Предоставление защищенного доступа к информационным

on

В настоящее время согласно ряду последних законов и постановлений Правительства РФ интенсивно развиваются государственные услуги в электронном виде. Это стало причиной появления нового класса информационных систем, предназначенных для массового обслуживания запросов граждан и организаций. В полной мере это касается и развития информационных систем таможенных органов России. В качестве использования таких информационных систем общего пользования (далее — ИСОП) в таможенной сфере можно назвать электронное информирование, электронное декларирование, оплату пошлин и услуг таможенных органов и др. Во всех этих случаях необходимо осуществлять обмен электронными сообщениями, заверенными электронной цифровой подписью (далее — ЭЦП) сторон. ЭЦП как один из сервисов безопасности служит для защиты целостности документа, доказательства авторства, а также неотказуемости подписи. Согласно Федеральному закону от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи» для использования ЭЦП необходимы только сертифицированные средства формирования, применения и проверки электронной подписи, что накладывает ряд дополнительных требований к рабочим станциям для корректности выполнения указанных процедур. В корпоративных системах, где уже применяется ЭЦП, это осуществляется путем развертывания инфраструктуры открытых ключей, установки на ПЭВМ пользователей лицензионного и сертифицированного системного программного обеспечения, использования сертифицированных устройств для генерации и хранения ключевой информации, а также других мер. Для систем, в которых обрабатывается и хранится информация ограниченного доступа, дополнительно устанавливаются межсетевые экраны, защищаются базы данных, осуществляется защита каналов, системы обнаружения вторжений и т. д., что позволяет выполнять требования защиты целостности и доступности конфиденциальной информации. Практически это выливается в задачу построения электронного документооборота с юридическими последствиями или, другими словами, в создание защищенного электронного документооборота (далее — ЗЭДО). В современном правовом поле для придания юридической значимости электронному документу имеется непростой, но уже хорошо известный алгоритм, включающий ряд технологических, правовых и организационных мер. Так, при создании и использовании ключей ЭЦП следует применять только сертифицированные средства ЭЦП и средства криптографической защиты информации (ст. 5 Федерального закона от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи»). Для признания документов с ЭЦП равнозначными привычным бумажным документам необходимы также введение понятия аналога собственноручной подписи и создание регламента использования ЭЦП в каждой системе электронного документооборота или заключение соглашения сторон об использовании ЭЦП (согласно ст. 1 Федерального закона от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи», а также ст. 160 Гражданского кодекса РФ и ст. 11 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). Одной из самых сложных задач для ЗЭДО при этом является обеспечение доступности конфиденциальной информации. Как правило, это требует решения задач разделения доступа и обеспечения персонифицированного защищенного доступа пользователей к системе через интернет-портал с помощью надежных механизмов аутентификации. В отличие от корпоративных систем, в которых вопросы идентификации, аутентификации и применения ЭЦП решены, для ИСОП многие вопросы организации ЗЭДО не исследованы и не решены. В качестве вариантов решения предлагается технологическая платформа для организации защищенного доступа к ИСОП с применением современных технологий. В отличие от хорошо изученных корпоративных информационных систем (далее — ИС), участниками электронного взаимодействия в которых является определенный круг лиц, в ИСОП участниками электронного взаимодействия является неопределенный круг лиц и в использовании системы этим лицам не может быть отказано . В настоящее время ИСОП и число их участников могут достигать гигантских размеров. Одним из примеров таких систем является Интернет. Однако в большинстве ИСОП (таких как системы электронной коммерции, государственных услуг для граждан и т. д.) необходимо обеспечение надежных механизмов управления доступом пользователей системы, что отличает их от Интернета, где изначально был реализован принцип анонимности пользователя. Решение данной задачи невозможно без применения средств автоматической идентификации — процедуры распознавания субъекта по его уникальному идентификатору, присвоенному данному субъекту ранее и занесенному в базу данных в момент его регистрации в качестве легального пользователя системы. Если в системе обрабатываются и хранятся данные ограниченного доступа (коммерческая тайна, служебная тайна, персональные данные и т. п.), то доступ пользователей должен быть минимально достаточен и персонифицирован, следовательно, независимо от роли пользователя необходимо использовать