Контакты
Подписка
МЕНЮ
Контакты
Подписка

Интеграция отечественных средств криптозащиты в современные ERP-системы

Интеграция отечественных средств криптозащиты в современные ERP-системы

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Интеграция отечественных средств криптозащиты в современные ERP-системы

А. Л. Тележко
начальник отдела информационной безопасности ООО "Систематика", к.т.н., доцент

Системы класса ERP уже прочно вошли в перечень необходимых инструментов управления российскими предприятиями. Сложные процессы организации работы предприятий требуют от менеджмента использования современных технологий управления, воплощенных в западных системах от корпораций SAP, Oracle, BAAN, Microsoft и других разработчиков. В подобных системах большое внимание уделяется функциональности и бизнес-логике, в то время как вопросы безопасности уходят на второй план

ПРИ ВОЗНИКНОВЕНИИ задачи повышения уровня защищенности данных в работе с системами управления класса ERP становится очевидно, что встроенных средств защиты информации порой недостаточно для обеспечения адекватного уровня безопасности. Например, аутентификация пользователей с использованием имени и пароля во многих системах обеспечивается обычными алгоритмами и механизмами защиты самого пароля. Как правило, взлом такого пароля не представляет особых технических трудностей для квалифицированного злоумышленника.

Таким образом, для защищенного использования бизнес-приложений требуется интеграция систем управления и решений в области информационной безопасности, соответствующих применяемым в России требованиям и стандартам. Среди подобного класса интегрированных решений можно выделить программно-технический комплекс "Аквалис", который призван обеспечивать защищенный доступ к приложениям SAP R/3.

Особенности решения

В комплексе "Аквалис" используются отечественные средства защиты информации для шифрования данных при работе с приложениями SAP R/3. Такое решение обеспечивает защиту сетевого трафика на основе российских криптографических алгоритмов в соответствии с ГОСТ Р 34.10-2001 и ГОСТ 28147-89.

В решении используется двухфакторная аутентификация - с одной стороны, для доступа через терминальное устройство пользователь должен иметь аппаратный ключ е-Token, с другой - он также должен знать свой личный восьмизначный PIN - персональный идентификационный номер для доступа к ключевой информации. В этой связи в состав комплекса входят аппаратные средства хранения ключевой информации, в частности, смарт-карты и картридеры.

Ключевая информация, хранящаяся на смарт-карте, включает в себя цифровой сертификат и закрытый ключ данного пользователя. Таким образом, даже получение злоумышленником действительной смарт-карты не позволит ему войти в систему без знания PIN. Точно также только знание PIN без наличия самой смарт-карты не дает возможности для входа в систему.

Технология работы комплекса основана на стандартах инфраструктуры открытых ключей (Public Key Infrastructure -PKI). Перед началом сеанса работы осуществляется аутентификация сторон с использованием ЭЦП по ГОСТ Р 34.10-2001. При обращении пользователя к серверу приложений клиентское приложение посылает для проверки цифровой сертификат текущего пользователя. При этом сертификат, помимо уже содержащейся в нем подписи центра сертификации, подписывается также закрытым ключом пользователя. Проверка сервером обоих цифровых подписей в полученном сертификате гарантирует, что приславший сертификат пользователь является именно тем, за кого он себя выдает. Затем из сертификата извлекается идентификатор пользователя, который проверяется с помощью списков контроля доступа (ACL), и при успешной проверке сервер присваивает пользователю соответствующие права для работы с системой.

Подтвержденная надежность

В состав решения "Аквалис" входят продукты отечественных компаний "LISSI" и "КриптоПро", сертифицированные Центром безопасности связи ФСБ России в соответствии с ГОСТ 281 47-89, ГОСТ Р34.10-2001 и требованиям к стойкости средств криптографической защиты информации. В соответствии с классификацией Гостехкомиссии РФ данное решение может использоваться в автоматизированных системах, аттестованных по классу не ниже "1 Г".

Кроме того, средства защиты, используемые в данном решении, прошли проверку в Центре интеграции и сертификации компании SAP, подтвердившую их высокую надежность.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3+4, 2006

Приобрести этот номер или подписаться

Статьи про теме