История российской компании Aladdin Software Security R.D. насчитывает 14 лет. За это время опыт использования её продукции приобрели десятки тысяч учреждений и предприятий, работающих в нашей стране. По данным Aladdin, только электронных ключей семейства eToken (их первые версии появились на рубеже 2000—2001 гг.) продано около миллиона. В пятерку основных отраслевых потребителей токенов входит ОАО “Мосэнерго” — самая крупная из региональных генерирующих компаний Российской Федерации и технологически неотъемлемая часть Единой энергетической системы России. Ныне в состав ОАО “Мосэнерго” входят 15 электростанций, поставляющих около 70% электрической энергии, потребляемой в московском регионе, и обеспечивающих 66% потребностей столицы в тепловой энергии.
О построении централизованной системы строгой аутентификации на базе eToken, а также о других проектах по информационной безопасности обозревателю PC Week/RE Владимиру Митину рассказали глава Дирекции по информационным технологиям ОАО “Мосэнерго” Валентин Грязнов и руководитель проектов этой дирекции Максим Пираторов.
PC Week: Если не секрет, что представляют собой информационные ресурсы ОАО “Мосэнерго”?
Валентин Грязнов: В настоящее время с технической точки зрения корпоративная сеть ОАО “Мосэнерго” включает 200 серверов с общей емкостью памяти примерно 40 Тб и около 3500 рабочих станций, разбросанных по всем нашим объектам. Пользователи этой сети в общей сложности применяют в своей работе порядка трехсот различных приложений, доступ к которым возможен как с рабочих станций, так и через каналы Интернета.
PC Week: Как давно используются токены Aladdin в ИТ-инфраструктуре ОАО “Мосэнерго”?
Максим Пираторов: Более трех лет назад мы начали использовать USB-ключи eToken PRO в качестве средств аутентификации для обеспечения безопасного доступа к ряду приложений в терминальном режиме, в частности к “1С”. Со временем область применения ключей Aladdin была расширена за счет использования токенов в качестве ключевых носителей для хранения закрытых ключей шифрования электронной почты и электронной цифровой подписи. Эта мера была принята для обеспечения защищенного информационного обмена в рамках внутрикорпоративной переписки.
Внедренные регламенты по безопасности приводили к эксплуатационным сложностям и росту нагрузки на службы технической поддержки. В свою очередь, увеличение количества используемых токенов затрудняло их обслуживание. Отсутствие механизма автоматизации таких процедур, как обновление сертификата, замена утерянного токена, приостановление действия сертификата на период отпуска сотрудника, сказывалось на прозрачности и управляемости всей системы аутентификации предприятия. В рамках нового этапа развития проекта было принято решение о внедрении единого для всех подразделений стандарта аутентификации на базе аппаратных устройств Aladdin. Это требовало построения общей инфраструктуры управления токенами в территориально распределенной сети ОАО “Мосэнерго”.
PC Week: Основанием для перехода на централизованную систему управления средствами аутентификации были исключительно проблемы администрирования?
В. Г.: Не совсем, предпосылкой к модернизации всей инфраструктуры аутентификации послужили и штатные изменения в ОАО “Мосэнерго”. Достижение e-Token’ами “критической массы” по времени совпало с появлением среди акционеров “Мосэнерго” нового крупного акционера (“Газпром”). В результате Служба безопасности ОАО была усилена кадрами, более тонко понимающими значимость информационных технологий. C февраля этого года для централизованного управления жизненным циклом данных ключей применяется хорошо масштабируемая система Aladdin eТoken TMS (Token Management System). Сегодня “под присмотром” этой системы находится существенная часть используемых электронных ключей eToken PRO. Кроме того, для обеспечения мобильной работы сотрудников при сохранении высокого уровня безопасности сейчас используются комбинированные устройства для аутентификации eToken NG-OTP, оснащенные генератором одноразовых паролей. Они необходимы сотрудникам, которым по долгу службы иногда приходится заходить в корпоративную сеть из недоверенной среды — например, из разного рода зон действия беспроводного доступа.
PC Week: Какие альтернативные подходы к реализации процессов аутентификации были рассмотрены? Почему именно Aladdin?
В. Г.: Выбор Aladdin в качестве партнера по проекту обусловлен историческими причинами. Мы всегда стремимся к прямым контактам с поставщиками программных или аппаратных средств. Это обеспечивает нам гарантированное качество услуг и оперативность в решении разного рода проблем и выгодные цены. Это особенно важно, если проект предполагает доработку поставляемых нам комплексов с учетом специфических требований. Как я уже говорил, мы давно работаем с ключами eToken, сотрудники ОАО “Мосэнерго” привыкли к ним, это такой же рабочий инструмент, как, скажем, компьютерная мышь или телефон.
PC Week: С какими трудностями вам пришлось столкнуться в процессе внедрения централизованной системы управления средствами аутентификации на базе решения Aladdin eТoken TMS?
М. П.: Собственно сам процесс внедрения, включая опытную эксплуатацию, занял всего несколько месяцев. Трудностей c реализацией штатных возможностей TMS 2.0 практически не было. Некоторые коррективы пришлось внести в соответствии с недавно принятым корпоративным стандартом — использованием коммуникаторов BlackBerry. В итоге мы добились, что при выпуске сертификата был обеспечен механизм создания резервной копии закрытого ключа с возможностью последующего его восстановления в устройстве BlackBerry для обеспечения защиты почтовой переписки. Насколько я знаю, аналогов таким работам в нашей стране нет. Здесь сотрудники Aladdin оказали нам неоценимую помощь.
