Средства обеспечения информационной безопасности
Механизмы защиты в системе «iBank 2»
iBank 2 относится к классу систем защищенного электронного документооборота. Обмен электронными документами в PC-Банкинге, Internet-Банкинге, и Mobile-Банкинге происходит между банком и клиентом. Электронный документ, отправленный клиентом и полученный банком, является основанием для совершения банком финансовых операций.
Конечной целью всех атак на систему является:
- Подмена (навязывание) злоумышленником электронного документа от имени одной из сторон
- Нарушение конфиденциальности документа (ознакомление с документом)
Именно электронный документ с ЭЦП является основанием для совершения финансовых операций и доказательной базой при разрешении конфликтной ситуации. В системе реализованы алгоритмы в соответствии с ГОСТ Р34.10-94, ГОСТ Р34.10-2001 и ГОСТ Р34.11-94.
Для обеспечения конфиденциальности в Internet-Банкинге, PC-Банкинге и Mobile-Банкинге, а также в дополнительных сервисах системы «iBank 2» используется механизм шифрования данных. При взаимодействии через Интернет осуществляется шифрование и контроль целостности передаваемой информации, проводится криптографическая аутентификация сторон. В системе реализованы алгоритмы в соответствии с ГОСТ 28147-89.
В WAP-Банкинге для шифрования данных и аутентификации банка используются стандартные криптографические протоколы WTLS и SSL, для аутентификации клиента — идентификатор (логин) и пароль.
В SMS-Банкинге защита информации осуществляется стандартными для мобильной связи средствами. Для аутентификации клиента используются номер мобильного телефона, идентификатор и пароль.
В Phone-Банкинге шифрование голосовых и факсимильных сообщений по очевидным причинам невозможно. Для аутентификации клиента используются идентификатор и пароль, вводимые в тональном наборе.
Для проведения частными клиентами операций по списанию средств со счетов и карт в WAP-Банкинге и Phone-Банкинге в качества аналога собственноручной подписи (АСП) клиента могут использоваться индивидуальные таблицы одноразовых паролей или аппаратные средства аутентификации — OTP-токены (One-Time Password) компаний Aladdin Knowledge Systems и VASCO Data Security International.
Для корпоративных клиентов операции по списанию средств с использованием механизма АСП запрещены.
Для криптографической защиты информации в систему «iBank 2» встроены три сертифицированные ФСБ РФ многоплатформенные криптобиблиотеки:
- «Крипто-КОМ 3.1»
- «Агава-С»
- «Крипто-Си»
Для разрешения конфликтных ситуаций в системе «iBank 2» ведутся контрольные архивы, в которых хранятся все электронные документы с ЭЦП. Контрольные архивы хранятся в банке в Сервере БД системы.
Далее будут подробно рассмотрены механизмы защиты информации, используемые в модулях «Internet-Банкинг», «PC-Банкинг», «Mobile-Банкинг» и дополнительных сервисах системы «iBank 2».
Для организации безопасной работы в указанных модулях используются штатные средства защиты Web-браузеров, виртуальной Java-машины и встроенные в систему «iBank 2» дополнительные механизмы защиты информации.
В Internet-Банкинге работа клиента происходит в два этапа. На первом этапе клиент подключается к сайту банка и загружает в Web-браузер Java-апплет. Второй этап — работа клиента в Java-апплете и взаимодействие клиентского Java-апплета с банковским Сервером Приложения через защищенное соединение.
Работа в PC-Банкинге и Mobile-Банкинге начинается сразу со второго этапа — с взаимодействия Java-приложения с банковским Сервером Приложения.
Этап 1 - Подключение клиента к банку
Клиент в Web-браузере указывает полный URL банковского Web-сервера, включая тип используемого протокола HTTPS. Например, https://ibank.bankname.ru
Загружаемые в Web-браузер HTML-страницы, конфигурационные XML-файлы, Java-апплеты и другие данные являются открытыми. Никаких идентификаторов и паролей для аутентификации клиент не вводит, никакие секретные параметры клиент не загружает, поэтому шифровать трафик на этапе подключения к Internet-Банкингу необязательно.
Атаки злоумышленника на этапе подключения могут быть направлены:
- На подмену банковского Web-сервера
- На модификацию загружаемых в Web-браузер клиента стартовых HTML-страниц
- На модификацию загружаемых в Web-браузер клиента конфигурационных XML-файлов
- На модификацию загружаемых в Web-браузер клиента Java-апплетов
Для предотвращения указанных атак на этапе подключения используется встроенный в Web-браузеры протокол SSL. В результате обеспечивается:
- Гарантированное подключение клиента к банковскому Web-серверу
- Целостность информации, загружаемой клиенту с банковского Web-сервера (HTML-страницы, конфигурационные XML-файлы, Java-апплеты и пр.)
