I Решения Thales e-Security Профиль I Мировой

I Решения Thales e-Security

Профиль I Мировой лидер в области критически важных информационных систем Три основных области деятельности ● АЭРОКОСМИЧЕСКАЯ ОТРАСЛЬ ● ОБОРОНА ● СИСТЕМЫ БЕЗОПАСНОСТИ - 40% - 30% } € 13 млрд. годового дохода Глобальная компания ● Fortune 500 ● 11 -ый в мире по размеру военный производитель ● 68 000 сотрудников по всему миру ● присутствие в 100 странах 1

I Три основных области деятельности Оборона 40 % Аэрокосмическая отрасль 30 % Воздушные Сухопутные Морские Объединенные Безопасность 30 % 2

Акционеры Thales I Правительство Франции 27 % В свободном обращении 47 % Принадлежат работникам (3 %) Принадлежат Thales (1, 9 %) 26 % 198, 7 миллионов акций 21 млрд. € 3

Мировое присутствие Thales e-Security I ● Офисы в 8 странах ● ● ● ● Англия Германия Франция США Гонг-Конг Япония Австралия Россия ● Дистрибьюторы и реселлеры более чем в 100 странах 4

Thales e-Security I ● Подразделение Thales e-Security – мировой поставщик криптографических решений высокого уровня защиты и качества для корпоративных и государственных заказчиков, обеспечивающих безопасность: ● Данных при передаче ● Данных при хранении ● Данных при использовании 5

I Военные технологии для коммерческих заказчиков Проверенный поставщик решений по информационной безопасности Для государственных, оборонных и коммерческих организаций по всему миру № 1 в Европе По решениям информационной безопасности для госсектора № 1 в мире Для банковского сектора № 1 в мире Для производственного сектора Решения Thales используют • 55 правительств • 19 из 20 крупнейших банков (80% всех в мире) • 3 крупнейших фармацевтических компании • 4 крупнейших энергетических компании • 9 из 10 крупнейших технологических компаний 6

I Уникальные преимущества решений Thales ● Нет аналогов на отечественном рынке ● Множество внедрений в России ● Репутация которой доверяют правительства и военные ● Более 40 лет на рынке ИТ безопасности ● Лидирующая производительность ● Поддержка всех отраслевых криптографических стандартов

Решения Thales e-Security I Защита платежей Строгая аутентифика ция Защита приложений Защита связи Защита хранилищ - Платежные системы Master. Card, Visa, & AMEX - Выпуск карт - Для банков, эмитентов, эквайеров и платежных систем - Комплексная аутентификация - Управление аутентификацией - Мобильная аутентификация - Подпись транзакций - Одноразовые подписи - Поддержка токенов - CAP / 3 D-Secure - n. Shield HSM для защиты криптографических ключей и предотвращения утечки информации - Временные метки для валидации документов -Ethernet шифрование без задержек - Подключение сетей, выделенные каналы и групповая пересылка - Шифрование лент - Управление ключами шифрования БД - Управление ключами шифрования систем хранения 8

Решения Thales e-Security I 1. Безопасность платёжных систем • pay. Shield 3. Решения общего назначения • Crypto. Stor • TEMS • n. Shield 2. Строгая аутентификация • Safe. Sign • Datacryptor 9

Продукты для платёжных систем I ● pay. Shield 9000 ● ● Безопасность карточных транзакций Выпуск банковских карт Криптографическая защита PIN-кодов Первое устройство сертифицированное по PCI HSM 10

I Знакомство с pay. Shield 9000 ● ● ● ● Разработан специально для защиты платежных систем Первый платежный HSM с высокими показателями производительности Максимальная скорость трансляции ПИН-блока в секунду - 1500 tps Разработан в соответствии с последними требованиями и стандартами безопасности FIPS и PCI Удаленное управление позволяет значительно снизить расходы на обслуживание модулей Модульное ПО с возможностью расширения функциональности Полная обратная совместимость со всеми моделями RG 7000 и HSM 8000 Широкий спектр услуг включая настройки программного обеспечения 11

I Сравнение: HSM 8000 и pay. Shield 9000 Особенности HSM 8000 pay. Shield 9000 Базовое ПО 1 лицензия 4 лицензии на выбор для каждой системы Поддержка многокомпонентных мастер-ключей LMK Да Да Механизм загрузки микропрограмм Программа Image Loader USB или FTP интерфейс Защита под-системы SGSS сертифицирована по стандарту FIPS 140 -2 Level 3 TSPP соответствует стандарту FIPS 140 -2 Level 3 и PCI HSM Максимальный показатель трансляций ПИН-блока в секунду 800 tps 1500 tps Максимальная производительность при генерации ключа 1024 bit RSA 3 в секунду 10 в секунду Электропитание От 1 источника От 2 источников Управление портами 9 way D-Type serial ports Ethernet для локального/удаленного управления USB Ethernet для локального/удаленного управления Коммуникационные интерфейсы 10/100 Mbps Ethernet, ESCON, SNA/SLDC 10/1000 Mbps Ethernet 12

