Токен может использоваться для решения различных задач, связанных с криптографией, электронной цифровой подписью и аутентификацией. Широкий спектр использования этих устройств скрывает одну серьезную проблему.
Выйти из создавшейся ситуации поможет специальная система, которая способна существенно облегчить и ускорить процесс управления электронными ключами.
Сегодня невозможно представить себе офис какой-либо компании без компьютеров. С их помощью обрабатывается вся информация, создаются документы, ведется бухгалтерский учет и выполняется множество другой абсолютно необходимой работы. Между тем многие данные, хранящиеся на ПК, являются конфиденциальными и составляют коммерческую тайну, которую необходимо защищать. К сожалению, у нас в России до сих пор многие не осознали это или, осознав, надеются на авось. В частности, для аутентификации пользователей в большинстве корпоративных информационных систем используется встроенная в ОС парольная защита и при этом далеко не всегда задействованы все возможные штатные средства.
Слабая парольная защита не удовлетворяет современному уровню требований информационной безопасности. Надежность этого способа аутентификации очень сильно зависит от человеческого фактора, то есть от того, насколько качественные ключевые слова будут выбирать пользователи и насколько серьезно они будут относиться к их хранению. Часто сотрудники стараются упростить свою жизнь, нарушая при этом правила безопасности, и фактически, иногда сами того не сознавая, открывают злоумышленникам дорогу к коммерческой информации компании.
Но это еще не все. Парольная защита является одним из самых дорогих в эксплуатации способов аутентификации. Казалось бы, наоборот, система защиты встроена в ОС, никаких дополнительных затрат не нужно… Но обслуживание и сопровождение парольной защиты отнимает много времени у сотрудников компании, ответственных за работоспособность информационной системы. Им необходимо регулярно проводить аудит паролей пользователей (без этого защита неизбежно превратится в фикцию), консультировать по правилам выбора и хранения ключевых слов, регулярно производить замену паролей для профилактики, а также в случае их утери или забывчивости пользователей. Все это требует времени и ресурсов, причем немалых. Исследования Gartner показывают, что от 10 до 30 % звонков в службу технической поддержки компании — просьбы сотрудников восстановить забытые ими пароли.
По данным IDC, каждый забытый пароль обходится организации в 10—25 долларов. Так что парольная защита действительно дорога в эксплуатации.
Что такое токен и как им управлять
Постепенно российский рынок приходит к мысли о том, что лучше один раз потратить средства на надежную систему информационной безопасности, чем постоянно платить за видимость защиты и «кусать локти» в случае утечки важных данных. В нашем случае парольную защиту лучше всего заменить полноценной двухфакторной аутентификацией. Она подразумевает, что для определения пользователей используется не один, а два параметра. Оптимальным вариантом на данный момент является использование токенов или смарт-карт. Первое устройство представляет собой «брелок», который подключается к USB-порту компьютера, а второе — пластиковую смарт-карту.
Несмотря на очень сильные различия во внешнем виде, и токены, и смарт-карты являются идентичными устройствами. Основу их составляет специальная микросхема с защищенной памятью. Различие заключается в том, что токены непосредственно подключены к ПК, а смарт-карты требуют дополнительного оборудования — считывателей.
Принцип аутентификации пользователей с помощью токенов следующий. В защищенной памяти устройства хранится ключ, который используется для определения пользователя. Доступ к этой памяти открывается только после ввода PIN-кода. Таким образом, налицо двухфакторная аутентификация: человек должен сначала подключить токен к компьютеру, а потом ввести свой PIN-код.
Токен может использоваться для решения целого ряда задач, связанных с криптографией, электронной цифровой подписью и аутентификацией. Таким образом, эти устройства могут считаться многофункциональными и применяться в нескольких подсистемах корпоративной защиты. Скажем, одну и ту же смарт-карту сотрудник может использовать для входа в операционную систему, для защищенного обмена информацией с удаленным офисом (например, с помощью VPN), для работы с онлайновыми сервисами (технология SSL), для подписи документов (ЭЦП), для хранения закрытых ключей и сертификатов (технология PKI) и т. д. То есть на сегодняшний день токен является одним из наиболее удобных идентификаторов для обеспечения информационной безопасности любой компании. И чем она крупнее, чем больше у нее филиалов и современных ИТ, тем более оправданным становится применение этих устройств.
