- •Содержание
- •Введение
- •Глоссарий
- •Glossary
- •Глава 1. Общая структурная схема каналов передачи данных в системе "ДБО BS-Client"
- •Глава 3. Защита передаваемых данных в подсистеме «толстый» клиент ДБО (шифрация, подпись, транспорт)
- •3.1. Решаемые задачи
- •3.3. Организация транспортной подсистемы
- •4.3. Сравнение различных способов защиты канала
- •Глава 6. Защита от внешних атак
- •6.1. Фильтрация неподписанных пакетов в ядре транспорта классического клиента
- •6.2. Аутентификация пользователей в подсистеме Интернет-Клиент
- •6.2.1. Подпись трафика BS-Defender’a
- •6.2.3. Аутентификация при работе с односторонним SSL (парольная и криптографическая)
- •6.2.3.1. Парольная аутентификация
- •6.2.3.2. Криптографическая аутентификация
- •6.2.5. Использование сеансовых ключей при работе с подсистемой Телефон-Клиент
- •Глава 7. Защита от внутренних атак
- •7.1. Аутентификация и авторизация внутренних пользователей
- •7.2. Права пользователей в системе
- •7.2.1. Общее описание системы прав
- •7.2.2. Система прав доступа к СУБД и серверу ДБО
- •7.2.3. Система прав разграничения доступа по документам
- •7.3. Ограничение доступа к БД через внешние средства
- •7.4. Аудит действий пользователей
- •7.5.1. Фиксация смены статусов документов
- •7.5.2. Системные журналы
- •7.5.2.1. Системные журналы «толстого» клиента и сервера ДБО
- •7.5.3. Журналы макроязыка
- •Глава 8. Обеспечение целостности и аутентичности информации передаваемой от клиентов в банк и обратно
- •8.1. Использование подписи под документами
- •8.1.1. Общие сведения
- •8.1.2. Подпись документов и квитанций
- •8.1.3. Возможность разбора конфликтных ситуаций
- •8.2. Использование подписи при передаче транспортного трафика
- •8.3. Использование подписи при передаче трафика BS-Defender
- •8.4. Использование механизмов аутентичности двустороннего SSL (TLS)
- •8.4.1. Общие сведения
- •8.4.2. Исходные требования
- •8.4.3. Технология связи клиента и банка по каналу «Двусторонний SSL / TLS»
- •8.6. Аутентичность выписок, остатков и другой информации выдаваемой банком в подсистеме Телефон-Клиент
- •Глава 9. Работа с криптографическими ключами и сертификатами
- •9.1. Описание особенностей СКЗИ
- •9.2. Основные понятия
- •9.2.1. Записи о ключах
- •9.2.5. Право защиты канала («Интернет-Клиент»)
- •9.3. Менеджмент ключей. Права на криптографические операции. Привязка к пользователю
- •9.4. Начальное заведение ключей, Технологический ключ
- •9.5. Перегенерация клиентского ключа (в толстом и тонком клиенте)
- •9.5.1. Удаленная перегенерация ключей толстого и тонкого клиента
- •9.6. Перегенерация банковского ключа
- •9.7. Использование списков отозванных сертификатов. Компрометация ключа
- •9.8. Использование списков отозванных сертификатов (СОС)
- •9.9. Использование USB-токенов
- •Глава 10. Конфликтные ситуации и способы их решения
- •10.1. Общие положения, типы конфликтных ситуаций
- •10.2. Разбор конфликтов в случае «толстого клиента»
- •10.3. Разбор конфликтов в «BS-Defender»
- •10.4. Разбор конфликтов в одностороннем и двустороннем SSL (сохраняемые подписи под документами)
- •Глава 11. Соответствие системы "ДБО BS-Client" стандартам ЦБР
- •Глава 12. Список рекомендуемой литературы
- •Приложение A. Криптографические справочники, используемые в системе "ДБО BS-Client"
- •A.1. Справочник количества подписей в документах (CryptoNumOfSigns)
- •A.2. Справочник сертификатов (CryptoUID)
- •A.3. Справочник криптографических профилей (CryptoProfile)
- •A.4. Справочник рабочих мест абонентов СКЗИ (CryptoWorkPlace)
- •A.5. Справочник пользователей абонентов СКЗИ (CryptoLogin)
- •A.7. Общие справочники
- •A.7.1. Справочник клиентов (PostClnt)
- •A.7.2. Справочник организаций (Customer)
- •B.1. 1. Общий порядок разбора конфликтной ситуации
- •B.2. 2. Действия по общему анализу конфликтного документа
- •B.3. 3. Разбор конфликта вида «Отказ любой из сторон от ЭЦП под созданным этой стороной документом»
- •B.4. Разбор конфликта вида «Отказ любой из сторон от сформированной ею квитанции на документ»
Защита передаваемых данных в подсистеме Интернет-Клиент
тификации по указанным протоколам определяется настройкой защищенного WEB-сервера банка. Допускается как применение «одностороннего» SSL / TLS (только аутентификация сервера клиентом), так и «двухстороннего» (аутентификация обоих партнеров).
