© 2000-2013 КРИПТО-ПРО Практика организации защиты типовых информационных систем Наконечный Игорь Руководитель проектов ООО «КРИПТО-ПРО» INakonechny@cryptopro.ru. - презентация

1 © КРИПТО-ПРО Практика организации защиты типовых информационных систем Наконечный Игорь Руководитель проектов ООО «КРИПТО-ПРО»

2 Объект защиты Обработка и хранение персональных данных осуществляется: В прикладных (бизнес-) информационных системах и базах данных на таких различных платформах, как: – MS SharePoint, SQL Server – Oracle EBS, Database – SAP/R3 (mySAP) – 1С: Предприятие 8 – EMC Documentum – … На компонентах информационной инфраструктуры, типа: – Файловые серверы – Рабочие места пользователей, в т.ч. Удаленные и мобильные

3 Что защищаем ПДн - в прикладных (бизнес-) ИС и БД: MS SharePoint/SQL Server, Oracle EBS/Database, SAP/R3 (mySAP), 1С: Предприятие 8, EMC Documentum, … - на компонентах информационной инфраструктуры: Файловые серверы, АРМ польз.

4 Требования безопасности В зависимости от определенной модели угроз и нарушителя требуется обеспечить: Управление учетными данными пользователей; Строгую аутентификацию пользователей при доступе к сети предприятия и прикладным системам; Защита электронных документов – файлов или записей баз данных; Защита трафика данных между компонентами информационных системам; Защита данных пользователей при удаленном доступе к ИС, в т.ч. с использованием мобильных устройств; ……. Использование сертифицированных средств защиты.

5 Методы защиты Наиболее надежными и широко используемыми в современных информационных системах являются криптографические методы защиты информации: Аутентификация пользователей и компонент по цифровым сертификатам; Шифрование и электронная подпись данных: – При хранении в базах данных, файловых серверах и на АРМ пользователей; – При передаче данных между компонентами системы и пользователями.

6 Проблемы в реализации Реализованные в современных ИС стандарты форматов данных и протоколов взаимодействия не предусматривают использования отечественных сертифицированных СКЗИ Протоколы защищенного взаимодействия т.к. SSL, IPsec,…; Форматы электронных документов и сообщений т.к. XML, Office Open XML (Microsoft Office), PDF,…; Форматы электронной подписи т.к. CAdES, PAdES, XAdES, …; Модель аутентификации на основе утверждений (claim-based authentication, CBA) в ADFS, CardSpace, ADFS2…

7 Предлагаемое решение Стандартизация использования отечественных криптоалгоритмов в международных протоколах: RFC 4357, V. Popov, I. Kurepkin and S. Leontiev "Additional Cryptographic Algorithms for Use with GOST , GOST R , GOST R , and GOST R Algorithms" ETF RFC4491 «Using the GOST R , GOST R , and GOST R Algorithms with the Internet X.509 Public Key Infrastructure Certificate and CRL Profile» (2006) RFC 4490 "Using the GOST , GOST R , GOST R , and GOST R Algorithms with Cryptographic Message Syntax (CMS)" draft IETF RFC. draft-chudov-cryptopro-cpxmldsig-07 «Using GOST , GOST R , and GOST R Algorithms for XML Security» IETF RFC draft. draft-chudov-cryptopro-cptls-04 «GOST Cipher Suites for Transport Layer Security (TLS)» RFC draft. draft-chudov-cryptopro-cpxmldsig-07 "Using GOST , GOST R , and GOST R Algorithms for XML Security" Using GOST , GOST R and GOST R with IKE and ISAKMP Using GOST with IPsec Encapsulating Security Payload (ESP)

