Компьютерная преступность растет большими темпами, и защита своего бизнеса становится первоочередной задачей для руководства многих компаний. Защиты приложений, баз и прочего на уровне паролей уже недостаточно, так как это не решает проблемы персонализации доступа пользователей к информации. К примеру, при доступе к системе с использованием паролей практически невозможно доказать, что данный конкретный пользователь скачал базу и продал ее. На предприятии трудно применить административные методы воздействия, не говоря о том, чтобы завести уголовное дело, если не развернут PKI (Public Key Infrastucture - инфраструктура открытых ключей), нет удостоверяющей инфраструктуры, нет доступа по цифровым сертификатам и приказом не установлен режим юридической значимости электронно-цифровой подписи. Другими словами, одних программно-аппаратных технических методов не достаточно, должны быть и организационные и правовые меры. Именно подобные проблемы решал Курганский филиал "Уралсвязьинформа".
Проблема
Как оператору связи, работающему с конфиденциальной информацией (базы данных об абонентах, счета, биллинговые данные), необходимо ее защищать, поскольку разглашение такой информации моментально скажется на бизнесе компании. Как рассказал начальник управления безопасности курганского филиала "Уралсвязьинформа" Андрей Рыбин, в регионе только по материалам, предоставленным компаней в прошлом году было возбуждено 22 уголовных дела. Большинство проблем возникает из-за утечки регистрационных данных пользователя, а также из-за того, что пароли становятся известны третьим лицам. "Общая мировая статистика (и мы на практике с этим сталкиваемся) показывает, что львиная доля угроз информационной безопасности исходит от собственных сотрудников компании, - говорит г-н Рыбин. - Они по незнанию или в силу каких-то других причин либо неправильно задают свой пароль, либо меняют его несвоевременно (политикой безопасности компании предусмотрена замена паролей, как правило, раз в три месяца или раз в месяц в зависимости от жесткости требований)". Сложность администрирования таких систем заключается в централизованном управлении - это администратор, который должен все контролировать, отслеживать, подключать/отключать пользователей. Поскольку старые решения не обеспечивали базового уровня требований информационной безопасности, которые предъявляет компания к своим системам, управление безопасности курганского филиала "Уралсвязьинформа" занялось поиском соответствующего решения. В первую очередь связистов интересовала защита периметра сети, безопасный доступ к информационным ресурсам. В результате было выбрано решение компании Aladdin, которая при сотрудничестве с Oracle создала инструмент, который позволяет персонализировать действия пользователя при доступе практически к любым приложениям, использующим СУБД Oracle и непосредственно к данным, содержащимся в базе.
Двухуровневая модель защиты
Прежде всего, в ходе реализации проекта был развернут корпоративный удостоверяющий центр на базе Microsoft Windows Server 2000 и Active Directory. Раньше для доступа к корпоративной сети и в информационную систему требовалось ввести только пароли, которые хоть и привязывались к конкретному пользователю, но не гарантировали того, что именно этот пользователь получил доступ к данным. Теперь же эта гарантия есть. Решить проблему удалось с помощью цифровых сертификатов Х.509 и закрытых ключей, надежно хранящихся в защищенной памяти электронных ключей eToken. Причем, если попробовать разломать устройство (eToken) и все-таки попытаться добраться до кристалла, в котором и хранящего сам закрытый ключ, то малейшие изменения в геометрии повлекут потерю информации.
По индивидуальному закрытому ключу и введенному PIN-коду происходит защищенный обмен пользователя с сервером, в результате которого при успешно реализации процесса аутентификации пользователь авторизуется в сети. При попытке легального пользователя получить доступ к защищенным данным процесс аутентификации повторяется. При этом пользователь обязан предьявить второй сертификат, сформированный штатными средствами Oracle. В случае повторного успешного завершения процесса аутентификации пользователь авторизуется в качестве пользователя СУБД, и тогда для него открывается зона данных, к которым ему разрешен доступ. Все действия этого пользователя протоколируются встроенными средствами Oracle. Теперь это имеет смысл, поскольку появилась уверенность в том, что действия производит именно тот пользователь, за кого себя выдает. Пользователь подтвердил это, предъявив свое персональное устройство в виде eToken и введя одному ему известный PIN-код. Таким образом, удалось уйти от паролей, построив персонификацию пользователей с помощью персональных устройств (идентификаторов), используемых для хранения личных сертификатов и закрытых ключей.
