ПРОЕКТЫ
Опыт практической работы по обеспечению информационной безопасности (ИБ) привел ИТ-специалистов из банка "Возрождение" (ОАО) к неутешительному заключению: разработчики коммерческих информационных систем оставляют вопросы ИБ в стороне. Ими движут "вполне рациональные" мотивы: нужно снижать себестоимость разработки и рыночную цену продукта. Проблемы комплексной ИБ приходится решать самим потребителям систем - спасение утопающих по-прежнему остается их личным делом.
Эта статья о том, как упомянутый банк вступил в вынужденную конкуренцию с производителями систем ИБ, фактически разработав систему защищенного доступа к централизованным конфиденциальным информационным ресурсам, и не сегодня-завтра решение подобного класса может появиться на рынке как самостоятельный коммерческий продукт.
Чтобы правильно оценить реально решаемые банком ИТ-задачи, следует в нескольких словах описать масштабы этой крупной российской финансовой структуры. В настоящее время сеть банка "Возрождение" включает 60 филиалов, 142 дополнительных офиса и обслуживает почти миллион корпоративных и частных клиентов. Общее количество рабочих мест на сегодняшний день превысило 5 тыс. Филиалы банка распределены по всей стране: 40 из них расположены в Москве и Московской области, остальные - в крупнейших городах России от Магадана до Калининграда. Некоторые филиалы по своим оборотам и количеству рабочих мест превосходят местные региональные банки.
Схема системы защищенного доступа банка "Возрождение"
В "Возрождении" используются различные технологии защиты информации, которые специалисты по ИБ долго и тщательно связывали в единый эффективно работающий комплекс. Согласно их данным, на сегодняшний день в него входит межсетевой экран CheckPoint FW1, известная система обнаружения атак ISS SiteProtector, система контентной фильтрации трафика eSafe, совместное решение компаний "Аладдин" и "КриптоПро" по гарантированной защите закрытых ключей пользователя eTokenCryptoPro, а также удостоверяющий центр "КриптоПро".
Как считает Андрей Грициенко, начальник службы информационной безопасности банка "Возрождение", удостоверяющие центры (УЦ) российских банков, несмотря на то что о них мало известно, активно развиваются наряду с другими корпоративными удостоверяющими центрами. Так, например, УЦ информационной системы банка "Возрождение" за два года работы выпустил более 15 тыс. сертификатов ключей подписей, а к середине 2007-го их число, по прогнозам собственных специалистов, увеличится до 30 тыс. Немногие УЦ могут похвастаться такими темпами роста.
Основной функцией банковской системы информационной безопасности (СИБ), по оценке г-на Грициенко, в современном ее состоянии является поддержка защищенного пользовательского доступа с помощью сертифицированных российских криптографических средств и устройств eToken. Все задействованные и вновь приобретаемые приложения банка анализируются (или уже проверены) на совместимость с системой защищенного доступа и возможность работы с российской криптографией.
Система защищенного доступа
После продолжительных поисков специалисты банка по безопасности пришли к заключению, что для предприятия с такой разветвленной и территориально разнесенной структурой, как банк "Возрождение", на рынке нет готового решения по управлению PKI, удовлетворяющего российскому законодательству (в частности, стандарту ЦБ РФ для организаций банковской системы). Поэтому систему защищенного доступа пришлось создавать силами службы информационной безопасности банка. Возглавил работу заместитель начальника этого подразделения Дмитрий Василевский.
В основу системы был положен оригинальный алгоритм, обеспечивающий полный цикл управления аутентифицированным доступом к централизованным ресурсам.
Необходимость защиты передаваемых по открытым сетям данных и большое количество клиентов банка усугубили проблему управления ключевыми контейнерами и носителями. Множество приложений и рабочих сред, образующих ИТ-инфраструктуру предприятия, в свою очередь требовали усовершенствованного управления паролями сотрудников, а необходимость отслеживания в реальном времени изменения их статусов и полномочий окончательно определила направление разработки системы.