надежные средства аутентификации — комплекс процедур проверки подлинности входящего в систему объекта, предъявившего свой идентификатор . В большинстве случаев проверка состоит в процедуре обмена между входящим в систему объектом и ресурсом, отвечающим за принятие решения («да» или «нет»). Данная проверка, как правило, производится с применением криптографических преобразований, которые нужны, с одной стороны, для того, чтобы достоверно убедиться в том, что субъект является тем, за кого себя выдает, с другой стороны — для защиты трафика обмена «субъект — система» от злоумышленника. Таким образом, идентификация и аутентификация как сервисы безопасности являются взаимосвязанными процессами распознавания и проверки подлинности пользователей. Именно от корректности решения этих двух задач (распознавания и проверки подлинности) зависит, можно ли разрешить доступ к ресурсам системы конкретному пользователю, т. е. будет ли он авторизован. Задачи идентификации и аутентификации для локальных сетей и корпоративных систем к настоящему времени хорошо изучены и имеют ряд решений, проверенных на практике. Например, достаточно подробно рассмотрены общетеоретические и практические задачи для локальных систем , методы идентификации и аутентификации классифицированы с точки зрения применяемых технологий , проанализированы вопросы решения задач аутентификации для распределенных корпоративных систем . В отличие от корпоративных систем, в которых участники информационного взаимодействия становятся легальными пользователями системы после заключения трудового договора, обязывающего их выполнять определенные правила работы с вычислительной техникой и информацией, например, с обрабатываемыми ими персональными данными, пользователи ИСОП, как правило, не связаны столь строгими договорными отношениями и вытекающими из них регламентами и правилами работы. Однако в ИСОП для внешних пользователей системы, как правило, невозможно применять хорошо развитую к настоящему времени корпоративную политику безопасности, включающую в себя кроме нормативной базы и организационных мер необходимые настройки корпоративного системного, прикладного и специального программного обеспечения. При этом чаще всего в качестве механизма идентификации пользователей используется лучшее решение по идентификации — механизм строгой двухфакторной аутентификации (один фактор — персональная смарт-карта, второй фактор — знание PIN-кода) легальных пользователей, основанный на применении технологии электронной подписи . Для этого на рабочей станции пользователя, как минимум, должны быть установлены и настроены следующие компоненты: легально приобретенная операционная система, поддерживающая PKI (Public Key Infrastructure — инфраструктура открытых ключей) для работы с открытыми ключами сервера и пользователей, драйвера для работы со смарт-картой и считывателем, CSP (Crypto Service Provider — криптосервис провайдер) для выполнения на рабочей станции криптографических преобразований и установления защищенного канала (при необходимости). У пользователя в данном случае, как минимум, должна быть персонифицированная готовая к работе смарт-карта, на которой должны храниться необходимые закрытые ключи и цифровые сертификаты (доступа и электронной подписи). Для пользователя ИСОП, не связанного договорными отношениями с владельцем ИСОП, перечисленный набор компонент и обязательность при этом проверки на чистоту от вирусов и троянов компьютера нужны далеко не всегда, а главное, такую конфигурацию, как правило, трудно обеспечить и практически невозможно проверить. Поэтому пользователи ИСОП в абсолютном большинстве случаев получают доступ к системе через так называемую «недоверенную» среду (чаще всего через Интернет). Таким образом, в исходных данных для задачи идентификации пользователей и предоставления им доступа к ИСОП мы имеем «недоверенную» среду на рабочих станциях пользователей и аналогичную по защищенности среду обмена «пользователь — система». Однако если ИСОП содержит персональные данные (далее — ПД) граждан, к решению задач идентификации и аутентификации в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» необходимо предоставлять персонифицированный доступ по принципу «наименьшей привилегии», т. е. минимальный доступ — только для выполнения самых необходимых функций. Для решения этой задачи перевод на защищенный режим доступа со строгой двухфакторной аутентификацией по цифровому сертификату доступа на смарт-карте с вводом PIN-кода существенно повышает реальную защищенность ПД. Такой подход достаточно просто реализуется на практике для корпоративных систем. Однако для ИСОП требуется решение, учитывающее разнообразие системного программного обеспечения, браузеров, отсутствие драйверов и работу из «недоверенной» среды. Рассмотрим один из возможных методов решения такой задачи, основанный на применении интеллектуальных смарт-карт, на примере ИСОП с электронным документооборотом. Сформулируем задачу в следующем виде: необхо имо разработать защищенную