• vkontakte odnoklassniki mailru yandex google
Забыли пароль?
» » » Разработка методики применения электронной цифровой подписи в виртуальном пространстве корпоративных коммерческих структур.

 Разработка методики применения электронной цифровой подписи в виртуальном пространстве корпоративных коммерческих структур. 

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

РОССИЙСКОЙ ФЕДЕРАЦИИ

Краснодарский филиал Российского экономического университета им. Г.В. Плеханова

Кафедра математики и прикладной информатики

 

Допустить к защите в ГАК

Заведующий кафедрой

информационной безопасности

д.т.н. профессор

 

(подпись)

_______________ Лежнев

 

«__»_________________2015 г.

 

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА


 

РАЗРАБОТКА МЕТОДИКИ ПРИМЕНЕНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ В ВИРТУАЛЬНОМ ПРОСТРАНСТВЕ КОРПОРАТИВНЫХ КОММЕРЧЕСКИХ СТРУКТУР НА ПРИМЕРЕ «КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА».

 

 

Научный руководитель:

к.т.н., доцент

 

(подпись)

_________________/ /

 

 

Автор работы:

 

(подпись)

____________ / /

 

 

 

 

 

 

 

 

 

 

Краснодар, 2015

 

Содержание

Содержание. 2

Введение. 4

Сокращенные обозначения. 7

1. Теоретическая часть. 8

1.1. Нормативно – правовая база. 8

1.2. Смарт – карта. 19

1.3. еToken Pro. 20

1.4. СКУД.. 21

1.5. СКУД Gate. 23

1.6. Secret Net 25

1.7. ViPNet 27

1.8. « Краснодарский филиал Российского экономического университета им. Г.В. Плеханова ». 30

2. Практическая часть. 31

2.1. Анализ предприятия. 31

2.2. Обзор электронного документооборота. 34

2.3. Анализ проблематики. 36

2.4. Выбор карт и считывателей. 39

2.5. Внедрение. 41

2.6. Процесс работы системы.. 45

2.7. Интеграция СКУД и СЗИ.. 47

2.8. Результаты внедрения. 51

Заключение. 52

Список литературы.. 53

Аннотация

Дипломная работа на тему «Использование комплексной карты для доступа к ресурсам предприятия на примере « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА »»

Научный руководитель: Широких А.В.

Работа включает в себя 53 страницы отчета в составе:

·введения;

·двух глав;

· заключения;

· списка литературы;

· девяти рисунков;

· двух таблиц.

Объектом исследования является « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА ».

Цель работы – внедрение комплексной карты на предприятии.

Для достижения цели был проведен ряд мероприятий, направленных на:

·Анализ проблем предприятия

· Обзор электронного документооборота

·Выбор моделей карт и считывателей

· Интеграция систем СКУД и СЗИ

· Внедрение комплексной карты

Результатом работы стало внедрение комплексной карты на предприятии и обеспечение функционирования ЭЦП.

 

Введение

В настоящее время системы контроля управления доступом (СКУД) является фундаментальной частью комплексной защиты безопасности предприятия. СКУД способна обеспечить защиту от вторжения на объект, как и в рабочее время, так и круглосуточно, а также обеспечить ряд вспомогательных функций, к примеру, автоматизировать контроль и учет рабочего времени сотрудников, решая вопрос обеспечения безопасности, а учет и контроль повышает дисциплину сотрудников.

Помимо обеспечения физической безопасности предприятия необходимо уделить внимание и информационной безопасности. Для защиты конфиденциальной информации на предприятии используются различные методы и способы: антивирусные программы, сетевые экраны.

Объектом исследование является « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА ». На предприятии применяются СКУД и средства защиты информации (СЗИ).

В ходе исследования были отмечены основные действия большинства сотрудников, которые выглядят следующим образом:

Сотрудник у проходной и у входа в помещение подносит карту доступа к считывателю (СКУД регистрирует появление сотрудника), следующим шагом авторизовывается на своем автоматизированном рабочем месте (АРМ) путем ввода идентификационной пары (логин и пароль), после запуска рабочей программы - в рабочем пространстве путем ввода индетификационной пары (логин и пароль). Сотрудник в процессе работы подписывает документы электронной цифровой подписью (ЭЦП).

Из всего выше сказанного в рабочем процессе вытекают следующие проблемы:

·использование логина и пароля не безопасно, так как вопреки рекомендациям многие пользователи записывают их на бумаге.

·требуется хранение ЭЦП сотрудника на каждом АРМ, который он использует. Вследствие чего риски утечки ЭЦП очень высоки.

В результате, возникла необходимость в использовании смарт - карт для идентификации, авторизации, а так же для хранения и работы с ЭЦП. Но в системах физической и информационный безопасности (ИБ) требуется наличие собственных идентификаторов, что приводит к следующим трудностям:

·риск забыть карту на рабочем мест

·неудобство в использовании нескольких карт

Для решения этих проблем авторами было предложено осуществить интеграцию, что позволит использовать единый идентификатор. Интеграция систем СКУД и СЗИ позволит увеличить уровень безопасности информационной системы, а так же данных в ней, предотвращая несанкционированный доступ к информации. Интеграция систем безопасности на уровне единого идентификатора даст возможность качественно поменять политику безопасности предприятия и уровень защищенности ресурсов предприятия. При применении единой карты доступа сотрудник не имеет возможности получить доступ к информационным ресурсам находящихся в помещении, в которое он сначала не прошел. При наличие единого идентификатора пользователь обязан всегда иметь его при себе для входа в помещение, вследствие этого он не имеет возможности оставить его в каком-либо считывателе. В отличие от паролей, которые почти все пользователи напротив рекомендациям записывают на бумаге. Единый идентификатор позволяет облегчить процесс управления доступом и одновременно увеличить безопасность ресурсов предприятия. Так же интеграция СКУД и СЗИ позволит решить вопрос контроля времени работы сотрудника и учет того, с чем работает пользователь, сэкономит время на ввод идентификационной пары.

Исходя из всего вышесказанного, целью моей дипломной работы является внедрение единого идентификатора на предприятии.

Для внедрения единой карты необходимо выполнить следующие задачи:

1. Анализ предприятия.

2. Обзор электронного документооборота.

3. Выбор моделей карт и считывателей.

4. Внедрение комплексной карты.

5. Интеграция СКУД и СЗИ.

Сокращенные обозначения

АРМ – автоматизированное рабочее место;

ИБ – информационная безопасность;

СЗИ – средства защиты информации;

СКУД – система контроля и учета доступом;

ЭЦП – электронно - цифровая подпись;

УЦ – удостоверяющий центр;

ЦУС – центр управления сетью;

ЦР – центр регистрации;

ФСТЭК – Федеральная служба по техническому и экспортному контролю;

ИСПДн – информационная система персональных данных;

ПО – программное обеспечение;

ФСБ – Федеральная служба безопасности;

РФ – Российская Федерация;

СЭД – система электронного документооборота;

ЛВС – локально вычислительная сеть;

СКЗИ – средства криптографической защиты информации;

 

 

1.Теоретическая часть

1.1.Нормативно – правовая база

Первым шагом в вопросах информационной безопасности является рассмотрение и изучение требований к обеспечению безопасности, определяемых законодательством и требованиями регулирующих органов. Законадательство, относящееся к вопросам информационной безопасности и связанное с проблематикой данной дипломной работы, будет рассмотренно далее в этой части. В Российской Федерации (РФ) в роли регулирующих и надзорных органов выступают Федеральная служба безопасности (ФСБ) и Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Ратификация закона об ЭЦП ввела в Российское законодательство понятие ЭЦП, что уменьшило отставание РФ в вопросах развития информационной сферы в правовой области. Принятие закона «Об электронно цифровой подписи» позволило организовать электронное правительство, предало правовой статус удостоверяющему центру (УЦ), ЭЦП, действующим внутри предприятия. Также это способствовало выработке требований ФСБ к организации УЦ, формированию и разработке инфраструктуры открытых ключей, приданию статуса иерархически значимой ЭЦП. Ранее в УФНС России документы передавались в бумажном виде, теперь возможно в электронном виде посредством интернет. Также иерархически значимая ЭЦП позволило заключать договора между организациями в электронной форме по электронной почте. Принятие Федерального закона N 1-ФЗ "Об электронной цифровой подписи» позволило заменить полноценно во всех аспектах традиционно бумажный документооборот системой электронного документооборота (СЭД), так как теперь ЭЦП имеет юридическую силу. По сравнению с Евросоюзом в РФ ЭЦП развито, так как развитие ЭЦП в Евросоюзе столкнулось со следующими проблемами:

