рисунку вен ладони, структуре сетчатки глаза, рисунку радужной оболочки глаза и голосу и пр. Биометрические методы постоянно совершенствуются — стоимость соответствующих решений снижается, а их надежность повышается. Наиболее востребованные и надежные технологии — биометрическая аутентификация с использованием отпечатка пальца и радужной оболочки глаза. Системы сканирования отпечатка пальца и распознавания геометрии лица применяются даже в потребительских устройствах — смартфонах и ноутбуках.
Аутентификация с использованием биометрии позволяет повысить уровень безопасности при критически важных операциях. Предоставление доступа человеку, не имеющему на это права, практически исключено, однако ошибочный отказ в доступе случается довольно часто. Чтобы избежать таких недоразумений, можно применять системы многофакторной аутентификации, когда личность идентифицируется, например, и по отпечатку пальца, и по геометрии лица. Общая степень надежности системы растет пропорционально числу используемых факторов.
Кроме того, при использовании биометрии для доступа к ключам и сертификатам на смарт-карте работа с последней и процесс аутентификации упрощаются: вместо ввода сложного пароля достаточно прикоснуться пальцем к сканеру.
Лучшей практикой считается двусторонняя строгая аутентификация, основанная на технологии электронной цифровой подписи (ЭЦП). Когда эту технологию использовать невозможно или нецелесообразно, рекомендуется применять одноразовые пароли, а при минимальном уровне рисков — многоразовые.
«Без аутентификации невозможно говорить о безопасности в информационной системе, — поясняет Алексей Александров, руководитель направления по работе с технологическими партнерами компании «Аладдин Р.Д.». — Есть разные ее способы — например, с помощью многоразовых или одноразовых паролей. Однако более надежна многофакторная аутентификация, когда безопасность основывается не только на знании некоего секрета (пароля), но и на владении специальным устройством, а в качестве третьего фактора выступает одна или несколько биометрических характеристик пользователя. Пароль может быть украден или подобран, но без устройства аутентификации — USB-токена, смарт-карты или SIM-карты — злоумышленнику не удастся получить доступ к системе. Использование устройств, работа с которыми поддерживается не только на рабочих станциях, но и на мобильных платформах, позволяет применять многофакторную аутентификацию в отношении владельцев мобильных телефонов или планшетов. Это касается и модели Bring Your Own Device (BYOD)».
«Сегодня мы наблюдаем рост интереса к токенам — генераторам одноразовых паролей (One Time Password, OTP) различных производителей. Внедрение подобных систем уже стало стандартом де-факто для интернет-банкинга и все больше востребовано при организации удаленного доступа с мобильных устройств, — говорит Юрий Сергеев, руководитель группы проектирования центра информационной безопасности компании «Инфосистемы Джет». — Они удобны и просты в использовании, что позволяет применять их повсеместно. Специалисты проявляют интерес к технологиям, которые не требуют установки и управления «лишним» программным обеспечением на стороне клиента. Такое решение, как «КриптоПро DSS» интегрируется с различными Web-сервисами, не нуждается в клиентской части и поддерживает российские криптоалгоритмы».
Этот программно-аппаратный комплекс предназначен для централизованного защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи. Он поддерживает разные способы аутентификации: однофакторную — по логину и паролю; двухфакторную — с использованием цифровых сертификатов и USB-токенов или смарт-карт; двухфакторную — с дополнительным вводом одноразового пароля, доставляемого по SMS.
Одна из ключевых тенденций в сфере ИБ связана с ростом числа мобильных устройств, с помощью которых офисные или удаленные сотрудники работают с конфиденциальной корпоративной информацией: электронной почтой, хранилищами документов, различными бизнес-приложениями и др. При этом и в России, и за рубежом все более популярной становится модель BYOD, когда на работе разрешается использовать личные устройства. Противодействие возникающим при этом угрозам — одна из наиболее актуальных и сложных проблем ИБ, которую предстоит решать в ближайшие пять — семь лет, подчеркивают в компании «Аванпост».