PC Week: Подводя итоги по части внедрения решений на eToken: какие характерные черты присущи развернутой в ОАО “Мосэнерго” системе аутентификации?
В. Г.: Прежде всего — исключительное удобство администрирования нашего “ключевого хозяйства” (включая выдачу, отзыв и продление сроков действия тысяч сертификатов подлинности). В реализации этого процесса задействован минимум персонала Дирекции корпоративной защиты. Кроме того, эта система поможет облегчить жизнь пользователям — в будущем им не нужно будет запоминать многочисленные сложные пароли для доступа к используемым ими приложениям, а достаточно будет помнить лишь PIN-код своего токена. И самое главное — повышение общего уровня информационной безопасности за счёт обеспечения строгой аутентификации пользователей и защиты доступа к корпоративным приложениям.
PC Week: Насколько мне известно, ОАО “Мосэнерго” сотрудничает с Aladdin также в направлении защиты от Web-угроз. Расскажите об этом подробнее.
М. П.: Развитие интернет-технологий повлекло за собой появление и широкое распространение новых видов угроз, а также механизмов их реализации. Анализ используемых решений привел нас к пересмотру технологического подхода по обеспечению безопасной работы сотрудников с Web-ресурсами. Требовалось повысить гибкость управления политиками информационной безопасности, а также обеспечить контроль использования ресурсов Интернета в масштабе всех подразделений.
Сейчас система обеспечения безопасности от вредоносного кода и различных Web-атак построена по принципу эшелонированной обороны, на самом высоком уровне которой находится eSafe. Этот шлюзовой комплекс был выбран нами по итогам тестирования ряда решений сходной функциональности: ни одно из них не сравнимо с eSafe по таким техническим показателям, как производительность, легкость интеграции и масштабируемость системы.
eSafe не перегружает аппаратные мощности и способен на проводной скорости осуществлять полную очистку входящего и исходящего трафика от вредоносного кода, позволяя пользователям посещать нужные Web-ресурсы без риска заражения компьютера. Особенностью eSafe является возможность блокирования вредоносного кода, “встроенного” в легитимные сайты. Внедрение этого решения позволило снять проблему блокирования коммуникаций “шпионских” приложений, отслеживания и запрета нелегитимного туннелирования и программ удаленного управления компьютером. Безусловные плюсы решения — высокое качество URL-фильтрации и наличие механизмов адресного блокирования запрещенных интернет-приложений, таких как P2P, мессенджеры (ICQ), ПО для скачивания потоковых видео/аудио и др.
Кроме того, установка eSafe на уровне корпоративного интернет-шлюза снижает нагрузку на остальные рубежи обороны — защищенные сегменты сети, серверы и рабочие станции. Технологии, реализованные в eSafe, позволили повысить качество обеспечения защиты от нежелательной корреспонденции (спама) и сократить время, затрачиваемое сотрудниками на обработку входящих почтовых сообщений.
PC Week: За время работы комплекса eSafe удалось ли вам выявить попытки несанкционированного доступа к базам данных ОАО “Мосэнерго” со стороны инсайдеров или “внешних врагов”?
В. Г.: Мы стремимся не к выявлению попыток несанкционированного доступа к нашим базам данных, а к исключению каналов утечки конфиденциальной информации. Для этой цели мы применяем не только eSafe, но и другие решения, включая специализированные системы. Для нас польза от технологий контентной фильтрации eSafe прежде всего выразилась в том, что за счет исключения паразитного трафика из общего потока и введения ряда ограничений на нецелевое использование ресурсов Интернета объем потребляемого трафика в ОАО “Мосэнерго” сократился на 60%. Также до приемлемого уровня был сокращен объём нежелательной корреспонденции. Автоматизированная подготовка отчетов о работе системы обеспечения Web-безопасности позволила нам откорректировать корпоративные политики и иметь наглядное представление об использовании ресурсов глобальной сети нашими сотрудниками. Но дело даже не столько в экономии трафика (хотя и это важно), сколько в том, что люди, находясь на рабочих местах, не отвлекаются на посещение сайтов развлекательного характера, концентрируясь на выполнении профильных обязанностей.
PC Week: Каковы планы по дальнейшему развитию сотрудничества с Aladdin?
В. Г.: Новый этап развития проекта с Aladdin предполагает внедрение единого, общего для всех подразделений стандарта аутентификации на базе аппаратных устройств eToken, поддерживающих технологию SSO (Single-Sign-On) для так называемой сквозной аутентификации — безопасного доступа ко всем системам и приложениям, ежедневно используемым сотрудниками ОАО “Мосэнерго”.
В целом комплексный подход, которого придерживаются как ОАО “Мосэнерго”, так и Aladdin, позволил нам повысить существующей уровень системы информационной безопасности и обеспечить высокое качество интеграции систем и технологий. Важным достижением проекта в ОАО “Мосэнерго” является возможность масштабирования системы, созданной с учетом технологического развития и совершенствования.
PC Week: Спасибо за беседу.