·Нормативная база основывается на законодательствах конкретной страны входящей в состав Евросоюз

·Нормативная база содержит требования, которым не могут удовлетворить зарубежные решения

·Алгоритм подписи

·Механизм проверки ЭЦП

·Несовместимое использование полей сертификатов

·Отсутствие необходимых законодательных актов в своде европейских законодательных актов

Выполнение требований регулирующих органов и аттестация используемых аппаратных, программных, технических средств, систем, каналов связи позволяет подтвердить низкий уровень возможных рисков безопасности в аппаратных средствах.

При написании данной работы я пользовалась следующей нормативной базой, описанной ниже.

Согласно Указу Президента РФ от 3 апреля 1995 N 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА » требуется применения СЗИ имеющих сертификат Федерального агентства правительственной связи и информации при Президенте Российской Федерации [1].

Согласно Приказу ФСБ России от 9 февраля 2005 г. N 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» для Удостоверяющего Центра (УЦ) требуется сертификация ФСБ на класс КС2 систем электронного документооборота, предназначенных для обработки информации, не содержащей сведений, составляющих государственную тайну, с применением средств электронной цифровой подписи [2].

Федеральный закон от 10.01.2002 N 1-ФЗ (ред. от 08.11.2007) "Об электронной цифровой подписи». Данный федеральный закон вводит понятия ЭЦП, владельца сертификата, сертификата. Также рассматривает понятие обеспечение правовых условий использования электронной цифровой подписи в электронных документах.

Требования к алгоритму хэширования для ЭЦП определяется следующим ГОСТ Р 34.11-2012. Данный криптографический стандарт является обязательным для применения в качестве алгоритма хеширования в государственных организациях РФ и ряде коммерческих организаций.

Требования к алгоритму формирования ЭЦП определяется следующим ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи [3].

Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (в редакции N 261-ФЗ от 25.07.2011).

Область действия Закона распространяется на физические и юридические лица, государственные органы всех уровней, занимающиеся управлением, накапливанием, учетом, передачей и обработкой персональных данных клиентов, сотрудников, партнеров и т.п.

На операторов персональных данных возложен ряд обязательных требований. Во-первых, для защиты персональных данных от неправомерного или случайного доступа к ним оператор необходимо принимать организационные и технические меры. Во-вторых, до начала обработки персональных данных оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о намерении осуществлять обработку. В-третьих, оператор до начала обработки обязан получать у субъектов персональных данных разрешение на обработку их персональных данных. В-четвертых, по требованию субъекта персональных данных оператор обязан предоставлять все имеющиеся сведения о нём, целях и условиях обработки, а также способах защиты его персональных данных [4].

Рабочее место осуществляющее выдачу сертификатов пользователям требует аттестации согласно требованиям ФСБ России «Временные требования к информационной безопасности удостоверяющих центров».

Политика безопасности.

В « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА » используется политика безопасности. Рассмотрим более подробно имеющиеся части и их основное содержание.

Перейдем к рассмотрению первой части политики безопасности «Общие положения политики безопасности».

Данная политика информационной безопасности предусматривает принятие необходимых мер в целях защиты активов от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных в Компании.

Обязанность за соблюдение информационной безопасности несет каждый сотрудник Компании, при этом основной задачей является обеспечение безопасности всех активов Компании. Это значит, что информация должна быть защищена не менее надежно, чем любой другой основной актив Компании. Главные цели Компании не могут быть достигнуты без своевременного и полного обеспечения сотрудников информацией, необходимой им для выполнения своих служебных обязанностей.

Следующий часть «Цель и назначение настоящей Политики».

Целями настоящей Политики являются:

·сохранение конфиденциальности критичных информационных ресурсов;

·обеспечение непрерывности доступа к информационным ресурсам Компании для поддержки бизнес деятельности;

·защита целостности деловой информации с целью поддержания возможности Компании по оказанию услуг высокого качества и принятию эффективных управленческих решений;

·повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами Компании;

·определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности в Компании.

Руководители подразделений Компании должны обеспечить регулярный контроль за соблюдением положений настоящей Политики. Кроме того, должна быть организована периодическая проверка соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки Руководству.

«Область применения настоящей Политики.»

Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации Компании. Соблюдение настоящей Политики обязательно для всех сотрудников (как постоянных, так и временных). В договорах с третьими лицами, получающими доступ к информации Компании, должна быть оговорена обязанность третьего лица по соблюдению требований настоящей Политики.

Компании принадлежит на праве собственности (в том числе на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления ею деятельности в соответствии с действующим законодательством.

«Требования и рекомендации».

«Ответственность за информационные активы».

В отношении всех собственных информационных активов Компании, активов, находящихся под контролем Компании, а также активов, используемых для получения доступа к инфраструктуре Компании, должна быть определена ответственность соответствующего сотрудника Компании.

«Контроль доступа к информационным системам»

Все работы в пределах офисов Компании выполняются в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в Компании.

Все данные (конфиденциальные или строго конфиденциальные), составляющие коммерческую тайну Компании и хранящиеся на жестких дисках портативных компьютеров, должны быть зашифрованы. Все портативные компьютеры Компании должны быть оснащены программным обеспечением по шифрованию жесткого диска.

Руководители подразделений должны периодически пересматривать права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам.

В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему должен осуществляться с использованием уникального имени пользователя и пароля.

«Удаленный доступ»

Пользователи получают право удаленного доступа к информационным ресурсам Компании с учетом их взаимоотношений с Компанией.

Сотрудникам, использующим в работе портативные компьютеры Компании, может быть предоставлен удаленный доступ к сетевым ресурсам Компании в соответствии с правами в корпоративной информационной системе.

Сотрудникам, работающим за пределами Компании с использованием компьютера, не принадлежащего Компании, запрещено копирование данных на компьютер, с которого осуществляется удаленный доступ.

«Доступ к сети Интернет»

Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности.

Рекомендованные правила:

·сотрудникам Компании разрешается использовать сеть Интернет только в служебных целях;

·запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия/превосходства полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности;

·сотрудники Компании не должны использовать сеть Интернет для хранения корпоративных данных;

·работа сотрудников Компании с Интернет-ресурсами допускается только режимом просмотра информации, исключая возможность передачи информации Компании в сеть Интернет;

·сотрудникам, имеющим личные учетные записи, предоставленные публичными провайдерами, не разрешается пользоваться ими на оборудовании, принадлежащем Компании;

·сотрудники Компании перед открытием или распространением файлов, полученных через сеть Интернет, должны проверить их на наличие вирусов;

·запрещен доступ в Интернет через сеть Компании для всех лиц, не являющихся сотрудниками Компании, включая членов семьи сотрудников Компании.

Специалисты Департамента информационной безопасности имеют право контролировать содержание всего потока информации, проходящей через канал связи к сети Интернет в обоих направлениях.

«Защита оборудования»

Сотрудники должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранятся информация Компании.

Сотрудникам запрещено самостоятельно изменять конфигурацию аппаратного и программного обеспечения. Все изменения производят авторизованные специалисты Департамента информационных технологий,

«Аппаратное обеспечение»

Все компьютерное оборудование, периферийное оборудование, аксессуары, коммуникационное оборудование, для целей настоящей Политики вместе именуются "компьютерное оборудование". Компьютерное оборудование, предоставленное Компанией, является ее собственностью и предназначено для использования исключительно в производственных целях.

