1 Механизмы обеспечения безопасности правительственного портала

Среди всего, что люди хотели бы получать через Интернет, одно из первых мест занимают услуги государственных учреждений. Многие правительственные ведомства в разных уголках мира стремятся наладить электронную доставку услуг. Во многих странах бланки заявок в правительственные учреждения можно скачивать через Интернет. Однако лишь в немногих случаях заполненные бланки можно тем же способом и отправить с последующей автоматической обработкой. Республика Молдова также ведёт работу в направлении предоставления населению безопасных и юридически значимых онлайн услуг с использованием цифровой подписи ( инфраструктуры с открытым ключом (PKI)). Безопасные онлайн услуги с использованием цифровой подписи

Создание правительственного портала и электронных государственных услуг - это не просто ИТ-проект. Технологическая составляющая здесь, безусловно, присутствует, но не является определяющей для успеха. Проекты по созданию электронных государственных услуг подразумевают значительные организационные и административные изменения. Сложны они и с точки зрения поддержки, поскольку необходимо обеспечить непрерывность и неизменность услуги в ситуации, когда в процессе ее оказания задействованы системы различных государственных органов и всегда существуют риски и угрозы различного характера. Безопасные государственные электронные услуги Злоумышленник Угрозы

Политика государтсва в области обеспечения ИБ, информационных систем предоставляющих государственные электронные услуги Обеспечение безопасности информационных систем предоставляющих государственные электронные услуги является одной из важных задач при построении систем такого рода, и основные цели которые должны быть достигнуты: 1.предотвращение несанкционированных действий направленных на информационные системы, предоставляющие государственные электронные услуги, 2.минимизация угроз от несанкционированных действий, 3.минимизация убытков и времени востановления от несанкционированных действий.

Безопасные государственные электронные услуги При построении информационных систем, нацеленных на предоставление электронных государственных услуг, вопросам информационной безопасности должно уделяться особое внимание, потому что информация представляющая важность для государства, а также персональные данные граждан, это действительно критичный элемент, требующий чтобы информация была должным образом защищена. Поэтому необходимо построение комплексной системы защиты информации используя концептуальные, системные подходы. Защищенный канал связи

Архитектура публичного контура Правительственного портала Публичный контур Открытый сегмент публичный доступ Защищенный сегмент авторизованный доступ Интернет (публичная телекоммуникационная инфраструктура) Население, организации пользователи ведомств Программно-технические комплексы Защищенный канал связи Население, организации информирование публикация официальных документов, обращения защищённый доступ к государственным электронным услугам

Для внедрения безопасных и юридически значимых онлайн услуг с использованием цифровой подписи необходимы четыре составляющих: Безопасные онлайн услуги с использованием цифровой подписи 1. онлайновая платформа; 2. граждане, имеющие к ней доступ; 4. и программные продукты, легкие для освоения и простые в использовании. 3. смарт карты и средства биометрической аутентификации;

Еще в первом плане действий «Электронная Европа 2002» содержался раздел, посвященный внедрению смарт-технологий. Смарт- карты являются перспективной технологией, способной поддерживать широкий спектр информационных услуг «электронного государства» и «электронной коммерции». Анализ стратегии Европейского сообщества в области смарт технологий Анализ стратегии Европейского сообщества в области смарт технологий, а также конкретных действующих и планируемых проектов позволяет сделать вывод о том, что наиболее часто смарт карты используются в качестве электронных идентификаторов личности, хранящих персональные данные и биометрическую информацию владельца. Подобные проекты действуют практически во всех странах Евросоюза.

Еврокомиссия стремится к тому, чтобы каждый житель Евросоюза обладал идентификационным документом на базе электронного удостоверения личности, которое бы: обеспечивало проверку аутентичности владельца в любой из стран ЕС; позволяло владельцу осуществлять безопасный доступ в глобальную сеть с помощью персонального компьютера, цифрового телевидения, мобильного телефона, интерактивного киоска или иного специального устройства доступа на территории ЕС; содержало биометрические данные и цифровую подпись; соответствовало международным стандартам. Анализ стратегии Европейского сообщества в области смарт технологий В электронных удостоверениях личности есть в электронном виде набор биографических и биометрических сведений о человеке, и цифровая подпись. Данные идентификаторы используются в качестве доступа для получения онлайн услуг, предоставляемых органами государственной власти, местного самоуправления, коммерческими организациями.