Вот основные требования, которые банк "Возрождение" предъявляет к такой системе: использование сертифицированных средств, полный централизованный контроль над операциями в системе (такими, как выпуск, приостановка и отзыв сертификатов, поскольку система полностью ориентирована на PKI), выработка и смена паролей. И все это должно контролироваться из единого центра (по стандарту Центробанка, нельзя передавать пользователям права смены паролей и выпуска сертификатов - это должно производиться уполномоченными персонами).
| Компании испытывают потребность в комплексах информационной защиты, пронизывающей всю корпоративную информационную среду, а не только сетевую инфраструктуру или приложения. |
В результате выполненных к настоящему времени работ система защищенного доступа, как ее описывает г-н Василевский, объединяет пять основных компонентов:
- систему управления ключевыми носителями и сертификатами;
- сервер защищенного доступа (СЗД);
- систему балансировки нагрузки СЗД;
- систему управления паролями пользователей;
- коннектор к кадровой подсистеме.
Первые четыре компонента могут работать независимо друг от друга, а пятый объединяет их, обеспечивая совместную работу в режиме реального времени.
Система управления ключевыми носителями и сертификатами позволяет выполнять функции управления жизненным циклом ключевых носителей и выпуском сертификатов из единого центра. В нее входит несколько центров регистрации, закрепленных за филиалами банка. Как только на работу принимается новый сотрудник, администратор безопасности подготавливает для него ключевой носитель, а система автоматически готовит запрос на сертификат и необходимые служебные записи, а затем отправляет запрос в удостоверяющий центр. После того как администратор УЦ подтвердит, что запрос получен, система выпускает сертификат и автоматически устанавливает его в ключевой носитель, который администратор безопасности передает новому сотруднику. Если в системе это разрешено, одновременно с оригиналом создается копия ключевого контейнера - дубликат носителя. Он в зашифрованном виде отправляется на хранение в базу данных, и в случае поломки ключевого носителя администратор безопасности может восстановить его нажатием одной кнопки.
Система позволяет сформировать запрос на создание сертификата, установить сертификат в контейнер, аннулировать или приостановить его действие. Все эти функции контролируются администратором УЦ.
Действия администратора безопасности в филиалах по выпуску сертификатов в любой момент могут быть приостановлены администратором УЦ, он также может запустить процедуры оформления сертификатов на исполнение в автоматическом режиме. Права доступа администраторов безопасности строго разграничены: каждый из них может выполнять только процедуры с оформлением сертификатов для сотрудников своего филиала, в то время как администратор УЦ контролирует все, что происходит в системе в целом.
Для формирования отчетов в системе реализованы различные фильтры: по дате запроса на сертификат, по запросившему сертификат администратору, по причине отказа в выпуске сертификата, по имени сертифицируемого сотрудника, по дате отзыва сертификата и множество других. Отчеты могут формироваться в форматах MS Word и MS Excel.
Сервер защищенного доступа обеспечивает пользовательский доступ к внутренним защищенным ресурсам через небезопасную сеть - например, через Интернет. Для этого организуется TLS-соединение c размещенного в демилитаризованной зоне СЗД. Через него соединение прозрачно выходит на внутренние информационные ресурсы банка.
Если во внутренней сети находится терминальный сервер, то на основании предъявляемых пользователями сертификатов СЗД обеспечивает доступ к определенным приложениям. Например, если у пользователя есть сертификат на право работать только с MS Word, то он и разрешит ему работать только с этим приложением. При этом соединение TLS обеспечивают российские сертифицированные криптопровайдеры.
Система балансировки нагрузки СЗД функционально реализует практически то же самое, что и сам сервер защищенного доступа. Разница только в том, что в этом случае для увеличения производительности устанавливается не один, а ферма серверов и система автоматически производит подключение пользователя к наименее загруженному серверу.
Система управления паролями пользователей в отрыве от общего решения представляет собой обычную систему SSO (Single SignOn), передающую имя и пароль пользователя из ключевого носителя в приложение. Администратор безопасности создает шаблоны и пароли доступа к приложениям, устанавливает их на ключевой носитель и передает пользователям. Система управления паролями позволяет "пробрасывать" пароли в любые приложения Windows, Web или выполняемые на терминальных станциях (MS RDP, Citrix Metaframe), а также осуществлять вход в систему (WinLogOn).
Коннектор к кадровой подсистеме (ККП) связывает все перечисленные выше компоненты в единое целое, обеспечивая их взаимодействие в режиме реального времени. Сама кадровая подсистема при этом может быть любой - "1С", "БОСС-Кадровик" и т. п. В банке "Возрождение", например, используется решение собственной разработки.