Каждый сотрудник, получивший в пользование портативный компьютер, обязан принять надлежащие меры по обеспечению его сохранности, как в офисе, так и по месту проживания. В ситуациях, когда возрастает степень риска кражи портативных компьютеров, например, в гостиницах, аэропортах, в офисах деловых партнеров и т.д., пользователи обязаны ни при каких обстоятельств не оставлять их без присмотра.

Все компьютеры должны защищаться паролем при загрузке системы, активации по горячей клавиши и после выхода из режима "Экранной заставки". Для установки режимов защиты пользователь должен обратиться в службу технической поддержки. Данные не должны быть скомпрометированы в случае халатности или небрежности приведшей к потере оборудования. Перед утилизацией все компоненты оборудования, в состав которых входят носители данных (включая жесткие диски), необходимо проверять, чтобы убедиться в отсутствии на них конфиденциальных данных и лицензионных продуктов. Должна выполняться процедура форматирования носителей информации, исключающая возможность восстановления данных.

«Программное обеспечение».

Все программное обеспечение, установленное на предоставленном Компанией компьютерном оборудовании, является собственностью Компании и должно использоваться исключительно в производственных целях.

Сотрудникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их производственной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено не разрешенное к установке программное обеспечение, оно будет удалено, а сообщение о нарушении будет направлено непосредственному руководителю сотрудника и в Департамент защиты информации.

На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации:

·персональный межсетевой экран;

·антивирусное программное обеспечение;

·программное обеспечение шифрования жестких дисков;

·программное обеспечение шифрования почтовых сообщений.

·Все компьютеры, подключенные к корпоративной сети, должны быть оснащены системой антивирусной защиты, утвержденной руководителем Департамента информационной безопасности.

Сотрудники Компании не должны:

·блокировать антивирусное программное обеспечение;

·устанавливать другое антивирусное программное обеспечение;

·изменять настройки и конфигурацию антивирусного программного обеспечения.

Компания предпочитает приобретать программное обеспечение, а не разрабатывать собственные программы, поэтому пользователям, желающим внедрить новые возможности бизнес-процессов, необходимо обсудить свое предложение со своим менеджером по бизнес информации, который проинформирует их о порядке приобретения и/или разработки программного обеспечения.

«Рекомендуемые правила пользования электронной почтой».

Содержание электронных сообщений должно строго соответствовать корпоративным стандартам в области деловой этики.

Использование электронной почты в личных целях допускается в случаях, когда получение/отправка сообщения не мешает работе других пользователей и не препятствует бизнес деятельности.

Сотрудникам запрещается направлять партнерам конфиденциальную информацию Компании по электронной почте без использования систем шифрования. Строго конфиденциальная информация Компании, ни при каких обстоятельствах, не подлежит пересылке третьим лицам по электронной почте.

Сотрудникам Компании запрещается использовать публичные почтовые ящики электронной почты для осуществления какого-либо из видов корпоративной деятельности.

Все пользователи должны быть осведомлены о своей обязанности сообщать об известных или подозреваемых ими нарушениях информационной безопасности, а также должны быть проинформированы о том, что ни при каких обстоятельствах они не должны пытаться использовать ставшие им известными слабые стороны системы безопасности.

В случае кражи переносного компьютера следует незамедлительно сообщить об инциденте директору Департамента информационной безопасности.

Пользователи должны знать способы информирования об известных или предполагаемых случаях нарушения информационной безопасности с использованием телефонной связи, электронной почты и других методов. Необходимо обеспечить контроль и учет сообщений об инцидентах и принятие соответствующих мер.

«Управление сетью».

Уполномоченные сотрудники Департамента информационной безопасности контролируют содержание всех потоков данных проходящих через сеть Компании.

Сотрудникам Компании запрещается:

·нарушать информационную безопасность и работу сети Компании;

·сканировать порты или систему безопасности;

·контролировать работу сети с перехватом данных;

·получать доступ к компьютеру, сети или учетной записи в обход системы идентификации пользователя или безопасности;

·использовать любые программы, скрипты, команды или передавать сообщения с целью вмешаться в работу или отключить пользователя оконечного устройства;

·передавать информацию о сотрудниках или списки сотрудников Компании посторонним лицам;

·создавать, обновлять или распространять компьютерные вирусы и прочие разрушительное программное обеспечение.

«Защита и сохранность данных».

Ответственность за сохранность данных на стационарных и портативных персональных компьютерах лежит на пользователях. Специалисты Департамента информационных безопасности обязаны оказывать пользователям содействие в проведении резервного копирования данных на соответствующие носители.

Необходимо регулярно делать резервные копии всех основных служебных данных и программного обеспечения.

Только специалисты Департамента информационной безопасности на основании заявок руководителей подразделений могут создавать и удалять совместно используемые сетевые ресурсы и папки общего пользования, а также управлять полномочиями доступа к ним.

Сотрудники имеют право создавать, модифицировать и удалять файлы и директории в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют санкционированный доступ.

Все заявки на проведение технического обслуживания компьютеров должны направляться в Департамент информационных технологий.

«Разработка систем и управление внесением изменений».

Все операционные процедуры и процедуры внесения изменений в информационные системы и сервисы должны быть документированы, согласованны с руководителем Департамента информационной безопасности.

1.2.Смарт – карта

Смарт – карта – это пластиковая карта с интегрированной цифровой микросхемой. Микросхема включает себя микропроцессор. Операционная система установлена на смарт карте, осуществляет контроль карты и доступ к объектам в его памяти. Микропроцессор обеспечивает возможность выполнения криптографических операций.

Смарт – карты применяются для одно- и двухфакторной аутентификации пользователей, а также для хранения ключевой информации.

Виды смарт – карт

Все смарт-карты можно разделить по способу обмена со считывающим устройством на:

·Контактные смарт-карты с интерфейсом ISO 7816.

·Контактные смарт-карты с USB интерфейсом.

·Бесконтактные (RFID) смарт-карты.

Кроме того существуют смарт – карты включающие контактный и бесконтактный интерфейс.

Бесконтактные смарт-карты

Считыватель не требует физического контакта со смарт – картой, используется радиосвязь. Основой связи является катушка индуктивности. Стандарт связи бесконтактных смарт-карт — ISO/IEC 14443 посредством RFID.

Контактные смарт-карты с интерфейсом ISO 7816

Считыватель требует физического контакта со смарт-картой, используется контактная площадка. Стандарт связи карты регламентируются в стандартах ISO/IEC 7816 и ISO/IEC 7810.

Контактные смарт-карты с USB интерфейсом

Считыватель интегрирован в смарт – карту, связь с АРМ происходит посредством USB [5].

1.3.еToken Pro

Смарт – карта eToken PRO – используется для аунтификации и безопасного хранения пользовательских данных, с возможностью работы с цифровыми сертификатами и ЭЦП. Поддерживается стандарт Java Card, позволяющий расширять возможности карты. Имеет сертификаты ФСТЭК и ФСБ.

Компонентами eToken ГОСТ являются:

·Безопасный высокопроизводительный однокристальный микроконтроллер Atmel AT90SC25672RCT c использованием контроллеров ISO 7816, аппаратный датчик случайных чисел, также охраняемую флеш - память;

·Операционная среда, соответствующая открытым спецификациям для смарт-карт Java Card Platform Specification 2.2.2 и Global Platform 2.1.1;

·Апплет «Криптотокен» для российских криптографических алгоритмов и протоколов.

Микроконтроллер имеет эффективные встроенные средства противодействия известным физическим, логическим, переборным, стрессовым и другим атакам в соответствии с требованиями Профиля защиты для смарт-карт (Smart Card Protection Profile – SCSUG-SCPP) [10].

