т
Инфраструктура безопасности
PETER-SERVICE
Д.Е. АЛЕКСАНДРОВ,
старший инженер-программист ЗАО «ПЕТЕР-СЕРВИС»
Д.Ю. ЧЕРНИКОВ,
главный специалист ЗАО «ПЕТЕР-СЕРВИС»
В последнее время стали предприниматься определенные шаги, направленные на реализацию требований Федерального закона «О защите персональных данных». Так, в соответствии с требованиями п. 3 статьи 25, информационные системы персональных данных, созданные до дня вступления данного ФЗ в силу, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 г. Следующим логичным шагом стало появление нормативно-методических документов, направленных на определение способов обеспечения безопасности персональных данных при их обработке в информационных системах.
В ЗАО «ПЕТЕР-СЕРВИС» понимают необходимость поддержания на должном уровне информационной безопасности разрабатываемых решений и, учитывая пожелания заказчиков, активно развивают функциональность Web-приложений в части защиты информации
Век Качества N° 2
ри разработке систем с многоуровневой распределенной архитектурой создаются приложения, в которых передача данных осуществляется через общедоступные каналы. Потенциальных пользователей подобных решений волнуют вопросы безопасности. Инфраструктуру безопасности в Web-приложениях необходимо оценивать комплексно, с учетом того, насколько эффективен тот или иной механизм защиты информации. Использование комплексного подхода позволит построить такую систему, где выход из строя одного из компонентов не скажется на уровне защищенности в целом.
Web-системы массового обслуживания (ВСМО), разрабатываемые ЗАО «ПЕТЕР-СЕРВИС», имеют классическую трехзвенную архитектуру: Web-сервер (Apache), сервер приложений (HAS), система управления базами данных Oracle (СУБД) и пользовательской оснасткой для поддержки тонкого клиента. Инфраструктура безопасности, основанная на применении встроенных средств обеспечения защиты и безопасности операционных систем, а также внутренних механизмов отдельных звеньев архитектуры, используется во многих ВСМО, таких как:
SS Центр самообслуживания абонентов (SCC);
SS Платежная карточная система (CPS);
SS Web-интерфейсы системы управления контактами (CMS WEB); SS Система управления абонентской базой (SBMS).
Следует понимать, что, чем сложнее архитектура системы и выше ее функциональность, тем больше вероятность возникновения в ходе эксплуатации проблем, связанных с ее безопасным использованием. Даже единственная ошибка в коде или настройках, прямо или косвенно отвечающих за безопасное использование Web-приложения, может позволить злоумышленнику
получить неограниченный доступ к конфиденциальным данным.
Механизмы защиты информации в продуктах заО «петер-серВис»
Определим средства, с помощью которых предполагается обеспечить защиту информации и данных в ВСМО. Для решения данной задачи выделим следующие условные рубежи защиты информации: Web-сервер, сервер приложений, СУБД и рабочее место пользователя.
Обеспечение безопасности Web-сервера
Web-сервер — наиболее важное звено обеспечения информационной безопасности в Web-приложениях, так называемая «передовая». По статистике, именно на него приходится наибольшее количество атак (до 80%), поэтому необходимо предпринимать постоянные шаги для поддержания безопасности данного компонента.
Основные механизмы защиты информации реализуются штатными настройками ограничений на доступ к контейнерам контента (виртуальные хосты, каталоги и файлы на файловой системе, разделы сайтов). Встроенные механизмы логгирова-ния в Apache гибко настраиваются и решают задачу аудита всех запросов.
Широкие возможности по защите от разного рода атак предоставляет модуль Apache ModSecurity (начиная с версии 2.0), предназначенный для обнаружения и предотвращения вторжения на Web-сервер. Модуль реализует концепцию web application firewall (WAF). При активизации ModSecurity добавляется дополнительный внешний слой безопасности, который позволяет обнаруживать и блокировать атаки на Web-приложения еще до того, как запрос попадет на обработку.
ModSecurity имеет расширенные возможности по обнаружению вторжений, которые обеспечиваются поддержкой PIDS (Protocol-Based Intrusion Detection System — основанная на протоколе система обнаружения вторжений). Данная функция является аналогом анализатора сетевого трафика на уровне http-протокола. ModSecurity позволяет в реальном времени осуществлять мониторинг и анализировать различные действия, обычные с точки зрения http-протокола, но трудные для анализа классическими системами обнаружения вторжений (IDS). Немал о-важную роль играет возможность блокировки запросов. Модуль расположен между клиентом и сервером, и при обнаружении в запросе злонамеренных данных может отклонить запрос, выполняя встроенные действия в соответствии с правилами, определенными конфигурацией.
