Научно-методическая конференция
«ИНТЕРНЕТ И СОВРЕМЕННОЕ ОБЩЕСТВО»

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ РЕСПУБЛИКАНСКОЙ ИНФОРМАЦИОННО-АНАЛИТИЧЕСКОЙ СИСТЕМЫ ЧУВАШСКОЙ РЕСПУБЛИКИ

А.М. Воротников

Фонд «Региональная экономика»
Чебоксары

С развитием информационных систем возникает проблема обеспечения безопасности хранящейся и обрабатываемой в них информации. Проблема защиты информационных систем становится еще более серьезной в связи с появлением и развитием территориально распределенных систем и систем с удаленным доступом к совместно используемым ресурсам. В качестве возможных нежелательных воздействий на компьютерные системы рассматриваются преднамеренные действия злоумышленников, ошибочные действия обслуживающего персонала и пользователей системы, проявления ошибок в ее программном обеспечении, сбои и отказы оборудования, аварии и стихийные бедствия.

Информационная безопасность сегодня стала стратегической категорией, составной таких комплексных понятий как «международная безопасность» и «национальная безопасность». Она может рассматриваться в аспекте социально-экономического развития, сохранения и защиты технической и языковой информации, влияний информационных потоков на массовое и индивидуальное сознание, мониторинга и классификации компьютерных и сетевых угроз, новых видов вооружения и предупреждения информационных войн. Сегодня актуальной становится задача обеспечения защиты от нового вида «оружия массового поражения» - информационного оружия, которое можно использовать для поражения информационно-коммуникационных систем, общественного сознания и системы его формирования, личности и индивидуального сознания.

Страны, в которых слабо развиты и внедрены информационные технологии, не могут обеспечить доминирование в мировом информационном пространстве, а порой и в своем собственном. Для них главными становятся проблемы технологического неотставания, сохранения национальной, интеллектуальной, культурной, языковой самобытности, быстрой ориентации и адаптируемости в современной информационной среде.

Информационная безопасность каждого государства в значительной степени зависит от решения задач формирования и управления процессами общественного сознания, производства и репродукции информационных ресурсов и организации системы доступа к ним, создания цивилизованного рынка информационных продуктов и услуг, реализации прав граждан на информацию. Нерешенность этих задач приводит к замедлению процессов становления информационного общества, создает условия для информационной экспансии более развитых стран.

Республиканская информационно-аналитическая система Чувашской Республики призвана стать ключевым инструментом реализации Программы реформирования. Общая стоимость проекта РИАС - 2,5 млн долларов, из которых уже выделено около 700 тыс. долларов.

Программы реформирования системы управления общественными финансами реализуются с начала 2001 года в пяти регионах России, выигравших в федеральном конкурсе, проводившемся под эгидой Минфина России. В результате отбора Чувашия заняла в этом конкурсе первое место. Средства на реализацию Программы в Чувашии в размере 7,3 млн долларов США предоставляет в течение 2001-2002 гг. Фонд развития региональных финансов, формируемый из средств Международного банка реконструкции и развития (МБРР). Целью Программы является активизация процесса финансового оздоровления Чувашской Республики через создание законодательных, кадровых и технологических возможностей республиканских и местных властей для выработки и проведения ответственной и эффективной бюджетной политики, повышения контроля и ответственности за расходованием бюджетных средств. Направления программы охватывают практически всю систему общественных финансов: стандартизацию бюджетных услуг и повышение их качества, развитие доходной базы республиканского и муниципальных бюджетов, межбюджетные отношения, совершенствование системы расходов на бюджетные услуги, разработку и внедрение казначейской системы исполнения бюджета.

Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:

В настоящее время также развертывается система защиты информации на базе открытых ключей, сертифицированная ФАПСИ, в рамках которой органы власти и местного самоуправления получают ключи для электронной подписи и шифрации информации. После выпуска регулирующих документов ФАПСИ к принятому Закону «Об электронной цифровой подписи» планируется создание Республиканского удостоверяющего центра. В дальнейшем предполагается выдача ключей для защищенного документооборота предприятиям и организациям республики. По оценке НТЦ «Атлас», создаваемая в Чувашии инфраструктура открытых ключей является одной из первых в России региональных систем подобного рода.