Вслучае использования одностороннего SSL сертификат имеется только у веб-сервера, но не у клиента. Таким образом, аутентификация клиентом Web-сервера происходит посредством использования сертификата, а аутентификация клиента сервером ДБО при помощи логина и пароля клиента.
Вслучае использования двухстороннего SSL / TLS для установления соединения необходимо, чтобы произошла взаимная аутентификация клиента и сервера. В случае если сертификат клиента принят сервером, а сертификат сервера клиентом, происходит установление защищенного соединения.
Вопределенных случаях использование криптографических алгоритмов на территории России регулируется федеральным законодательством, что необходимо учитывать при заключении договорных отношений по использованию системы "ДБО BS-Client" с государственными структурами и организациями. Так, при построении системы защиты на основе протокола SSL / TLS необходимо принять во внимание, что стандартная реализация рассматриваемого протокола в ОС Windows не позволяет применять алгоритмы защиты информации, отличные от RSA, (который не является сертифицированным на территории РФ).
Всвязи с этим при построении защиты канала на основе протокола SSL / TLS рекомендуется воспользоваться специальным пакетом Crypto-Pro TLS, который совместно с СКЗИ CryptoPro, позволяет использовать в рамках протокола сертифицированные в России алгоритмы защиты информации (алгоритмы шифрования в соответствии с ГОСТ 28147-89, хеширования в соответствии с ГОСТ Р 34.11-94). При этом в случае использования двухстороннего протокола SSL / TLS в рамках ДБО возможно использовать только СКЗИ Crypto-Pro в качестве средства защиты информации. В случае использования одностороннего SSL / TLS данное ограничение не накладывается.
Необходимо отметить, что построение защиты канала на основе одностороннего SSL / TLS без установки Crypto-Pro TLS (т.е. с применением RSA сертификата WEB-сервера) технически допустимо, но не рекомендуется в связи с вышеописанными ограничениями федерального законодательства.
4.3. Сравнение различных способов защиты канала
Ниже приведены преимущества и недостатки применения следующих типов защиты:
1.Преимущества и недостатки применения типа защиты BS-Defender. a. Преимущества:
•Использование «криптографической аутентификации».
•Отсутствие обмена ключевой информацией по открытым каналам.
•Возможность использования «нетиповых» СКЗИ для защиты канала передачи данных, как-то «Верба» или «Excellence».
17
Защита передаваемых данных в подсистеме Интернет-Клиент
b.Недостатки:
•Для использования защиты необходима установка на компьютер клиента дополнительного ПО (клиентской части BS-Defender).
•Возможны проблемы при использовании в ЛВС клиента некоторых проксисерверов.
•Большее использование системных ресурсов, нежели при использовании SSL / TLS, т.к. криптографические операции по алгоритмам с открытым ключом более требовательны к ресурсам.
•Наличие дополнительного программного обеспечения, которое потребляет системные ресурсы, подлежит настройке и т.д.
2.Преимущества и недостатки применения типа защиты SSL / TLS.
a.Преимущества:
•Использование стандартного защищенного протокола, интегрированного в ОС.
•Меньшее потребление системных ресурсов.
b.Недостатки:
•Есть обмен ключевой информацией.
•Для защиты канала с помощью сертифицированных в России алгоритмов необходима установка Crypto Pro CSP / TLS.
•Необходимость дополнительной настройки web-сервера, создание пользовательских исключений, в случае обращения клиента без установленного Crypto Pro TLS.
18
Глава 5. Защита передаваемых данных в подсистеме Телефон-
Клиент
В настоящий момент в подсистеме Телефон-Клиент не предусмотрена возможность защиты передаваемой информации, таким образом, данные от клиента к системе и обратно передаются в открытом виде по открытым каналам связи.
Однако, при необходимости возможна защита передаваемой информации посредством шифрования, как информации, так и канала передачи данных. Устройства, производства третьих фирм решающие данную задачу в достаточном количестве представлены на рынке, и выбор решения зависит от уровня желаемой защиты.
Системы защиты информации могут быть установлены и использоваться независимо от подсистемы Телефон-Клиент и не влияют на алгоритм и режим работы системы.
19