поиск по сайту

Если у вас возникли вопросы, или вам что-то не нравится, вы можете пожаловаться

Защищенный доступ к информационным ресурсам по Интернет

Защищенный доступ к информационным ресурсам по сети Интернет

Возможность оказания услуг гражданам по сети Интернет приобретает тем большее значение, чем актуальнее становятся снижение себестоимости и оперативность предоставления этих услуг.

Например, хорошо понятно, что экономически выгоднее продавать через Интернет электронные билеты, чем печатать бумажные и продавать через кассы с привлечением наемных продавцов.

Несомненно, востребованной услугой станет <депозитарий документов> - информационный ресурс, объединяющий все документы каждого гражданина, официально им полученные, если этот ресурс сможет обеспечить предъявление любого из этих документов оперативно по запросу владельца или уполномоченного лица. Это избавит граждан от необходимости носить с собой <на всякий случай> большое количество документов, рискуя их потерять, и сделает более эффективной работу госслужащих, которые смогут получать уже при первом обращении гражданина сразу весь имеющийся у него комплект документов, а не только те, которые он не забыл принести.

Необходимым условием функционирования такого <депозитария документов> является возможность надежно защищенного взаимодействия пользователя с удаленным ресурсом.

Примеров систем, требующих такого типа взаимодействия можно приводить очень много - от дистанционного образования до электронного голосования.

Для того чтобы предоставление услуг по сети Интернет стало по настоящему эффективным и социально значимым механизмом, оно должно быть массовым. А массовым оно может стать только в том случае, если взаимодействие компьютерного центра (КЦ) и пользователя не будет нести угрозы информационной безопасности КЦ, но в то же время будет удобно пользователю. Пользователю это взаимодействие удобно в том случае, если он может выходить на связь с того компьютера, который находится в его распоряжении в данный момент (с домашнего, с компьютера бизнес-центра гостиницы, с КПК и т. д.), а безопасно для КЦ это взаимодействие в том случае, если подключение с непроверенного, потенциально <небезопасного> компьютера,  гарантированно не может повлиять на его защищенность.

Пропустить теоретическую часть

В корпоративной системе можно обеспечить любой требуемый уровень защищенности путем использования на всех компьютерах специализированных средств защиты информации - в первую очередь, средств обеспечения доверенной загрузки вычислительной среды. Иначе дело обстоит с домашними компьютерами - представляется нереальным так замотивировать пользователя домашнего компьютера, чтобы он захотел установить на свой компьютер примерно на 500 долл. средств защиты.

Возможен только один путь - защищенность и доступ к компьютерному центру предоставлять пользователю как бесплатную (или недорогую) опцию к другой функциональности, нужной ему для каждодневной работы. При этом комплекс средств доступа к КЦ со стороны клиента должен быть максимально упрощен, облегчен, чтобы не создавать у пользователя негативной реакции, которая у него в этом случае будет ассоциироваться не с защитой, а с КЦ. С другой стороны, средства КЦ могут быть сколь угодно сложны и дороги (в реальных пределах), так как пользователь с ними не соприкасается, и видит только результаты их <труда>. В связи с тем, что обеспечить на домашних компьютерах доверенную вычислительную среду очень сложно, то необходимо организовать систему доступа таким образом, чтобы свести возможные влияния потенциально враждебного окружения ПО домашнего компьютера к минимуму.

Удаленный клиент может взаимодействовать с КЦ в защищенном режиме следующими способами:

1) доверенные ОС+VPN+браузер;

2) доверенные ОС+браузер по HTTPs;

3) защищенный терминальный доступ (доверенный терминальный клиент с VPN-клиентом).

Третий вариант отличается от первых двух:

- более высокой защищенностью (так как все вычисления осуществляются не на компьютере пользователя, а на сервере, и в связи с этим влияние потенциально враждебного окружения компьютера пользователя минимизируется);

- отсутствием ограничений на функциональность используемых приложений (терминальное решение не ограничивает функциональность, браузер - ограничивает);

- существенно меньшим объемом доверенного ПО, необходимого для функционирования системы;

- существенно меньшей сложностью доверенного ПО, что позволяет достоверно убедиться в отсутствии недекларированных возможностей и повышает надежность функционирования.