Из кадровой подсистемы ККП выбирает необходимую информацию: ФИО сотрудника, должность, подразделение, где он работает, сведения о приеме на работу, о должностных и структурных перемещениях, о командировках, отпусках, больничных листах и увольнениях.
Как только на работу приходит новый сотрудник, администратору безопасности (центрального офиса или филиала - в зависимости от того, куда поступает новичок) тут же об этом передается сообщение с требованием подключить новый eToken для автоматического оформления всех назначенных сотруднику пользовательских прав. Автоматически генерируются пароли доступа к разрешенным приложениям, выполняются запросы на сертификаты, формируются ключевые контейнеры, в которые устанавливаются сертификаты. Если разрешено, создаются дубликаты ключевых носителей.
Предусмотрен вариант усиленного режима контроля доступа к приложениям. В этом случае доступ разрешается только по предъявлении связки "сертификат плюс ключевой носитель", т. е. по конкретному сертификату, установленному на конкретном ключевом носителе при их одновременном предъявлении.
При переводе сотрудника из одного подразделения в другое в систему защищенного доступа через ККП автоматически передается информация обо всех изменениях его пользовательских прав и, самое главное, о том, каких прав он лишается при переводе. Последнее особенно важно, поскольку, как показывает опыт, сокращение пользовательских прав сотрудников "вручную" отслеживается плохо. В данном случае система это отслеживает автоматически: отзывает ненужные права, сертификаты и создает необходимые новые. При увольнении все сертификаты и права уволенного сотрудника отзываются автоматически.
Схема системы управления ключевыми носителямии сертификатами
На время отпуска действие сертификатов и ключевых носителей работников приостанавливается системой. При этом регистрируются попытки использования носителя и подбора пароля в отсутствие сотрудника на рабочем месте.
Заполнение больничного листа оформляется по факту выхода сотрудника на работу. После оформления больничного листа система также покажет все попытки использования ключевого носителя и сертификатов болевшего сотрудника во время его болезни.
В случае командировок сотрудников полезной оказывается возможность отслеживания места использования ключевых носителей.
В системе также реализовано управление носителями и сертификатами для групповых сертификатов, выпущенных не на отдельных сотрудников, а на их группу (например, подразделение) в целом.
При поломке или временной недоступности ключевого носителя (скажем, по забывчивости сотрудника он остался дома), быстро восстановить его не составит никакого труда, если при изготовлении носителя был создан дубликат. При этом использование оригинального носителя будет заблокировано системой и освобождено только после уничтожения дубликата. Все операции по изготовлению и уничтожению дубликатов строго контролируются системой и ответственными сотрудниками.
Система защищенного доступа, как утверждают в банке, соответствует всем требованиям российского законодательства и использует только сертифицированные средства. В ней предусмотрены сложные иерархические структуры правил доступа. Надежность и отказоустойчивость обеспечиваются многократным дублированием всех основных рабочих узлов системы. Так, например, при выходе из строя одного из СЗД система автоматически начнет подключать пользователей к другим серверам, остающимся в рабочем состоянии. Важно отметить высокую управляемость, гибкость настроек и протоколирование действий системы. Ее функциональность наращивается за счет подключения новых модулей в соответствии с требованиями политики ИБ. Соединение с кадровой подсистемой автоматизирует процесс управления инфраструктурой PKI, паролями и ключевыми носителями. При этом реализовано четкое разделение прав доступа к ресурсам на уровне администратора системы.
Электронная почта и Интернет без опасностей
Система защищенного доступа банка действует в соответствии с разработанной и внедренной единой политикой информационной безопасности, которая, по заявлению уполномоченных представителей предприятия, учитывает требования федерального законодательства, нормативные требования ФСТЭК и ФСБ в области защиты конфиденциальной информации, а также соответствует второй редакции стандарта Банка России (СТО БР ИББС-1.0-2006). В соответствии с этими требованиями операционная сеть банка физически отделена от сети общего пользования. Для таких сервисов, как выход в Интернет, выделена специальная сеть. При приеме на работу каждого нового сотрудника инструктируют о правилах ИБ, включающих также правила переписки по электронной почте и работы в Интернете. Служба ИБ банка внимательно следит за правильным использованием этих ресурсов.