Наличие или отсутствие экспортных ограничений в реализации криптографического протокола SSL в ранних версиях Web-браузеров никак не сказывается на уровне безопасности.
Существовавшие в ранних версиях Web-браузеров экспортные ограничения распространялись исключительно на алгоритмы шифрования данных и длины сеансовых ключей и никак не влияли на механизмы аутентификации Web-сервера и обеспечения целостности передаваемых данных.
Банковский вспомогательный Web-сервер
К надежности и защищенности банковского Web-сервера, к его администрированию предъявляются исключительно высокие требования.
В связи с этим в Сервер Приложения «iBank 2» встроен вспомогательный защищенный Web-сервер с необходимыми функциональными ограничениями с целью исключения даже потенциальных атак на модификацию HTML-страниц, Java-апплетов и других ресурсов.
В Web-сервере используется реализация криптографического протокола SSL компании Sun Microsystems.
В составе системы «iBank 2» поставляются утилиты для генерации секретного и открытого ключей (SSL) вспомогательного Web-сервера, формирования запроса на получение Сертификата X.509, импортирования сертификата, выданного Сертификационным Центром.
Сертификат X.509 для вспомогательного Web-сервера банка необходимо получать у одного из мировых Удостоверяющих Центров - VeriSign, Thawte и др.
SoftUpdate и ЭЦП разработчика под Java-апплетами
Во все распространенные Web-браузеры встроены механизмы ускорения загрузки Java-апплетов при повторном подключении пользователя. В Microsoft Internet Explorer этот механизм называется SoftUpdate, в Netscape — SmartUpdate. Механизмы ускорения загрузки (далее для краткости — SoftUpdate) различаются в деталях, но решают единую задачу.
Для использования механизма SoftUpdate в HTML-страницы встраивается несколько строк кода на JavaScript.
При самом первом подключении Web-браузер загружает с Web-сервера Java-апплет (в виде CAB-архива для MS IE или JAR-архива для остальных типов браузеров) и сохраняет его на локальном диске пользователя в одном из служебных подкаталогов Web-браузера.
При последующих повторных подключениях Web-браузер сравнивает ранее загруженную версию Java-апплета, сохраненную в служебном подкаталоге, с текущей версией на Web-сервере.
Если версии совпадают, то используется ранее загруженная версия Java-апплета.. Если на Web-сервере более новая версия Java-апплета, то Web-браузер автоматически загружает, сохраняет в служебном подкаталоге и в дальнейшем использует более новую версию.
Механизм SoftUpdate используется в системе «iBank 2» по умолчанию. В составе системы также есть стартовые HTML-страницы для загрузки Java-апплетов без использования SoftUpdate.
В системе «iBank 2» все загружаемые к клиенту Java-апплеты подписаны ЭЦП компании-разработчика. Механизм проверки ЭЦП разработчика под Java-апплетами стандартный и встроен во все распространенные Web-браузеры.
Проверка ЭЦП разработчика (компании «БИФИТ») осуществляется на основании Сертификата X.509 разработчика, выданного мировым Удостоверяющим Центром Thawte Consulting. Корневые Сертификаты мировых Удостоверяющих Центров идут в составе дистрибутивов всех типов и версий Web-браузеров.
ЭЦП разработчика под Java-апплетами используется:
- Для обеспечения целостности и аутентичности Java-апплетов, загруженных и хранимых в служебном подкаталоге Web-браузера при использовании механизма SoftUpdate (защита от атак по модификации файлов с Java-апплетами, хранимых на компьютере клиента)
- Для предоставления виртуальной Java-машиной Web-браузера Java-апплету расширенных привилегий - работа с локальными дисками клиента (для доступа к дискете/диску с Хранилищем секретных ключей ЭЦП клиента), печать на принтере, взаимодействие с хостами, IP-адреса которых отличны от IP-адреса вспомогательного Web-сервера.
Этап 2 - Защищенное взаимодействие
В Internet-Банкинге инициатором защищенного взаимодействия между клиентским Java-апплетом (в PC-Банкинге и Mobile-Банкинге — Java-приложение) и банковским Сервером Приложения всегда является клиент. Появляется необходимость передать в банк документ или получить информацию - клиентский Java-апплет осуществляет защищенное взаимодействие с банковским Сервером Приложения.
Защищенное взаимодействие разбито на два уровня: верхний уровень - Прикладной Протокол, и нижний уровень - Защищенный Сетевой Протокол.
| Уровень | Функция |
| Прикладной Протокол | Аутентификация клиента Механизм ЭЦП Прикладные запросы и ответы |
| Защищенный Сетевой Протокол | Шифрование данных Обеспечение целостности данных Аутентификация банка |
Прикладной протокол
Механизмы аутентификации пользователя и ЭЦП реализованы в прикладном протоколе. Транзакция выглядит следующим образом:
- Java-апплет открывает соединение с Сервером Приложения.
- Java-апплет формирует прикладной запрос и отсылает его Серверу Приложения.
