Февраль 2005
Тема номера: Информационная безопасность
Ростислав Рыжков,
Директор по информационной безопасности
“ФОРС – Центр разработки”,
rryshkov@fors.ru
Цифровые сертификаты защитят коммерческие секреты и персональные данные
Источник: авторский вариант статьи, опубликованной с журнале "Мобильные системы", №10, 2004
Сегодня нет, пожалуй, ни одной компании, которая не задумывалась бы серьезно над проблемой информационной безопасности. Решения и технологии, позволяющие защитить персональный компьютер, корпоративные сети или базы данных, постоянно совершенствуются. Cтарейший способ не допустить к своей информации посторонних – организовать доступ к ней через ввод имени пользователя и пароля, иначе говоря – через авторизацию пользователя. По данным авторитетной аналитической компании IDC (www.idc.com ) на долю средств авторизации и администрирования (необходимого для надежной авторизации) уже приходится более 70 % от общей суммы затрат, связанных с обеспечением информационной безопасности, и инвестиции в эту сферу ежегодно растут на 30 %. Ниже мы покажем, на что расходуется часть этих денег
Средства опознания пользователя основе имени и пароля встроены в операционные системы, СУБД и прикладные программы, что обеспечивает определенную степень защиты, но не самую надежную идентификацию. Если сочетание имя/пароль попадет в руки злоумышленнику, он без труда выдаст себя за легального пользователя, и информация окажется под угрозой. По этой причине для более безопасного доступа применение дополнительных средств может оказаться весьма желательным. Среди них такие, как идентификация по отпечаткам пальцев, радужной оболочке и сетчатке глаза, а также с помощью смарт-карт и цифровых сертификатов. Их использование, как правило, организуется на уровне прикладного программного обеспечения. На рынок выходят информационные системы, имеющие встроенную возможность строгой аутентификации при доступе к данным.
Подобное решение предлагает компания “ФОРС - Центр разработки”, один из лидеров в сфере создания крупных информационных систем, реализовав механизм строгого управления доступом к своим прикладным системам на основе использования цифровых сертификатов и LDAP-каталогов. В основе лежат технологии ORACLE, обеспечивающие строгую аутентификацию пользователей с помощью цифровых сертификатов стандарта X.509. Решение не позволяет злоумышленнику, работая под чужим именем, похитить информацию из базы, а также совершить несанкционированный доступ к приложениям, использующим СУБД Oracle.
Планируется, что разработанная методика будет применяться для защиты нескольких прикладных систем компании. Все созданные компанией клиент-серверные приложения, использующие СУБД Oracle, смогут обеспечивать пользователям доступ к базе на основе цифрового сертификата стандарта X.509.
Лекарство от чего?
Говоря общими словами, решение ориентировано на использование в информационных системах, которые хранят и обрабатывают сведения, представляющие коммерческую тайну или персональные данные. В частности оно может с успехом применяться и в системах, обслуживающих рынок телекоммуникаций. Интерес к обеспечению безопасности данных под управлением СУБД Oracle при помощи смарт-карт технологий проявляют операторы связи, стремящиеся защитить свои биллинговые системы.Учитывая это, идентификация с использованием цифрового сертификата была предусмотрена среди возможностей мультисервисной биллинговой системы Fastcom 2.5, предлагаемой компанией ФОРС –Центр Разработки. Такой же возможностью обладает другой продукт компании – программный комплекс “Монитор объектов”. Он может быть использован как технологическое ядро для построения, например, системы ведения информационной базы клиентов телекоммуникационной компании. Продукт обеспечивает конструирование структуры хранения информационных ресурсов, и включает средства быстрой разработки пользовательских приложений, предназначенные для построения распределенных, объектно-ориентированных баз данных. Монитор объектов решает задачу наполнения базы данных, как средствами пользовательского интерфейса, так и путем информационного обмена с другими системами.
Не секрет, что сегодня можно свободно приобрести пиратские компакт-диски, содержащие базы учета автотранспорта, адресов граждан и организаций, телефонов абонентов телекоммуникационных компаний. Все эти персональные данные и коммерческая информация каким-то путем были похищены из действующих информационных систем. По оценкам специалистов, основная угроза утечки информации исходит со стороны сотрудников, имеющих официальный доступ к данным. Привычный способ входа в систему с использованием имени пользователя и пароля (на основе того, что человек знает) практически не позволяет установить, кто же в действительности работает с данными, даже если факт доступа зарегистрирован системой мониторинга. Связано это с тем, что узнать сочетание “имя пользователя-пароль” сравнительно несложно, а потому и трудно утверждать, что несанкционированные действия произвел именно тот, под чьим именем осуществлен вход в систему.
Более безопасным считается доступ в систему на основе того, что человек имеет. Тайно похитить или присвоить на время материальный носитель, хранящий идентификатор пользователя, не так легко, как узнать пароль. Факт пропажи носителя (смарт кары, eToken-а и пр.), легко обнаруживается, и немедленно вызывает запрет доступа в систему для его владельца. Владелец смарт-карты несет ответственность за ее сохранность, утеря может вызвать для него такие же последствия, как утеря ключей от сейфа, пропуска на режимный объект и т. д. С другой стороны, хищение материальной ценности (носителя) может грозить злоумышленнику теми же неприятностями, что и кража любого другого оборудования компании, в то время как ответственность за подглядывание имени пользователя и пароля никак не предусматривается.
Таким образом, вход в систему на основе некоего материального “пропуска” существенно снижает риск получения несанкционированного доступа к информации.