Понимание участниками рынка необходимости внедрения надежных систем аутентификации и цифровой подписи (ЭЦП), изменение законодательства в области защиты персональных данных, принятие требований по сертификации (ФСБ и ФСТЭК России), реализация таких проектов, как «Электронное правительство» и «Портал государственных услуг», развитие дистанционного банковского обслуживания и интернет-банкинга, поиск возможностей для определения ответственности в киберпространстве — все это способствует повышенному интересу к программно-аппаратным решениям, совмещающим в себе удобство использования и усиленную защиту.
ЦИФРОВАЯ ПОДПИСЬ
Применяемые в смарт-картах и токенах (см. Рисунок 2) технологии установления подлинности отправителя становятся все более зрелыми, практичными и удобными. Например, их можно использовать в качестве механизма аутентификации на Web-ресурсах, в электронных сервисах и платежных приложениях с ЭЦП. Цифровая подпись соотносит конкретного пользователя с частным ключом асимметричного шифрования. Присоединяемая к электронному сообщению, она позволяет получателю удостовериться, является ли его отправитель тем, за кого себя выдает. Формы шифрования при этом могут быть различными.
Частный ключ, у которого только один владелец, используется для цифровой подписи и шифрования при передаче данных. Само сообщение может быть прочитано любым, кто имеет открытый ключ. Электронная цифровая подпись может генерироваться USB-токеном — аппаратным устройством, которое формирует пару ключей. Иногда различные методы аутентификации комбинируются — например, смарт-карту дополняют токеном с криптографическим ключом, а для доступа к последнему предусматривается ввод PIN-кода (двухфакторная аутентификация). При использовании токенов и смарт-карт закрытый ключ подписи не покидает пределов токена. Таким образом, исключается возможность компрометации ключа.
Применение ЭЦП обеспечивается специальными средствами и технологиями, составляющими инфраструктуру открытых ключей (Public Key Infrastructure, PKI). Основным компонентом PKI является удостоверяющий центр, который отвечает за выдачу ключей и гарантирует подлинность сертификатов, подтверждающих соответствие между открытым ключом и информацией, идентифицирующей владельца ключа.
Разработчики предлагают различные компоненты для встраивания криптографических функций в Web-приложения — например, SDK и подключаемые модули к браузерам с программным интерфейсом доступа к криптографическим функциям. С их помощью можно реализовывать функции шифрования, аутентификации и ЭЦП с высоким уровнем безопасности. Средства цифровой подписи предоставляются также в виде онлайновых сервисов (см. врезку «ЭЦП как сервис»).
ЭЦП как сервис
Для автоматизации подписи, обмена и хранения электронных документов можно воспользоваться онлайновым сервисом eSign-PRO (www.esign-pro.ru). Все регистрируемые в нем электронные документы защищаются цифровой подписью, причем формирование и проверка ЭЦП осуществляются на стороне клиента с помощью криптографического модуля eSign Crypto Plugin для браузера, устанавливаемого при первом обращении к порталу. Рабочие станции взаимодействуют с Web-сервером портала по протоколу TLS в режиме односторонней аутентификации сервера. Аутентификация пользователей выполняется на основе персональных идентификаторов и паролей, передаваемых на сервер после установления защищенного соединения.
Сервис eSign-PRO поддерживается инфраструктурой открытых ключей на базе удостоверяющего центра e-Notary, аккредитованного ФНС России и принадлежащего компании «Сигнал-КОМ», но могут приниматься и сертификаты, выпущенные другим удостоверяющим центром.
Как подчеркивают разработчики, этот сервис соответствует требованиям Федерального закона № 63-ФЗ «Об электронной подписи» и использует сертифицированные ФСБ России средства криптографической защиты «Крипто-КОМ 3.2». Ключевая информация может храниться на различных носителях, включая USB-токены.
«Инфраструктура PKI является наилучшей схемой для безопасной аутентификации пользователей, — считает Кирилл Мещеряков, руководитель направления по работе с технологическими партнерами компании «Актив». — Ничего надежнее цифровых сертификатов в данной области еще не придумали. Это могут быть сертификаты государственного образца для физических лиц для применения в облачном сервисе или корпоративные цифровые сертификаты для реализации модели BYOD. Причем первые могли бы использоваться для доступа к внутрикорпоративным ресурсам, если бы коммерческие компании имели возможность подключаться к государственным удостоверяющим центрам. Когда цифровые сертификаты будут применяться везде, где необходима аутентификация пользователей, жизнь обычных граждан заметно упростится. Надежное же и безопасное хранение цифровых сертификатов на данный момент обеспечивается только одним способом — с помощью смарт-карт и токенов».