Широкие возможности использования токенов скрывают одну серьезную проблему. Речь идет об управлении этими устройствами. На всем протяжении жизненного цикла токенов системные администраторы, администраторы безопасности или другие ответственные лица должны выполнять определенные действия. При вводе ключей в эксплуатацию необходимо для каждого токена задать пароль администратора, PIN-код пользователя и загрузить в его память все требуемые данные (ключи, сертификаты и т. п.). Кроме того, нужно ввести соответствующие изменения в базу данных пользователей, поставив в соответствие каждому определенное устройство.
И это только начало. В процессе использования токена администратору безопасности придется многократно менять уровни доступа людей, разрешая или запрещая им те или иные действия. Кроме того, иногда возникает необходимость в немедленных операциях, например, когда человек потерял свой ключ или его украли. В такой ситуации важно как можно быстрее «вычеркнуть» токен из всех списков. В противном случае остается риск, что злоумышленники с помощью этого устройства смогут получить доступ к конфиденциальной информации или отправить фальсифицированный документ от имени легального пользователя.
Казалось бы, все эти задачи управления токенами решаются очень просто и не требуют специальных инструментов. Однако мы говорим о более-менее крупной компании, использующей современные ИТ и различное ПО. Это значит, что ответственному лицу придется вручную корректировать записи в Active Directory, системе VPN, правилах доступа к внутреннему порталу, в базе каждого отдельного приложения, отзывать все выданные сотруднику сертификаты, убирать полномочия по расшифровыванию данных и подписи документов… Список можно продолжать долго. Естественно, чтобы внести все необходимые изменения, требуется немалое время. Кроме того, администратор безопасности может забыть отключить доступ к какому-то элементу информационной системы предприятия, и тогда в ее защите появится «дыра». Все перечисленные действия необходимо выполнять также при приеме и увольнении каждого человека.
Получается, что чем крупнее компания, тем больше времени будет уходить на управление персональными средствами аутентификации. Заниматься этим должен человек, имеющий высокую квалификацию и пользующийся у руководства полным доверием. Администратор безопасности фактически является ключевой фигурой в защите корпоративной информационной системы, а время такого специалиста стоит дорого. И не очень разумно тратить его на выполнение рутинных операций. Единственным выходом из создавшейся ситуации является ввод в эксплуатацию специальной системы, которая может существенно облегчить и, что самое главное, ускорить процесс управления электронными ключами. Называется такое программное обеспечение «система управления токенами» (Token Managemenet System, TMS).
А зачем нам кузнец?
Рассмотрим аспекты привлекательности системы управления электронными ключами. Первый из них экономический, уменьшаются затраты на сопровождение системы защиты. Достигается это благодаря автоматизации большинства типовых операций с токенами и, соответственно, снижению затрат времени квалифицированного персонала. В результате внедрение TMS позволяет снизить совокупную стоимость владения информационной системой.
Второй аспект — технологический. Он заключается в значительном повышении уровня информационной безопасности и управляемости системы защиты компании. Кроме того, внедрение TMS позволяет руководству осуществлять полный административный контроль над использованием средств аутентификации и доступа к внутренним информационным ресурсам. И это еще не все. Применение системы управления токенами позволяет использовать надежно защищенную PKI-систему, применять сертификаты стандарта X. 509 и т. д. Ну и, наконец, эксплуатационный аспект. Описанная система позволяет существенно упростить эксплуатацию корпоративной ИС как для конечных пользователей, так и для администраторов.
К сожалению, привести общую формулу, с помощью которой можно было бы рассчитать срок окупаемости TMS, невозможно. Ведь у разных компаний различные инфраструктуры, информационные системы, оплата труда сотрудников и многое другое. Именно поэтому решение о целесообразности внедрения TMS должно приниматься в каждом конкретном случае отдельно. Однако есть одно давно проверенное и непреложное правило: при использовании более ста токенов TMS обязательно. Задумавшись о приобретении данных идентификаторов, учитывайте штат компании, необходимый уровень безопасности и риск утечки конфиденциальных данных.