8 Компоненты предлагаемого решения 1.КриптоПро CSP стандартный криптопровайдер, разработан в соответствии с требованиями фирмы Microsoft к функциям, реализующим криптографические алгоритмы - Microsoft Cryptographic Service Provider. Содержит дополнительные модули, обеспечивающие использование российских криптографических алгоритмов в различном прикладном ПО Microsoft, использующем криптографические функции в соответствии с интерфейсом CryptoAPI. 2. КриптоПро JCP Разработано в соответствии со спецификацией JCA (Java Cryptography Architecture) Используется в соответствии со спецификациями JavaTM Cryptography Extension (JCE) на различных операционных системах и аппаратных платформах в окружении: виртуальная машина, удовлетворяющая спецификации Sun Java 2 Virtual Machine Java 2 Runtime Environment версии 1.4.2, и выше 3. ПАКМ «КриптоПро HSM», «Атликс HSM» Программно-аппаратный криптографический модуль (hardware security module), совместимый с КриптоПро CSP, предоставляющий криптографический сервис пользователям корпоративной сети. 4. КриптоПро.Net Позволяет разрабатывать защищенные приложения с использованием средств криптографической защиты информации КриптоПро CSP на платформе Microsoft.Net Framework, реализует набор интерфейсов для доступа к криптографическим операциям.Net Cryptographic Provider.

9 Модули защиты от НСД 1.КриптоПро TLS модуль поддержки сетевой аутентификации, реализующий протокол Transport Layer Security (TLS v. 1.0, RFC 2246), с использованием российских криптографических стандартов. Обеспечивает криптографическими средствами аутентификации отправителя (клиента) - адресата (сервера), контроля целостности и шифрования данных информационного обмена. 2.КриптоПро JavaTLS (JTLS) реализует SSL и TLS протоколы в стандартном интерфейсе JSSE и содержит функции шифрования, контроля целостности, аутентификации сервера и клиента на основе российских стандартов. Совместим с КриптоПро CSP и позволяет использовать защиту данных передаваемых по сети в серверах приложений, таких как TomCat. 3.КриптоПро Winlogon реализации первоначальной аутентификации пользователя протокола Kerberos в ОС Windows по сертификату и ключевому носителю КриптоПро CSP (смарт-карта, USB токен) на основе сертификатов открытых ключей X.509; аутентификации контроллеров домена при сетевых взаимодействиях; обеспечения конфиденциальности и имтозащиты терминальных сессий (Microsoft Terminal Server, Citrix) 4.КриптоПро EAP-TLS обеспечения взаимной (двусторонней) криптографической аутентификации удалённых пользователей с RADIUS-сервером на МЭ при доступе по протоколам PPTP и L2TP, точке доступа /Wi-Fi и коммутаторе Ethernet 802.1x по ключевому носителю (смарт-карта, USB-токен, дискета, реестр) на основе сертификатов открытых ключей X.509.

10 5. КриптоПро IPSec реализует набор протоколов IPsec в соответствии с особенностями использования отечественных криптографических алгоритмов, на основе библиотек КриптоПро IKE, ESP, AH. Обеспечивает защиту пакетов в канале, включая шифрование и имитозащиту, а также аутентификацию участников на ключах подписи. 6. КриптоПро EFS полностью поддерживает интерфейс, предложенный Microsoft для шифрующей файловой системы ОС Windows и обеспечивает: шифрование файлов файловой системы NTFS по алгоритму ГОСТ ; контроль целостности информации; организацию совместного доступа к данным зашифрованных файлов, в т.ч. размещенным в Web-папках (через Web или WebDAV); возможность удаленной работы с зашифрованными файлами пользователей, использующих Terminal Services. 7. КриптоПро Stunnel Позволяет шифровать трафик между произвольным приложением на клиентском компьютере, которое работает с некоторым приложением или службой на удаленном компьютере (сервере), а также требовать аутентификацию клиента по сертификату клиента без необходимости вносить изменения в работу клиентского или серверного ПО. Модули защиты от НСД

11 Инфраструктурная защита внутренних ИР Разграничение доступа к информационны м ресурсам осуществляется по сертификатам доступа, выдаваемым ПАК КриптоПро УЦ, и с аутентификацие й в домене по протоколу Kerberos с использованием КриптоПро Winlogon.

