|
Наша беседа в офисе на Таганке с руководителями компании SIS (Secure Information Systems), представляющими свой программный продукт Smartlogon, изобиловала узкоспециализированными компьютерными терминами и американизмами. Но разобраться в их хитросплетениях оказалось не такой уж сложной задачей. Наш корреспондент, находясь в гостях у Дмитрия Лебедева, исполнительного директора компании SIS и Юлии Воробьёвой, менеджера по маркетингу, снова обращает внимание на важность мероприятий по защите информации.
Коль скоро специализация компании – защита информации, то вы наверняка можете рассказать, каков был рынок защиты информации несколько лет назад. Почему, на ваш взгляд, в настоящее время резко повысилась значимость мероприятий по защите информации?
В мире уже очень давно сформировался продуктовый рынок со всеми его законами, а рынок комплексных систем информационной безопасности еще весьма молод, начало его формирования 1998-1999 годы.
Значимость мероприятий по защите информации возросла прежде всего, в связи с тем, что бизнесс-процессы крупных организаций уже невозможно представить без информационных технологий, а проблема сохранности конфиденциальной информации становится одной из приоритетных. С развитием IT-систем средства защиты информации настолько усложнились, что их разработка, внедрение и интеграция потребовали привлечения профессионалов именно в этой области. Организации, которые традиционно занимались информационной безопасностью (например, «первые отделы») не могли разрабатывать системы, отвечающие требованиям быстроизменяющегося ИТ-рынка, потому что слишком стремительны эти изменения, слишком много появляется новых угроз безопасности, и информационной в частности.
Какие события заставили вас заниматься именно этой деятельностью?
Сложно сказать, что это были события. Скажем так: идея системы SmartLogon возникла в результате анализа рынка, как информационных технологий в целом, так и аппаратно-программных средств информационной безопасности. В результате исследований рынка нам показался весьма интересным сегмент защиты информации, прежде всего из-за его стремительного роста (одного из наиболее устойчивых в отрасли) и явном дефиците универсальных разработок в этой области.
История создания системы? Она достаточно банальна:
В процессе разработки CRM-решения (Custom Relationship Management, т.е. системы управления взаимоотношениями с клиентом) для крупного корпоративного заказчика, компания IIG в числе прочих получила требование обеспечить поддержку аутентификации пользователя с помощью смарт-карт производимых одной крупной компанией. Заручившись поддержкой производителя, и получив SDK (Software Development Kit, т.е. средства разработки приложения) , мы приступили к реализации. Очень быстро выяснилось, что даже установка ПО, входящего в SDK - весьма нетривиальная задача. Кроме того, оказалось, что поставляемое производителем решение не обеспечивает даже такие распространенные функции, как раздельный логин в сеть и КИС.
Не вдаваясь в подробности, отмечу, что нами не было найдено достаточно гибкого решения. Основным недостатком существовавших продуктов являлась их закрытость, ориентированность на узкий спектр аппаратных платформ (ридеров и карт) и представляли они «разрозненные осколки», в каждом из которых, однако, существовали свои плюсы. Таким образом и появилась платформа SmartLogon. Ее разработка вызвала очень большой интерес как со стороны производителей аппаратных устройств, так и потенциальных пользователей, что самым наглядным образом продемонстрировало востребованность рынком подобных универсальных решений.
О системе Smartlogon. Является ли она только программным обеспечением? Или существуют какие-либо аппаратные решения? Во что система интегрирована и во что нет?
Разумеется, она является программным решением. Мы не производим аппаратные средства, мы пользуемся устройствами, выпускаемыми различными производителями. На настоящий момент система поддерживает широкий спектр средств контроля доступа и защиты информации, реализованных на базе:
- смарт-карт технологий, поставляемых на рынок компаниями Schlumberger и Siemens;
- аппаратных идентификаторов (токенов) для USB порта, производимых компаниями Rainbow - Technologies и Aladdin
- iButton (Touch Memory) компании Dallas Semiconductor;
- флэш-дисков USB
Причем, этот список постоянно пополняется. В настоящий момент идут работы по тестированию электронных ключей CryptoIdentity Итальянской компании Eutron spa, поставляемых на российский рынок компанией Мультисофт. В случае удовлетворительных результатов тестирования будет осуществлена интеграция системы SmartLogon с электронными ключами CryptoIdentity.
