Появление глобальных компьютерных сетей очень сильно упростило получение доступа к информационным ресурсам как для отдельных пользователей, так и для целых организаций. Однако одновременно с этим возникла угроза сетевых атак — в том числе неавторизованного доступа к данным и их несанкционированного изменения.
Абсолютной защиты не существует. Любой барьер можно сломать, были бы время и средства. Так что для защиты от угроз решение — не в поиске панацеи, а в разработке правильной политики безопасности организации и четком ее соблюдении.
Один из самых простых и распространенных способов защиты — использование паролей. Его недостаток заключается в том, что запомнить надежную комбинацию (т. е. содержащую цифры, буквы, специальные знаки, нижний и верхний регистр) довольно сложно. К тому же для доступа к разным ресурсам приходится запоминать несколько паролей. В результате уже на второй "абракадабре" пользователи начинают путаться и забывать пароли, в итоге записывают их на бумажку, что, во-первых, не всегда удобно, а во-вторых, отрицательно сказывается на информационной безопасности.
Одним из решений проблемы стали идентификаторы ruToken, разработанные российскими компаниями "Актив" (http://www.rutoken.ru) и "Анкад" (http://www.ancud.ru). Это небольшие электронные устройства, базирующиеся на защищенном микроконтроллере. Они представляют собой аналоги смарт-карт, но не требуют дополнительного оборудования для считывания и подключаются к порту USB, который есть в любом современном компьютере. Главное отличие ruToken от аналогичных устройств зарубежных производителей — аппаратно реализованный российский стандарт шифрования ГОСТ 28147-89.
ruToken предназначен для аутентификации пользователей при доступе к секретной информации, безопасного хранения паролей, ключей шифрования, цифровых сертификатов, данных пользователей. Так, в комплексе с другими программными и аппаратными средствами ruToken способен решать проблемы авторизации и разделения доступа в сетях, контролировать доступ к защищенным информационным ресурсам, обеспечивать необходимый уровень безопасности при работе с электронной почтой.
На брелоке ruToken хранится закрытый ключ клиента и подтверждающий его сертификат, содержащий открытый ключ. Фактически он представляет собой средство аутентификации пользователя, которому вместо запоминания множества паролей доступа достаточно иметь такой брелок и помнить PIN-код к нему (так называемая двухфакторная аутентификация — по факту наличия ключа и по знанию PIN-кода). Это и удобно, и безопасно. PIN-код сложно подобрать, потому что число попыток его ввода ограничено (блокировку может снять ответственное лицо, введя свой PIN-код). Считывать информацию напрямую бессмысленно, так как она зашифрована, а соответствующий уникальный ключ хранится на встроенном в ruToken микропроцессоре. Последний, в свою очередь, защищен на аппаратном уровне. Взломать процессор, конечно, можно, но для этого потребуются немалые средства (в большинстве случаев ценность добываемой информации просто не покроет таких расходов) и, самое главное, время. Ведь при утере ruToken хранящиеся на нем сертификат и ключи сразу же аннулируются администратором (естественно, при оперативном оповещении) и становятся бесполезными для злоумышленников. Пользователю необходимо получить новый сертификат и ключи вместе с новым брелоком.
Устройство ruToken хорошо подходит для решения стандартных задач информационной безопасности в ОС семейства Windows при помощи стандартных технологий, предоставляемых Microsoft (PKI). В марте компания «Актив» выпускает программный продукт "ruToken для MS Windows" — стартовый комплект, с помощью которого развертывается инфраструктура для последующего внедрения решений на основе ruToken. Он включает набор инструкций для решения различных задач авторизации пользователей в клиентских и серверных ОС семейства Windows, один электронный идентификатор ruToken и ПО для него, а также лицензию на использование продукта в рамках одной организации.
Стартового комплекта достаточно для того, чтобы произвести все необходимые настройки в сети и подготовиться к переходу от обычной парольной защиты к двухфакторной аутентификации на основе ruToken. Для такой миграции потребуется лишь приобрести необходимое количество идентификаторов ruToken.
Первый сценарий применения ruToken — это цифровая подпись и защита электронной почты с использованием приложения Microsoft Outlook. При всех достоинствах этого почтового клиента у него нет всех тех атрибутов, которые подтверждают подлинность бумажного письма, — подписей, печатей, водяных знаков, особой фактуры листа. Именно их заменяет электронно-цифровая подпись. В ее формировании задействованы текст самого сообщения, время его отправления и закрытый ключ отправителя.
Второй сценарий — авторизация клиента. Здесь можно назвать четыре основных варианта:
- вход в домены Microsoft Windows;
- доступ к защищенным сайтам, выполненным на базе Internet Information Server;
- доступ к VPN (виртуальным частным сетям);
- подключение к терминальным службам на базе Microsoft Windows.
Для аутентификации пользователя администратору достаточно выдать сертификат типа Smart-Card User или Smart-Card Logon. Одновременно с этим выдаются закрытый и открытый ключи, вся информация записывается на брелок. Систему настраивают так, чтобы аутентификация проходила по принципу смарт-карты, а драйвер ruToken сам обеспечивает обращение к USB-порту. Еще раз подчеркнем, что пользователь получает единый ключ и достаточно легко запоминаемый PIN-код к нему вместо нескольких громоздких паролей.
В комплект поставки "ruToken для MS Windows" входит ПО, необходимое для работы и обслуживания устройства: драйверы, утилита администрирования и браузер сертификатов. Утилита администрирования позволяет получать сведения о выбранном ruToken, форматировать его память, изменять PIN-коды и т. п. Браузер сертификатов предоставляет удобную среду для работы с сертификатами, хранящимися в памяти ruToken. Драйвер устройства можно обновлять на сайте http://www.rutoken.ru.