Построение систем корпоративной ИТ-безопасности на основе PKI с использованием смарт-карт
Роль смарт-карт в корпоративной ИТ-безопасности в последнее время существенно выросла. Возможности, которые сейчас предлагают карточные технологии, не ограничиваются только доступом в помещения (Physical Access). Помимо этого, карты можно использовать для организации логического доступа к данным (Logical Access), электронной цифровой подписи, персональной идентификации, для хранения защищенных данных.
В общем случае, систему авторизации в корпоративных системах можно строить на двух принципах: на основе «логин-пароль» и на основе цифровых сертификатов. Смарт-карты можно применять и в том, и в другом случае. Системы, построенные на базе «логин-пароль» достаточно широко распространены и используются давно, поэтому в этой статье мы не будем уделять им особое внимание. По нашему мнению, больший интерес представляют корпоративные IT-системы, основанные на цифровых сертификатах и инфраструктуре открытых ключей (PKI). Остановимся на них подробнее.
У компаний, планирующих внедрять у себя информационную систему безопасности на основе PKI, зачастую появляется недопонимание ее возможностей, а также возникает множество вопросов относительно использования PKI. Группа компаний ISBC давно занимается разработкой решений по построению корпоративных систем безопасности на основе инфраструктуры открытых ключей, и в этой статье мы попытаемся кратко ответить на типовые вопросы по работе PKI-систем с использованием смарт-карт и дать рекомендации по выбору типа системы информационной безопасности.
Прежде всего, необходимо определиться с тем, на базе какого алгоритма будет строиться PKI-система. Выделяются два базовых принципа построения: решения, основанные на алгоритме RSA и системы, описанные ГОСТ Р34.10-2001.
Системы на основе RSA сейчас наиболее распространены в корпоративных информационных системах. Это объясняется просто: такие системы поддерживают все ОС и приложения. К тому же, подобные системы довольно просто внедрять и использовать. Системы на базе RSA можно порекомендовать для внутреннего корпоративного использования.
Системы безопасности, основанные на ГОСТ Р 34.10-2001, внедрять сложнее, но у таких систем есть одно несомненное преимущество, которое заключается в том, что на данный момент ГОСТ является единственным сертифицированным алгоритмом в России. Его применение обязательно для государственных организаций и учреждений. Поэтому, если организация тесно общается с госструктурами, или сама является ею, то необходимо внедрять решение, соответствующее ГОСТу.
Специалистами Группы компаний ISBC разработано смешанное решение, когда можно использовать одну смарт-карту для обоих подходов. Данное решение может быть рекомендовано, например, когда внутри компании используется RSA, а для взаимодействия с внешними контрагентами для электронного документооборота используется ГОСТ.
После этого необходимо выбрать ПО, которое будет выполнять роль «удостоверяющего центра» (УЦ). УЦ является основным компонентом любой PKI-системы, выпускающим сертификаты открытых ключей и удостоверяющим их подлинность. Самый простой способ – использование удостоверяющего центра, встроенного в Windows (Microsoft CA). Данный УЦ изначально рассчитан на работу с RSA-алгоритмом, но может быть адаптирован и для работы по ГОСТу, например, при помощи решений компании КриптоПро. Помимо Microsoft CA существует много других УЦ, в том числе полностью ориентированных на работу только по ГОСТ Р 34.10-2001.
После выбора УЦ необходимо выбрать CMS (Card Management System) корпоративной информационной системы. CMS сопровождает сертификаты на протяжении всего их жизненного цикла: организует их выдачу, перевыпуск, отзыв. Поэтому к выбору CMS необходимо отнестись серьезно и основательно. CMS должна легко интегрироваться в информационную среду, поддерживать различные директории, удостоверяющие центры, модули безопасности (HSM), токены и смарт-карты. Желательна возможность интеграции CMS и системы управления физическим доступом на предприятие (СКУД).
После того, как PKI-система развернута, сотрудникам выдаются карты с персональными цифровыми сертификатами. Их можно применять в следующих аспектах:
- для авторизации в домене ЛВС предприятия;
- для шифрования файлов, писем электронной почты;
- для организации цифровой подписи электронной почты и документов предприятия;
- для авторизации на корпоративных web-ресурсах;
- в процессе учета рабочего времени сотрудника;
- для организации защищенного удаленного доступа к корпоративной информационной системе.