По мнению специалистов компании Aladdin при доступе в корпоративные сети использовать встроенные средства операционной системы (если это Windows 2000/2003, как в случае курганского филиала "Уралсвязьинформа"), а доступ к информационной системе, содержащей критичные для предприятия данные (в рассматриваемом случае это доступ к биллинговой информации), осуществлять по другому сертификату, который сформирован встроенными средствами Oracle. В результате получается как минимум двухуровневая модель построения защиты, а использование электронных ключей позволяет усилить имеющиеся возможности Oracle.
Внедрение началось с пилотного проекта, который прошел на 10-15 рабочих станциях. "Сразу реализовать проект в масштабах всей сети очень затратно и очень сложно", - поясняет Андрей Рыбин. После того как решение было опробовано, постепенно стали закупаться персональные идентификаторы и решение было распространено на часть корпоративной сети оператора. Затем необходимо было решить проблему защиты информации, хранящейся именно в биллинговой системе (собственной разработки компании на базе СУБД Oracle). И тогда, после подготовительного периода а две-три недели, проект был распространен на биллинговую систему.
Результат
Благодаря интегрированному решению пользователь получил возможность единой точки входа в систему (один раз введя PIN-код, он получает доступ и к корпоративной сети, и к биллингу, и именно к той задаче, которую решает в ходе своей производственной деятельности). С помощью внедренного продукта эффективно решается проблема доступа удаленного оператора только к необходимому ему набору баз данных.
Кроме того, для нормального функционирования данного решения в компании был принят комплекс административных мер. Обязательно подписывается соглашение с работником о неразглашении сведений конфиденциального характера, получаемых с помощью организации доступа к конфиденциальным данным. Служба безопасности курганского филиала "Уралсвязьинформа" уверена в том, что теперь всегда можно точно сказать, кто именно получил доступ к тем или иным данным, так как у каждого пользователя имеются персональный идентификатор, свой PIN-код, и все его действия протоколируются при помощи встроенных средств Oracle. В этой ситуации сложно будет уйти от ответственности.
"На сегодняшний день еще нельзя говорить о запуске решения в опытную промышленную эксплуатацию, - говорит Андрей Рыбин. - Постепенно мы будем стараться переводить на это решение всю нашу рабочую среду, защищать информационные ресурсы и биллинг с помощью этих перспективных технологий".
Что касается оценки эффективности реализованного проекта, то в компании есть четкое понимание, что проект осуществляется ради защиты бизнеса, а это гораздо важнее явной оценки эффективности внедрения решения. "На данный момент мы еще не понесли особо существенных затрат, - говорит Андрей Рыбин. - Мы сделали пилот, посмотрели, что это работает, что это эффективно. В дальнейшем, когда проект будет развиваться, естественно, будут затраты. Но эти затраты, на наш взгляд, должны со временем окупиться". Предполагается, что вложенные в этот проект средства оправдают себя уже через два-три года во многом снизив затраты за счет реализации схемы централизованного управления доступом пользователей (нет необходимости держать в штате двух-трех администраторов, когда может вполне справиться и один).
В подтверждение того, что затраты на безопасность оправданы, коммерческий директор компании Aladdin Software Security R.D. Алексей Сабанов привел некоторые цифры: "Есть мировая статистика, которая показывает, что минимальный расход на одно обращение к администратору с целью просто сменить пароль (например, если пользователь забыл его) обходится компании в среднем в 10 долл, а что касается Oraclе, то это около 24 долл. на одно обращение. Представьте, сколько получится на среднюю компанию в год. По прикидкам специалистов, для не самого крупного предприятия связи при внедрении подобной системы безопасности экономия может составить около полумиллиона долларов в год (заметим, что сейчас затраты на безопасность составляют не более 5% от ИТ-бюджета компании)".