Система защиты должна обеспечивать следующие характеристики информации:

Так сложилось, что основное внимание в теории и практике обеспечения безопасности применения информационных технологий и систем сосредоточено на защите от злоумышленных разрушений, искажений и хищений программных средств и информации баз данных. Для этого разработаны и развиваются проблемно-ориентированные методы и средства защиты:

На I этапе создания РИАС проводится тестирование и апробация компонентов системы защиты, полное развертывание программно-аппаратного комплекса осуществляется на II этапе.

РИАС включает комплексную многоуровневую систему защиты от различных угроз (внешнее вторжение и атаки, перехват трафика, внутренние нарушения и ошибки персонала).

Направление защиты Средство защиты
Контроль за доступом из Интернет, предотвращение взлома извне Использование внутренних IP-адресов и маршрутизации NAT; Применение межсетевого экрана Cisco PIX Firewall;
Хранение общедоступных ресурсов на публичном Интернет-портале, создание демилитаризованной зоны.
Авторизация и идентификация абонентов, разграничение доступа к внутренней информации Использование персональных аппаратных ключей на порт USB (токенов) с хранением ключей в энергонезависимой памяти;
Индивидуальный пароль абонента с контролем периодичности его смены и попыток подбора;
Синхронизация учетной информации и паролей информационных систем всех уровней;
Многоуровневая система разграничения доступа (на уровне хранения данных - SQL Server и уровне приложений - Интранет и персонализируемые порталы);
Обратный дозвон (call back) для коммутируемых линий.
Контроль за выходом абонентов в Интернет, ограничение выхода Сервер полномочий и кэширования (MS Proxy Server);
Система анализа и ограничения трафика.
Закрытие сообщений Использование унифицированных средств шифрации и аутентификации, имеющих необходимые российские сертификаты;
Шифрация сообщений электронной почты и электронная подпись;
HTTPS-шифрация трафика.

В качестве фундамента системы защиты информации выбрано программно-аппаратное решение на базе токенов (исполняемых объектов, содержащих информацию о безопасности), предназначенное для обеспечения сохранности и целостности данных и пользовательских прав доступа в корпоративных информационных системах. Использование персонального аппаратного ключа каждым пользователем системы обеспечивает намного более высокий уровень защиты, чем разработки только на основе программных решений.

В качестве ключа используется токен - полнофункциональный аналог смарт-карты, выполненный в виде брелка. Он напрямую подключается к компьютеру через USB порт и не требует наличия дополнительных устройств (карт-ридеров и пр.). «Горячее подключение» к USB позволяет одному или нескольким устройствам подсоединяться и отсоединяться без выключения системы. Токен имеет до 64 Кбайт энергонезависимой памяти и аппаратно реализованный алгоритм шифрования DES-X со 120-битным ключом. Время хранения информации в памяти - не менее 10 лет, количество циклов перезаписи - более 100 тыс. Главное назначение токена - аутентификация пользователя при доступе к защищенным ресурсам и безопасное хранение паролей входа в систему, ключей шифрования, цифровых сертификатов, любой другой секретной информации.

Токен поддерживает реальную двухфакторную аутентификацию, основанную на том, что пользователь имеет персональный ключ и знает уникальный пароль. Поэтому после вставки токена в порт USB рабочей станции пользователь должен ввести уникальный пароль токена. При этом пользователю не нужно помнить различные пароли и имена для каждого приложения, они хранятся в токене и при необходимости автоматически используются.

Программная часть системы защиты информации базируется на технологии цифровых сертификатов и Открытой Инфраструктуре Ключей (PKI - Public Key Infrastructure). В PKI используется пара ключей - два отдельных ключа, работающих в паре: открытый ключ, который широко доступен всем, и личный ключ, известный только его держателю. Открытый ключ может использоваться, например, для зашифровки сообщений таким образом, что только личный ключ сможет открыть его.