Грамотное использование только одного модуля ModSecurity может существенно повысить общий уровень безопасности Web-приложений без внесения серьезных изменений в существующие программные продукты.
Обеспечение безопасности сервера
приложений
Встроенные механизмы сервера приложений при надлежащем их применении позволяют обеспечить высокий уровень безопасности приложений. Контроль над аутентификацией осуществляется с помощью расширенной парольной политики: ограничения по сложности и размеру паролей, использование временных паролей с ограничением срока действия. Возможно ограничение доступа для пользователей по различным логическим каналам (WWW, WAP, STK, USSD и т.д.) и IP-адресам.
Система авторизации операций базируется на механизме ролей с возможностью объединения последних в иерархии. Поддерживаются механизмы ограничения доступа к аргументам операций и маски для валидации допустимых значений аргументов.
Реализованы возможности по блокировке пользователей и операций, а также функция аудита всех входящих запросов. Для обеспечения конфиденциальности и целостности данных при передаче по открытым каналам имеется поддержка SSL, используются клиентские и серверные сертификаты.
Обеспечение безопасности сервера
управления базами данных
Среди большого набора возможностей, которые предоставляет СУБД для защиты данных, особо выделим механизм ограничения доступа к столбцам и строкам базы данных Oracle (Fine Grained Access Control — FGAC), обеспечивающий максимально прозрачный детальный контроль доступа к данным для пользователей и фиксацию аудит-ной информации (имени пользователя и даты изменения) в таблицах СУБД.
Обеспечение безопасности на клиентских
рабочих местах
Наиболее тяжелые последствия для компонентов ИТ-инфраструкту-ры могут иметь инсайдерские атаки или использование различных злонамеренных программ (например, Keylogger или «Троянов»), в том числе без ведома пользователя. Существующие злонамеренные программные средства стараются, в первую очередь, перехватить атрибуты аутентификации пользователя системы (логин, пароль), чтобы в даль-
нейшем воспользоваться ими или попытаться увеличить свои привилегии. Все это тесно связано с недостатками аутентификации с использованием пароля.
Способы аутентификации в ВСМО
Выделим следующие возможные способы аутентификации: аутентификация по паролям, аутентификация по предъявлению цифрового сертификата (Х.509) и биометрическая аутентификация. Обратимся к сценариям аутентификации, которые реализованы в ВСМО ЗАО «ПЕ-ТЕР-СЕРВИС».
Аутентификация по паролям
Учетные записи пользователей подсистем ВСМО, хранящиеся в СУБД, позволяют организовать аутентификацию с помощью простых идентификаторов (logins) и паролей (passwords). При попытке логического входа в ВСМО пользователь набирает свой идентификатор и пароль, который поступает в службу аутентификации (входящую в состав сервера приложений). По итогам сравнения криптографической контрольной суммы введенного пароля с эталонным значением для данного пользователя из базы данных учетных записей пользователь может успешно пройти процедуру аутентификации и авторизоваться в ВСМО. Допустимо применение паролей, не имеющих ограничений по времени, временных паролей, назначаемых администратором, а также личных паролей.
Аутентификация по предъявлению
цифрового сертификата
Механизмы аутентификации на основе сертификатов более надежны и предполагают использование протокола HTTPS (SSL/TLS). Несмотря на то что, согласно спецификации Х.509, асимметричный метод криптографии обеспечивает «строгую» аутентификацию пользователя ВСМО, сам по себе незащищенный закрытый ключ, хранящийся на жестком диске компьютера, уязвим по отношению к прямым и сетевым атакам. Имеются специальные троянские программы, ворующие сертификаты Х.509 из реестра Windows. B связи с этим для обеспечения высокого уровня безопасности в ВСМО требуется наличие безопасного хранилища для закрытого ключа.
Двухфакторная аутентификация
с защищенным хранением
закрытого ключа
Аутентификация на основе сертификатов, находящихся в защищенном USB-ключе, является наиболее
Март-апрель 2009 г.
а
безопасной, так как при входе в ВСМО для доступа к закрытому ключу необходимо использовать уникальный физический объект (USB-ключ) и знать PIN-код (применяется двухфакторная аутентификация).
Преимущества двухфакторной аутентификации перед другими способами:
SS кража USB-ключа без знания PIN-кода не позволит злоумышленнику воспользоваться им;
SS владелец быстро узнает о пропаже USB-ключа и может сразу принять меры для предотвращения несанкционированного доступа; SS USB-ключ является физическим устройством с защищенной памятью, в силу архитектурных особенностей его дублирование невозможно.
