25.08.2004

Откуда ждать помощи

Бизнес-форум, №7-8/2004, Алексей Сабанов

Влияние информационных технологий на организацию бизнес-процессов постоянно растет. Одновременно множатся и угрозы для бизнеса, на предприятиях возникает все больше задач, требующих защиты данных и информационных ресурсов. Решать их помогает использование комплексных систем обеспечения информационной безопасности. Однако работать в условиях их применения непросто. Как же облегчить жизнь пользователям.  

Современные системы информационной безопасности — это, как правило, конгломерат ряда подсистем, реализующих разнородные сервисы. Ещё несколько лет назад мало кто задумывался над тем, что процесс превращения информации в реальную коммерческую субстанцию, постоянно подвергаемую внутренним и внешним атакам, приведёт к необходимости создания именно комплексных систем защиты информации. В силу этого для доступа к разным защищенным приложениям, подчас не связанным между собой напрямую, до сих пор приходится использовать разные персональные идентификаторы1 (ПИ). Это, естественно, вызывает справедливые нарекания со стороны пользователей, а потому перед многими компаниями остро стоит задача перехода к применению единого ПИ2. Вопрос — что же выбрать в качестве него?

Бизнес-задачи защиты корпоративной информации

Практически в любой организации в той или иной степени решаются (или в ближайшее время предстоит решить) следующие задачи:

  • организация защиты корпоративных ресурсов — бизнес-приложений и баз данных (БД), содержащих информацию, утечка которой критична для существования бизнеса компании;
  • организация  защищенного  обмена  информацией   между территориально удалёнными подразделениями (обеспечение документооборота и полноценной работы в бизнес-приложениях удалённых пользователей);
  • предоставление безопасного доступа к порталу компании, в том числе к защищенным web-страницам;
  • физическая защита рабочих помещений (организация системы контроля и управления доступом);
  • оперативное и эффективное управление информационной инфраструктурой предприятия.

Решение указанных задач обеспечивается следующими мероприятиями:

  • аутентификация   пользователей   перед  предоставлением им доступа к защищенным ресурсам;
  • криптографическая защита электронных документов (использование ЭЦП3, шифрование информации);
  • использование RFID-технологий.

При этом все они при решении задачи аутентификации предполагают использование ПИ в качестве носителей атрибутов, которые обеспечивают пользователям доступ к информационным и/или вычислительным ресурсам, в средствах криптографической защиты информации — для хранения ключевых документов и выполнения криптопреобразований; при применении устройств защиты каналов связи и организации VPN — для аутентификации удалённых пользователей и сетевых устройств, а также выработки сеансовых ключей при шифровании трафика. А в рамках систем контроля и управления доступом в помещения, основанных на использовании RFID-технологии, ПИ просто лежат в основе этой технологии.

Следовательно, единый ПИ должен обеспечивать выполнение всех указанных процедур при работе с установленными средствами защиты, а также унаследованными приложениями, как правило, не обладающими возможностью поддержки цифровых сертификатов (ЦС) Х.5097.

Выбираем претендента

Если мы хотим обеспечить высокую степень защиты информационной системы предприятия, следует ориентироваться на двухэтапную процедуру аутентификации пользователя при его доступе к информационным ресурсам и защищенным приложениям, в процессе которой должен осуществляться диалог между сервером безопасности и ПИ.

При выборе конкретного типа ПИ, который может быть использован в качестве единого для решения всех указанных задач, следует иметь в виду, что далеко не все типы идентификаторов могут удовлетворять требованиям конкретных задач. Например, чтобы его можно было применять для решения задачи шифрования информации, ПИ должен, как минимум, содержать процессор для выполнения криптографических преобразований и иметь достаточно большой объём памяти для хранения ЦС и других параметров доступа к системам, изначально не ориентированным на поддержку стандарта Х.509.

Кроме того, при выборе универсального ПИ следует иметь в виду, что он должен обеспечивать высокую степень защиты хранящейся в нём ключевой и иной служебной информации от несанкционированного её считывания, а также учитывать такие потребительские характеристики электронных приборов, как надёжность работы (вероятность сбоев и гарантированный срок эксплуатации) и стоимость.

Из таблицы видно, что связка «Логин/Пароль» не способна обеспечить высокую степень защиты информационных ресурсов предприятия.

Дискета, несмотря на высокую популярность этого ПИ из-за его низкой стоимости, достаточно большого объёма памяти и того, что он поддерживается практически всеми отечественными производителями систем криптографической защиты информации, не способна противостоять злоумышленнику при попадании в его руки, и он может воспользоваться, например, ЭЦП пользователя и совершить от его имени действия, последствия которых в некоторых случаях могут привести к краху бизнеса предприятия. К тому же дискета недолговечна (к примеру, в таких интенсивно используемых приложениях, как системы «Клиент-Банк», в течение года приходится менять десятки дискет), а каждая замена — это траты не только денег, но и времени (а возможно, и приостановление некоторых важнейших операций), так как эта операция выполняется только разработчиком системы защиты.

Что касается «таблеток» iButton8, то при их применении персонифицировать пользователя также не представляется возможным, и, как удачно выразился один из специалистов в области защиты информации, «при использовании iButton защита корпоративной информации — на уровне домофона».

Таким образом, в качестве универсального ПИ могут быть использованы только смарт-карта и еТокеn. При этом отметим, что по функционалу они фактически идентичны, поскольку еТокеn — это, по сути, смарт-карта и считыватель, объединённые в одно устройство.

Все публикации