Научная статья на тему 'Инфраструктура безопасности от «Петер-Сервис»'

Инфраструктура безопасности от «Петер-Сервис» Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
147
18
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Александров Д. Е., Черников Д. Ю.

В последнее время стали предприниматься определенные шаги, направленные на реализацию требований Федерального закона «О защите персональных данных». Так, в соответствии с требованиями п. 3 статьи 25, информационные системы персональных данных, созданные до дня вступления данного ФЗ в силу, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 г. Следующим логичным шагом стало появление нормативно-методических документов, направленных на определение способов обеспечения безопасности персональных данных при их обработке в информационных системах. В ЗАО «ПЕТЕР-СЕРВИС» понимают необходимость поддержания на должном уровне информационной безопасности разрабатываемых решений и, учитывая пожелания заказчиков, активно развивают функциональность Web-приложений в части защиты информации

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Александров Д. Е., Черников Д. Ю.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Инфраструктура безопасности от «Петер-Сервис»»

т

Инфраструктура безопасности

PETER-SERVICE

Д.Е. АЛЕКСАНДРОВ,

старший инженер-программист ЗАО «ПЕТЕР-СЕРВИС»

Д.Ю. ЧЕРНИКОВ,

главный специалист ЗАО «ПЕТЕР-СЕРВИС»

В последнее время стали предприниматься определенные шаги, направленные на реализацию требований Федерального закона «О защите персональных данных». Так, в соответствии с требованиями п. 3 статьи 25, информационные системы персональных данных, созданные до дня вступления данного ФЗ в силу, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 г. Следующим логичным шагом стало появление нормативно-методических документов, направленных на определение способов обеспечения безопасности персональных данных при их обработке в информационных системах.

В ЗАО «ПЕТЕР-СЕРВИС» понимают необходимость поддержания на должном уровне информационной безопасности разрабатываемых решений и, учитывая пожелания заказчиков, активно развивают функциональность Web-приложений в части защиты информации

Век Качества N° 2

ри разработке систем с многоуровневой распределенной архитектурой создаются приложения, в которых передача данных осуществляется через общедоступные каналы. Потенциальных пользователей подобных решений волнуют вопросы безопасности. Инфраструктуру безопасности в Web-приложениях необходимо оценивать комплексно, с учетом того, насколько эффективен тот или иной механизм защиты информации. Использование комплексного подхода позволит построить такую систему, где выход из строя одного из компонентов не скажется на уровне защищенности в целом.

Web-системы массового обслуживания (ВСМО), разрабатываемые ЗАО «ПЕТЕР-СЕРВИС», имеют классическую трехзвенную архитектуру: Web-сервер (Apache), сервер приложений (HAS), система управления базами данных Oracle (СУБД) и пользовательской оснасткой для поддержки тонкого клиента. Инфраструктура безопасности, основанная на применении встроенных средств обеспечения защиты и безопасности операционных систем, а также внутренних механизмов отдельных звеньев архитектуры, используется во многих ВСМО, таких как:

SS Центр самообслуживания абонентов (SCC);

SS Платежная карточная система (CPS);

SS Web-интерфейсы системы управления контактами (CMS WEB); SS Система управления абонентской базой (SBMS).

Следует понимать, что, чем сложнее архитектура системы и выше ее функциональность, тем больше вероятность возникновения в ходе эксплуатации проблем, связанных с ее безопасным использованием. Даже единственная ошибка в коде или настройках, прямо или косвенно отвечающих за безопасное использование Web-приложения, может позволить злоумышленнику

получить неограниченный доступ к конфиденциальным данным.

Механизмы защиты информации в продуктах заО «петер-серВис»

Определим средства, с помощью которых предполагается обеспечить защиту информации и данных в ВСМО. Для решения данной задачи выделим следующие условные рубежи защиты информации: Web-сервер, сервер приложений, СУБД и рабочее место пользователя.

Обеспечение безопасности Web-сервера

Web-сервер — наиболее важное звено обеспечения информационной безопасности в Web-приложениях, так называемая «передовая». По статистике, именно на него приходится наибольшее количество атак (до 80%), поэтому необходимо предпринимать постоянные шаги для поддержания безопасности данного компонента.

Основные механизмы защиты информации реализуются штатными настройками ограничений на доступ к контейнерам контента (виртуальные хосты, каталоги и файлы на файловой системе, разделы сайтов). Встроенные механизмы логгирова-ния в Apache гибко настраиваются и решают задачу аудита всех запросов.

Широкие возможности по защите от разного рода атак предоставляет модуль Apache ModSecurity (начиная с версии 2.0), предназначенный для обнаружения и предотвращения вторжения на Web-сервер. Модуль реализует концепцию web application firewall (WAF). При активизации ModSecurity добавляется дополнительный внешний слой безопасности, который позволяет обнаруживать и блокировать атаки на Web-приложения еще до того, как запрос попадет на обработку.