технологическую платформу для создания юридически значимого ЗЭДО в условиях минимальных требований к клиентской части. При этом на основе описанного во многих работах опыта борьбы с мошенничеством в кредитно-финансовой сфере пристальное внимание необходимо уделить защите от атак на закрытые ключи, «человек посередине», а также «проброс USB» и «подмена документа перед его подписанием с помощью ЭЦП». В общем случае у пользователя на компьютере могут быть установлены различные операционные системы (Windows, Linux, Mac ОС), работа с Интернетом может быть организована с помощью различных браузеров (Internet Explorer, FireFox, Safari, Opera, Chrome и др.). Кроме того, решение желательно организовать на компьютере по схеме действительно «тонкого клиента» (который не требует установки драйверов, CSP, криптобиблиотек, а также стороннего программного обеспечения). К тому же существенным фактором является требование к удобству пользования (подключил смарт-карту, ввел PIN-код — работает). Для организации защищенного с точки зрения информационной безопасности решения необходимо учитывать требования к аутентификации сервера (для исключения возможности его подмены), а также вопросы защиты канала связи. Для сервера (портал государственных услуг, системы электронного документооборота, сайт банка в системе дистанционного банковского обслуживания) согласно существующим требованиям необходимо выполнение следующих задач: строгая взаимная аутентификация клиента, формирование и поддержка защищенной сессии, защита канала связи, работа с ЭЦП и PKI. С сервера должна быть доступна для скачивания в защищенном автоматическом режиме компонента доставки активного содержания клиенту. Рассмотрим один из способов решения задачи защищенного Web-доступа. Для работы с защищенным порталом предлагается использовать смарт-карты на открытой платформе (например, Global Java Platform), позволяющие сгенерировать ключевые пары по ГОСТ 34.10-2001 и ГОСТ 34.11-94 (первую пару — для электронной подписи и вторую — для шифрования). Такие карты и USB-ключи уже имеются на российском рынке. В смарт-карте необходимо иметь достаточно свободной памяти для размещения до трех цифровых сертификатов. В частности, на подготовительном этапе нужно разместить на смарт-картах пользователей ИСОП корневой сертификат организации — владельца защищенного сайта. Для работы с документами, имеющими юридические последствия, предлагается построение технологической платформы в виде последовательного выполнения следующих действий: 1. Автоматическая аутентификация «клиент — сервер» по сертификату сервера. 2. Установление защищенного соединения «клиент — сервер». Это можно осуществить с помощью подгрузки на клиентскую часть с сервера плагина, содержащего компоненту выработки защищенного соединения по SSH с расширением применения алгоритмов ГОСТ, расширенную библиотеку PKCS#11, компонент для браузеров (обеспечивающий мультиплатформенность, мультибраузерность). 3. Установление защищенного соединения «клиент — сервер» по протоколу SSH с расширением применения алгоритмов ГОСТ в режиме сессии. 4. Подгрузка на клиентскую часть необходимого документа (например, таможенной декларации в электронном виде). 5. Работа с документом. 6. Заверение документа ЭЦП. Представленный вариант построения технологической платформы был опробирован авторами и их коллегами на ряде пользовательских операционных систем Windows (2000, XP, Vista, 7), Linux, Mac OS, а также браузеров Internet Explorer, FireFox, Crom (в работе находятся Safari и Opera) и смарт-картe Token на платформе Java c объемом свободной памяти 72 Кб. Такое техническое решение отличается от существующих подходов применением способа подгрузки необходимых компонент с сервера через Интернет по защищенному каналу, а также тем, что защищенное взаимодействие строится из «недоверенной» среды в режиме сессии. После отсоединения смарт-карты на ПЭВМ не остается никаких «следов» в виде временных и dump-файлов. Считаем, что предлагаемый подход будет реализован на практике и соответствующим образом оформлен на сертификацию. Предложенный способ построения защищенного доступа пользователей ИСОП из «недоверенной» среды после проверки и положительного заключения по результатам испытаний по требованиям безопасности ФСБ России может использоваться в качестве технологической платформы в системах предварительного информирования, электронного декларирования, системах оплаты таможенных пошлин и услуг, а также других ИСОП таможенных органов России. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи». , Аутентификация в компьютерных системах // Системы безопасности. 2003. № 5(53). , , Защита информации в сети — анализ технологий и синтез решений. М.: ДМК Пресс, 2004. и др. Аутентификация. Теория и практика / под ред. профессора, д-ра техн. наук . М.: Горячая линия-Телеком, 2009. Технологии идентификации и аутентификации // ВКСС Connect! 2006. № 1. С. 65-79. Аутентификация в распределенных системах // Инсайд. Защита информации. 2008. № 4. С. 69-73.