Программно-аппаратный комплекс «Мастер Паролей®» и его интеграция с продуктами компании ЭОС

АЛЕКСЕЙ СОВА, ДИРЕКТОР ПРОЕКТА КОМПАНИЯ «РУСКАРД»

Угрозы информационной безопасности

Я представляю компанию «Рускард», которая создана в 2000 году. Основное направление деятельности компании – обеспечение информационной безопасности.

Вы наверняка обратили внимание на то, что в последнее время теме информационной безопасности уделяется все больше внимания. В прессе публикуются статьи и обзоры, профильные компании проводят исследования. И есть одна цифра, которая с завидным постоянством появляется в этих материалах. До 80 % случаев неправомерного использования информации, будь то коммерческая тайна или персональные данные, приходится на самих сотрудников данных компаний, а среди тех случаев, что возникают с внешней стороны локальной сети, до 15 % также связано с бывшими сотрудниками.

Статистика – наука сухая и неэмоциональная, но задумайтесь, ведь это в той или иной мере может относиться и к Вашей компании. Зачастую речь идет не просто об ущербе - под угрозу ставится само существование компании. Как правило, большинство таких случаев можно свести к понятию "несанкционированный доступ".

Информация – продукт не только необходимый, но и весьма ценный. Но очевидно, что в случае ценности информации как объекта, доступ к ней должен быть разрешен строго определенным субъектам. А чем эта ценность выше, тем строже должен контролироваться процесс доступа. Как определить принадлежность субъекта к конкретной категории?

НЕ нашли? Не то? Что вы ищете?

Разграничение прав и контроль доступа

Поскольку субъектом доступа в данном случае является человек, то  контроль  ведется на основании его характеристик. Основные группы характеристик:

    биологические характеристики (ДНК, папиллярный узор, сетчатка глаза, геометрия ладони, подпись, голос и т. д.); имущественные характеристики (удостоверения, жетоны, механические ключи, магнитные и смарт-карты, электронные ключи и т. д.); владение информацией (пароль, PIN-код, цифровой замок и т. д.).

Сравнение способов контроля доступа

Сравним наиболее популярные способы контроля доступа:

    папиллярный узор (отпечаток пальца); электронный USB-ключ; пароль.

Отпечаток пальца

Методы биологической идентификации постоянно совершенствуются и в настоящее время достаточно оперативны и надежны. Плюсы очевидны - идентификатор всегда при пользователе, ими достаточно удобно пользоваться.

Но есть и существенные ограничения.

    Конечное число идентификаторов (не более 10 для каждого пользователя) накладывает ограничения на использование разных идентификаторов в разных приложениях. Возможна  компрометация используемых идентификаторов.  В этом случае количество идентификаторов невосполнимо уменьшается. При повреждения пальца (порез, ожог, загрязнение) процесс идентификации существенно осложняется. Кроме того, на идентификацию влияют влажность и температура тела – очень нестабильные параметры, зависящие от самочувствия, настроения, окружающей среды. Идентификатором нельзя пользоваться группе пользователей, в т. ч. нельзя передать идентификатор во временное пользование. Что весьма критично при организации групповой работы.

В результате, несмотря на широкую рекламу в голливудских боевиках,  применение для контроля доступа отпечатка пальца оправдано для задач, не требующих высокой надежности и стабильности.

USB-ключ

Наиболее типичным способом использования электронных ключей является хранение на них цифровых сертификатов – например, кода, используемого для идентификации пользователей в приложениях. Пока что сертификаты поддерживают небольшое количество приложений – авторизация в Windows 2000/XP, подписание и шифрование почты и некоторые другие виды приложений.

Узкая специализация имеет свои плюсы и минусы. Плюс в том, что такое решение полностью интегрируется с обслуживаемым приложением, это позволяет сделать работу более удобной. Минус – в жесткости, негибкости: программы развиваются, меняются, и при выходе другой версии того же самого приложения потребуются дополнительные деньги и время на разработку и обновление ключей.

Кроме того, пока отсутствуют универсальные решения, которые работали хотя бы с наиболее популярными программами. 

Применение электронных ключей требует доработки защищаемых приложений для обеспечения полной интеграции. Оптимальным для использования в системах комплексной централизованной защиты является тот вариант, когда для авторизации достаточно единственного электронного ключа.

Пароль

Наиболее универсальный способ авторизации – с помощью пароля или пары: имя пользователя – пароль. Неоспоримым преимуществом парольной защиты является легкость реализации, общедоступность – любой человек сможет воспользоваться этим методом авторизации.