Реализация
Переход от технологий, использующих имя пользователя и пароль, к более строгим методам, позволяет значительно усилить безопасность системы, исключить перехват идентификационной информации пользователя потенциальным злоумышленником. Решение, повышающее безопасность данных, построено на основе трех основных компонент:
Использования цифрового сертификата в качестве идентификатора пользователя
Применения технологий Oracle для организации SSL-соединения LDAP-каталога
Использования смарт-карты как носителя цифрового сертификата и ключа
Цифровой сертификат как идентификатор пользователя
Цифровой сертификат представляет собой электронный документ, выданный удостоверяющим центром. Традиционно он используется для идентификации владельца сертификата (компании или пользователя) путем проверки содержащегося в сертификате цифрового ключа. Удостоверяющий Центр, выдающий сертификаты (Certification Authority, CA), заверяет своей электронной подписью соответствие между открытым ключом и именем (идентификатором) его владельца. Подписанные таким образом данные (открытый ключ, идентификатор владельца и некоторые другие, связанные с ним атрибуты) и представляют собой цифровой сертификат. Генерация цифровых сертификатов регламентируется стандартом Х.509.
Цифровой ключ, входящий в состав сертификата, также может использоваться для электронно-цифровой подписи и шифрования электронных писем, файлов или трафика, передаваемого по каналам связи. Только определенный получатель может расшифровать сообщение или принятый трафик, при этом он будет уверен, что письмо пришло от легального отправителя, и оно не было изменено при пересылке.
Эти и многие другие возможности предусматривает концепция PKI (Инфраструктура Открытых Ключей)
LDAP-каталог и SSL-соединение в Oracle
LDAP-каталог, LDAP-сервер, SSL-протокол – эти словосочетания сегодня известны всем, хотя бы немного интересующимся IT-тематикой. Облегченный протокол доступа к каталогу (Lightweight Directory Access Protocol или LDAP) обеспечивает работу клиентских приложений, в том числе "легких" пользовательских агентов, таких как Internet-броузеры, с каталогами, использующими архитектуру X.500. Протокол рассчитан исключительно на использование поверх TCP. Конкретные реализации протокола могут отличаться, например, поддержкой шифрования трафика по SSL 3.0 или проверкой права на установление соединения на основе имени и пароля в операционной системе. Текущая, третья версия этого протокола поддерживает репликацию каталогов и улучшенные средства защиты, в том числе проверку права на установление соединения на основе цифрового сертификата.
Для обеспечения безопасного обмена данными между клиентом и сервером применяется SSL (Secure Sockets Layer) протокол, по которому обмен производится в зашифрованном виде. SSL- соединение в реализации Oracle обеспечивает Oracle Advanced Security, осуществляя обмен трафиком между клиентом и сервером по SSL-протоколу, что делает его перехват практически невозможным.
SSL-соединение между клиентом и базой данных обслуживает LDAP –сервер Oracle, называемый Oracle Internet Directory Server. Именно он хранит учетные записи пользователей и связывает их с цифровыми сертификатами и цифровыми ключами, которые могут размещаться в различных хранилищах. На основе цифровых ключей, являющихся частью цифрового сертификата, производится шифрование SSL – трафика.
Использование смарт-карт технологий
Цифровой сертификат, на основе которого происходит идентификация пользователя, может храниться как в самом компьютере, так и на устройстве, который владелец носит с собой. Для хранения цифровых сертификатов особенно перспективно применение смарт-карт или USB-ключей eToken, поскольку конструктивные особенности не позволяют похитить цифровой сертификат из их памяти. Впервые технология аутентификации с использованием eToken при доступе к базам данных Oracle была представлена компанией “Аладдин” в апреле 2004 года.
Несомненным достоинством использования смарт-карт технологий для реализации SSL- доступа к БД Oracle является мобильность хранилища сертификатов. В случае размещения сертификатов в традиционных хранилищах (Реестр компьютера, файл или Oracle Wallet) для корректной аутентификации необходимо, чтобы доступ осуществлялся с того же компьютера, на котором был выписан сертификат, и где зарегистрировано хранилище. При механическом копировании хранилища на другой компьютер аутентификация на основе цифрового сертификата с этого компьютера невозможна. Хранение сертификата на eToken или смарт-карте позволяет пользователю получить доступ к базе и прикладной системе с любого клиентского рабочего места.
Описание
На примере “Монитора объектов” продемонстрируем, как выглядит диалог входа в систему при использовании цифровых сертификатов.
Традиционное окно входа в систему на основе имени пользователя и пароля
в случае авторизации по цифровому сертификату не появляется.
При размещении в USB-порте компьютера eToken-а, хранящего
цифровые сертификаты, появляется окно выбора нужного сертификата:
Пользователь выбирает сертификат, но для работы с ним система просит предварительно ввести PIN-код eToken-а:
И предлагает стандартный диалог по смене PIN-кода:
После чего происходит аутентификация пользователя и запуск системы.
О компании “ФОРС — Центр разработки”:
Компания “ФОРС-Центр разработки”, входящая в состав холдинга ФОРС, является одним из крупнейших российских разработчиков больших информационных систем, имеет статус “Certified Advantage Partner” корпорации Oracle. Компания предлагает полный комплекс услуг, включая исследования, разработку и внедрение как универсальных, так и специализированных решений, применяемых практически во всех сегментах рынка, оказывает консалтинговые услуги в области моделирования бизнес-процессов; осуществляет настройку комплекса бизнес-приложений Oracle E-Business Suite. Компания ФОРС была создана в 1991 году и на сегодняшний день имеет филиалы в Санкт-Петербурге, Нью-Йорке и других городах. Партнерская сеть насчитывает более 100 компаний.
|