1.Подоходные налоги: декларация, извещение о проверке 2.Услуги по поиску работы агентствами занятости 3.Пособия по социальному обеспечению 4.Личная документация (паспорт и водительские права) 5.Регистрация транспортного средства (нового, подержанного, импортированного) 6.Заявление на разрешение строительства 7.Заявление в полицию (напр., в случае кражи) 8.Общественные библиотеки (наличие каталогов, инструменты поиска) 9.Свидетельства (о рождении и регистрации брака): запрос и доставка 10.Поступление в высшие учебные заведения / университеты 11.Объявление о переезде (изменения адреса) 12.Услуги, связанные со здравоохранением (интерактивные консультации по наличию услуг в различных ЛПУ; запись на прием) Государственные электронные услуги для граждан

1.Социальные взносы на работников 2.Корпоративные налоги: декларация, извещение 3.НДС: заявление, извещение 4.Регистрация новой компании 5.Подача данных в статистические бюро 6.Таможенная декларация 7.Разрешения от экологических служб (включая отчетность) 8.Закупки для государственных нужд Государственные электронные услуги для предприятий

Подсистема разграничения доступа и межсетевого экранирования Комплексная система защиты информации Подсистема разграничения доступа и межсетевого экранирования является основным элементом комплекса безопасности Web-портала и предназначена для защиты информационных ресурсов портала от несанкционированного доступа.

Подсистема антивирусной защиты Подсистема антивирусной защиты должна обеспечивать выявление и удаление информационных вирусов, которые могут присутствовать в ресурсах Web-портала. Подсистема состоит из двух компонентов – модулей- датчиков, предназначенных для обнаружения вирусов и модуля управления антивирусными датчиками. Сами датчики устанавливаются на все серверы Web-портала, а также на АРМ администратора портала. При такой схеме установки датчиков создаются условия для проведения периодической проверки файлов портала на предмет наличия вирусов и троянов. Комплексная система защиты информации

Подсистема контроля целостности Подсистема контроля целостности должна обеспечивать выявление несанкционированного искажения содержимого Web- портала. Датчики этой подсистемы, как правило, устанавливаются на серверах портала для того, чтобы с заданной периодичностью проверять целостность файловых ресурсов портала на основе контрольных сумм или хэшей. При этом должен обеспечиваться контроль целостности файлов не только прикладного, но и общесистемного ПО. Комплексная система защиты информации

Подсистема обнаружения и предотвращения вторжений (Intrusion Detection System/ Intrusion Prevention System) Подсистема обнаружения вторжений предназначена для выявления сетевых атак, направленных на информационные ресурсы портала. Сетевые датчики представляют собой отдельный программно-аппаратный блок, предназначенный для пассивного сбора и анализа информации обо всех пакетах данных, которые передаются в том сегменте, в котором установлен датчик. Комплексная система защиты информации

Подсистема межсетевого экранирования на уровне приложений (Web Application Firewall) Межсетевой экран уровня приложений осуществляя анализ сетевых пакетов на всех уровнях модели OSI, производит проверку соответствия использования высокоуровневых протоколов их описанию в RFC, контролирует целостность обмена информацией в рамках сетевого сеанса и могут динамически подстраиваться под логику работы сетевых приложений. Использование межсетевых экранов уровня приложений представляет широкие возможности по контролю сетевого трафика и защите от атак на сетевые приложения. Комплексная система защиты информации

Подсистема криптографической защиты Подсистема криптографической защиты предназначена для обеспечения защищённого удалённого взаимодействия с Web-порталом. Подсистема базируется на технологии виртуальных частных сетей VPN (Virtual Private Network), которая позволяет создавать защищённые сетевые соединения, в рамках которых проводится аутентификация пользователей, а также обеспечивается конфиденциальность и контроль целостности передаваемых данных. Установка, управление и закрытие таких соединений осуществляется при помощи специализированных криптопротоколов. Комплексная система защиты информации

Подсистема анализа защищённости Подсистема анализа защищённости предназначена для выявления уязвимостей в программно-аппаратном обеспечении Web-портала. Примерами таких уязвимостей могут являться неправильная конфигурация сетевых служб портала, наличие программного обеспечения без установленных модулей обновления (service packs, patches, hotfixes), использование неустойчивых к угадыванию паролей и др. По результатам работы подсистемы анализа защищённости формируется отчёт, содержащий информацию о выявленных уязвимостях и рекомендации по их устранению. Комплексная система защиты информации

Подсистема управления средствами защиты Web-портала Подсистема включает в себя АРМ администратора безопасности, с которого осуществляется управление, а также служебные серверы, необходимые для функционирования соответствующих средств защиты. Наличие такого модуля позволяет автоматизировать обработку большого объёма информации, регистрируемой в Web- портале, и в соответствии с заданным набором правил выделить наиболее критические события, которые требуют немедленного реагирования. Комплексная система защиты информации

Проблема совместимости смарт технологий Большое разнообразие карточных продуктов и технологий является серьёзным препятствием для достижения совместимости продуктов, что является одной из ключевых целей внедрения общеевропейского идентификационного документа. Как следует из материалов специализированной группы по разработке программ интеллектуальных карточек в рамках Плана действий eEurope 2005, определение минимального набора требований, способного обеспечить совместимость ID карт в странах ЕС, является одной из основных задач при реализации концепций "электронного государства" и "информационного сообщества". Для обеспечения юридической значимости электронных документов, циркулирующих в внедряемых государственных электронных услугах, смарт карты планируемые для использования в качестве ID карт (идентификационных документов граждан Республики Молдова) должны соответствовать требованиям законодательства Республики Молдова в сфере цифровой подписи.

