PKI-инфраструктура создана своими силами

Банк «Возрождение» — один из крупнейших российских банков. Его сеть филиалов включает 55 филиалов, 80 допофисов и обеспечивает интересы почти 1,5 млн корпоративных и частных клиентов, охватывая пространство страны от Калининграда до Магадана. Общее количество рабочих мест — более 5 тысяч. В связи с этим автоматизированные банковские системы работают практически круглосуточно.

Таким образом, перед банком встала задача обеспечить защищенный доступ к автоматизированным банковским системам со стороны как голов­ного офиса, так и филиалов. При этом система защищенного доступа должна удовлетворять всем требованиям регуляторов, прежде всего Банка России. Однако, как отметил заместитель начальника службы информационной безопасности банка «Возрождение» Александр Широков, на пути решения этой задачи встал целый ряд проблем. Прежде всего — множество технологически разнообразных банковских систем от различных производителей. И ведь даже в системах на одном ядре функции, связанные с обеспечением безопасности, могут быть реализованы по‑разному. Другая проблема, а именно отсутствие единого механизма доступа к банковским системам, стала следствием предыдущей. Также отсутствовала централизованная система управления учетными записями пользователей. Каждое приложение использовало свои механизмы. И все это усугублялось отсутствием встроенной поддержки средств криптографической защиты информации в большинстве систем, за исключением тех, что работают через Web. Кроме того, продукты, рассчитанные на широкий международный рынок, зачастую не соответствуют национальным стандартам в области защиты информации и требованиям отечественных регуляторов. В результате все эти проблемы ведут к отсутствию единой системы управления информационной безопасностью.

В таких условиях первоочередной задачей оказалось построение комплексной системы информационной безопасности. Одним из элементов ее должно было стать создание защищенной среды доступа к основным банковским приложениям.

Проектирование и разработка системы управления доступом и регистрацией к централизованным информационным ресурсам банка на основе PKI-инфраструктуры начались с уяснения главных задач бизнеса и особенностей реализации бизнес-процессов в учреждении банковско-кредитной сферы.

Были сформулированы следующие основные принципы, на которых должна строиться система:

• принцип обеспечения единого универсального механизма защиты доступа ко всем централизованным приложениям (как имеющимся на момент начала проекта, так и тем, которые будут внедрены в будущем);
• принцип масштабируемости системы;
• принцип высокой отказоустойчивости;
• принцип обеспечения заданного уровня информационной безопасности;
• принцип строгого соответствия внутренним корпоративным, отечественным и международным стандартам в области информационной безопасности и требованиям регуляторов.

После продолжительных поисков специалисты по информационной безопасности банка поняли, что на рынке просто нет готового решения по управлению PKI, удовлетворяющего российскому законодательству (в частности, стандарту ЦБ РФ для организаций банковской системы), для предприятия с такой разветвленной и территориально разнесенной структурой.

Возникшая потребность банка в разработке системы защищенного доступа была реализована собственными силами в службе информационной безопасности банка на основе оригинального алгоритма, обеспечивающего полный цикл управления аутентифицированным доступом к централизованным ресурсам. Необходимость защиты данных, передаваемых по открытым сетям, и большое количество клиентов банка привели к проблеме централизованного управления ключевыми контейнерами и носителями ключевой информации. Множество различных приложений и сред, в свою очередь, вызвало проблему централизованного управления паролями сотрудников. А необходимость отслеживания в реальном времени изменения статуса и полномочий сотрудников банка окончательно определили главное направление создания системы.

Ее основными элементами стали:

• система управления ключевыми носителями и сертификатами;
• сервера защищенного доступа (СЗД);
• система балансировки нагрузки сервера защищенного доступа;
• система управления паролями пользователей;
• система контроля действий пользователей;
• коннектор к кадровой подсистеме.

Первые пять компонентов могут работать независимо друг от друга. А шестой объединяет остальные, обеспечивая их совместную работу в режиме реального времени.

Система управления ключевыми носителями и сертификатами позволяет выполнять функции управления жизненным циклом ключевых носителей и выпуском сертификатов из единого центра. В системе имеется почти 56 центров регистрации, закрепленные за филиалами и представительствами банка. Как только на работу принимается новый сотрудник, администратор безопасности подготавливает для него ключевой носитель, а система автоматически готовит запрос на сертификат, необходимые служебные записки и отправляет запрос в удостоверяющий центр (УЦ). При подтверждении запроса администратором УЦ система выпускает сертификат и автоматически устанавливает его в ключевой носитель, после чего администратор безопасности вместе с PIN-кодом в запечатанном конверте передает его новому сотруднику. При этом сам PIN-код устанавливается на токен (носитель ключей) автоматически. Это сделано с целью сократить ручной труд, с одной стороны, и с другой — не дать администраторам возможности воспользоваться чужим ключом.

В системе можно создать запрос на сертификат, установить сертификат в контейнер, аннулировать сертификат, приостановить его действие. Все эти функции контролируются администратором УЦ. Необходимо отметить, что генерация сертификата происходит с закреплением носителя за конкретным пользователем. За количеством выпущенных сертификатов также ведется контроль: так, на одного пользователя по умолчанию можно выпустить лишь один сертификат.