Ввод пароля применяется повсеместно – вход в операционную систему (ОС) и локальную сеть, закрытие документов и архивов, удаленный доступ и защищенные сайты. Но при этом  считается, что пароли не эффективны и могут применяться только в случаях наиболее низких требований к безопасности. Почему? Часто эта информация записывается пользователем на различных бумажках, в записных книжках, что при их доступности другим может свести на нет все усилия по безопасности.  Пароль сложно запомнить, долго вводить, можно подсмотреть, подслушать, а то и просто разгадать. Существует множество программ для взламывания паролей. То есть с одной стороны – все используют пароли, с другой – все ими недовольны.

Условия повышения эффективности парольной защиты

В то же время, специалистами определены условия, при соблюдении которых эффективность использования паролей  значительно возрастает:

    большая длина пароля; неочевидность состава символов (бессмысленность); частая смена; отсутствие записи пароля в легкодоступной форме; возможность хранения носителя пароля в защищенном месте; нестандартный механизм ввода (минуя клавиатуру); отсутствие записей пароля в компьютере.

Но как это все выполнить? Ведь эти требования противоречивы:

    пароль должен быть длинным и сложным, но его надо часто менять; пароль нельзя хранить в открытом виде, но его нужно быстро вводить; пользователь должен вводить пароль, но не должен его никому передавать.

Что же делать? Если бы можно было взять универсальность паролей, надежность электронных ключей и простоту использования отпечатка пальца!

Новый уровень парольной защиты – комплекс «Мастер Паролей®»

Для решения этой задачи специалистами компании «Рускард» был разработан программно-аппаратный комплекс «Мастер Паролей®». Состав комплекса:

    программа «Менеджер паролей»; смарт-карта (карта памяти, ISO-7816 1,2); устройство чтения/записи для смарт-карт – ридер (имеются варианты с подключением к USB, ISA, PCI, COM+PS/2); крепеж для ридера; Руководство по эксплуатации.

Авторизационная информация хранится только на карте и при необходимости вводится в требуемую программу. Обеспечивается работа практически с любыми программами в среде Windows 95/98/МЕ/NT/2000/XP. В комплекс Мастер Паролей® заложены данные наиболее популярных и часто используемых программ, что позволяет работать с ними без дополнительной настройки.

На комплекс выдан сертификат Гостехкомиссии при Президенте РФ. Сертификат удостоверяет, что программно-аппаратный комплекс «Мастер Паролей®»  является средством идентификации пользователей и может использоваться как самостоятельное изделие, так и в составе средств защиты информации от несанкционированного доступа в автоматизированных системах класса защищенности 3Б, 2Б, 1Д, 1Г -  то есть в системах, обрабатывающих конфиденциальную информацию.

Каким же образом комплекс повышает эффективность использования паролей? Рассмотрим основные особенности «Мастера Паролей®».

    Исключается хранение паролей на жестком диске и ввод авторизационных данных с клавиатуры. Могут использоваться пароли любой сложности длиной в десятки и сотни символов. Одна стандартная смарт-карта позволяет хранить более 50 надежных паролей к различным приложениям. Встроенный генератор паролей избавляет пользователя от необходимости придумывать длинные и сложные пароли. Для одного приложения можно иметь несколько вариантов паролей. Обеспечивается двухфакторная авторизация – для доступа необходимо иметь смарт-карту с данными (пароли и «логины») и знать PIN-код для ее использования. Комплекс работает практически с любыми приложениями, использующими парольную защиту: при авторизации в сети организации и доступе к конфиденциальным базам данных, интернет-провайдеру и интернет-сайту, при снятии защищенной паролем экранной заставки. Используется для MS Word, Excel, Access, Internet Explorer, WinZip, WinRar, почтовых, торговых и складских программ (в том числе семейство «1С»), работающих в среде Windows. Доступ к смарт-карте может закрываться PIN-кодом любой длины и сложности, защищенным от подбора временной задержкой. PIN-код может быть изменен пользователем.

Комплекс «Мастер Паролей®» совмещает универсальность парольной защиты и надежные и удобные технологии авторизации при помощи смарт-карт.

Комплекс «Мастер Паролей Плюс®»

Кроме однопользовательской, существует корпоративная сетевая версия – «Мастер Паролей Плюс®». Корпоративная версия предназначена для обеспечения идентификации пользователей и разграничения прав доступа к сетевым и терминальным ресурсам в локальной  сети организации.

Как упоминалось выше, до 80 % случаев неправомерного использования информации приходится на самих сотрудников компаний. Это возможно благодаря тому, что существующая во многих организациях система разграничения и контроля доступа выполняет скорее декоративные функции. Всем известно, что пароли у большинства  пользователей короткие и простые. Если же системный администратор ценой титанических усилий заставил использовать сложные и длинные пароли, то, скорее всего, они написаны на листочках, прилепленных к монитору.