Хотим особенно отметить нашу открытость для третьих разработчиков. Вообще, мы не являемся сторонниками идей Open Source (открытый исходный код программы) , но, прекрасно понимая, что удовлетворить все требования пользователей наших систем мы не сможем, открываем все API (Application Program Interface, т.е. программный интерфейс приложения) , используемые в наших решениях. Мы также подробно документируем эти API. Таким образом, на базе платформы SmartLogon любая компания сможет построить, например, систему разграничения доступа, основанную на анализе биометрики (сканерах сетчатки глаза или отпечатков пальцев), которые, правда тoлько , пока, мы не поддерживаем. Но это вопрос недалёкого будущего.
Можно ли пояснить не сильно просвещённым юзерам про смысл упомянутого Вами Application Program Interface?
Application Program Interface, т.е. программный интерфейс приложения – это совокупность входящих (input) и выходящих (output) функций и их аргументов. Зная их, не важно, как именно написана программа и как она внутри работает, т.е. не обязательно иметь исходный открытый код, но зато можно интегрировать нашу систему с любыми приложениями, необходимыми пользователю. Простой пример: входящий аргумент – мясо, output – фарш, и как именно работает мясорубка, какие процессы в ней происходят, знать при этом не обязательно. А открытый исходный код в данном случае – это чертежи и полное техническое описание мясорубки.
Продукт SmartLogon Developer Edition, включает в себя все необходимые библиотеки для разработки эффективных решений, в том числе и ActiveX компонент, позволяющих интегрировать существующие решения и корпоративные информационные системы с нашей платформой.
Предыдущие системы (Rainbow, Aladdin, iButton, iKey и т.д.) на программном уровне представляли, по вашим же словам «разрозненные осколки» – в чём же универсальность системы Smartlogon?
Не совсем корректно говорить о «предыдущих системах». Видимо, правильнее говорить о «программном обеспечении, поставляемом производителями аппаратных средств аутентификации». Из самого определения вытекает некоторое отсутствие универсальности, так как каждый из производителей в комплекте со своими аутентификаторами поставляет программное обеспечение, работающее только с произведенными им устройствами. И хорошо, если со всеми устройствами, производимыми вендором (производителем). Чаще для каждого устройства – свое программное обеспечение. Наш же продукт работает единым, с точки зрения пользователя, образом со всей линейкой поддерживаемых устройств, что, разумеется, удобнее. Выбирая наше решение, как платформу – он (пользователь) не привязывается навсегда к одному единственному идентификатору, а может выбирать, где и под какие задачи ему будет удобнее использовать каждое конкретное устройство аутентификации. Так, например, для защиты ноутбуков, как показывает практика, удобнее использовать USB ключи. Для защиты десктоп рабочих станций, к которым имеет доступ несколько пользователей, – удобнее оказывается использование смарткард-ридера и набора смарт-карт у этих пользователей.
Но и это не единственное отличие. С большинством устройств аутентификации – вообще не поставляется пользовательское программное обеспечение схожей функциональности. Чаще поставляются только драйверы устройств и SDK. В тех же случаях, когда подобное ПО входит в комплект поставки – выясняется, что оно работает или только под Win 9x или только под Win 2000. SmartLogon же работает под всеми операционными системами win32. Более того, только в этом продукте реализована модификация ОС Win 9x, позволяющая запретить загрузку системы в safe mode и загрузку локальной конфигурации. Совокупность всех этих факторов и позволяет нам утверждать, что именно SmarLogon является универсальной системой.