Закрытый ключ и выданный на его основе сертификат не могут быть восстановлены в случае потери или выхода устройства из строя. Но эта проблема не является критической, так как ключ шифрования используется только для аутентификации пользователя, а не для шифрования данных.
Усиление безопасности
Продукт «Аппаратная аутентификация пользователей»
Продукт «Аппаратная аутентификация пользователей» (TOKEN_INT) ЗАО «ПЕТЕР-СЕРВИС» является расширением оснастки для Web-приложений и реализует поддержку строгой аутентификации во всех прикладных подсистемах, разработанных на базе применяемой в продуктах компании трехзвенной архитектуры.
Продукт обеспечивает доступ к Web-приложениям с использованием клиентских сертификатов и защищенным хранением закрытого ключа, а также предоставляет пользовательский интерфейс для формирования запросов на получение сертификата и управления выданными сертификатами.
Безопасность применяемой технологии PKI обеспечивается ее ключевым элементом - удостоверяющим центром (УЦ), который должен быть максимально защищен. Необходимо ограничение сетевого и физического доступа к информации, которую хранит УЦ.
В рамках продукта TOKEN_INT интеграция с УЦ сторонних производителей реализована с помощью адаптеров. Обеспечивается взаимодействие с Сертификационным центром компании Microsoft (Microsoft CA Server) и Сертификационным центром на основе OPENSSL.
Использование TOKEN_INT предполагает существование утвержден-
Век Качества N° 2
| Схема совместного функционирования BCMO и TOKEN_INT
Администратор
Usb-ключ 2-J
Пароль
Пользователи ВСМО
ного Регламента, содержащего правила корректной работы с сертификатами Х.509 при их использовании в ВСМО и определяющего основополагающие моменты взаимодействия для всех сторон (обязанности пользователей, администраторов, аудиторов, действия при компрометации ключей, правила и порядок разбора спорных моментов и т.д.).
Схема функционирования
продукта TOKEN_INT
Для доступа к защищенной функциональной части приложений ВСМО пользователю необходимо использовать браузер Microsoft Internet Explorer и USB-ключ, защищенный PIN-кодом, с действующим сертификатом. Ключ должен быть подключен к USB-порту компьютера пользователя во время всего сеанса работы с системой. Общая схема совместного функционирования ВСМО и TOKEN_INT приведена на рисунке.
Перед началом работы пользователю необходимо получить сертификат Х.509, для чего требуется строго соблюдать приведенный далее порядок действий. Используя временные идентификатор и пароль, пользователь входит в защищенную регистрационную часть приложения ВСМО, где на основании закрытого ключа, находящегося в USB-ключе, создает и отправляет запрос на создание сертификата. Ha основании запроса пользователя создается сертификат. Обработка всех входящих запросов на сертификаты выполняется администратором. После подтверждения запроса на сертификат, пользователь загружает сертификат в USB-ключ.
В решении предусмотрено два способа выдачи сертификатов: централизованный и децентрализованный.
Адаптер к Сертификационному Центру OPENSSL
Адаптер к Сертификационному Центру компании Microsoft
Преимущества ТОКЕМ_!МТ
Необходимо выделить следующие преимущества продукта ТОКЕ^ШТ. Переход на использование и8В-ключа приводит к жесткой персонализации доступа, обеспечивается невозможность одновременного входа в систему разных пользователей по одной учетной записи, предотвращаются любые типы атак, направленных на кражу пароля или сертификата с его закрытым ключом у пользователей ВСМО.
Любой переход на другой тип аутентификации предполагает, что будет определен некий час «Х», после которого невозможна работа пользователей со старым типом аутентификации, что вводит существенные риски в непрерывность ведения бизнеса. Но решение TOKEN_INT обеспечивает полную поддержку существующих учетных записей сервера приложений и реализует плавный и адресный (с точностью до пользователя) переход на следующую усиленную систему аутентификации (двухфакторную, с защищенным хранением закрытого ключа).
Данная реализация позволяет использовать все преимущества РК1-инфраструктуры (обеспечение конфиденциальности информации, ее целостности, аутентификации пользователей и ресурсов, к которым обращаются пользователи, возможности подтверждения совершенных пользователями действий с информацией) совместно с двухфакторной системой аутентификации.
Имеется возможность применять сертифицированные средства защиты информации от различных поставщиков средств аутентификации и криптографической защиты, а также использовать сертифицированные удостоверяющие центры для создания РК1 в организациях, если это требуется законодательством РФ в области защиты информации.