Выбирай и проверяй
Когда речь заходит о выборе программного обеспечения для решения тех или иных задач, многие компании попадают в тупик. И действительно, непросто выбрать подходящий продукт из представленных на рынке вариантов. Особенно это касается систем, предназначенных для обеспечения информационной безопасности. Ведь именно от них может зависеть не только благополучие компании, но и ее существование. Разберем, на что именно в первую очередь стоит обращать внимание при выборе системы управления токенами.
Первая и самая, пожалуй, важная характеристика — «полнофункциональность». Современная TMS должна предоставлять администратору полный спектр всех инструментов для работы с токенами. Необходимо, чтобы с помощью системы управления сотрудник мог осуществлять любые операции на протяжении всего жизненного цикла устройств с защищенной памятью. Неразумно приобретать систему, которая может выполнять только часть действий, а все остальные операции должны производиться вручную.
TMS тем и хороша, что один ответственный сотрудник со своего компьютера может централизованно выполнять все действия по обслуживанию токенов и смарт-карт на предприятии: управлять жизненным циклом идентификаторов (например, осуществлять первоначальный ввод в эксплуатацию, персонализацию, смену и разблокировку PIN-кодов), работать с учетными записями пользователя, с защищенной памятью устройств (например, загружать и выгружать сертификаты, закрытые ключи), управлять полномочиями людей и т. п. Другим немаловажным фактором, на который необходимо обращать внимание, является открытая архитектура и возможность интеграции в существующую корпоративную информационную систему. Первый параметр фактически определяет возможность использования централизованной системы управления токенами в самых разнообразных, в том числе и внешних, ИС, реализованных с применением общепризнанных стандартов. Во многих случаях открытой архитектуры вполне достаточно для того, чтобы полностью интегрировать TMS в существующую информационную инфраструктуру. Нужно, чтобы у администратора была единая база пользователей, управляя которой, он управлял бы доступом ко всем информационным ресурсам предприятия. В противном случае ему придется поддерживать несколько баз параллельно, что увеличивает не только затраты времени, но и риск возникновения непредвиденных ситуаций.
Многие вендоры бизнес-приложений используют либо собственные программные разработки, либо ПО, которое не опирается на мировые стандарты. Хорошо это или плохо — отдельный разговор. В нашем же случае необходимо, чтобы ИТ-служба смогла интегрировать TMS и в эти приложения, иначе часть операций придется выполнять вручную. Обычно вместе с системой управления токенами поставляется специальный комплект, который позволяет встроить TMS практически в любое ПО, значительно повысив тем самым степень его защищенности.
Важным нюансом, касающимся интеграции системы управления электронными ключами в корпоративную ИС, является формирование наглядной отчетности и постоянный мониторинг различных процессов: использование токенов для аутентификации, смена PIN-кодов, изменение параметров доступа и т. п. Эти инструменты обязательно нужны, поскольку они увеличивают степень защищенности компании.
Следует также обратить внимание на модульность TMS. Поскольку информационная система компании постоянно развивается, в ней могут появляться некоторые элементы, которые необходимо «подключить» к системе управления токенами. Поэтому TMS должна быть гибкой и иметь возможности для дальнейшего развития. В противном случае компания рискует оказаться в такой ситуации, когда система управления сможет выполнять только часть своих функций. Остальные же системному администратору или администратору безопасности придется осуществлять вручную. Если модули для обеспечения совместимости с различным программным обеспечением можно приобретать отдельно от TMS, то тогда компания сможет купить только ядро системы (сам «движок») и те из модулей, которые ей действительно необходимы. Кроме того, в будущем легко наращивать «мощность» TMS, приобретая модули, которые стали нужны после расширения корпоративной ИС.
Следующим критерием является простота администрирования и интуитивно понятный и удобный интерфейс. Многие считают, что эти факторы не играют особой роли, но это не так. Далеко не всегда администраторы безопасности, фактически менеджеры, являются глубокими специалистами в области ИТ. Поэтому администрирование TMS должно быть реализовано таким образом, чтобы с ним без проблем справился любой пользователь ПК. Иначе к администрированию придется привлекать ИТ-специалистов, что может привести к неприятным последствиям.