Учитывая повышенное внимание государства к таким направлениям, как цифровая подпись и смарт-карты, а также важность наличия надежной и удобной многофакторной аутентификации в различных информационных системах и развития электронных платежных систем и юридически значимого электронного документооборота, отечественные разработчики продолжают совершенствовать свои решения и расширять линейки продуктов.
USB-ТОКЕНЫ И СМАРТ-КАРТЫ
Смарт-карты и USB-токены могут служить персональным средством аутентификации и электронной подписи для организации защищенного и юридически значимого документооборота (см. Рисунок 3). Более того, их применение позволяет унифицировать средства аутентификации — начиная с операционных систем и заканчивая системами контроля доступа в помещения.
Российские разработчики программно-аппаратных средств информационной безопасности накопили солидный опыт в создании электронных ключей (токенов) и идентификаторов. Например, компания «Актив» (www.rutoken.ru) выпускает линейку USB-токенов Рутокен, которая насчитывает уже более десятка таких продуктов (см. Рисунок 4). С 1995 года на этом же рынке работает компания «Аладдин Р.Д.».
В продуктах линейки Рутокен с двухфакторной аутентификацией (устройство и PIN-код) используются 32-разрядные микропроцессоры ARM для генерации ключевых пар, формирования и проверки электронной подписи (алгоритм ГОСТ Р 34.10-2001), а также защищенные микроконтроллеры с энергонезависимой памятью для хранения пользовательских данных. В отличие от решений, разработанных на Java, микропрограмма в Рутокен реализована на компилируемом языке. По мнению разработчиков, это дает больше возможностей для оптимизации ПО. Рутокен не требует установки драйверов и определяется как HID-устройство.
При формировании ЭЦП используется криптография на эллиптических кривых. Предлагаемый подключаемый модуль для браузеров (для его установки не требуются права администратора) умеет работать с USB-токеном и имеет программный интерфейс доступа к криптографическим функциям. Плагин позволяет интегрировать Рутокен с системами дистанционного банковского обслуживания и электронного документооборота.
Устройство Рутокен PINPad (Рутокен ЭЦП с экраном) позволяет визуализировать подписываемый документ перед применением электронной подписи и тем самым защититься от атак, совершаемых при помощи средств удаленного управления с целью подмены содержимого документа при передаче на подпись.
Российская компания «Аладдин Р.Д.» выпускает широкую линейку смарт-карт, USB- и Secure MicroSD-токенов JaCarta для строгой аутентификации, электронной подписи и безопасного хранения ключей и цифровых сертификатов (см. Рисунок 5). В нее входят продукты серии JaCarta PKI, предназначенные для применения в корпоративных и государственных системах, и JaCarta ГОСТ— для обеспечения юридической значимости действий пользователей при работе в различных электронных сервисах. В JaCarta, поддерживаемой на всех современных мобильных платформах (Apple iOS, Android, Linux, Mac OS и Windows), применяются строгая двух- и трехфакторная аутентификация, усиленная квалифицированная электронная подпись и защита от угроз недоверенной среды.
Рисунок 5. На продуктах линейки JaCarta строятся все новые решения компании «Аладдин Р.Д.», в том числе для мобильных приложений, Web-порталов и облачных сервисов. |
Устройства семейства JaCarta ГОСТ аппаратно реализуют российские криптоалгоритмы и сертифицированы ФСБ РФ как персональные средства электронной подписи по KC1 и КС2, рассказывает Алексей Александров. Таким образом, они могут применяться при аутентификации с использованием механизмов электронной подписи, для формирования электронной подписи на документах или подтверждения различных операций в информационных системах, а также при работе с облачными сервисами.