Организация работы в режиме терминального доступа - это хорошо известный и апробированный путь для минимизации вредоносных влияний со стороны пользователя.

При этом на компьютере пользователя запускается ПО терминального клиента и посредством этого ПО обеспечивается доступ пользователя к защищаемому ресурсу, а также защита трафика от перехвата и/или искажения при помощи криптографических средств.

Для защиты информации в процессе передачи протоколы предоставляют возможность построения так называемых "виртуальных" каналов. Если запрос на создание терминальной сессии обработан с положительным результатом, то все взаимодействие между терминалом и терминальным сервером происходит в рамках этого виртуального канала.

Виртуальный канал (вернее, его криптографическая часть) может поддерживаться как программными средствами, так и аппаратными. В комплект пользователя должны входить ПО терминального клиента и средства его надежного хранения. Объем этого ПО должен быть минимален, так как большой объем ПО приведет к длительной загрузке. При этом критически важные с точки зрения безопасности процедуры лучше выполнять аппаратно, не допуская переноса в незащищенный компьютер пользователя критически важных данных, таких, например, как ключи подписи и шифрования. Программное обеспечение пользовательского комплекта должно размещаться на отчуждаемом носителе, которым, в общем случае, может быть флэш-диск, CD-ROM и персональное СКЗИ (ПСКЗИ) ШИПКА.

Менее всего из соображений безопасности для этих целей подходит флэш-диск - действительно, обеспечить целостность программного обеспечения на этом носителе без дополнительных средств невозможно.

CD-ROM обеспечивает целостность программного обеспечения, но является пассивным устройством, и для хранения ключей и криптографических преобразований понадобятся дополнительные средства.

На наш взгляд, наиболее подходящим средством для обеспечения безопасной эксплуатации терминалов пользователей является ПСКЗИ ШИПКА.

Особенностями ПСКЗИ ШИПКА является, в первую очередь, то, что:

- ключевая информация и криптографические библиотеки сосредоточены в одном устройстве, доступны на исполнение они только авторизованному пользователю и технологически защищены от чтения и модификации;

- собственные криптографические ресурсы устройства достаточны для организации защиты виртуальных каналов;

- все криптографические функции реализованы на аппаратном уровне и обеспечивают процедуры работы с ПО различных производителей (с использованием стандартных интерфейсов PKCS#11 и СSP).

По таблице сравним два варианта - размещение клиентского набора ПО на ПСКЗИ ШИПКА (терминальный клиент) и клиентского набора ПО на CD_ROM (ОС+VPN+браузер).

Таблица

ПАРАМЕТР

CD-ROM

ПСКЗИ ШИПКА

Целостность ПО

+

+

Время загрузки программного обеспечения

1

1

Возможность обновления программного обеспечения

-

+

Безопасное исполнение криптографических процедур

-

+

Современность решения

-

+

Привлекательная для пользователей функциональность

-

+ 2

Наличие собственных проверочных механизмов

-

+

Цена совместной работы с УСК

высокая

низкая

1 - Скорость загрузки примерно одинакова для этих двух вариантов;

2 - ШИПКА может выполнять шифрование и подпись файлов на диске; ШИПКУ можно использовать как ключевой контейнер и аппаратный ДСЧ для различных криптографических приложений; на основе ШИПКИ осуществляется организация защищенной переписки (подпись и шифрование почтовых сообщений) в программах Outlook, OutlookExpress и The BAT!, получение сертификатов Удостоверяющих центров и тому подобное. Важнейшим достоинством является возможность использования системы Privacy, которая обеспечивает не только защищенную почту (шифрование и подпись), но и защищенное использование других популярнейших сервисов - например, ICQ и Skype. Стандартной для ШИПКИ является программа <Помощник авторизации> - программа, которая запоминает данные авторизациии управляет ими, предлагая заполнять поля авторизации автоматически. С помощью ШИПКИ выполняется также аппаратная идентификация/аутентификация на компьютерах, ЛВС, доменах и многое другое. Возможности ШИПКИ могут быть расширены по желанию клиента. В первую очередь, это организация доступа к персональной ключевой информации по предъявлению биометрических данных. Для этого в ШИПКУ добавляется сканер, считывающий отпечаток пальца, и механизм распознавания отпечатка пальца.