В TMS также должны быть реализованы средства самообслуживания пользователей, чтобы последние могли легко и быстро выполнять некоторые функции по управлению выданными ими токенами, например, сменить PIN-код, разблокировать устройство (если это согласуется с политикой безопасности компании) и т. п. Такой подход позволяет разгрузить ответственных сотрудников. Но при этом возрастают требования к простоте и удобству администрирования устройств.
Ну и, наконец, последний фактор, играющий немаловажную роль при выборе TMS — его разработчик. В вопросах защиты нельзя доверять кому попало. Предпочтительней выбирать те компании, которые давно присутствуют на рынке и заслужили хорошую репутацию. Это позволяет гарантировать отсутствие нарочно оставленных «дыр» в предлагаемых продуктах и быстрое исправление всех найденных в процессе эксплуатации недочетов. Кроме того, такие компании постоянно совершенствуют свои разработки, расширяя их функциональные возможности.
Еще одним немаловажным фактором, связанным с компанией-разработчиком, является техническая поддержка. TMS — довольно сложная система, она должна интегрироваться с разными версиями ПО различных производителей. Иногда при вводе в эксплуатацию системы управления токенами или при расширении ИС предприятия возникают проблемы, на решение которых у ИТ-службы уйдет много времени. В таких случаях наличие полноценной технической поддержки позволяет быстро решить все вопросы, уменьшив, таким образом, затраты компании.
Дефицит решений
На практике, по крайней мере в российской действительности, выбор систем управления средствами аутентификации совсем не так велик, как хотелось бы. Причину скудности ассортимента TMS понять непросто, особенно если участь, какими темпами растет рынок ААА (Аутентификация, Авторизация, Аудит действий в сети). По данным IDC, его увеличение за год составило 83 %. Это самый быстрорастущий сегмент в сфере ИБ. Но будем довольствоваться тем, что имеем. Это два конкурирующих продукта, отображающих концепции традиционных производителей средств аутентификации и решений для них. Один из них — комплексная система eToken TMS, разработанная компанией Aladdin и выведенная ею на рынок около полутора лет назад. Как до сих пор компании, использующие электронные ключи, справлялись с администрированием системы аутентификации, насчитывающей несколько сотен токенов, остается только догадываться. eToken TMS предназначена для внедрения, управления, использования и учета аппаратных средств аутентификации от компании Aladdin (USB-ключей и смарт-карт eToken) в масштабах предприятия.
Эта система полностью сопровождает токены в течение всего цикла их жизни, начиная с первого выпуска их в обращение и заканчивая списанием. Система позволяет осуществлять персонализацию устройств, изменение прав доступа, разблокирование PIN-кода, весь цикл работы с учетными записями пользователей, запись в память токенов необходимых сертификатов и ключей и т. п. Кроме того, администратор, отвечающий за безопасность, может вести учет встроенных в токены радиометок (технология RFID) и печатать фотографию сотрудника и его персональный штрих-код на комбинированных картах, использующихся не только в информационной системе предприятия, но и для контроля доступа в помещения.
Система имеет открытую архитектуру. Она базируется на существующей в организации службе каталога Active Directory и использует имеющиеся в ней данные о пользователях и организационной структуре. Для интеграции с внешними приложениями в составе системы имеются специальные модули, называемые коннекторами. Они позволяют использовать eToken TMS совместно с другими продуктами: eToken Network Logon, Microsoft CA, Check Point Internal CA, Entrust CA, eToken SSO, файлами формата PKCS12. Более того, в комплект поставки, как в случае с eToken TMS от Aladdin, входит комплект разработчика TMS Connector SDK. Это особый модуль, позволяющий создавать новые коннекторы специально под различные продукты, применяющиеся в корпоративной ИС.
В первоначальный комплект поставки входит несколько коннекторов для наиболее распространенного программного обеспечения (Microsoft CA, eToken OTP и др.). Остальные же дополнительные модули приобретаются отдельно.
