Построение систем корпоративной ИТ-безопасности на основе PKI с использованием смарт-карт

20 Апреля 2012

Роль смарт-карт в корпоративной ИТ-безопасности в последнее время существенно выросла. Возможности, которые сейчас предлагают карточные технологии, не ограничиваются только доступом в помещения (Physical Access). Помимо этого, карты можно использовать для организации логического доступа к данным (Logical Access), электронной цифровой подписи, персональной идентификации, для хранения защищенных данных.

В общем случае, систему авторизации в корпоративных системах можно строить на двух принципах: на основе «логин-пароль» и на основе цифровых сертификатов. Смарт-карты можно применять и в том, и в другом случае. Системы, построенные на базе «логин-пароль» достаточно широко распространены и используются давно, поэтому в этой статье мы не будем уделять им особое внимание. По нашему мнению, больший интерес представляют корпоративные IT-системы, основанные на цифровых сертификатах и инфраструктуре открытых ключей (PKI). Остановимся на них подробнее.

Использование цифровых сертификатов и криптографических смарт-карт в корпоративных информационных системах позволяет осуществлять так называемую строгую двухфакторную авторизацию. Двухфакторной авторизация называется потому, что в процессе аутентификации одновременно используется два признака персоны: предмет, которым обладает только данный пользователь (персональная смарт-карта) и информация, которой владеет только он (PIN-код для доступа к карте). Только при наличии и совпадении этих признаков пользователь может войти в корпоративную информационную систему. Строгая двухфакторная аутентификация является, по нашему мнению, самым безопасным способом авторизации в корпоративной среде. Пароля в таких системах попросту не существует, соответственно, его невозможно украсть.

У компаний, планирующих внедрять у себя информационную систему безопасности на основе PKI, зачастую появляется недопонимание ее возможностей, а также возникает множество вопросов относительно использования PKI. Группа компаний ISBC давно занимается разработкой решений по построению корпоративных систем безопасности на основе инфраструктуры открытых ключей, и в этой статье мы попытаемся кратко ответить на типовые вопросы по работе PKI-систем с использованием смарт-карт и дать рекомендации по выбору типа системы информационной безопасности.

Прежде всего, необходимо определиться с тем, на базе какого алгоритма будет строиться PKI-система. Выделяются два базовых принципа построения: решения, основанные на алгоритме RSA и системы, описанные ГОСТ Р34.10-2001.

Системы на основе RSA сейчас наиболее распространены в корпоративных информационных системах. Это объясняется просто: такие системы поддерживают все ОС и приложения. К тому же, подобные системы довольно просто внедрять и использовать. Системы на базе RSA можно порекомендовать для внутреннего корпоративного использования.

Системы безопасности, основанные на ГОСТ Р 34.10-2001, внедрять сложнее, но у таких систем есть одно несомненное преимущество, которое заключается в том, что на данный момент ГОСТ является единственным сертифицированным алгоритмом в России. Его применение обязательно для государственных организаций и учреждений. Поэтому, если организация тесно общается с госструктурами, или сама является ею, то необходимо внедрять решение, соответствующее ГОСТу.

Специалистами Группы компаний ISBC разработано смешанное решение, когда можно использовать одну смарт-карту для обоих подходов. Данное решение может быть рекомендовано, например, когда внутри компании используется RSA, а для взаимодействия с внешними контрагентами для электронного документооборота используется ГОСТ.

После этого необходимо выбрать ПО, которое будет выполнять роль «удостоверяющего центра» (УЦ). УЦ является основным компонентом любой PKI-системы, выпускающим сертификаты открытых ключей и удостоверяющим их подлинность. Самый простой способ – использование удостоверяющего центра, встроенного в Windows (Microsoft CA). Данный УЦ изначально рассчитан на работу с RSA-алгоритмом, но может быть адаптирован и для работы по ГОСТу, например, при помощи решений компании КриптоПро. Помимо Microsoft CA существует много других УЦ, в том числе полностью ориентированных на работу только по ГОСТ Р 34.10-2001.

После выбора УЦ необходимо выбрать CMS (Card Management System) корпоративной информационной системы. CMS сопровождает сертификаты на протяжении всего их жизненного цикла: организует их выдачу, перевыпуск, отзыв. Поэтому к выбору CMS необходимо отнестись серьезно и основательно. CMS должна легко интегрироваться в информационную среду, поддерживать различные директории, удостоверяющие центры, модули безопасности (HSM), токены и смарт-карты. Желательна возможность интеграции CMS и системы управления физическим доступом на предприятие (СКУД).

После того, как PKI-система развернута, сотрудникам выдаются карты с персональными цифровыми сертификатами. Их можно применять в следующих аспектах:

  • для авторизации в домене ЛВС предприятия;
  • для шифрования файлов, писем электронной почты;
  • для организации цифровой подписи электронной почты и документов предприятия;
  • для авторизации на корпоративных web-ресурсах;
  • в процессе учета рабочего времени сотрудника;
  • для организации защищенного удаленного доступа к корпоративной информационной системе.

Возврат к списку

Select languages:

EN
RU

Продолжая работу с сайтом, вы подтверждаете использование сайтом cookies вашего браузера с целью улучшить предложения и сервис на основе ваших предпочтений и интересов.

Да, не показывать снова