До недавнего времени контроль доступа в Интернет проводился путем анализа файлов логов с межсетевого экрана. Это - кропотливый, трудоемкий процесс. Тем не менее такой контроль помогал оценить трафик, определить, на какие сайты сотрудники заходят в рабочее время. Службу безопасности банка особенно беспокоит использование бесплатных почтовых сервисов, таких, как Yandex.ru, Mail.ru и т. п., которые трудно контролировать на предмет передачи конфиденциальной информации (персональные данные клиентов и сотрудников, сведения, составляющие банковскую и коммерческую тайну).
Статистический анализ логов показывает, что сегодня полезный с позиций руководства интернет-трафик (сайты ЦБ, регуляторов рынка, финансовая и коммерческая информация) составляет 62%. Оставшиеся 38% приходятся на ресурсы, либо пока не определенные (21%), либо запрещенные (17% - различные развлекательные сайты).
Изначально служба ИБ не закрывала доступ к каким-либо интернет-ресурсам: расчет был на то, что пользователи следуют действующим инструкциям и выполняют регулярные организационные мероприятия (инструктажи, беседы и т. д.). В случае грубых и неоднократных нарушений к работникам могут быть в полном объеме применены административные меры, предусмотренные Трудовым кодексом РФ. За несколько лет, по мнению администрации, такая систематическая работа дала хороший результат, поэтому, несмотря на все издержки, анализ интернет-трафика продолжается. Это помогает принимать конкретные решения по поводу поведения конкретных сотрудников: либо "уговор", либо "приговор" - так согласно словам начальника службы информационной безопасности реагирует администрация банка в этих случаях.
В последнее время из-за своей масштабности стал создавать экономические проблемы спам. Причем в первую очередь они касаются не столько стоимости порождаемого им паразитного трафика, сколько прямых временных затрат персонала на разбор почты, удаление "мусора" из переписки. По оценкам банковской службы ИБ, это может составлять десятки минут в день на одного работника, пользующегося электронной почтой. Плюс к тому - негативные эмоции, раздражение в самом начале рабочего дня (накопление спама, как правило, происходит в ночные часы, а "разгребать" его приходится утром). Если суммировать по пяти тысячам рабочих мест, то банк получает ощутимые потери.
В компании долго искали решение описанных проблем, которое смогло бы удовлетворить требования принятой политики ИБ. В ходе анализа рынка специалисты СИБ обратили внимание на продукт eSafe компании "Аладдин Р.Д.", способный противостоять вирусам (прежде всего троянам) и спаму в службе электронной почты и организовать контроль доступа пользователей в Интернет.
К тому времени в банке уже работало три сигнатурных антивируса, установленных на межсетевом экране, почтовых серверах и на рабочих местах конечных пользователей. Обновление базы сигнатур этих программ производится примерно каждый час. Тем не менее, как показывает статистика службы ИБ, один-два раза в год во внутреннюю сеть банка вирусы все же проникают. Происходит это потому, что разработчики антивирусов не в состоянии оперативно готовить необходимые обновления, а службы банка, со своей стороны, не всегда успевают их своевременно загружать. "На случай проникновения вирусов во внутреннюю сеть, - говорит г-н Грициенко, - у нас разработаны методики и планы борьбы с вредоносным контентом внутри корпоративной сети, и тем не менее каждая такая атака представляет собой очень серьезное испытание".
| Особого внимания служб информационной безопасности компаний в целях предотвращения (неумышленного или злонамеренного) ущерба требуют такие сервисы, как электронная почта и доступ в Интернет. |
С внедрением eSafe пришлось пересмотреть политику обработки почтового трафика. Были проведены работы по перепланированию почтовой системы (что на работающей системе сделать непросто), благодаря которым удалось повысить производительность почты. В результате реорганизации почтовой системы вся входящая и исходящая электронная корреспонденция банка проходит проверку на серверах eSafe. Письма очищаются от вредоносного контента, а спам направляется в карантин. Крайне важно не только удалить спам из потока писем, но и не допустить того, чтобы полезная корреспонденция была классифицирована как спам. Этого удается избежать благодаря возможности регулярно, с заданной периодичностью или по запросу, направлять сотрудникам банка перечень адресованных им писем, которые система eSafe классифицировала как спам. Сотрудник может подтвердить такое решение системы (в этом случае письма с указанного адреса в дальнейшем будут точно определяться как спам и об их удалении пользователь уже не будет информироваться), указать ей на ошибку сделанного заключения о принадлежности послания к спаму (тогда письма от указанного источника больше не будут относиться к спаму) или извлечь письмо для контроля, если пользователь не уверен, спам это или нет.