В системе для управления токенами могут использоваться три инструмента. Первый — специальная утилита TMS Manager. Второй — стандартная оснастка MМС. С их помощью администратор безопасности может производить любые действия над устройствами с защищенной памятью. Сами пользователи тоже могут выполнять некоторые операции с токенами, для чего используется специальный Web-сервер, устанавливающийся вместе с eToken TMS. Управление осуществляется с помощью любого браузера через веб-интерфейс. Оно максимально простое и не требует дополнительного обучения.
Однако, несмотря на все плюсы, система eToken TMS позволяет обслуживать исключительно продукцию компании Aladdin.
По другому пути пошли разработчики Intercede, предложившие универсальную систему управления Intercede MyID, на основе которой функционируют такие продукты, как, например, SafeNet CMS (SafeNet/Rainbow), Athena CMS (Athena Smart-Card Solutions).
Aladdin TMS и Intercede MyID поддерживают работу с двумя основными форм-факторами средств аутентификации — USB-ключами и смарт-картами. Однако Aladdin TMS всe же делает ставку на USB-устройства как наиболее прогрессивный формат, а Intercede MyID — на смарт-карты.
Универсальность Intercede MyID можно оценивать по-разному. С одной стороны это хорошо, поскольку позволяет не привязываться к какому-то одному производителю средств аутентификации. Но с другой — ПО и аппаратура одной компании гарантируют их полную совместимость, максимальное использование всех возможностей устройств и практически полное исключение риска сбоев или отказа. Сюда же можно добавить единую техподдержку.
Если сравнивать функциональные возможности конкурирующих систем, то окажется, что большинство «недостающих» в eToken TMS и, наоборот, в изобилии представленных в Intercede MyID функций предназначены для работы со смарт-картами. Для примера можно привести модуль печати фотографий владельцев на карточках.
Именно поэтому, отказываясь от «карточных» технологий, Aladdin позиционирует свою TMS как платформу для USB. Между тем смарт-карты гораздо менее популярны, чем USB-ключи, хотя бы из-за того, что для них необходим считыватель. По некоторым данным, их отношение к USB-устройствам в эксплуатации составляет 30 на 70 %.
Еще одним очень важным различием eToken TMS и Intercede MyID является степень их интеграции в информационную систему предприятия. Intercede MyID для своей работы и для связи с Windows использует MySQL. Таким образом, при вводе в эксплуатацию данного продукта необходимо развертывание в корпоративной сети сервера баз данных.
Николай Столяров — руководитель информационно-методического портала «Информационноя безопасность» www.infsec.ru, stolyarov@infsec.ru;
Марат Давлетханов — независимый эксперт, marat@maratd.ru
Токены и смарт-карты: вчера, сегодня, завтра…
Согласно последним исследованиям, IDC-идентификация пользователей остается одним из самых слабы» мест в корпоративной системе безопасности. Поэтому количество используемых средств строгой аутентификации, в первую очередь смарт-карт и USB-токенов, постоянно увеличивается. Эксперты предсказывают, что в ближайшие пять лет мы увидим резкий рост числа токенов (в особенности USB-токенов).
Согласно прогнозам, объемы их на мировом рынке в этом году увеличатся как минимум в полтора раза (с 57,6 до 90,2 млн. долл.). Примерно такие же темпы роста сохранятся и в 2007 году. В 2008-м ожидается резкое (почти в два раза) увеличение объемов продаж USB-токенов.
В России сегодня доля компаний, использующих для идентификации пользователей смарт-карты и USB-токены, относительно невелика: 6—10 % от числа всех фирм. Однако стоит заметить, что большая часть из них — это масштабные, серьезные организации: крупные предприятия, банки, государственные структуры. Кроме того, примечательно, что в нашей стране темпы перехода компаний к строгим методам аутентификации выше, чем на Западе. Точная статистика отсутствует, однако косвенные выводы можно сделать на основе объема продаж токенов и смарт-карт. Например, по некоторым оценкам, в 2004 и 2005 годах рынок средств строгой аутентификации увеличивался не менее чем на 80%.