- •Содержание
- •Введение
- •Глоссарий
- •Glossary
- •Глава 1. Общая структурная схема каналов передачи данных в системе "ДБО BS-Client"
- •Глава 3. Защита передаваемых данных в подсистеме «толстый» клиент ДБО (шифрация, подпись, транспорт)
- •3.1. Решаемые задачи
- •3.3. Организация транспортной подсистемы
- •4.3. Сравнение различных способов защиты канала
- •Глава 6. Защита от внешних атак
- •6.1. Фильтрация неподписанных пакетов в ядре транспорта классического клиента
- •6.2. Аутентификация пользователей в подсистеме Интернет-Клиент
- •6.2.1. Подпись трафика BS-Defender’a
- •6.2.3. Аутентификация при работе с односторонним SSL (парольная и криптографическая)
- •6.2.3.1. Парольная аутентификация
- •6.2.3.2. Криптографическая аутентификация
- •6.2.5. Использование сеансовых ключей при работе с подсистемой Телефон-Клиент
- •Глава 7. Защита от внутренних атак
- •7.1. Аутентификация и авторизация внутренних пользователей
- •7.2. Права пользователей в системе
- •7.2.1. Общее описание системы прав
- •7.2.2. Система прав доступа к СУБД и серверу ДБО
- •7.2.3. Система прав разграничения доступа по документам
- •7.3. Ограничение доступа к БД через внешние средства
- •7.4. Аудит действий пользователей
- •7.5.1. Фиксация смены статусов документов
- •7.5.2. Системные журналы
- •7.5.2.1. Системные журналы «толстого» клиента и сервера ДБО
- •7.5.3. Журналы макроязыка
- •Глава 8. Обеспечение целостности и аутентичности информации передаваемой от клиентов в банк и обратно
- •8.1. Использование подписи под документами
- •8.1.1. Общие сведения
- •8.1.2. Подпись документов и квитанций
- •8.1.3. Возможность разбора конфликтных ситуаций
- •8.2. Использование подписи при передаче транспортного трафика
- •8.3. Использование подписи при передаче трафика BS-Defender
- •8.4. Использование механизмов аутентичности двустороннего SSL (TLS)
- •8.4.1. Общие сведения
- •8.4.2. Исходные требования
- •8.4.3. Технология связи клиента и банка по каналу «Двусторонний SSL / TLS»
- •8.6. Аутентичность выписок, остатков и другой информации выдаваемой банком в подсистеме Телефон-Клиент
- •Глава 9. Работа с криптографическими ключами и сертификатами
- •9.1. Описание особенностей СКЗИ
- •9.2. Основные понятия
- •9.2.1. Записи о ключах
- •9.2.5. Право защиты канала («Интернет-Клиент»)
- •9.3. Менеджмент ключей. Права на криптографические операции. Привязка к пользователю
- •9.4. Начальное заведение ключей, Технологический ключ
- •9.5. Перегенерация клиентского ключа (в толстом и тонком клиенте)
- •9.5.1. Удаленная перегенерация ключей толстого и тонкого клиента
- •9.6. Перегенерация банковского ключа
- •9.7. Использование списков отозванных сертификатов. Компрометация ключа
- •9.8. Использование списков отозванных сертификатов (СОС)
- •9.9. Использование USB-токенов
- •Глава 10. Конфликтные ситуации и способы их решения
- •10.1. Общие положения, типы конфликтных ситуаций
- •10.2. Разбор конфликтов в случае «толстого клиента»
- •10.3. Разбор конфликтов в «BS-Defender»
- •10.4. Разбор конфликтов в одностороннем и двустороннем SSL (сохраняемые подписи под документами)
- •Глава 11. Соответствие системы "ДБО BS-Client" стандартам ЦБР
- •Глава 12. Список рекомендуемой литературы
- •Приложение A. Криптографические справочники, используемые в системе "ДБО BS-Client"
- •A.1. Справочник количества подписей в документах (CryptoNumOfSigns)
- •A.2. Справочник сертификатов (CryptoUID)
- •A.3. Справочник криптографических профилей (CryptoProfile)
- •A.4. Справочник рабочих мест абонентов СКЗИ (CryptoWorkPlace)
- •A.5. Справочник пользователей абонентов СКЗИ (CryptoLogin)
- •A.7. Общие справочники
- •A.7.1. Справочник клиентов (PostClnt)
- •A.7.2. Справочник организаций (Customer)
- •B.1. 1. Общий порядок разбора конфликтной ситуации
- •B.2. 2. Действия по общему анализу конфликтного документа
- •B.3. 3. Разбор конфликта вида «Отказ любой из сторон от ЭЦП под созданным этой стороной документом»
- •B.4. Разбор конфликта вида «Отказ любой из сторон от сформированной ею квитанции на документ»
Защита от внутренних атак
ризацией. То есть при смене пароля пользователь должен обязательно пройти аутентификацию / авторизацию на старом пароле. Кроме того, Администратор безопасности может принудительно сменить пароль пользователю или заблокировать пользователя.