12 Удаленный доступ к бизнес-приложениям HTTPS (443) Layer3 VPN Бизнес-партнеры AD, ADFS, RADIUS, LDAP…. Интернет- киоски Мобильные сотрудники Мобильные устройства Exchange CRM SharePoint IIS based IBM, SAP, Oracle Terminal / Remote Desktop Services Не-web HTTPS / HTTP NPS, ILM

13 Информационное взаимодействие доверенных предприятий

14 Защищенное взаимодействие Необходимо обеспечить защиту электронного взаимодействия, как сотрудников организации, так и с внешними контрагентами в территориально-распределенных Защите подлежат передаваемые и хранящиеся в системе информационного взаимодействия электронные данные, почтовые сообщения и электронные документы, содержащие конфиденциальную информацию. Для взаимодействия могут использоваться различные системы электронной почты (MS Exchange и пр.), Web-порталы, системы электронного документооборота и пр. с передачей данных по сети Интернет или арендованным каналам.

15 Служит для поддержки аутентификации зарегистрированных пользователей портала SharePoint 2010 по цифровому сертификату. Решения партнеров Защита приложений на Microsoft SharePoint При использовании этого модуля клиент должен зайти на портал по защищенному протоколу TLS с использованием установленного на сервере IIS пакета КриптоПро CSP. SharePointLogin. SQL-аутентификация

16 Предназначен для управления хранилищем сертификатов публичного ключа пользователей портала SharePoint. Решения партнеров Защита приложений на Microsoft SharePoint SharePointCertificate. Управление сертификатами Для администратора создается веб-часть с формой создания запроса на сертификат, выбора доступного удостоверяющего центра и просмотра списка полученных ответов в виде выпущенных сертификатов (или запросов со статусом ожидания).

17 Предназначен для создания библиотеки документов с использованием технологии ЭЦП и шифрования. Решения партнеров Защита приложений на Microsoft SharePoint SharePointDocuments. Документооборот Особенностью решения является отсутствие привязки к контенту подписываемого файла. Т.е. загружаемые в библиотеку документы могут иметь формат MS Word, MS Excel, PDF, BMP и т.д..

18 Отличается от предыдущего модуля тем, что подпись и/или шифрование осуществляется для блока данных, сформированных в виде XML из полей формы. Решения партнеров Защита приложений на Microsoft SharePoint SharePointForms. Документооборот Используется ЭПв формате XMLdSig. Интегрируется в MS InfoPath и используется для организации библиотеки форм SharePoint 2010.

19 1.Блокхост-SNC - обеспечивает защиту каналов связи между различными программными компонентами системы на платформах: – Microsoft Windows; – IBM AIX; – SUN Solaris. 2.Блокхост-SSL - обеспечивает криптографическими средствами аутентификации отправителя (клиента) - адресата (сервера), контроля целостности и шифрования данных информационного обмена в системах SAP на платформах: – Windows 2000/XP/2003/Vista/2008 (x86-64) – Linux Standard Base ISO/IEC (x86-64) – Solaris 9/10 (x86-64, SPARC) - AIX 5.3 (ppc64) Решения партнеров Защита приложений SAP AG

20 3.Блокхост-SSF - обеспечивает криптографическую защиту электронных документов за счет применения ЭЦП и хранения электронных документов в зашифрованном виде с использованием СКЗИ КриптоПро CSP и технологии (прикладного программного интерфейса) Secure Store and Forward (SSF) компании SAP AG. Реализует: идентификацию пользователей и процессов систем документооборота; электронную цифровую подпись прикладных данных, обрабатываемых в решениях SAP; хранение данных в защищенном формате; защищенную передачу данных через публичные сети; гарантирование аутентичности и целостности данных. Блокхост-SSF позволяет зашифровывать данные в БД и определять список пользователей, имеющих доступ к зашифрованной ячейке. Решения партнеров Защита приложений SAP AG

21 1.СЭД "Корпоративный документооборот СЭД "Корпоративный документооборот" поддерживает использование электронно-цифровых подписей (ЭЦП) при работе с файлами системы. Поддержка ЭЦП производится на уровне встроенных в платформу "1С:Предприятие 8.3 / 8.2" механизмов криптографии и шифрования, а так же с помощью дополнительных объектов метаданных конфигурации. Разработчик решения компания "Аналитика. Проекты и решения". Подробнее о решении см.: other_functions/ecp_i_shifrovanie.html other_functions/ecp_i_shifrovanie.html Решения партнеров Защита 1С:Предприятие 8