 

1.4.СКУД

Функция системы контроля и управления доступом состоит в разграничения доступа в помещение или на объект. СКУД ограничивает доступ к контролируемой зоне, разрешая доступ только для сотрудников обладающих картами доступа. Также возможно ввести списки, независимые доступа для каждого помещения.

Перечислим компоненты СКУД:

·Турникеты, двери, оборудованные управляемыми замками, ворота, шлагбаумы, шлюзы.

·Считыватели.

·Контроллеры СКУД.

·Программное обеспечение СКУД.  

·Конверторы среды для подключения аппаратных модулей СКУД друг к другу и к персональным компьютерам.

·Блоки питания, кнопки, соединительные провода.

·Карты доступа

Для СКУД получили наибольшее распространение электронные карты доступа. Среди них можно выделить две основные категории: требующие физического контакта со считывателем и нетребующие физического контакта карты со считывателем (радиодоступные карты доступа). На рисунке 1 изображена типовая схема СКУД.


Рисунок 1

Proximity карта

Proximity карта состоит из антены и микрочипа. Микрочип имеет энергонезависимую перезаписываемую память, хранящая регистрационный номер. Считыватель принимает сигнал от карты в диапозоне от 0,01 метра до 10 метров, передаваемый радиоволнами. Сигнал содержит регистрационный номер. Далее считыватель передает номер и запрашивает требуемые действия у контроллера. Контроллер обращается к базе данных и сверяет полученные данные с базой данных пользователей и принимает решение о предосталении доступа. Технология RFID - Radio Frequency IDentification обеспечивает связь между картой и считывателем посредством радиоволн. Proximity карты разрабатываются по стандарту proximity карт (ISO14443 - proximity card) [6].

Можно выделить следующие преимуществаProximity карт:

·продолжительная длительность эксплуатации

·перезапись допускается неограниченное количество раз

·длительность хранения регистрационного номера велика

·устойчивость к механическому износу.

Возможна классификация по принципу возможности записи/чтения.

·Поддерживается как многоразовое чтение, так и многократная запись

·Поддерживается мноразовое чтение и только одноразовая запись

·Поддерживается только чтение

Возможно провести классификацию бесконтактных карт по основным производителям:

·EM - Marine

·MIFARE

·HID

Возможно провести классификацию бесконтактных карт доступа по типу радио - метки. Каждый тип использует свой чип и свою частоту работы. Была составлена таблица типов RFID меток и их рабочая частота. (см. Таблица 1)

Таблица 1

Тип радио-метки RFID

Частота

EMMarin

125 кГц

HID

125 кГц

Mifare std 1k

13.56 МГц

БИМ 002 (метка)

13.56 МГц

КИБИ 002 МТ (карта)

13.56 МГц

Bewator Cotag

122 кГц / 66 кГц

i-Class

13.56 МГц

i-Code

13.56 МГц

1.5.СКУД Gate

Gate – многоцелевая сетевая СКУД. Может применяться для учета рабочего времени и контроля трудовой дисциплины, автоматизированного управления персоналом, организации доступа и учета автотранспорта, а также управления различными исполнительными устройствами и подсистемами помимо основых функций СКУД. К особеннностям огранизации распределенности системы можно отнести возможность наличия до 254 контроллируемых входов по интерфейсам RS485/ RS 422 и огранизации распределенной структуры с неограниченным количеством входов по интерфейсу Ethernet.

«Сердцем» системы является универсальный контроллер Gate-4000. Контроллер может работать как автономно, так в сети. Автономная работа обеспечивается наличем энергонезависимой памяти, вместимость которой позволяет хранить данные о 8144 ключах и на 4095 событиях. Контроллером поддерживаются 8 управляемых выходов следующих интерфейсов Wiegand26, 27, 32, 33, 40 / АВА-2 / ТМ.

Программное обеспечение СКУД Gate состоит из программных продуктов, каждый из которых позволяет настраивать СКУД согласно необходимым целям. Рассмотрим наиболее интересующие с точки зрения тематики дипломной работы программные продукты. Программный продукт GATE Commander позволяет администратору СКУД настраивать контроллер [14]. Поддерживаются следующие функции:

·задание расписаний и временных параметров;

·работа с каталогом регистрационных номеров и владельцев карт доступа;

·настройка разграничения прав доступа владельцев карт доступа;

·мониторинг событий, зарегистрированных контроллером;

·хранение событий, зарегистрированных контроллером в базе данных.

Сервер GATE Server обеспечивает процесс обмена команд и данных с контроллерами. Сетевой программный продукт GATE Terminal предоставляет интерфейс оператору СКУД. В интерфейс оператора СКУД включенны следующие функции:

·формирования отчетов о событиях

·учета рабочего времени [15].

1.6.Secret Net

Secret Net – СЗИ, обладающее средствами централизованного управления, средствами быстрого реагирования и средствами мониторинга.

СЗИ Secret Net обладает ниже перечисленным функционалом:

·Строгая идентификация и аутентификация пользователей. СЗИ Secret Net обеспечивает аутенфикацию и идентфикацию пользователей с помощью программно-аппаратных средств. Имеется возможность совместной работы с ОС Microsoft™ Windows™® в вопросах аутенфикации и авторизации пользователей. Имеется поддержка использования смарт-карт.

·Контроль доступа пользователей к секретным данным. Для контроля доступа используется понятие уровня доступа. Доступ предоставляется лишь тем пользователям, которые обладают необходимым уровнем доступа к секретным данным.

·Контроль доступа к устройствам. Данная функция помогает в предотвращении несанкционированного копирования информации с защищаемого компьютера путем использования устройств для несанкцанированной передачи данных. Доступ к конкретному устройству определяется для каждого конкретного пользователя. Возможные действия – следующие либо разрешение, либо запрещение доступа.

·Ограниченная программная среда. Данная функция позволяет задать список разрешенных программ для каждого сотрудника, ограничивая запуск вредоносного и постороннего программного обеспечения (ПО).

·Контроль печати секретной информации. Печать на АРМ пользователя контролируется системой защиты информации. При получении разрешения на вывод секретной информации выводимые документы маркируются системой защиты информации, согласно принятым стандартам.

·Надежное уничтожение данных. Процесс уничтожения учитывает особенности организация хранения данных на современных жестких дисках персонального компьютера. Для надежного уничтожения применяется специальный алгоритм. Алгорим для надежного уничтожения записывает особую случайную последовательность информации на место удаленной информации в освобожденных секторах жесткого диска АРМ. Для большей надежности рекомендуется использования десятикратной процедуры надежного уничтожения данных.

·Протоколирование событий. Протоколируется богатый диапозон событий, включающий полный спектр дейстий пользователя АРМ.

·Контроль аппаратного обеспечения АРМ пользователя. При изменении аппаратных компоннтов произойдет немедленное реагирование. Возможная реакция колеблется в диапазоне от протоколирования события в журнале до блокировки АРМ пользователя.

Опишем основые компоненты Secret Net:

·клиент Secret Net. В его функции входят: выполение установленной политики безопасности на персональных компьютерах, протоколирование всех событий, происходящих на персональном компьютере и передачу собранных журналов на сервер безопасности, получение и выполнение команд от сервера безопасности;

·сервер безопасности Secret Net. В его функции входит : сбор журналов, переданных клиентами, хранение журналов в базе данных, командование экстренного реагирования клиентам.

Нельзя не отметить важный момент, связанный с обязательной сертфикацией СЗИ в надзорных огранах. А именно - СЗИ Secret Net соответствует требованиям руководящих документов ФСТЭК России по 2-му уровню контроля на отсутствие недекларированных возможностей и 3-му классу защищенности средств вычислительной техники. Из чего можно сделать вывод, что СЗИ Secret Netможно использовать в автоматизированных системах до класса 1Б включительно и в информационных системах персональных данных (ИСПДн) до 1 уровня защищенности включительно. На рисунке 2 изображена типовая схема СЗИ [18].


Рисунок 2

1.7.ViPNet

В « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА » развернут ViPNet CUSTOM компании «ИнфоТеКС», на каждом АРМ сотрудника установлен ViPNet Client. Рассмотрим подробнее компоненты ViPNet.