Как практически работает система? Рассмотрим на примере некоего среднего предприятия с компьютерной сетью – 200 человек персонала с разными степенями доступа к информации, президент, директор, системный администратор, сотрудники разных рангов… При использовании системы Smartlogon и без использования, в чём же преимущество?
Хочется сразу оговориться, что при отсутствии системы SmartLogon она никак не работает... При использовании же системы, она не столько создает какие-то собственные политики безопасности, сколько позволяет жестче реализовать принятые на предприятии. Например:
- Ни один пользователь не может получить доступ к какой-либо рабочей станции, на которой установлен SmartLogon если он явным образом не заведен администратором безопасности на этой станции. Использование аппаратного аутентификатора, который есть у такого пользователя – не помогает. Его аутентификатор позволит получить доступ только к тем рабочим станциям (серверам) на которых он в явном виде был заведен.
- Применение SmarLogon на рабочих станциях работающих под ОС Win9x – позволит не допустить загрузки локальных конфигураций на этих станциях.
Сам же уровень доступа, который получает пользователь на рабочей станции или уровень доступа к сетевым ресурсам, определяется настройками политик безопасности в корпоративной сети. Если пользователь входит в число администраторов данной рабочей станции – то он получает административные права на этом компьютере. Нет – не получает. Права же по доступу к сетевым ресурсам – при аутентификации с помощью системы SmartLogon пользователь получает те, которые прописаны для него на контроллере домена.
Реальное преимущество применения системы SmartLogon состоит в снижении рисков, связанных с человеческим фактором, за счет двухфакторности аутентификации. Потерянный ключ – не позволит другому человеку им воспользоваться без знания пин-кода этого ключа. Знание пин-кода – не позволит получить доступ без самого аутентификатора.
Но ведь информационную безопасность сети точно также можно реализовать и на программном уровне: вход в систему под паролем. Много ли преимуществ в виде различных степеней защиты имеет система Smartlogon ? Что произойдёт со злоумышленником, не знающим ключа? Какое количество паролей необходимо лично Вам в каждодневной работе?
При использовании аппаратных аутентификаторов, построенных на смарт-карт технологиях, вопрос взлома информации, хранимой на ключе – крайне проблематичен. При стандартном подходе, основанном на простом переборе, при нескольких попытках (конкретное количество допустимых попыток для разных аутентификаторов – различно и устанавливается для каждого конкретного случая применения) ввести неправильный пин-код – доступ к аутентификатору блокируется. Разблокировать его можно только введя со-пин (административный пин-код). Если же и он вводится несколько раз неверно – то доступ к аутентификатору полностью блокируется, и после этого ключ или смарт-карту можно попросту выбрасывать.
Сама информация на аутентификаторах хранится в зашифрованном виде (алгоритмы криптования, реализованные на различных аутентификаорах различны - DES, 3DES, RSA, ГОСТ 28 147-89)
А чем определяется защищённость самого продукта Smartlogon?
Защищенность самого программного продукта SmarLogon определяется следующими основными факторами:
- Защитой от перехвата и последующего использования потока информации между компьютером и аутентификатором, в частности и пин-кода
- Передачей по сети только сложного (устойчивого к взлому) пароля, хранимого на аутентификаторе
- Наличием в системе SmartLogon подсистемы самоконтроля целостности и автотестирования на наличие изменений.
Ответ на вопрос о том, сколько лично мне необходимо в повседневной жизни паролей – полагаю не будет репрезентативным. Лично мне необходимо около 40 паролей, хотя большинству пользователей – существенно меньше. Но запоминание даже 5-ти сложных, устойчивых к взлому паролей – задача не простая.
О типах считывателей (ридеров) и ключей. С какими типами считывателей и ключей может работать ПО Smartlogon? Почему лично Вы пользуетесь именно таким типом, Для чего существует такая номенклатура считывателей и ключей? Возможно ли использывать некоторые из них как бесконтактные при физическом доступе в помещение? Возможен ли универсальный единый ключ для всего (компьютер, двери в помещение, центральный замок автомобиля, домашний компьютер, бытовая техника ets…), технологически выполненный в одном месте и с минимальным количеством микросхем?