Чтобы повысить защищенность парольной аутентификации / авторизации от внутренних атак в системе "ДБО BS-Client" не используется прямое хранение парольной информации. Вместо этого используется схема авторизации подписью. При заведении пароля по нему однозначно строится закрытый криптографический ключ по ассиметричному криптографическому алгоритму. По этому закрытому ключу генерируется открытый ключ, который и сохраняется в базе данных в качестве парольной информации.
При аутентификации пользователя ядро системы генерирует случайный набор данных и передает системе аутентификации. Система аутентификации запрашивает у пользователя пароль. По введенному паролю опять строится закрытый ключ и этим ключом подписываются переданные случайные данные. Подпись передается обратно ядру. Далее ядро проверяет подпись под данными при помощи, открытого ключа, сохраненного в базе данных. Если подпись верна, то введенный пароль совпадает с паролем, заведенным в системе.
Такая схема дает несколько преимуществ:
•Информация о пароле, хранящаяся в базе (открытый ключ), не является секретной и не позволяет восстановить пароль (или закрытый ключ, соответствующий паролю).
•Информация, передаваемая между ядром системы и системой аутентификации, не является секретной, так как она не содержит не только самого пароля, но даже и фиксированного хэша от него. Передается только подпись паролем случайных данных. Так как при аутентификации случайные данные всякий раз другие, то перехват этой информации не позволяет взломать систему.
7.2.Права пользователей в системе
7.2.1. Общее описание системы прав
Система прав, реализованная в системе "ДБО BS-Client" базируется на системе привилегий, ролей и профилей. Определение данных терминов в контексте Системы дано ниже.
Привилегия – право (или наоборот запрет) на совершение некоторого действия в системе. Системные привилегии заданы раз и навсегда и означают строго фиксированное действие. Например, привилегия «VIEW_ANY_USER_TABLE» позволяет просматривать любые несистемные таблицы. Привилегия может иметь один или несколько параметров. Так, например, привилегия «EDIT_TABLE_RECORD» имеет два параметра (имя таблицы и фильтр).
К существующему в системе перечню привилегий можно добавить новые привилегии. В этом случае сама система никак не будет их обрабатывать, но внешние модули получат возможность узнать, есть ли права на эту привилегию у текущего пользователя и самим обработать ситуацию недостаточности прав и т.п.
Роль – набор привилегий. Задается списком привилегий (с заполненными параметрами) и списком ролей включенных в данную роль. Причем привилегии могут быть указаны как предоставленными (granted), так и запрещенными (revoked). Все привилегии, содержащиеся во вложенных ролях, автоматически считаются принадлежащими данной роли. Запрет при-
26
Защита от внутренних атак
вилегии всегда мажорирует ее разрешение. Роли могут редактироваться и являются настраиваемыми.
Профиль – набор правил работы с паролем (время истечения, временные ограничения и т.п.) и самой системой (имя главной формы, язык и т.п.). Набор параметров здесь строго фиксирован; меняются только их значения. В системе можно завести произвольное количество профилей.
Пользователь – пользователь системы. Каждый пользователь имеет свой идентификатор («логин») и пароль. Пользователю всегда назначен только один профиль и одна или несколько ролей, а также отдельные привилегии.
7.2.2. Система прав доступа к СУБД и серверу ДБО
Для повышения защищенности в системе "ДБО BS-Client" произведено разделение понятий «пользователь системы» и «пользователь базы данных».
Так, соединение с базой данных, в общем случае, выполняется с одним именем пользователя и паролем, а вход в систему "ДБО BS-Client" – с другим. В общем случае эти вещи между собой никак не связаны. Пароль пользователя, точнее информация для его проверки (см. разд. 7.1 «Аутентификация и авторизация внутренних пользователей» [стр. 25]) хранится в DSP-структуре соответствующей пользователю и является максимально защищенным (не взламывается и восстановлению не подлежит).
При определенных настройках, пароль к базе данных вообще не хранится на клиенте и конфиденциальность пароля обеспечивается средствами СУБД. Таким образом, в общем (максимально защищенном случае) пользователю предлагается ввести пароль к базе данных и пароль в систему.
7.2.3. Система прав разграничения доступа по документам
В "ДБО BS-Client" присутствует система разграничения прав доступа по документам на банковской стороне, реализованная на прикладном уровне. Она называется системой Кураторов.
Кураторы – пользователи системы "ДБО BS-Client", ответственные за сопровождение фиксированного набора организаций клиентов.
Система подразумевает жесткое разграничение прав просмотра кураторами документов только клиентов, на которые им выданы соответствующие права администратором сервера ДБО. Ограничение касается как входящих, так и исходящих документов организаций клиентов.
Примечание
Реализация Кураторов в Системе сделана независимо от системы привилегий, описанных
вразд. 7.2.1 «Общее описание системы прав» [стр. 26], используя механизм фильтрации записей
ввизуальном интерфейсе.
27