Общая структура доступа в этом случае может выглядеть так:

- для доступа с домашнего компьютера используется технология терминального доступа;

- для обеспечения доверенности программной среды на время информационного обмена используется ПСКЗИ ШИПКА;

- ШИПКА используется также для обеспечения доверенного выполнения криптографических операций и надежного хранения ключей;

- взаимодействие домашнего компьютера и КЦ осуществляется через сеть Интернет;

- со стороны КЦ информационное взаимодействие осуществляется стандартным терминальным сервером через VPN-сервер.

Отметим, что применение стандартного ПО терминальных серверов значительно повышает надежность, живучесть и интероперабельность системы, что, в свою очередь, позволит без дополнительных затрат использовать весь объем наработанных сервисов и полную функциональность КЦ.

Отдельным вопросом является выбор VPN-сервера. Криптографические процедуры, выполняемые на сервере VPN, могут создавать значительную нагрузку на компьютер сервера, которая пропорциональна количеству одновременно работающих удаленных пользователей. Программная реализация криптографических процедур ограничит максимальное количество пользователей несколькими сотнями. Для обеспечения большего количества одновременно работающих пользователей необходимо использовать специализированные аппаратные ускорители криптографических процедур (КУ), которые смогут обеспечить работу до нескольких тысяч пользователей. Как пример такого ускорителя можно привести КУ <Крещендо> (ссылка), позволяющий выполнять 5000 проверок ЭЦП в секунду и шифровать со скоростью шины.

В качестве VPN_сервера можно использовать любые известные решения, например, <Атликс>, <Континент>, ФПСУ-IP, , , решения компании <С-Терра СиЭсПи> и другие. Основной критерий выбора - производительность VPN-сервера с учетом возможности ускорения криптографических процедур, наличие терминального клиента и возможность модернизации его под использование аппаратно выполняемых криптографических функций, а также минимальный объем среды, из которой на домашнем компьютере может стартовать терминальный клиент.

Вернемся теперь к задаче электронной продажи билетов. Установив с домашнего компьютера защищенный доступ к КЦ так, как описано выше, пользователь бронирует себе билет, используя специальное торговое приложение.

Факт бронирования подтверждается квитанцией с ЭЦП, генерируемой этим приложением. Квитанция размещается на носителе пользователя.

Далее, в финансовом приложении, пользователь оплачивает билет. Для этого могут использоваться любые финансовые инструменты - от карточки предоплаты до карточки национальной платежной системы. Квитанция платежной системы с ЭЦП также размещается на носителе пользователя.

Теперь носитель пользователя (в нашем случае это ШИПКА или аналогичный по функциональности продукт, или Универсальная Социальная Карта (УСК), или любой другой носитель) содержит всю информацию, подтверждающую его право на проход на мероприятие. В качестве билета теперь можно использовать ШИПКУ, УСК, другой носитель с бесконтактным интерфейсом, которые можно предъявить при входе для автоматического анализа.

В самом простом случае можно распечатать бумажный образ билета, где ЭЦП квитанций будут отображены в виде штрих-кода. Правда, в этом случае появится возможность копирования билета, так что в зал попадет только тот, кто придет первым, но эта опасность должна остаться на совести пользователя - если не доверяешь электронике, то надежно храни бумажку, а то можешь оплатить билет кому-нибудь другому. Эта атака не опаснее, чем простая потеря билета - естественно, найденным билетом может воспользоваться нашедший его.

С другой стороны, эта атака существенна только в случае массовых мероприятий, когда время на вход сильно ограничено. В любом другом случае ничего не стоит установить личность клиента и сравнить его данные с данными, которые могут быть отображены на билете.


Для участников ВЭДДля участников ВЭД
декларирующих товары и услуги в электронной форме
ЦеныЦены
Прайс-лист
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них