Здесь правильнее сказать, что программное решение SmartLogon обеспечивает работу с рядом аппаратных аутентификаторов, линейка которых – постоянно расширяется. Интегрируется именно SmartLogon с устройствами, а не наоборот. Мы работаем со стандартным оборудованием, не требующим специальной модификации для интеграции с нашим программным продуктом. О линейке поддерживаемых устройств уже рассказано выше.
Использование бесконтактных аутентификаторов – безусловно возможно. Например, бесконтактных смарт-карт.
Использование одного аппаратного аутентификатора, как единого «универсального ключа», обеспечивающего доступ, как в помещения, или же к специализированному оборудованию (в том числе и к бытовой технике или автомобилям, которые поддерживают интерфейсы авторизации), так и к компьютерам, сетевым ресурсам и т.д. – возможно, но не является стандартной функциональностью продукта SmartLogon. Построение подобных комплексных решений – всегда проектная работа, так как не существует на сегодняшний день единого интерфейса ко всем устройствам. Требуется интеграция с соответствующим оборудованием, или же с другими системами контроля доступа. Но всё это,опять же, возможно!
Кто является основными пользователями системы Smartlogon, т.е. вашими покупателями. Если невозможно указать их конкретно, то хотя бы в каких отраслях они работают? Иными словами, каких угроз извне опасаются в настоящее время российские компании (финансовые потери, промышленный шпионаж, военные технологии, политический компромат…) Много ли среди них государственных предприятий и учреждений?
Основные покупатели системы SmartLogon ничем не отличаются от основных потребителей продуктов и услуг информационной безопасности – это компании, бизнес-процессы которых зависят от бесперебойной работы информационных сетей и конфиденциальности информации.
Основные потребители – крупные государственные и коммерческие и телекоммуникационные структуры, имеющие развитые информационные сети, большинство бизнес-процессов которых автоматизированы.
Сейчас большой интерес к информационной безопасности наблюдается и со стороны средних компаний – на наш взгляд Smartlogon является идеальным решением для этого сектора рынка, поскольку является готовым продуктом, гибким, универсальным, простым в использовании и достаточно не дорогим.
Рынка мелких фирм и SOHO (Small Office – Home Office, таким сокращением условно обозначаются небольшие сети, рассчитанные до 50 компьютеров) , к сожалению, в нашей стране сейчас фактически не существует, хотя, например SmartLogon Personal Edition прекрасно подходит для защиты ноутбука. Но наши переговоры с ведущими производителями аппаратных средств защиты продемонстрировали неготовность, на настоящем этапе, инвестирования значительных средств в его развитие.
Угрозы, которые в основном вызывают беспокойство у российских компаний описаны в многочисленных аналитических отчетах, не думаю, что мы обладаем какой-то уникальной информацией в этой области. На первом месте стоят инциденты с компьютерными вирусами, далее следуют угрозы несанкционированного доступа, средства обеспечения безопасности VPN (Virtual Private Net – виртуальные частные сети) , системы обнаружения атак. Менее широко используются средства криптографической защиты и управления безопасностью.
О сертификации выпускаемой продукции. Как обстоят дела на этом фронте?
В настоящее время проводится сертификация программного продукта SmartLogon аккредитованной Государственной Технической Комиссией лабораторией на:
- способы его работы с аппаратными аутентификаторами;
- устойчивость работы под операционными средами Windows 98, Windows 2000 Pro и Windows XP Pro;
- отсутствие недокументированных возможностей;
- защищенность от перехвата потокового обмена информацией с аутентификатором;
- на предмет самоконтроля целостности самого программного продукта.
Не так давно компания участвовала в выставке Softool? Каковы фидбеки (feedback - отзывы) пользователей? Нужны ли участия в таких выставках или конференциях вам? Как часто принимаете участие в подобного плана мероприятиях, какие плюсы это приносит?
|