На личный токен каждого пользователя системы записывается цифровой сертификат - закодированный файл, который гарантирует подлинность пользователя в системе, являясь аналогом паспорта или удостоверения личности. Он выпускается и проверяется доверяемой третьей стороной - полномочным представителем (CA - Certification Authority).

Токен совместим с технологиями Microsoft, на которых базируется РИАС:

Предполагается использование совместно с токеном сертифицированной программной системы, реализующей отечественные стандарты шифрования и цифровой подписи.

Токен подменяет собственной процедурой аутентификации процедуру входа в Windows 2000 с учетной записью и паролем. После вставки токена в порт USB и ввода его пароля из токена считывается пароль Windows и с использованием шифрации передается на сервер для входа в сеть. Пароль учетной записи Windows никогда физически не вводится пользователем и не известен ему. Для обеспечения дополнительной защиты каждый раз, когда пользователь входит в систему, генерируется новый случайный пароль учетной записи, который заменяет предыдущий пароль и на сервере, и в токене. При этом вход в сеть с персональным токеном возможен с любой правильно сконфигурированной рабочей станции сети. Данная процедура используется и при авторизации доступа к прикладным программным системам, в том числе Интранет-системам через броузер.

К каждой учетной записи можно обращаться только с определенным токеном. Пользователи, которые имеют более чем одну учетную запись, могут установить дополнительные учетные записи в своих токенах. Каждый пользователь должен получить свой индивидуальный токен. Нежелательно совместное использование одного токена одновременно несколькими пользователями, поскольку это серьезно снижает безопасность при входе в Windows.

Добавление цифровой сигнатуры к электронному письму гарантирует, что любые последующие изменения текста сообщения будут обнаружены. Цифровая подпись включают в себя три принципа защиты электронной почты:

Шифрование гарантирует защиту содержимого сообщений корпоративной электронной почты. Зашифрованное и подписанное сообщение не может быть никем прочитано до расшифровки. Чтобы зашифровать сообщение, отправитель должен иметь копию открытого ключа получателя. Зашифрованное сообщение может быть расшифровано и прочитано только владельцем соответствующего личного ключа.

Использование средств шифрации делает возможным создание защищенных корпоративных Интранет-систем, в которых обеспечивается конфиденциальность и целостность информации, передаваемой между броузером и Web-сервером по открытым IP-сетям, а также аутентификация взаимодействующих сторон.

В такой системе клиент взаимодействует с сервером по специальному защищенному протоколу (HTTPS), который в момент установления соединения клиента с сервером осуществляет двустороннюю криптографическую аутентификацию и вырабатывает сеансовый ключ шифрования. Протокол HTTPS инкапсулирует в себя протокол HTTP, шифруя при этом весь трафик.

Ключевым элементом системы защиты данных является управление пользовательскими токенами и сертификатами.

В рамках РИАС необходимо внедрить общую корпоративную политику безопасности, оперативно отслеживать поток сотрудников в организациях, следить за изменением пользовательского статуса и решать другие сопутствующие задачи. Эта задача решается созданием и управлением собственной внутренней системой управления сертификатами (CA - Certification Authority), поддерживающей:

Система управления сертификатами обеспечивает целостную среду управления доступом к ресурсам и системам. Выдав сертификат нужному пользователю, администратор может гарантировать, что определенные данные ввести в базу может только авторизованный сотрудник.

Таким образом, только надлежащее применение всего арсенала средств обеспечения алгоритмической и программно-технологической безопасности позволяет достигать высокого качества и безопасности программ и баз данных, необходимых для их применения в системах управления и обработки информации.

[Аннотация на английском языке]

Опубликовано: Воротников А.М. Обеспечение безопасности республиканской информационно-аналитической системы Чувашской Республики // Технологии информационного общества - Интернет и современное общество: труды V Всероссийской объединенной конференции. СПб., 25 - 29 ноября 2002 г. СПб.: Изд-во С.-Петерб. ун-та, 2002. С. 23-27.

Ориг. URL — http://ims2002.nw.ru/02-r1f09.html