ModSecurity имеет расширенные возможности по обнаружению вторжений, которые обеспечиваются поддержкой PIDS (Protocol-Based Intrusion Detection System — основанная на протоколе система обнаружения вторжений). Данная функция является аналогом анализатора сетевого трафика на уровне http-протокола. ModSecurity позволяет в реальном времени осуществлять мониторинг и анализировать различные действия, обычные с точки зрения http-протокола, но трудные для анализа классическими системами обнаружения вторжений (IDS). Немал о-важную роль играет возможность блокировки запросов. Модуль расположен между клиентом и сервером, и при обнаружении в запросе злонамеренных данных может отклонить запрос, выполняя встроенные действия в соответствии с правилами, определенными конфигурацией.

Грамотное использование только одного модуля ModSecurity может существенно повысить общий уровень безопасности Web-приложений без внесения серьезных изменений в существующие программные продукты.

Обеспечение безопасности сервера

приложений

Встроенные механизмы сервера приложений при надлежащем их применении позволяют обеспечить высокий уровень безопасности приложений. Контроль над аутентификацией осуществляется с помощью расширенной парольной политики: ограничения по сложности и размеру паролей, использование временных паролей с ограничением срока действия. Возможно ограничение доступа для пользователей по различным логическим каналам (WWW, WAP, STK, USSD и т.д.) и IP-адресам.

Система авторизации операций базируется на механизме ролей с возможностью объединения последних в иерархии. Поддерживаются механизмы ограничения доступа к аргументам операций и маски для валидации допустимых значений аргументов.

Реализованы возможности по блокировке пользователей и операций, а также функция аудита всех входящих запросов. Для обеспечения конфиденциальности и целостности данных при передаче по открытым каналам имеется поддержка SSL, используются клиентские и серверные сертификаты.

Обеспечение безопасности сервера

управления базами данных

Среди большого набора возможностей, которые предоставляет СУБД для защиты данных, особо выделим механизм ограничения доступа к столбцам и строкам базы данных Oracle (Fine Grained Access Control — FGAC), обеспечивающий максимально прозрачный детальный контроль доступа к данным для пользователей и фиксацию аудит-ной информации (имени пользователя и даты изменения) в таблицах СУБД.

Обеспечение безопасности на клиентских

рабочих местах

Наиболее тяжелые последствия для компонентов ИТ-инфраструкту-ры могут иметь инсайдерские атаки или использование различных злонамеренных программ (например, Keylogger или «Троянов»), в том числе без ведома пользователя. Существующие злонамеренные программные средства стараются, в первую очередь, перехватить атрибуты аутентификации пользователя системы (логин, пароль), чтобы в даль-

нейшем воспользоваться ими или попытаться увеличить свои привилегии. Все это тесно связано с недостатками аутентификации с использованием пароля.

Способы аутентификации в ВСМО

Выделим следующие возможные способы аутентификации: аутентификация по паролям, аутентификация по предъявлению цифрового сертификата (Х.509) и биометрическая аутентификация. Обратимся к сценариям аутентификации, которые реализованы в ВСМО ЗАО «ПЕ-ТЕР-СЕРВИС».

Аутентификация по паролям

Учетные записи пользователей подсистем ВСМО, хранящиеся в СУБД, позволяют организовать аутентификацию с помощью простых идентификаторов (logins) и паролей (passwords). При попытке логического входа в ВСМО пользователь набирает свой идентификатор и пароль, который поступает в службу аутентификации (входящую в состав сервера приложений). По итогам сравнения криптографической контрольной суммы введенного пароля с эталонным значением для данного пользователя из базы данных учетных записей пользователь может успешно пройти процедуру аутентификации и авторизоваться в ВСМО. Допустимо применение паролей, не имеющих ограничений по времени, временных паролей, назначаемых администратором, а также личных паролей.

Аутентификация по предъявлению

цифрового сертификата

Механизмы аутентификации на основе сертификатов более надежны и предполагают использование протокола HTTPS (SSL/TLS). Несмотря на то что, согласно спецификации Х.509, асимметричный метод криптографии обеспечивает «строгую» аутентификацию пользователя ВСМО, сам по себе незащищенный закрытый ключ, хранящийся на жестком диске компьютера, уязвим по отношению к прямым и сетевым атакам. Имеются специальные троянские программы, ворующие сертификаты Х.509 из реестра Windows. B связи с этим для обеспечения высокого уровня безопасности в ВСМО требуется наличие безопасного хранилища для закрытого ключа.

Двухфакторная аутентификация

с защищенным хранением

закрытого ключа

Аутентификация на основе сертификатов, находящихся в защищенном USB-ключе, является наиболее

Март-апрель 2009 г.

а

безопасной, так как при входе в ВСМО для доступа к закрытому ключу необходимо использовать уникальный физический объект (USB-ключ) и знать PIN-код (применяется двухфакторная аутентификация).

