1 / 25

Защита документооборота

Как построить защищенный электронный документооборот. Вопросы идентификации и аутентификации при применении разных видов электронной подписи Алексей Сабанов, к.т.н., Зам.ген . директора «Аладдин Р.Д.» 11 декабря 2013г. Защита документооборота.

eara
Télécharger la présentation

Защита документооборота

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Как построить защищенный электронный документооборот. Вопросы идентификации и аутентификации при применении разных видов электронной подписи Алексей Сабанов, к.т.н., Зам.ген. директора «Аладдин Р.Д.» 11 декабря 2013г.

  2. Защита документооборота • Решать классическую задачу защиты информации для информационных систем, содержащих конфиденциальную информацию • Выделить объекты доступа и их расположение • Рассмотреть субъекты доступа, уровень возможностей, перечень защищаемых ресурсов, типы доступа • Обосновать перечень угроз • Провести анализ рисков • Сформировать модель нарушителя • Разработать и внедрить эффективную систему защиты • Регулярно проводить аудит системы защиты

  3. Объекты доступа (объекты защиты) • Электронные документы – ЭД • Базы данных – СУБД • Функциональное программное обеспечение– ФПО • Программное обеспечение операционных систем • Устройства ввода-вывода информации – УВВ • Технические средства обработки информации – ТС • Каналы связи - КС

  4. Субъекты доступа Разработчик АИС Администратор АИС Пользователь корпоративной сети АИС Неавторизованные пользователи ЛВС (внутренний нарушитель) Внешние неавторизованные пользователи (внешний нарушитель)

  5. Перечень угроз защищаемой информации • Нарушение целостности • Дефекты, сбои, отказы, аварии ТС и систем • Несанкционированное изменение информации • Использование дефектов программного обеспечения • Использование программных закладок • Применение программных вирусов • Нарушение режима функционирования ТС обработки информации • Хищение носителя защищаемой информации • Нарушение конфиденциальности • Несанкционированное копирование информации на отчуждаемые физические носители • Разглашение информации лицам, не имеющим права доступа к защищаемой информации • Передача информации по открытым линиям связи • Обработка информации на незащищенных ТС • Передача носителя информации лицу, не имеющему права доступа к ней • Нарушение прав доступа

  6. Технологии защиты Аутентификация и разграничение доступа Контроль целостности используемого ПО и данных Регистрация событий в информационной системе защищенного ЭДО Криптографическая защита Межсетевое экранирование Защита каналов с помощью виртуальных частных сетей (VPN) Антивирусная защита Аудит информационной безопасности

  7. Аутентификация и управление доступом Строгая аутентификация для доступа к защищаемым и информационно-значимым ресурсам Ограничение доступа к конфиденциальной информации и персональным данным Блокирование несанкционированного доступа Обеспечение доступности публичной информации

  8. Важность аутентификациив мире • “is a key element for the delivery of any e-services.” • European Commission COM(2008) 798 final (28 Nov. 2008) • “is a critical component of . . . national and global economic, governmental and social activities [which] rely more and more on the Internet.” • OECD, The Role of Digital Identity Management in the Internet Economy (June 2009) • “is a one of the most important security service of e-commerce and e-government” APEC Guidance for E-commerce (December 2005)

  9. Идентификация и аутентификация (ИА) Процессный подход: • Регистрация; • Хранение; • Предъявление идентификаторов; • Предъявление аутентификатора; • Протокол обмена; • Валидация; • Принятие решения; • Передача управления в блок авторизации.

  10. Процедуры ИА. Пример: регистрация • Субъект (аппликант) обращается в ЦР с целью стать пользователем ИС. Заявитель предъявляет в ЦР свои Credentials (ЭУ или бумажные действующие удостоверения личности, содержащие присвоенные ему идентификаторы). • ЦР проверяет предъявленные бумажные или ЭУ на предмет совпадения принадлежности предъявленных документов данному субъекту и их действительности (валидация). • На основании выполненной проверки ЦР создает учетную запись для данного субъекта в базе данных ЦР для доступа к информационным ресурсам (ресурсу). • На основе записи для субъекта ЦР издает/регистрирует секрет (аутентификатор), ассоциированный с конкретным субъектом. • Процедура делегирования прав доступа (фактически делегирование доверия к изданным аутентификатору и ЭУ) другой (или другим) ИС на основе доверительных отношений. При переходе к облачным вычислениям эта процедура становится весьма актуальной. • Последней процедурой регистрации является выдача изданных ЦР-ом аутентификатора и ЭУ на руки субъекту.

  11. Упрощенная схема аутентификации

  12. Схема обмена информацией из ITU Rec.Х.811

  13. Классификация средств идентификации и аутентификации сточкизрения применяемых технологий $ 25 - 40 50 - 100 0,2 10 - 15

  14. Классификация аутентификации по видам и целям

  15. Классификация аутентификации

  16. Сервис электронной подписи • целостность подписанной информации, • аутентификация источника данных, • неотрекаемостьтого, кто подписал эту информацию. .

  17. Пример отличий. Подпись

  18. Виды электронной подписи Простая ЭП. Согласно 63-ФЗ «простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт создания электронной подписи определённым лицом». Усиленная ЭП. ЭП однозначно связана с лицом, подписавшим данные; можно подтвердить подлинность лица, подписавшего данные; ЭП создана средствами, которые находятся под контролем подписанта;ЭП связана с данными, которым она соответствует. Квалифицированная ЭП. Ключ проверки электронной подписи указан в квалифицированном сертификате; для создания и проверки ЭП используются сертифицированные средства подписи.

  19. Использование нескольких видов ЭП Принцип Кирхгофа: квалифицированная электронная подпись + простая электронная подпись = простая электронная подпись

  20. Аутентификация – это: процессы подтверждения подлинности предъявленных заявителем идентификаторов (идентификатора) и проверка принадлежности аутентификатора (секрета, который знают обе стороны взаимодействия или о существовании которого знают обе стороны взаимодействия)

  21. Три вида секрета, три типа аутентификации

  22. Рекомендованные типы аутентификации

  23. Три уровня надежности ИА в РФ • Низкий уровень надежности процессов ИА. Основной аутентификатор – пароль. • Средний уровень надежности. Основной аутентификатор: • ОТР; • цифровой сертификат Х.509 доступа, выданный неаккредитованным удостоверяющим центром. • Высокий уровень надежности аутентификации. Сертификат доступа от аккредитованного УЦ. Требования к аутентификатору: • Хранение контейнеров ключевого материала в защищенном PIN-кодом от копирования чипе; • Применение SSCD(Secure Signature Creation Device); • SSCD c повышенными требованиями: EAL4+

  24. Качественные интегральные показатели

  25. Спасибо за внимание! a.sabanov@aladdin-rd.ru

More Related