ViPNet CUSTOM используется для создания инфраструктуры открытых ключей (PKI) с организацией Удостоверяющего Центра. Развертыватние инфраструктуры открытых ключей позволяет обеспечить работу электронно-цифровой подписи в системе электронного документооборота « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА », электронной почте.

В качестве сервера безопасности используется криптошлюз и межсетевой экран ViPNet Coordinator 3.2. Перечислим основные функции ViPNet Coordinator 3.2:

·Криптошлюз — выступает в роли точки доступа к объектам защищенной вычислительной сети для незащищенных персональных вычислительных средств, развернутых на электронной вычислительной машине, путем построения защищенного криптографическими алгоритмами от прослушивания и перехвата туннеля по открытой недоверенной сети.

·Брандмауэр — производит применение заданной политики безопасности ко всем сетевым интерфейсам сервера, на котором установлен программный продукт ViPNet Coordinator, для отбора «хороших» сетевых пакетов, передаваемых как по открытым, так и закрытым каналам передачи данных в среде вычислительных сетей. В качестве критериев для фильтрации поддерживается широкий диапазон, включающий в себя такие критерии как: порт (адрес программы), IP – адрес адресанта (уникальный адрес электронной вычислительной машины, подключенной к сети локальной вычислительной сети), IP – адрес адресата, протокол и тому подобное. Так же имеется возможность противостоять сетевым атакам злоумышленников, таким как spoofing,DNS –poison и многим другим.

·Транслятор открытых сетевых адресов (NAT). Предназначен для задания правил преобразования и преобразования внутренних статических IP – адресов во внешние динамические IP – адреса для обеспечение возможности связи с информационными ресурсами единой глобальной компьютерной сети Интернета. Имеется возможность использования преобразования для возможности использования, так называемого, не «пассивного» режима работы протокола FTP (File Transfer Protocol) прикладного уровня в модели OSI (Open Systems Interconnection), а «активного» режима. Помимо важной возможности работать прикладным программ по протоколу FTP в активном режиме, улучшающем производительность передачи данных и и не требующем специальной поддержки со стороны сервера, ViPNet Coordinator обеспечивает проверку и отбор команд FTP-протокола для защиты от использования некорректных значений IP – адреса.

·Фильтрация информационных ресурсов, находящихся в глобальной сети Интернет. Имеются следующие возможности: блокировка рекламных баннеров, рекламых предложений, Flash-анимации, которые несут угрозу вирусных эпидемий; блокировка несанкционированного сбора информации о действиях пользователя. Имееется возможность расширения списков блокируемых баннеров.

·Фильтрация на уровне приложений. Данная функция обеспечивается надзором за деятельностью приложений, связанной с работой с локальной вычислительной сетью. Данная функция позволяет устранить угрозу утечки секретных данных путем запрета сетевой актвности вредоносных приложений.

·Протоколирование сетевой активности. Генерируются журналы регистрации трафика протоколов TCP/IP, сетевой активности приложений, регистрации событий по изменению настроек безопасности в программе. Помимо введения журналов имеется возможность мониторинга сетевой активности пользователей [8].

ViPNet Client выступает в роли криптопровайдера для пакета Microsoft Office в среде пользователей, использующих функции подписи и шифрования.

1.8.« Краснодарский филиал Российского экономического университета им. Г.В. Плеханова »

 

2.Практическая часть

 

2.1.Анализ предприятия

На предприятии применяются СКУД Gate и средства защиты информации (СЗИ) Secret Net 7 и ViPNet Custom, удостоверяющий центр корпоративного уровня ViPNet [Удостоверяющий и ключевой центр], действующий центр регистрации УЦ ViPNet [Центр регистрации].

Рабочий день сотрудника в разрезе систем СКУД и рабочего процесса выглядел следующим образом.

У входа на объект (на территорию, в помещение) установлено устройство аутентификации – считыватель (Matrix III) карты доступа (Proximity EM - Marine), и устройство, которое может по электрическому сигналу блокировать / разблокировать вход (дверь с электромагнитным замком), так же интерфейс считывателей, который передает команды и данные к контроллеру. Интерфейс считывателей подключается по локальной сети посредством витой пары к контроллеру. Преобразует интервейс Wegand в Ethernet. Контроллер, к которому они подключены, по локальной сети обменивается данными с управляющим компьютером и сервером, на котором хранится база данных пользователей.

Пользователь подносит свою карту к считывателю, который передает его идентификационные данные на контроллер. Контроллер сверяет полученные идентификационные данные с теми, что хранятся в базе данных, и проверяет права доступа к данному объекту. В зависимости от результатов проверки, владельцу карты либо разрешается доступ на объект (тогда на электромагнитный замок или турникет подается сигнал на открытие), или запрещается (и замок остается закрытым).

В процессе выполнения своих служебных обязанностей сотрудник постоянно взаимодействует с различными информационными ресурсами организации, будь то его рабочий компьютер (автоматизированное рабочее место), либо виртуальные ресурсы локальной сети (базы данных, сетевые хранилища, различные локальные подсети). На каждом АРМ сотрудника установлено ПО Client Secret Net. Secret Net занимается аутентификацией пользователей, разграничением доступа пользователей к информации и ресурсам автоматизированной системы. Сотрудник авторизовывается на своем автоматизированном рабочем месте (АРМ) путем ввода идентификационной пары (логин и пароль) в Secret Net, после запуска рабочей программы - в рабочем пространстве путем ввода индетификационной пары (логин и пароль).

После обзора рабочего процесса опишу серверную. В качестве сервера безопасности используется криптошлюз и межсетевой экран ViPNet Coordinator. В ПО ViPNet Сlient имеется встроенный криптопровайдер, который предоставляет доступ к операциям с ЭЦП приложениям. На предприятии уже имеется ViPNet УЦ корпоративного уровня предназначенный для выпуска цифровых сертификатов, совмещенный с регистрационным центром (РЦ). Также имеется рабочее место для генерации запроса на сертификат пользователя, аттестованное в рамках требования ФСБ. Соответственно развернута инфраструктура открытых ключей (PKI). PKI – это совокупность средств как технических, так и материальных, нелокальных служб применяемых для распространения ключевой пары. Для развертывания PKI требуется несколько обязательных компонентов:

·УЦ;

·РЦ;

·Реестр сертификатов ключей подписей;

·Центр запросов;

·Сертификат;

·Пользователи.

Инфраструктура открытых ключей применяется для выпуска цифровых сертификатов, распространения сертификатов среди пользователей, ведения списка отозванных сертификатов и для проверка правельности подленности пользователей и сертификатов.

Имеется сервер AD, позволяющий централизованно управлять АРМ посредством групповых политик. Доступ в сеть интернет осуществляется посредствам proxy – сервера Microsoft Forefront Threat Management Gateway, имеющая возможность анализа посещяемых ресурсов, учет потребляемого трафика. Необходим для предоставления доступа пользователям в интернет.

Имеется АРМ администратора на котором установлен ViPNet Administrator. Для просмотра событий в Secret Net используется интерфейс посредством обозревателя «интернета». Установлена операционная система Windows 7.

На каждом АРМ сотрудника установлена операционная система Windows 7, пакет MS Office 2010, так же для каждого отдела предприятия установлено дополнительное программное обеспечение, описанное в главе «Обзор электронного документооборота».

Рассмотрим сетевую инфраструктуру.

Имеется коммутатор Cisco Catalyst 2960 серии у которого имеется 48 портов 100 Мбит/с Ethernet и 2 порта 1 Гбит/с. К комутатору подключены все отделы предприятия:

·департамент информационной безопасности

·департамент разработки ИС

·департамент системной интеграции,

·юридический отдел

·отдел кадров

·отдел продаж

·бухгалтерия

·отдел руководства

Кабель проложен по накладному потолку. Второй коммутатор Cisco Catalyst 3750-X серии представляет собой ядро сети концентрирующий в себе все подключения. Центральный коммутатор предназначен для подключения в вычислительную сеть (ЛВС) имеющихся на предприятии серверов и АРМ администратора, а также объединяющийся со вторым коммутатором. На рисунке 3 изображена сетевая структура « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА ».