Как сделать так, чтобы минимизировать возможный вред, причиняемый пользователем? Можно издавать инструкции и приказы, обучать сотрудников, постоянно контролировать их действия  и так далее. Но все это весьма затратные в денежном и временном исчислении способы, которые не всегда оказываются достаточно  эффективными. Гораздо проще и надежнее сделать так, чтобы пользователь просто не мог ошибиться.

Основной принцип сетевой версии – разнесение пользовательской и администраторской частей программного обеспечения. Каждый пользователь в организации имеет определенные права доступа, в том числе и к информационным ресурсам. В соответствии с этими правами, администратор создает для конкретного пользователя ряд авторизационных записей и сохраняет эти данные на персональной смарт-карте. Пользователь же при помощи карты, получает доступ только к тем ресурсам, которые соответствуют его правам. Для него комплекс совершенно прозрачен и не дает ему инструментов для доступа к содержимому карты. Новому сотруднику выдают смарт-карту, на которую занесены авторизационные данные для всех разрешенных ему ресурсов. Пользователь закрывает карту своим PIN-кодом и использует ее всякий раз, когда компьютер запрашивает у него пароль. При этом сами пароли ему неизвестны.

Типичный пример внедрения комплекса «Мастер Паролей Плюс®» – крупная торговая организация с развитой филиальной сетью. Разнообразное техническое оснащение, в том числе достаточно старые и не слишком мощные рабочие станции, операционные системы от Windows 95 до Windows XP, терминальные сервера, удаленные рабочие места и так далее.  При этом осуществляется последовательная трехступенчатая авторизация пользователей – вход на рабочую станцию, вход на терминальный сервер, вход в торговую программу на сервере. Кроме того, при помощи смарт-карты пользователи работают с почтой, офисными программами, архивами и базами данных.

Комплексные решения и интеграция

Очень важной характеристикой любого комплекса или программы является ее интегрируемость в общую  систему информационной безопасности предприятия.

Комплекс «Мастер Паролей®» способен достаточно легко интегрироваться с  существующими прикладными системами, рабочими станциями, серверами и сетевым оборудованием. Процесс внедрения происходит без внесения изменений в существующую сеть предприятия. Внедрение комплекса осуществляется без перенастройки сетевого оборудования, изменения топологии, маршрутизации и внутренней адресной структуры различных сегментов и удаленных узлов действующей сети.

Кроме того, комплекс позволяет использовать его совместно с другим специализированным программным обеспечением. Рассматривая систему информационной безопасности, необходимо учитывать некоторые особенности.

Очень важно, чтобы используемые в организации средства обеспечения информационной безопасности были интегрированы в единый комплекс. Обеспечивая надежность защиты, нельзя забывать об удобстве использования. Зачастую самым слабым элементом системы безопасности становиться рядовой пользователь.  Задача разработчиков и интеграторов состоит в том, чтобы сделать защиту как можно более незаметной и удобной. Необходимо помнить, что обеспечение информационной безопасности не должно мешать повседневной работе организации.

Удачным примером этого служит работа комплекса «Мастер Паролей®» с системой автоматизированного делопроизводства  "ДЕЛО" компании ЭОС. С "ДЕЛОМ" может использоваться как однопользовательская, так и корпоративная версия комплекса. Помимо повышения уровня защищенности информации, упрощаются администрирование сети и работа сотрудников.

В настоящее время проводится интеграция комплекса с модулем криптографической защиты информации – криптопровайдером «КриптоПро CSP». При помощи сертифицированного «КриптПро CSP» исходящие и внутренние документы могут быть защищены ЭЦП и/или зашифрованы. Компания «Рускард» совместно с компаниями "Крипто-Про" и  "Атлас-Телеком" проводит работы по взаимной интеграции криптопровайдера, комплекса «Мастер Паролей®» и карты РИК (Российская Интеллектуальная Карта) – разработка  "Атлас".

Это даст возможность пользователям системы "ДЕЛО" отказаться от такого неудобного и ненадежного (но пока еще часто используемого) носителя ключей и сертификатов, как дискета.

Пользователь получает возможность работать со всеми программами при помощи одной смарт-карты.  Сотрудник входит на свое рабочее место, получает доступ к документам из базы данных, шифрует свои файлы, подписывает документы, работает в защищенной сети, отправляет и принимает почту, входит на защищенный сайт, в торговую программу. Все это и многое другое он делает при помощи одной смарт-карты.

Заключение

В заключение хочется отметить, что помимо коммерческих организаций, интерес к комплексу проявляют и госструктуры. Сейчас идет эксплуатация комплекса в системе МПС, на ряде железных дорог. Кроме того, в работе находится несколько технических заданий для ряда торговых и финансовых организаций Москвы, Санкт-Петербурга и регионов РФ. Проводится сертификация «Мастера Паролей®» в Гостехкомиссии при Президенте РФ и Министерстве Обороны РФ для работы комплекса с информацией, содержащей сведения, отнесенные к гостайне.