В устройствах семейства JaCarta ГОСТ криптоалгоритмы реализованы на уровне микропроцессора, а кроме того, задействована схема работы с неизвлекаемым закрытым ключом подписи. Такой подход исключает возможность хищения закрытого ключа подписи, а формирование ЭЦП с его использованием выполняется внутри устройства. Содержащиеся в JaCarta ГОСТ ключи и сертификаты могут применяться для строгой двухфакторной аутентификации и формирования усиленной квалифицированной электронной подписи сразу в нескольких информационных системах, работающих в рамках одной или более инфраструктур PKI.
Устройства аутентификации JaCarta выпускаются в различных форм-факторах, но имеют одинаковую функциональность, что позволяет применять одни и те же механизмы аутентификации во многих информационных системах, на Web-порталах, в облачных сервисах и мобильных приложениях.
Подход, при котором одинаковые устройства используются для решения ряда задач (см. Рисунок 6), приобретает в последнее время все большую популярность. Благодаря наличию в смарт-карте одной или двух меток RFID и интеграции со СКУД, ее можно применять для контроля доступа в помещения. А поддержка зарубежных криптоалгоритмов (RSA) и интеграция с большинством продуктов мировых вендоров (Microsoft, Citrix, VMware, Wyse и др.) дают возможность использовать смарт-карту как средство строгой аутентификации в инфраструктурных корпоративных решениях, включая вход пользователя в Microsoft Windows, работу с VDI и другие популярные сценарии. Программное обеспечение дорабатывать не требуется — поддержка включается путем применения определенных настроек и политик.
СИСТЕМЫ УПРАВЛЕНИЯ ИДЕНТИФИКАЦИЕЙ И ДОСТУПОМ К ИНФОРМАЦИОННЫМ РЕСУРСАМ
Автоматизировать работу администратора безопасности и быстро реагировать на изменения политик безопасности помогают системы централизованного управления жизненным циклом средств аутентификации и ЭЦП. Например, система JaСаrta Management System (JMS) компании «Аладдин Р.Д.» предназначена для учета и регистрации всех аппаратных и программных средств аутентификации и хранения ключевой информации, используемых сотрудниками в масштабах предприятия.
Ее задачи — управление жизненным циклом этих средств, аудит их использования, подготовка отчетов, обновление аутентификационных данных, предоставление или отзыв прав доступа к приложениям при изменении служебных обязанностей или увольнении сотрудника, замена устройства в случае его утери или повреждения, вывод оборудования из эксплуатации. В целях аудита средств аутентификации фиксируются все факты использования устройства на компьютере предприятия и изменения данных, хранящихся в его памяти.
С помощью JMS реализуются также техническая поддержка и сопровождение пользователей: замена забытого PIN-кода, синхронизация генератора одноразовых паролей, обработка типовых ситуаций утери или поломки токена. А благодаря программному виртуальному токену пользователь, находящийся вне офиса, даже в случае утери eToken может продолжить работу с компьютером или получить безопасный доступ к ресурсам без снижения уровня защищенности.
Как считают в компании «Аладдин Р.Д.», JMS (см. Рисунок 7), имеющая сертификат ФСТЭК России, повышает уровень корпоративной безопасности благодаря использованию сертификатов открытого ключа стандарта X.509 и хранению закрытых ключей в защищенной памяти смарт-карт и USB-токенов. Она упрощает внедрение и эксплуатацию решений PKI с использованием USB-токенов и смарт-карт за счет автоматизации типовых процедур администрирования и аудита.
Сегодня все более важную роль приобретают системы идентификации и управления доступом к информационным ресурсам предприятия (IDM). Недавно компания «Аванпост» выпустила четвертую версию своего продукта — программного комплекса Avanpost (см. Рисунок 8). По мнению разработчиков, в отличие от зарубежных решений внедрение IDM Avanpost 4.0 происходит в сжатые сроки и требует меньших затрат, а его интеграция с другими элементами информационных систем является наиболее полной. Разработанный российской компанией, продукт соответствует отечественной нормативной базе в области ИБ, поддерживает отечественные удостоверяющие центры, смарт-карты и токены, обеспечивает технологическую независимость в такой важной области, как комплексное управление доступом к конфиденциальной информации.
Avanpost 4.0 решает задачу комплексного управления доступом: IDM используется в качестве центрального звена корпоративной системы ИБ, с которой интегрируются инфраструктуры PKI и единой авторизации (Single Sign On, SSO). ПО предусматривает поддержку двух- и трехфакторной аутентификации и биометрических технологий идентификации, реализацию SSO для мобильных платформ Android и iOS, а также коннекторы (модули сопряжения) с различными приложениями (см. Рисунок 9).