Рисунок 3

2.2.Обзор электронного документооборота

Перейдем к обзору электронного документооборота « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА ». Основная работа проходит с помощью офисного пакета Microsoft Office. Обработка и пересылка сообщений, работа с контактами, задачами, календарем обеспечивается ПО Exchange Server. В компании планируется использование ЭЦП для внутреннего документооборота.

Рассмотрим специфику работы каждого отдела по отдельности.

Департамент информационной безопасности.

Для выполнения служебных обязонностей сотурдники данного департамента используют Microsoft Word и Microsoft Excel. Для упращения работы используются образцы документов (шаблоны). Шаблоны часто подвергаются изменениям, всвязи смены законодательства и случайных изменений (ошибок) сотрудников. Обмениваются документами с помощью почтового клиента Microsoft Outlook. Используют календарь для назначений встреч, даты начала и окончания проекта.

Департамент разработки ИС.

Для своих служебных обязанностей используют сервер нерерываной интеграции Jira, включающий модуль задач календаря и обмена сообщениями. Для формирования документации используют MS Word.

Департамент системной интеграции.

Для выполнения служебных обязанностей сотрудники департамента системной интеграции используют Microsoft Word. Работа проходит с большим количеством документов: отчетов, технической документацией, заданий на разработку, проектные решения. Используют файловое хранилище для хранения документов. Задания получают посредством почтовой свзяи клиенту Microsoft Outlook. Активно используется календарь для хранения сроков выдачи заказчиком, выезда на объект, разработке документации.

Отдел продаж.

Для выполнения своих служебный обязанностей они используют MS Outlook. Для составления комерческих предложений используют MS Word.

Активно используют календарь для передачи проекта отделу. Используют для созданий презентаций MS PowerPoint. Используют файловое хранилище для хранения документов.

Отдел бухгалтерии.

Бухгалтерский учет ведется в книгах Microsoft Excel. Так же используют MS Word для составления приказов о начислении заработной платы. Используют файловое хранилище для хранения документов. Выписку в налоговую и денежные переводы в банк осуществляется посредством электронной почты с использованием ЭЦП.

Отдел кадров.

Для выполнения своих служебный обязанностей сотрудники используют web– сайт. Для чтения резюме используют MS Word. Используют файловое хранилище для хранения документов.

Юридический отдел.

Для выполнения своих служебный обязанностей сотрудники используют web– сайт, на котором перечислены необходимые законы. Используют файловое хранилище для хранения документов.

Отдел руководства.

Для выполнения своих служебный обязанностей руководство используют MS Word для составления приказов и составления отчетов. Используют файловое хранилище для хранения документов.

Подведем итог обзору: все сотрудники компании используют в работе покет MS Office и есть необходимость в использовании ЭЦП для подтверждения авторства и неизменяемости, так как есть вероятность удаления и изменения документов. Соответственно необходимо уделить первоочередно внимание именно работе с пакетом MS Office.

 

 

2.3.Анализ проблематики

После проведения анализа предприятия и обзора электронного документооборота « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА » были выявлены следующие проблемы:

·использование логина и пороля не безопасно;

·при использование ЭЦП для внутреннего документооборота потребуется хранения ЭЦП сотрудника на каждом АРМ, который он использует;

·забытие карты доступа на рабочем месте.

Первая проблема возникла так как вопреки рекомендациям многие сотрудники записывают логин и пароль на бумаге, что может привести к риску утечки информации. Так же логин и пароль можно подобрать, либо забыть. Вторая проблема возникла в результате использования ЭЦП локально, в следствии чего риски утечки ЭЦП возрасли. Третья проблема возникла в результате частого забытия карты доступа сотрудниками на рабочем месте, что приводило к невозможности выйти за пределы предприятия и вернуться за своей картой доступа.

В качестве решения первой и второй проблемы было предложено использование смарт – карт. Смарт – карты будет использоваться для идентификации, авторизации, а так же для хранения и работы с ЭЦП. Так как использование смарт –карт на сегодняшний день является одним из безопасным, что подтверждается стандартами ФСТЭК, наличием защищенной памяти и собственным криптопроцессором. Решение третьей проблемы связано с необходимостью модификации идентификатора карт доступа, либо увеличение карты доступа до легко заметных размеров, либо интеграции с другим необходимым для работы объектом (наример сотовым телефоном). Но в системах физической и информационный безопасности (ИБ) требуется наличие собственных идентификаторов, что приводит к следующим трудностям:

·риск забыть карту на рабочем мест

·неудобство в использовании нескольких карт

Для решения этих трудностей необходима интеграция СКУД и СЗИ, т.е. использование комбинированной карты.

Комбинированная карта - это модульное устройство, соединяющее в себе в едином корпусе оба варианта электронных карт с двумя независимыми чипами. Один – контактный, подключенный к контактной площадке, второй – RFID - чип, который работает с антенной. Обе микросхемы и интерфейсы полностью независимы друг от друга. Это позволяет использовать карту, с одной стороны, как хранилище электронной цифровой подписи, а с другой, – как электронное удостоверение для систем контроля доступа.

С помощью описанного модульного устройства можно решать разнородные задачи по автоматизации бизнес-процессов организации:

1. Контролировать доступ сотрудников в помещения

·На проходной

·В кабинеты

·К шкафам/сейфам

2. Управлять доступом сотрудников к информационным ресурсам организации

·Рабочему месту

·Защищенным данным

·Сетевым ресурсам

3. Защищать электронные документы сотрудника

·Электронной цифровой подписью

·Шифрованием

На рисунке 4 изображена внутренняя структура комплексной карты.


Рисунок 4

Для решения выше перечисленных проблем в « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА » была поставлена следующая цель – осуществление интеграции карт и внедрение полученной комплексной карты на предприятии.

Для достяжения поставленной цели были определенны следующие задачи

1.Анализ предприятия

2.Обзор электронного документооборота

3.Выбор моделей карт и считывателей

4.Внедрение комплексной карты

5.Интеграция СКУД и СЗИ

2.4.Выбор карт и считывателей

Определив проблемы и задачи перейдем к выполнению поставленный задач и решению проблем, начав с выбора смарт – карт. При выборе карт необходимо учитывать законодательные ограничения со стороны СКУДа и СЗИ. Согласно Указу Презедента и Федеральному закону «Об электронной цифровой подписи» необходимо применять ЭЦП реализованного согласно ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2001. Из этого следуют, что необходимо применять смарт – карту с аппаратно реализованным алгоритмом ГОСТ.

На предприятии установлен СКУД Gate, считыватель Matrix III, и используется proximity карта стандарта EM – Marine. Соответственно RFID метка в комплексной карты будет стандрата EM – Marine, для упрощения миграцииproximity карт на комплексную.

Выбор смарт – карты и RFID метки ограничивается поддержкой Secret Net, ViPNetи СКУД Gate данных моделей карт. Рассмотрев приложение к документации ViPNet «Информация о внешних устройствах хранения данных» и руководство администратора Secret Net, был подобран ряд моделей карт поддерживаемых как Secret Net так и ViPNet, а так же имеющих возможность встраивания RFID метки. Мною были проанализированы слудующие смарт – карты: ASECard Crypto, ACOS2, JCOP30 и составлена таблица (см. таблица2), каторая показывает наглядно возможности использования данных моделей. ASECard Crypto (компании Athena) поддерживает стандарты хэширования SHA-1, SHA-256, MD5 и алгоритмы шифрования RSA 2048, 3DES, DES, AES. Смарт – карта ACOS2 поддерживает стандарты хэширования SHA1, MD5 и алгоритм шифрования DES, 3DES. Смарт – карта JCOP30 поддерживает алгоритм шифрования 3DES. Смарт – карта eToken PRO (компании Aladdin) поддерживает алгоритмы хэширования ГОСТ Р 34.11-94, алгоритм шифрования ГОСТ 28147-89, алгоритм поддержки ЭЦП ГОСТ Р 34.10-2001 [19].