Преимущества двухфакторной аутентификации перед другими способами:

SS кража USB-ключа без знания PIN-кода не позволит злоумышленнику воспользоваться им;

SS владелец быстро узнает о пропаже USB-ключа и может сразу принять меры для предотвращения несанкционированного доступа; SS USB-ключ является физическим устройством с защищенной памятью, в силу архитектурных особенностей его дублирование невозможно.

Закрытый ключ и выданный на его основе сертификат не могут быть восстановлены в случае потери или выхода устройства из строя. Но эта проблема не является критической, так как ключ шифрования используется только для аутентификации пользователя, а не для шифрования данных.

Усиление безопасности

Продукт «Аппаратная аутентификация пользователей»

Продукт «Аппаратная аутентификация пользователей» (TOKEN_INT) ЗАО «ПЕТЕР-СЕРВИС» является расширением оснастки для Web-приложений и реализует поддержку строгой аутентификации во всех прикладных подсистемах, разработанных на базе применяемой в продуктах компании трехзвенной архитектуры.

Продукт обеспечивает доступ к Web-приложениям с использованием клиентских сертификатов и защищенным хранением закрытого ключа, а также предоставляет пользовательский интерфейс для формирования запросов на получение сертификата и управления выданными сертификатами.

Безопасность применяемой технологии PKI обеспечивается ее ключевым элементом - удостоверяющим центром (УЦ), который должен быть максимально защищен. Необходимо ограничение сетевого и физического доступа к информации, которую хранит УЦ.

В рамках продукта TOKEN_INT интеграция с УЦ сторонних производителей реализована с помощью адаптеров. Обеспечивается взаимодействие с Сертификационным центром компании Microsoft (Microsoft CA Server) и Сертификационным центром на основе OPENSSL.

Использование TOKEN_INT предполагает существование утвержден-

Век Качества N° 2

| Схема совместного функционирования BCMO и TOKEN_INT

Администратор

Usb-ключ 2-J

Пароль

Пользователи ВСМО

ного Регламента, содержащего правила корректной работы с сертификатами Х.509 при их использовании в ВСМО и определяющего основополагающие моменты взаимодействия для всех сторон (обязанности пользователей, администраторов, аудиторов, действия при компрометации ключей, правила и порядок разбора спорных моментов и т.д.).

Схема функционирования

продукта TOKEN_INT

Для доступа к защищенной функциональной части приложений ВСМО пользователю необходимо использовать браузер Microsoft Internet Explorer и USB-ключ, защищенный PIN-кодом, с действующим сертификатом. Ключ должен быть подключен к USB-порту компьютера пользователя во время всего сеанса работы с системой. Общая схема совместного функционирования ВСМО и TOKEN_INT приведена на рисунке.

Перед началом работы пользователю необходимо получить сертификат Х.509, для чего требуется строго соблюдать приведенный далее порядок действий. Используя временные идентификатор и пароль, пользователь входит в защищенную регистрационную часть приложения ВСМО, где на основании закрытого ключа, находящегося в USB-ключе, создает и отправляет запрос на создание сертификата. Ha основании запроса пользователя создается сертификат. Обработка всех входящих запросов на сертификаты выполняется администратором. После подтверждения запроса на сертификат, пользователь загружает сертификат в USB-ключ.

В решении предусмотрено два способа выдачи сертификатов: централизованный и децентрализованный.

Адаптер к Сертификационному Центру OPENSSL

Адаптер к Сертификационному Центру компании Microsoft

Преимущества ТОКЕМ_!МТ

Необходимо выделить следующие преимущества продукта ТОКЕ^ШТ. Переход на использование и8В-ключа приводит к жесткой персонализации доступа, обеспечивается невозможность одновременного входа в систему разных пользователей по одной учетной записи, предотвращаются любые типы атак, направленных на кражу пароля или сертификата с его закрытым ключом у пользователей ВСМО.

Любой переход на другой тип аутентификации предполагает, что будет определен некий час «Х», после которого невозможна работа пользователей со старым типом аутентификации, что вводит существенные риски в непрерывность ведения бизнеса. Но решение TOKEN_INT обеспечивает полную поддержку существующих учетных записей сервера приложений и реализует плавный и адресный (с точностью до пользователя) переход на следующую усиленную систему аутентификации (двухфакторную, с защищенным хранением закрытого ключа).

Данная реализация позволяет использовать все преимущества РК1-инфраструктуры (обеспечение конфиденциальности информации, ее целостности, аутентификации пользователей и ресурсов, к которым обращаются пользователи, возможности подтверждения совершенных пользователями действий с информацией) совместно с двухфакторной системой аутентификации.

Имеется возможность применять сертифицированные средства защиты информации от различных поставщиков средств аутентификации и криптографической защиты, а также использовать сертифицированные удостоверяющие центры для создания РК1 в организациях, если это требуется законодательством РФ в области защиты информации.

i Надоели баннеры? Вы всегда можете отключить рекламу.