Как подчеркивают в компании «Аванпост», на российском рынке популярность интегрированных систем, включающих IDM, СКУД и аппаратные средства биометрической аутентификации, будет постепенно расти, однако еще более востребованными станут программные технологии и решения, в которых задействованы мобильные устройства: смартфоны и планшеты. Поэтому на 2014 год намечен выпуск ряда обновлений ПО Avanpost 4.0.
На базе Avanpost 4.0 можно создавать комплексные средства управления доступом для систем, объединяющих традиционные приложения и частные облака, работающие по модели IaaS, PaaS и SaaS (в последнем случае требуется API облачного приложения). В компании «Аванпост» заявляют, что ее решение для частных облаков и гибридных систем уже полностью проработано, а его коммерческое продвижение начнется, как только на российском рынке появится устойчивый спрос на подобные продукты.
В модуль SSO включен функционал Avanpost Mobile, поддерживающий популярные мобильные платформы Android и iOS. Этот модуль предоставляет безопасный доступ через браузер с мобильных устройств к внутрикорпоративным порталам и интранет-приложениям (портал, корпоративная почта Microsoft Outlook Web App и др.). Версия для OS Android содержит встроенную полнофункциональную систему SSO, поддерживающую VoIP-телефонию, видео- и видео-конференц-связь (Skype, SIP), а также любые Android-приложения (например, клиенты корпоративных систем: бухгалтерских, CRM, ERP, HR и др.) и облачные Web-сервисы.
Благодаря этому пользователям не нужно запоминать множество идентификационных пар (логин-пароль), а организация может применять правила безопасности, требующие применения стойких, часто меняющихся паролей, которые различаются во всех приложениях.
Продолжаю-щееся усиление государственного регулирования сферы информационной безопасности в России способствует росту отечественного рынка средств ИБ. Так, по данным IDC, в 2013 году совокупный объем продаж программных решений безопасности составил более 412 млн долларов, превысив аналогичные показатели предыдущего периода более чем на 9%. А сейчас, после ожидаемого спада, прогнозы оптимистичны: в следующие три года среднегодовые темпы роста могут превышать 6%. Наибольшие объемы продаж приходятся на программные решения для защиты конечных устройств (более 50% рынка средств ИБ), мониторинга уязвимостей и контроля безопасности в корпоративных сетях, а также на средства идентификации и контроля доступа.
«Отечественные криптоалгоритмы не уступают западным стандартам и даже, по мнению многих, их превосходят, — рассказывает Юрий Сергеев. — Что касается интеграции российских разработок в области аутентификации и ЭЦП с зарубежными продуктами, то было бы полезно создать библиотеки с открытым кодом и криптопровайдеры для различных решений с контролем их качества со стороны ФСБ России и сертификацией отдельных стабильных версий. В таком случае производители могли бы встраивать их в предлагаемые продукты, которые, в свою очередь, проходили бы сертификацию как СКЗИ с учетом корректности использования уже проверенной библиотеки. Стоит отметить, что некоторых успехов уже удалось достичь: хорошим примером является разработка заплат для поддержки ГОСТ в openssl. Однако стоит задуматься об организации этого процесса на государственном уровне».
«Российская отрасль ИТ идет по пути встраивания отечественных сертифицированных компонентов в зарубежные информационные системы. Этот путь на данный момент оптимален, так как разработка полностью российских информационных и операционных систем с нуля будет неоправданно сложной и дорогой, — отмечает Кирилл Мещеряков. — Наряду с организационными и финансовыми проблемами, а также недостаточно проработанными законами, широкому распространению средств аутентификации и цифровой подписи мешает низкий уровень образованности населения в сфере ИБ и отсутствие государственной информационной поддержки отечественных поставщиков решений безопасности. Драйверами рынка, безусловно, являются торговые площадки, системы налоговой отчетности, корпоративные и государственные системы документооборота. За последние пять лет прогресс в развитии отрасли огромен».
Сергей Орлов — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: sorlov@lanmag.ru.