По итогам анализа была выбрана смарт - карта eToken компании Aladdin. Эта единственная смарт – карта поддерживаемая выше перечисленными средствами защиты информации и имеющая возможность встравания RFID метки. Также в данной карте раелизован алгоритм ГОСТ и имеется сертификат соответствия ФСБ России № СФ/124-1671 от 11 мая 2011 г., а также СКЗИ класса КС2. Остальные предоставленные модели с Secret Net не совместимы [11]. Для использования смарт - карты необходим считыватель, он был подобран исходя из рекомендаций разработчиков смарт – карты eToken - считыватель Athena ASEDrive IIIe. Данный считыватель поддерживает ОС Windows 7 установленных на АРМ сотрудников « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА ».

Таблица 2

Смарт – карта

Secret Net

ViPNet

RFID - метка

eToken PRO (Aladdin)

+

+

+

ASECard Crypto (Athena)

-

+

+

ACOS2

-

+

+

JCOP30 (Рускард)

-

+

+

2.5.Внедрение

После подбора необходимой смарт – карты и считывателей было произведено внедрение комплексной карты на предприятии « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА ». Было установлено дополнительное ПО eToken PKI Client 5.1 SP1 для Microsoft Windows на АРМ сотрудников, установила и настроила дополнительный подключаемый модуль для поддержки ЭЦП в пакете MS Office, установлены считыватели смарт – карт Athena ASEDrive IIIe, инициализировала RFID – метки, обеспечила поддержку смарт – карт в Secret Net, сформировала сертификаты пользователей, установила сертификаты на комплексную карту, провела обучение и инструктаж сотрудников организации использованию комплексной карты, подписыванию документов ЭЦП с помощью сертификатов хранимых на комплексной карты.

Рассмотрим подробнее каждый этап внедрения. Начнем со СКУД.

СКУД

На АРМ администратора установлен настольный считыватель Z2 USB посредством которого путем подноса комплексной карты к считывателю вносились регистрационные номера RFID - меток в базу данных системы СКУД и привязки к владельцу карты. Для внесения меток ипользовалось ПО Gate Commander.

PKI

Для функционирования инфраструктуры открытых ключей необходима установка eToken PKI Client 5.1 SP1 для Microsoft Windows на АРМ сотрудников, формирование сертификатов пользователей.

Установила eToken PKI Client 5.1 SP1, что предоставит возможность для распространения ключей в информационной среде на предприятии.

Для получения сертификата были проведены следующие действия:

·Запустила ViPNet CSP и открыла вкладку «Создание запроса на сертификат».

·Для создания нового сертификата был выбран пункт «Запросить новый сертификат».

·Указала в разделе «Параметры сертификата» назначение: подпись и шифрование; Область применения сертификата: шаблон отчетности.

·Указала необходимую информацию в разделе «Данные о владельце сертификата».

·Сохранила файл.

·Сформировала запрос.

·Указала в окне «ViPNet – инициализация контейнера ключа» имя контейнера – ФИО сотрудника, место размещения, устройство.

·Задала пароль для защиты.

·Нажала кнопку «ОК».

·Начала установку полученного сертификата.

·Добавила контейнер выбрав его с устройства.

·Ввела ПИН – код [16].

Настройка моей части инфраструктуры открытых ключей была завершена. Развертывание УЦ, РЦ, центра запросов и его аттестация в рамках требования ФСБ была выполнена другими сотрудниками предприятия.

Основными компонентами эффективной PKI являются (см. рисунок 5):

·удостоверяющий центр;

·сертификат открытого ключа;

·регистрационный центр;

·репозиторий сертификатов;

·архив сертификатов;

·конечные субъекты (пользователи).


Рисунок 5

Secret Net

Мною было произведено усиление режима аутентификации путем смены режима аутентификации с парольной аутентификацию на аутентификацию с помощью персонального электронного идентификатора хранящегося на комплексной карте. В целях достяжения усиления режима аутентификации я изменила настройки аутентификации в Secret Net.

Перечислю мои действия по настройке режимов:

·Я запустил оснастку групповой политики и обратилась к разделу «Параметры безопасности\Параметры Secret Net».

·Выделила каталог «Настройки подсистем».

·Вызвала нажатием на правую кнопку мыши контекстное меню для пункта «Вход в систему: Режим аутентификации пользователя» и обратилась к пункту «Свойства».

·Выбрала из выпадающего списка пункт «Усиленная аутентификация по ключу» и закрыла диалог «Свойства» нажатием кнопки «OK».

ЭЦП

После проделанных выше описанных действий я настроила подключаемый модуль ViPNet для Microsoft Office, для подписания документов. Чтобы добавить цифровую подпись в документ Microsoft Word, Excel и PowerPoint я выполнила следующие действия для добавления возможности цифровой подписи в пакет MS Office:

·Открыла пукт меню «Файл\Сведения».

·Выбрала в группе «Разрешения\Защитить документ» пункт «Добавить цифровую подпись».

·Ввела данные, сообщенные пользователем, в поле «Цель подписания документа».

Применяемая ЭЦП имеет юридическую силу [17].

Организационные работы

После всех подготовительных этапов я провела выдачу комплексных карт сотрудникам предприятия и обучение работе с картой.

После получения парии комплексных карт был составлен реестр владельцев карт описывающий регестрационный номер карты и ФИО сотрудника. Было произведено собрание всех служащих предприятия « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА » на котором я выдала карты согласно реестру.

Был составлен график проведения инструктажа по отделам. Во время инструктажа была выдана политика работы с картой, которая была подписана всеми сотрудниками; инструкция по обращению с картой которая включала правила пользования комплексной карты состоящая из таких пунктов как: использование считывателей установленных на АРМ, подпись документов с помощью ЭЦП, проверка подписи.

2.6.Процесс работы системы

Для каждого сотрудника определяется виртуальное рабочее пространство - перечень каталогов, устройств, возможностей их использования, сетевых ресурсов, доступ к которым сотруднику необходим для выполнения своих прямых служебных обязанностей. Возможно использование данных характеристик для групп пользователей, отделов организации, и т.д. Сотрудник, имеющий Комплексную карту, в начале рабочего дня подходит к своему рабочему месту и, вставляя карту в считыватель, автоматически входит в систему своей рабочей машины. Ему автоматически распределяются права доступа ко всем ресурсам в соответствии с установленной для него политикой безопасности в организации. При возникновении ситуации, когда пользователю необходимо в течение рабочего дня отлучиться от своего АРМ, он просто блокирует машину и уходит, разблокировать АРМ удастся только с применением Комплексной карты.

Рассмотрим процесс развертывания PKI. Сначала составляется регламент работы с сертификатами, регламент работы УЦ, списки доступа к УЦ и Центру запросов, назначается администратор УЦ, технической задание на PKI, для обеспечению юридической значимости ЭЦП требуется составление соглашения о применении ЭЦП. Затем проводятся технические работы по запуску и настройке серверов: УЦ, РЦ, реестра сертификатов ключей подписей, по установке клиенского ПО на парк машин пользователей, установка и настройка, аттестация в рамках требования ФСБ рабочего места для генерации запроса на сертификат пользователя. Создание сертификатов для всех сотрудников предприятия и обучение сотрудников работы с ними.

Процесс работы PKI описан далее по тексту.

Первый этап – получение сертификата:

·Пользователь использует центр запросов, генерация запроса на сертификат в контейнере.

·Пользователь генерирует закрытый ключ и сохраняет в контейнере.

·Пользователь передает контейнер администратору УЦ. Ожидает одобрение администратора.

·Устанавливает полученный сертификат.