Схема системы управления паролями пользователей
Словарь использованных сокращений
Чтобы эффективно использовать eSafe, нужен специально обученный персонал. Поэтому на учебные семинары разработчика были делегированы два инженера. Как показал последующий опыт, это сэкономило банку и деньги, и нервы в процессе обслуживания системы.
К настоящему времени запущен также интернет-компонент eSafe. Высоко оценивая результаты его работы, г-н Грициенко объявил: "Теперь у меня появилась уверенность, что поднять уровень полезного (с точки зрения администрации банка) интернет-трафика можно и до 100%". Высокого мнения специалисты ИБ банка не только об итоговых показателях продукта, но и об эксплуатационных характеристиках механизма настройки фильтрации интернет-трафика. Модуль фильтрации приложений eSafe позволяет избирательно ограничить возможность использования сотрудниками приложений семейства P2P (eDonkey, eMoole и т. п.), генерирующих огромный непроизводительный трафик, интернет-пейджеров (ICQ, AOL и пр.), клиентов IP-телефонии (Skype). Особенностью eSafe является способность определять приложения по сигнатурам, а не по используемым портам, что не позволяет квалифицированным пользователям обмануть фильтр системы. Для фильтрации URL система eSafe использует базу компании Cobion (крупного каталогизатора сети Интернет), обновляющуюся восемь раз в сутки. По данным службы ИБ банка, существует шестьдесят тематических категорий сайтов, доступ к которым может быть ограничен либо запрещен. Кроме того, eSafe позволяет организовать работу по "белому" списку. В этом случае сотрудникам банка разрешается доступ только на сайты из конкретного конечного перечня. Работа в таком режиме гарантированно исключает возможность непроизводительного использования интернет-трафика и, что важнее, рабочего времени сотрудников банка.
"Аладдин Р.Д." ведет постоянную работу по расширению базы данных сканирования Интернета. Но, как показал опыт работы с eSafe банка "Возрождение", к сожалению, домен .RU каталогизирован не так полно, как хотелось бы пользователям этой системы. Инженеры по безопасности банка почувствовали это сразу после запуска ее интернет-компонента: система оставила открытым доступ на некоторые размещенные в домене порносайты. Им пришлось вручную пополнить базу сканирования и отправить эту информацию разработчику, с тем чтобы она была включена в программу опроса серверов Cobion и результаты сканирования могли быть использованы всеми клиентами компании. С этих серверов пополняются базы пользователей eSafe во всем мире (в том числе и база банка "Возрождение"). Необходимо отметить большую работу, которую по методике компании Cobion совместно с ее специалистами проводят инженеры "Аладдина Р.Д." по "обучению" системы eSafe фильтрованию "отечественного" спама. В результате, по оценкам компании "Аладдин Р.Д.", фильтрация российского спама по качеству вплотную приблизились к фильтрации "импортного".
В ходе эксплуатации eSafe версии 5.1 в банке "Возрождение" были выявлены и некоторые недостатки данного продукта. Например, при выпуске отчетов в системе, работающей под Linux, возникают проблемы с кодировкой текстов. Соответствующие замечания были переданы разработчику для устранения. Как заявляют представители компании "Аладдин Р.Д.", замечания по работе eSafe и предложения по ее улучшению (не только от банка "Возрождение", но и от других заказчиков) аккумулируются и учитываются в регулярных автоматических обновлениях.
"Общие результаты первых опытов использования системы eSafe в банке "Возрождение" нас порадовали, - подводит итог г-н Грициенко, - и средства, потраченные на обслуживание 5 тыс. почтовых ящиков и 500 подключений к Интернету, руководство банка считает эффективным вложением".
О планах дальнейшего развития и использования системы информационной безопасности представители банка собираются доложить на V юбилейной всероссийской конференции "Обеспечение информационной безопасности. Региональные аспекты", которая состоится в середине сентября и обещает собрать более трехсот делегатов, представляющих государственные организации, компании ТЭК, связи, транспорта, финансового сектора и других отраслей экономики.
