Назад
Цифровые технологии
2 июня 2009

Защита доступа к Интернет-порталам

Решение предназначено для компаний, предлагающих публичные онлайн-сервисы для клиентов, партнеров, удаленных филиалов и подразделений, мобильных пользователей (где требуется защищенный распределенный доступ к веб-ресурсам).

В основе решения лежат программные продукты - Trusted TLS и КриптоПро CSP. Программное решение служит в качестве SSL-терминатора для организации шлюза на входе в корпоративную сеть.

Предлагаемое решение дает возможность анализировать в онлайн-режиме действия внешних пользователей и контролировать функционирование системы в целом.

Кроме того, решение позволяет расширить возможности создания веб-приложений в рамках внутрикорпоративной сети. Организация получает возможность разрабатывать приложения не только под платформу MS IIS, но и под другие платформы, в том числе не поддерживающие сертифицированные средства криптозащиты.

Решение обеспечивает защищенный доступ пользователей к серверу портала госзакупок, предназначенного для размещения информации о создании заказов в соответствии с ФЗ от 21.07.2005 г. N 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд».

Для защиты доступа к ресурсам веб-портала до настоящего времени использовалась стандартная схема регистрации и аутентификации пользователей - по логину и паролю. Согласно новым требованиям веб-портал должен предоставлять своим пользователям также возможность двухсторонней аутентификации и автоматизированной регистрации по цифровому сертификату X.509. С учетом этих требований была разработано программное решение, реализующее доступ пользователей по цифровым сертификатам, хранящимся на usb-токенах.

В рамках описываемого решения могут быть реализованы несколько вариантов защиты доступа к конфиденциальной информации компании:

  • доступ к веб-ресурсам по ГОСТ сертификатам
  • доступ к веб-ресурсам одновременно по ГОСТ и RSA сертификатам

Доступ к веб-ресурсам по ГОСТ-сертификатам

Данный вариант позволяет разграничивать доступ сотрудников к корпоративным веб-ресурсам на основе использования цифровых ГОСТ-сертификатов. Он может быть использован в тех ситуациях, когда для доступа к ресурсам организации требуется строгая аутентификация пользователя (вход по цифровым сертификатам), а в качестве средств защиты должны применяться сертифицированные криптографические средства.

Для реализации этого решения требуется установка на сервере криптопровайдера “КриптоПро CSP” и ПО Trusted TLS. На клиентских местах должен быть установлен криптопровайдер “КриптоПро CSP” с поддержкой TLS.

Возможна поддержка как односторонней, так и двухсторонней аутентификации.

Доступ к веб-ресурсам одновременно по ГОСТ и RSA сертификатам

Второй вариант обеспечивает одновременную поддержку двух сертификатов на сервере. При этом реализация доступа возможна двумя способами:

  • При первом способе доступ к веб-ресурсам обеспечивается одинаково при предъявлении сертификата любого вида (ГОСТ и не-ГОСТ). Обращение к веб-ресурсу выполняется по одному и тому же адресу.
  • При втором способе обращение к веб-ресурсам происходит по различным адресам, в зависимости от предъявляемого типа сертификата. Дальнейшее определение прав доступа осуществляется за счет настроек сервера Apache.

Для реализации этого варианта требуется установка на сервере криптопровайдера “КриптоПро CSP” и стандартного Windows (на выбор) и ПО Trusted TLS. На клиентских местах должен быть установлен криптопровайдер “КриптоПро CSP” с поддержкой TLS и стандартный Windows (на выбор).

Ссылка скопирована