Второй этап – распространение сертификата:

·Программный продукт eToken PKI Client обеспечивает загрузку сертификатов на АРМ пользователя с УЦ и выгрузку сертификата пользователя в УЦ.

Тертий этап – использование сертификата:

·Пользователь указывает в ViPNet CSP полученный сертификат.

·Пользователь выбирает в Microsoft Office свой сертификат.

·Пользователь подписывает документ с помощью своего сертификата [17].

На рисунке 6 изображена сетевая структура « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА ».


Рисунок 6

 

2.7.Интеграция СКУД и СЗИ

Развитие комплексной защиты состоит в интеграции СКУД и СЗИ. Первым этапом к интеграции можно считать использование смарт – карт и в СКУД и СЗИ. В СЗИ идентификатор используется для входа в систему, а в СКУД для прохода в помещение. Таким образом, если объединить эти идентификаторы, то количество аппаратных средств уменьшится, и такое решение уже описано выше, одни и те же идентификаторы с RFID меткой применяются как в системе СКУД так и в СЗИ. Также пользователю для выхода из помещения потребуется взять устройство с собой. Но это все представляет собой только совмещение двух устройств. СКУД и СЗИ функционируют независимо друг от друга. Следующим этапом интеграции и являющимся основным это взаимодействие СКУД и СЗИ на уровне обмена данными. Интеграция систем СКУД и СЗИ даст возможность качественно поменять политику безопасности предприятия и уровень защищенности ресурсов предприятия. Интеграция систем повлияет на все аспекты физической и информационной безопасности, экономическая основа. Результат интеграции даст возможность централизовано контралировать права физической и информационной безопасности, упрощает разработку и применение политики бзопансости на уровне всей организации, оптимизировать доступ и аутентификацию, стоимость владения системы безопасности. Важным этапом в интеграции систем является интеграция карт на уровне единого идентификатора. При применении единой карты доступа сотрудник не имеет возможности получить доступ к информационным ресурсам находящихся в помещении, в которое он сначала не прошел. При наличие единого идентификатора пользователь обязан всегда иметь его при себе для входа в помещение, в следствии он не имеет возможности оставить его в каком-либо считывателе [20]. При несоблюдении политики безопасности: незакрытии секретных документов, отсутствия блакировки АРМ, пользователь не сможет покинуть помещение. При аварийном режиме службы безопасности заблокируется доступ к единому виртуальному рабочему пространству. Также позволяет решить вопрос контроля времени работы сотрудника и учет того с чем работает пользователь, сэкономит время на ввод идентификационной пары, формирование совмещенной отчетности служб физической и информационной безопасности.

Мною были рассмотрены несколько вариантов структурной интеграции. Перечислим варианты структурной интеграции:

·Создание нового продукта с функциями СКУД и СЗИ.

·Использование прослойки между серверами СКУД и СЗИ.

·Создание протокола взаимодействия СКУД и СЗИ.

Рассмотрим первый вариант структурной интеграции.

Такой вариант является трудноосуществимым так как требует колоссальных трудозатрат (3-5 лет) и сертификации к контролирующих органах (1-2 года). Такой вариант будет не портируемым, так как жестко привязан к одной СКУД и одной СЗИ.


Рисунок 7

Рассмотрим второй вариант интеграции.

Второй вариант интеграции СКУД и СЗИ требует разработки отдельного программного продукта с выделенным сервером. Программный продукт будет выступать в роли единого интерфейса, беря на себя функции по управлению и контролю систем СКУД и СЗИ, позволит в одном месте сосредоточить всю информацию о интегрированной системе. При разработке можно обеспечить минимальную зависимость от используемых СКУД и СЗИ. Такой вариант требует средней трудозатраты и не требует сертификации у надзорных органов.


Рисунок 8

 

Рассмотрим третий вариант интеграции СКУД и СЗИ.

Разработка протокола позволит передавать частично данные из одной системы в другую. Результатом внедрения протокола будет упрощение политики безопасности и расширение правил доступа и аутентификации. Протокол будет зависить от используемых СКУД и СЗИ. Разработка потребует минимальных трудозатрат (0,5-1 год) и сертификации в надзорных оргнах (1-2 года).


Рисунок 9

 

Мной был выбран второй вариант интеграции СКУД и СЗИ, так как он соединяет в себе гибкость по отношению к использованным СКУД и СЗИ, большой функцианал, средние трудозатраты и не требует повышенного времени на сертификацию. Данное предложени об интеграции систем СКУД и СЗИ было передано на рассмотрение руководителю департамента информационной безопасности, системной интеграции, затем был приказ о разработке департаментом разработки ИС.

2.8.Результаты внедрения

Сотрудники организации « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА » легко обучились использованию комплексной карты и работе с ЭЦП, внедренным в электронный документооборот. Случаи непреднамеренной правки снизились, соблюдение политики безопасности возрасло и случаи потери карт снизились до минимума. Случаи преднамеренной порчи документов стали легко расследуемыми.

Заключение

В результате выполнения работы была внедрена комплексная карта на предприятии, обеспечена работа системы с ЭЦП в « КРАСНОДАРСКИЙ ФИЛИАЛ РОССИЙСКОГО ЭКОНОМИЧЕСКОГО УНИВЕРСИТЕТА ИМ. Г.В. ПЛЕХАНОВА ».

Результат внедрения соответствует требованиям руководителя от предприятия. Интеграция система СКУД и СЗИ будет произведена в будущем.

Таким образом, поставленная цель достигнута, четыре задачи были решены, пятая будет решена в дальнейшем.

Список литературы

1.Указу Президента РФ от 3 апреля 1995 N 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации».

2.Приказу ФСБ России от 9 февраля 2005 г. N 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации».

3.Федеральный Закон РФ от 10.01.2002 № 1-ФЗ "Об электронной цифровой подписи".

4.Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (в редакции N 261-ФЗ от 25.07.2011).

5.Свободная общедоступная многоязычная универсальная энциклопедия[Электронныйресурс] [http://ru.wikipedia.org/wiki/Смарт-карта].

6.Свободная общедоступная многоязычная универсальная энциклопедия[Электронныйресурс] [http://ru.wikipedia.org/wiki/RFID].

7.Регламент информационной безопасности при использовании программно-аппаратных средств комплекса ViPNet.

8.Общее описание, правила пользования. Программно-аппаратный комплекс «Удостоверяющий центр корпоративного уровня ViPNet».

9.Развертывание сети ViPNet (руководство администратора).

10.Смарт-картыиmemoryкарты[Электронныйресурс]

[http://www.aladdin-rd.ru/catalog/smart_cards/].

11.Сертификат совместимости электронных ключей eToken и СЗИ от НСД Secret Net 7.

12.Контроллер Gate. Паспорт и инструкция по эксплуатации.

13.СКУД и Системы защиты информации: перспективы нового качества[Электронныйресурс]

[http://www.okbsapr.ru/schastny_2013_1.html].

14.УтилитаGATECommander[Электронныйресурс]

[http://skd-gate.ru/index.php?nomer=257].

15.Сетевая версия ПО–GATE Server-Terminal [Электронный ресурс] [http://skd-gate.ru/index.php?nomer=256].

16.Краткая инструкция по работе eToken PKI Client.

17.Руководство пользователя ViPNet 3.2. CSP.

18.Руководство администратора Secret Net 7.

19.Приложение к документации ViPNet «Информация о внешних устройствах хранения данных».

20.СКУД + ИТ: интеграция неизбежна [Электронный ресурс] [http://www.secuteck.ru/articles2/inegr_sistemy/skyd-it-integraciya-neizbejna/].

 


   
Понравилась эта статья?
Добавляй её в социальные закладки!
Помни, что именно от тебя зависит что будет на страницах интернета завтра!
Не дай рекламе завоевать интернет, цени бесплатное и качественное !!!
Печать

   

Всего проголосовало: 18
Средний рейтинг 4.7 из 5


    Не задан

----------------------<cut>----------------------
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.