Для хранения идентификационной информации (сертификаты ключей, подписи, открытые ключи, пароли) используются USB-ключи eToken компании «Аладдин Р. Д.». Как отметил Александр Широков, в банке их используют практически все сотрудники. Действия администратора безопасности в филиалах по выпуску сертификатов могут быть в любой момент приостановлены администратором УЦ или запущены в автоматическом режиме. Права доступа администраторов безопасности строго разграничены: каждый из них может выполнять процедуры только с оформлением сертификатов сотрудникам своего филиала, в то время как администратор УЦ контролирует все, что происходит в системе в целом.

Сервер защищенного доступа обеспечивает пользовательский доступ к централизованным защищенным ресурсам через небезопасные сети. На ПК пользователей устанавливается агент, который реализует функцию защищенного TLS-туннеля до размещенного в демилитаризованной зоне сервера защищенного доступа. Через него соединение прозрачно выходит на внутренние ресурсы. На основании предъявляемых пользователями сертификатов сервер защищенного доступа обеспечивает доступ только к определенным приложениям. При этом TLS‑соединение происходит с использованием российских сертифицированных средств криптографической защиты информации (СКЗИ), как того требует действующее законодательство. Вторая функция данного агента — контроль действий пользователя, который отслеживает соблюдение политик информационной безопасности на автоматизированных рабочих местах.

Система балансировки нагрузки сервера защищенного доступа функционально реализует ферму серверов, автоматически подключая пользователя к наименее загруженному серверу. В случае неисправности любого сервера его нагрузка будет автоматически перераспределена между остальными серверами.

Система управления паролями пользователей представляет собой систему Single SignOn, то есть передачу имени пользователя и пароля из ключевого носителя в операционную систему и приложения. Необходимые для пользователя шаблоны доступа к приложениям автоматически устанавливаются в ключевой носитель пользователя на его же рабочем месте. Это касается как входа в домен, так и доступа к приложениям. Логины и пароли пользователя хранятся в eToken в зашифрованном виде. Доступ к ним возможен только при правильном вводе PIN-кода, в результате чего третьим лицам значительно осложняется доступ к данным. А то, какие пользователи куда входят и к каким приложениям обращаются, можно видеть в реальном времени с консоли управления.

Система контроля действий пользователей предназначена для реализации установленной политики информационной безопасности для каждого АРМ, подключенного в сеть банка.

Коннектор к кадровой подсистеме собирает все перечисленные выше компоненты в единое целое, обеспечивая их взаимодействие в режиме реального времени. Сама кадровая подсистема при этом может быть любой — «1С», «БОСС‑Кадровик» и т.п. В банке «Возрождение», например, используется кадровая подсистема собственной разработки.

Из кадровой подсистемы коннектор выбирает необходимую информацию: Ф.И.О., должность, подразделение, где работает сотрудник, сведения о приеме на работу, о должностных и структурных перемещениях, о командировках, отпусках, больничных листах и увольнениях. Как уже было сказано выше, невозможно выдать ключ лицу, сведения о котором отсутствуют в кадровой системе. При увольнении действие ключевых носителей приостанавливается, что автоматически лишает уволенного сотрудника доступа к приложениям. Также невозможно выдать ключ на лицо, отсутствующее в кадровой системе банка. Когда сотрудник переводится из подразделения в подразделение, в систему защищенного доступа через коннектор автоматически передается информация обо всех изменениях его пользовательских прав, и самое главное — о тех правах, которых он лишается при переводе. Последнее особенно важно, поскольку, как показывает опыт, сокращение пользовательских прав сотрудников в организациях отслеживается плохо. В данном случае система это делает автоматически: отзывает ненужные права, сертификаты и создает необходимые новые.

Для реализации всех назначенных сотруднику пользовательских прав администратору безопасности (центрального офиса или филиала — в зависимости от того, куда принят сотрудник) достаточно подключить новый eToken, и в нем автоматически генерируются пароли доступа к разрешенным приложениям, выполняются запросы на сертификаты, формируются ключевые контейнеры. После одобрения удостоверяющим центром банка сертификаты устанавливаются в контейнеры.

Для доступа к приложению сотруднику достаточно щелкнуть по ярлыку необходимого ПО, поместить eToken в USB-разъем и ввести PIN-код. Все процедура установления защищенного соединения и доступа в приложение прозрачна для него.

В итоге силами службы информационной безопасности банка система, реализующая все функции, столь необходимые для крупной организации, была создана. Непосредственные ее разработчики — Дмитрий Василевский, Александр Яковлев, Олег Казанцев и Алексей Ермаков. И, что важно, система продолжает развиваться. Вот что об этом рассказал Александр Широков: «Мы начинали с модуля управления ключевыми носителями и сертификатами. Но на этом не остановились. Сейчас появляются все новые и новые модули. Так, например, на 2010—2011гг. запланировано внедрение полного цикла управления PIN-кодами к e-Token и полностью автоматическая плановая смена СКП сотрудников. Тем самым будет создан полный автоматизированный цикл системы управления доступом и регистрацией к централизованным информационным ресурсам банка на основе PKI-инфраструктуры».