22 Защищенная мобильность Состав решения: Защищенная почта – для обмена электронными сообщениями; Защищенный браузер – для доступа к Интернет-сайтам; Защищенный туннель – для удаленного доступа к корпоративным приложениям; Защищенная папка – для удаленного доступа к файловым ресурсам; Защищенный календарь, адресная книга, задачи – для полноценного участия в корпоративных коммуникациях; PKI клиент – для управления ключевой информацией пользователя. Защищенный доступ к информационным ресурсам и взаимодействие сотрудников на платформе iOS (iPad, iPhone) на базе КриптоПро CSP 3.6 R3 FrameWork для iOS Без jailbreak-а iOS-устройства!!!

23 Защищенная мобильность

24

25 Управление доступом к WEB Обеспечение централизованного доступа ко множеству разнородных Web-приложений с однократной авторизацией, строгой аутентификацией в ИС и установкой безопасного соединения на WEB-сервере с использованием сертифицированных СКЗИ и ГОСТ-сертификатов.

26 Комплексные системы управления доступом. AVANPOST

27 AVANPOST 3.0

28 Полное соответствие требованиям законодательства РФ и регуляторов, в том числе ФЗ- 152 В полной мере реализованы требования Стандартов Центрального Банка РФ СТО БР ИББС и PCI DSS Реализация PKI-инфраструктуры и централизованной инфраструктуры защищенного доступа в организации на основе сертифицированных СКЗИ и USB-токенов Поддержка ПАК КриптоПро УЦ и криптопровайдеров КриптоПро CSP Учтены требования ФСБРФ по управлению лицензиями и дистрибутивами СКЗИ Контроль за выполнением установленной в организации Политики информационной безопасности на рабочих станциях пользователей Интеграция с кадровой системой организации, исключающая возможные ошибки при ручной обработке учётных записей Централизованное управление правами доступа сотрудников к информационным ресурсам из единого интерфейса Своевременное управление учетными записями при увольнении и переводе сотрудников Модульная реализация, позволяющая проводить поэтапное внедрение функционала системы Ведение электронного документооборота и архива с применением ЭЦП Высокая отказоустойчивость за счет использования балансировщика нагрузки и кластерного решения Высокая технологическая и экономическая эффективность за счет автоматизации большинства ресурсоемких операций Преимущества АванПост

29 Управление доступом к прикладным ИС Обеспечение централизованного управления доступом пользователей ко всем корпоративным информационным ресурсам и системам (к своему компьютеру, программам, папкам) с применением одной универсальной процедуры аутентификации (Single Sign-On) в сети, информационных системах, унаследованных приложениях с помощью сертифицированных средств криптографической защиты информации и ГОСТовых цифровых сертификатов.

30 1 использование сертификатов пользователей для шифрования учетных данных, что предоставляет качественно новый уровень защищенности системы (формируется уникальная криптокапсула). Только сотрудник, владеющий закрытой частью выпущенного сертификата, имеет техническую возможность расшифровать криптокапсулу, содержащую данные ESSO-профиля. Администратор ESSO-системы такой возможности не имеет, что минимизирует риск превышения администратором своих полномочий. применение СКЗИ для строгой аутентификации в сети, информационных системах, унаследованных приложениях, которые штатно не поддерживают такую возможность возможность централизованно приостанавливать доступ сотрудника ко всем информационным ресурсам за счет отзыва сертификата высочайший уровень безопасности кеша за счет хранения данных в формате криптокапсулы (критично при удаленной работе пользователя, когда необходимо централизованное управление и хранение на сервере с автоматической синхронизацией в локальном кеше). данные пользователя передаются по каналам коммуникации только в формате криптокапсулы. возможность прозрачного шифрования данных с использованием персонального сертификата Backup-оператора для аварийного восстановления. Преимущества совместного использования СКЗИ КриптоПро и Indeed-Id ESSO

31 © КРИПТО-ПРО КРИПТО-ПРО – ключевое слово в защите информации Тел./факс: +7 (495) СПАСИБО ЗА ВНИМАНИЕ!