- Сервер Приложения принимает прикладной запрос и обрабатывает его.
- Сервер Приложения формирует прикладной ответ и отсылает Java-апплету.
- Java-апплет принимает прикладной ответ и обрабатывает его.
- Java-апплет закрывает соединение с Сервером Приложения.
Прикладной запрос состоит из заголовка и области данных. В области данных передаются значения параметров прикладного запроса. ЭЦП клиента является таким же параметром в области данных прикладного запроса, как и номер документа, дата документа и пр.
В прикладном протоколе реализована двухфазная аутентификация клиента с использованием механизма ЭЦП, что позволяет сохранить гарантированную защищенность и при этом существенно снизить нагрузку на Сервер Приложения, исключив процедуру проверки ЭЦП под каждым прикладным запросом.
Прикладные запросы с ЭЦП клиента не используются при разрешении конфликтных ситуаций и на банковской стороне не сохраняются (но журнализируются). Единственно необходимым и достаточным доказательным материалом при разрешении конфликтных ситуаций являются электронные документы с ЭЦП.
Прикладной ответ также состоит из заголовка и области данных. В заголовке возвращаются код ошибки прикладного ответа и длина области данных. В области данных возвращаются значения параметров прикладного ответа.
Защищенный сетевой протокол
Защищенный сетевой протокол выполняет следующие функции:
- Обеспечивает шифрование данных, передаваемых между Java-апплетом и Сервером Приложения
- Обеспечивает целостность данных, передаваемых между Java-апплетом и Сервером Приложения
- Обеспечивает аутентификацию Сервера Приложения Java-апплетом
Защищенный сетевой протокол является модернизированным протоколом SSL v.3 с упрощенной процедурой согласования сеансовых ключей и с заранее определенными используемыми криптографическими алгоритмами, режимами работы, длинами ключей и другими параметрами.
При необходимости защищенный сетевой протокол позволяет клиенту работать и через HTTP Proxy-сервер (MS Proxy, WinGate, Win Proxy, Squid и др.). Используется тот же механизм туннелирования, что и при работе протокола SSL. Поддерживаются режимы работы через Proxy-сервер с базовой аутентификацией и без аутентификации клиента.
Главные достоинства защищенного сетевого протокола - чрезвычайно низкий объем служебных данных, передаваемых в процедуре согласования сеансовых ключей, а также невысокая нагрузка на процессоры банковского сервера, возникающая в процессе защищенного взаимодействия Java-апплетов или Java-приложения с банковским Сервером Приложения.
При передаче данных вся информация шифруется на сеансовых ключах по ГОСТ 28147-89. Для обеспечения целостности данных также используется ГОСТ 28147-89 (имитовставка).
Ограничение доступа по IP-адресам
В систему «iBank 2» встроен механизм ограничения доступа клиентов с заданных IP-адресов.
В АРМе «Администратор банка/филиала» системы «iBank 2» ответственный сотрудник банка может настроить индивидуальный список IP-адресов, с который разрешено работать заданному клиенту. Доступ с любых других IP-адресов будет запрещен.
Данный механизм ограничения доступа по IP-адресам является индивидуальным для каждого клиента и включается банком по письменному требованию клиента.
Журналы событий
Для полного восстановления действий клиентов и произошедших событий в систему «iBank 2» встроен механизм журнализации. Журналы событий не являются доказательными материалами при разрешении конфликтных ситуаций, но позволяют максимально подробно восстановить весь ход произошедших событий.
В системе «iBank 2» ведется история документов - журнализируется информация о создании документа, об изменении статуса документа. В истории документов сохраняется информация о субъекте, породившем событие, о времени и дате события.
В системе «iBank 2» ведутся журналы учета доступа клиентов по всем сервисам. В журналах хранится информация об IP-адресе клиента, времени доступа, идентификаторе используемого ключа ЭЦП, проводимых операциях.
Администратор системы имеет возможность настраивать уровень подробности журналов, частоту ротации, глубину архивирования.
IP-безопасность
При внедрении системы «iBank 2» всегда проводятся изменения текущей политики IP-безопасности банка.
Серверы системы «iBank 2» размещаются в отдельном сетевом сегменте с контролируемым на межсетевом экране доступом из Интернета и внутренней защищенной сети банка.
При внедрении системы «iBank 2» всегда проводится тщательная настройка операционных систем на серверах системы «iBank 2» - исключается поддержка неиспользуемых протоколов, сетевых сервисов и служб. На серверах системы «iBank 2» запрещается сетевой доступ к файловой системе, задействуются встроенные в ОС механизмы аудита.
Правильно спроектированная и четко реализованная политика IP-безопасности, постоянный IP-мониторинг позволяют обеспечить гарантированный уровень защиты системы «iBank 2» и внутренней
сети банка.
Данная информация взята с сайта http://www.bifit.com/ru/