Международные стандарты, определяющие требования безопасности ISO/IEC 19790:2006 Information technology – Security techniques – Security requirements for cryptographic modules CWA 14169:2004 Secure signature-creation device EAL 4+ CWA 14170:2004 Security requirements for signature creation applications CWA 14171:2004 General guidelines for electronic signature verification

Портал проверяет сертификат, идентифицирует пользователя, направляет запрос о его правах Портал просит "представиться" Клиент запрашивает ресурс Пользователь предъявляет смарткарту Авторизированный доступ Центр Регистрации пользователей Web-портал Клиент 1 2 Пользователь 3 Сертификат пользователя Возвращает атрибуты (права) пользователя

Авторизированный доступ Центр Идентификации (Identity Provider) доверенная третья сторона Web-портал Клиент Клиент запрашивает ресурс Портал просит представиться с помощью цифрового удостоверения, определяя перечень поставщиков "доверия" 1 2 Пользователь 3 Предъявляет смарткарту 5 Запрашивает цифровое удостоверение, предъявляя сертификат пользователя 6 Возвращает цифровое удостоверение, содержащее атрибуты/права пользователя и дополнительную информацию Предъявляет цифровое удостоверение 4

Авторизированный доступ Клиент Web-портал Подсистема биометрической аутентификации проверяет возможность дальнейшего доступа 2 1 Для доступа клиент предоставляет отпечаток пальца

Авторизированный доступ идентификация конкретного человека, а не материального носителя (карты, жетона и т.п.); однозначность идентификации благодаря применению уникального биометрического параметра (отпечатка пальца); предотвращение производимого пользователями обмена идентификаторами (логины/пароли, материальные носители) и соответствующими полномочиями; применение отпечатка пальца как единой «точки входа» легального пользователя к правительственному порталу. Развитие системы аутентификации и идентификации Процедуры аутентификации с использованием биометрии

Авторизированный доступ Центр Идентификации позволяет использовать сертификаты для аутентификации и создания цифрового удостоверения, обеспечивается уникальность идентификатора пользователя Сервис получает с цифровым удостоверением идентификатор, атрибуты пользователя и необходимую ему информацию в стандартизированном виде Развитие системы аутентификации и идентификации Единое, общее пространство идентификаторов пользователей Процедуры аутентификации с использованием сертификатов открытых ключей аутентификация с использованием сертификата открытого ключа пользователя и получение цифрового удостоверения для доступа к конкретному сервису решение о доступе к конкретному ресурсу принимается в результате проверки полученного цифрового удостоверения

Авторизированный доступ авторизованный доступ населения, организаций и ведомств к информационным ресурсам и услугам в соответствии с устанавливаемыми регламентами доступ посредством биометрической аутентификации пользователей доступ посредством идентификации пользователей с помощью единых универсальных цифровых идентификаторов гарантированная криптографическая аутентификация предоставление новым сервисам необходимой только им информации, выданной доверенной третьей стороной обеспечение юридической значимости электронного документа, заверенного ЦП использование унифицированной ID карты в качестве идентификатора пользователя Решаемые задачи

Электронная ID карта Применение смарт карты обеспечивает Идентификацию и аутентификацию держателя карты Подтверждение целостности и достоверности данных, хранящихся в памяти карты Подтверждение операций с применением ЦП Юридически значимый документооборот Осуществление безналичных электронных платежей Использование в государственных корпоративных системах ( электронная социальная карта гражданина (пенсионная карта), платёжная карта, карта аутентификации при доступе к электронным государственным услугам, средство цифровой подписи, электронная карта гражданина при голосовании и так далее.) Использование в коммерческих корпоративных системах

Электронная ID карта Защищенность Защищенность информации криптографическими методами ЦП в соответствии с алгоритмом RSA 2048 bit Алгоритм хэширования в соответствии с SHA-1,2 Алгоритм шифрования в соответствии с AES 256 bit Физическая защищенность микроконтроллера Аппаратные средства контроля целостности данных и разграничения доступа к областям памяти микроконтроллера Аппаратные средства защиты от динамических и статических методов исследования Защита методами полиграфии Защищённая биометрическая аутентификация

Электронная ID карта Универсальность Соответствие международным стандартам Соответствие национальным требованиям в области информационной безопасности Поддержка контактного и бесконтактного (радио) интерфейсов Надежность Сертификация на соответствие стандартам CWA 14169:2004 (EAL4+), ISO/IEC 19790:2006 (FIPS 140-2)

СПАСИБО ЗА ВНИМАНИЕ !