Глава 3. Защита передаваемых данных в подсистеме «толстый» клиент ДБО (шифрация, подпись, транспорт)

Одной из подсистем, реализованной в рамках системы "ДБО BS-Client" является «классический» или «толстый» Банк-Клиент. Данная подсистема может являться как самостоятельным продуктом, так и частью комплексной системы "ДБО BS-Client", и ориентирована, в первую очередь, на средних и крупных и / или «консервативных» клиентов банка — юридических лиц, а также на банки-корреспонденты и подразделения банка (филиалы, отделения, обменные пункты и т.п.).

3.1.Решаемые задачи

•Формирование, доставка и обработка различных типов платежных и иных формализованных документов от клиента банку и от банка клиенту (в том числе выписок по счетам).

•Обмен сообщениями произвольного формата (с возможностью включения файлов).

•Обеспечение гарантированного уровня безопасности на базе использования механизма ЭЦП финансовых документов.

•Обеспечение шифрования / дешифрования данных, передаваемых по открытым каналам связи.

•Импорт / экспорт данных в / из сторонних систем.

3.2.Реализация ЭЦП в «Банк-Клиенте»

Документы, содержащие финансовую и иную ценную для банка или клиента информацию, заверяются ЭЦП отправляющей стороны. Это обеспечивает целостность и юридическую значимость вышеупомянутых документов. ЭЦП документа хранится в Базе Данных системы в одной записи таблицы вместе с самим документом (см. разд. 8.1 «Использование подписи под документами» [стр. 33]).

3.3. Организация транспортной подсистемы

В системе "ДБО BS-Client" организована собственная транспортная подсистема, представленная ядром подсистемы и набором настраиваемых шлюзов, реализующих тот или иной способ коммуникации. В стандартной поставке представлены шлюзы TCP / IP, файловый, E- Mail (POP3, SMTP). Шлюз представлен как подключаемый библиотечный модуль *.dll, который принимает и отправляет пакеты информации.

Основными положениями, на базе которых разработана транспортная система, являются:

13

Защита передаваемых данных в подсистеме «толстый» клиент ДБО (шифрация, подпись, транспорт)

•Многопоточность – как ядро транспорта, так и шлюз поддерживают работу с произвольным настраиваемым количеством потоков процесса Windows, в котором запускается серверный или клиентский модуль ДБО. Например, шлюз TCP / IP позволяет одновременно обслуживать любое количество клиентов, ограничиваемое только пропускной способностью канала связи и аппаратными ресурсами.

•Подключение шлюзов через общие интерфейсы ядра транспорта для каждого подключенного шлюза, например, автоматическое разбиение большого пакета для некоторых типов электронной почты.

•Возможность одновременного использования нескольких шлюзов. Таким образом, поддерживается работа клиентов по различным каналам связи, существование резервных каналов и т.д.

•Возможность архивации всех входящих и исходящих пакетов по каждому шлюзу, что обеспечивает протоколирование и аудит всех событий в системе внешнего документооборота.

•Поддержка ядром транспорта шифрования и сжатия информации (c возможностью подключения различных внешних криптосистем и архиваторов, а также произвольных процедур обработки пакетов).

Общая схема работы транспорта приведена на следующей схеме:

Рис. 3.1. Схема работы транспорта системы "ДБО BS-Client"

14

Глава 4. Защита передаваемых данных в подсистеме Интернет-

Клиент

Целостность и конфиденциальность передаваемых данных в подсистеме Интернет-Кли- ент может быть обеспечена комплексным применением:

•Межсетевого экранирования;

•СКЗИ («КриптоПро CSP», «Message-Pro», «Верба-OW» и др.) для защиты канала;

•Аутентификации, авторизации, протоколирования;

•Штатных средств защиты ОС и СУБД;

•Организационно-административных мероприятий.

В контексте данной главы рассмотрим способы защиты передаваемых данных при работе подсистемы Интернет-Клиент. На данный момент реализованы три варианты подобной защиты:

•использование «BS-Defender»;

•использование одностороннего SSL / TLS;

•использование двухстороннего SSL / TLS.

Рассмотрим каждый способ подробно.

4.1. Защита данных при использовании BS-

Defender

BS-Defender является отдельным приложением, состоящим из двух частей: клиентской и серверной. Клиентская часть обычно устанавливается на рабочее место клиента и входит в состав клиентского дистрибутива системы ИК. Серверная часть располагается в DMZ Банка.

Функционально BS-Defender представляет собой HTTP прокси-сервер со встроенным механизмом защиты трафика с помощью ассиметричной криптографии (криптографии с открытым ключом).

В функции BS-Defender входят:

•фильтрация трафика, относящегося к подсистеме Интернет-Клиент и его маршрутизация;

•вызов внешних систем криптозащиты для шифрования / дешифрования трафика;

•протоколирование (логирование) всего трафика, прошедшего по системе;

15

Защита передаваемых данных в подсистеме Интернет-Клиент

•сжатие / распаковка сообщений, проходящих по системе.

Работа пользователя выглядит при этом таким образом:

•Если адрес в передаваемом URL присутствует в списке защищаемых адресов, то клиентская часть BS-Defender перенаправляет траффик на серверный BS-Defender. В этом случае осуществляется шифрация и подпись трафика.

•Если адрес в передаваемом URL не соответствует ни одному адресу из списка защищаемых адресов, то BS-Defender работает как обычный «прозрачный» http-прокси, безо всякой шифрации/подписи трафика.

Схема работы BS-Defender представлена на следующей схеме:

Рис. 4.1. Схема работы BS-Defender

В действительности, нет необходимости устанавливать клиентскую часть BS-Defender на отдельную рабочую станцию, ее обычно ставят непосредственно на ту рабочую станцию, где будет использоваться подсистема Интернет-Клиент.

4.2. Защита данных при использовании

SSL / TLS

Безопасность канала связи клиента с банком, в случае отсутствия модуля Defender может быть обеспечена на уровне стандартных возможностей протокола межсетевого взаимодействия SSL или его более нового варианта – TLS.

В системе "ДБО BS-Client" допускается использование протокола SSL / TLS с различной степенью защиты, в зависимости от используемых механизмов аутентификации. Тип аутен-

16