Безопасность платежных операций I Создан в соответствии: FIPS 140 -2 Level 3 – наиболее широко примененный стандарт безопасности для криптографических модулей Предыдущий стандарт Payments Card Industry Hardware Security Module standard (PCI HSM) Защита от вскрытия защита Крепкий стальной корпус – и электромагнитного излучения от электромагнитного излучения Функции шифрования, генерация Защита от вскрытия, случайных чисел и защита важной информации высокий уровень шифрования и с использованием подсистемы TSPP безопасная генерация безопасности в соответствии с требованиямключей FIPS 140 -2 Level 3 Оборудован датчиками движения, от вскрытия и Защита напряжения температуры Кнопка Быстрая удаления деактивация Внутренний датчик Защита от вскрытия Повременной Датчик журнал аудита времени Smart. Card для двухфакторной Авторизация офицеров аутентификации операторов безопасности Два ключа для установки режима работы HSM Доступ для офицеров безопасности и для фиксации его в стойке Оборудован пломбами Защита от вскрытия на верхней панели модуля 13

Решения по защите приложений I ● n. Shield Connect ● HSM общего назначения для дата-центров ● Подключение по Ethernet ● Одновременная поддержка множества приложений ● n. Shield Solo ● HSM общего назначения в виде платы ● PCI и PC Express ● n. Shield Edge ● портативный HSM общего назначения ● Ethernet и USB 14

Атаки на криптографические ключи I ●Кража резервных копий, системных данных или носителей информации позволяет легко обнаружить криптографические ключи ● ● Обратное шифрование данных Кража параметров доступа Создание фальшивых подписей Замена на вредоносные ключи “Software security is soft security: hardware is required” John Pescatore, Gartner Как Вы считаете, в каком из блоков памяти хранится ключ? 15

I Программные vs аппаратные решения Функция безопасности Security Control Изоляция ключей и крипто-процессов Isolation of key material and crypto Защита от физического взлома processes Anti-tamper techniques Строгое распределение for physical protection администрирования Strongly segregated administration domains Строгая аутентификация администраторов Strong authentication for administrators Двойной взаимныйdual controls for Strongly enforced контроль изменений mutual supervision Processing offload to boost Балансирование нагрузки capacity Программные Software Based решения Systems Thales n. Shield - No + Yes - + - No No Опция Option Yes + Yes - No Yes + 16

Применения n. Shield I ●Две широкие области применения для n. Shield ● Идентификация и Доступность (PKI, электронно-цифровая подпись) ● Защита от утечки данных (e. g. Шифрование данных) PKI Аутентификация и Управление учетными данными Уровневое шифрование баз данных и приложений Защита связи SSL, VPN, DNS, XML Электронная подпись и документов Повременной журнал аудита 17

I Решения по строгой аутентификации ● Safe. Sign Authentication Server ● Проверка ЭЦП ● Продвинутая аутентификация ● Safe. Sign Management Server ● Выпуск токенов и управление устройствами ● Смарткарты ● Одноразовые пароли ● Мобильные телефоны 18

I Типовые угрозы в реальной среде q. Работа в открытой среде Интернет § Компьютер клиента не является доверенной средой § Вся передаваемая информация не тайна § Вся передаваемая информация может быть изменена по пути q. Выманивание информации с использованием методов социальной инженерии § Фишинг § Подставные сайты § Специально разработанные вирусы – трояны q. Угрозы для серверной части § Инсайд, коммерческий подкуп, шантаж … 19

I Примеры выуживания паролей 20

I Механизмы защиты q. Строгая Аутентификация пользователей Действительно ли перед нами тот кто мы думаем? q. Проверка целостности транзакций Соответствует ли пришедшая транзакция запрошенной клиентом? q. Аудит операций Кто, когда, какую выполнял операцию и по какому праву? 21

я ри ет а рт ка ой S й ый SM ет т а ик иф рт се ен ок йт мы си пл йа ны ол р Па ь нн нн ез ер ьч ол ль Безопасность в ва ро ро иф иф Ш Ш р Па би Мо Но ов фр и Пр ом йв ы лем м Би т ар Ци е См нт иа ар Стоимость Механизмы аутентификации I ль ль ро ро па па 22

I Множество механизмов аутентификации ●Простой пароль - однозначно нет ●Одноразовые пароли на основе времени/события ●Запрос – ответ, обеспечение целостности транзакции ●EMV механизмы, CAP ●На основе несимметричных алгоритмов (PKI) ●Специфические механизмы привязки к мобильным устройствам 23

Решения по защите сетей I ● Datacryptor Advanced Platform ● Link and IP encryptor ● 100 Mbps ● Datacryptor Layer 2 ● Ethernet Layer 2 and SONET/SDH ● 100 Mbps, 1 Gbps and 10 Gbps ● Multi-point and MPLS 24

I Решения по защите баз данных ● Thales Encryption Manager for Storage ● Хранение и управление ключами ● Использует IBM Tivoli Key Lifecycle Manager ● Безопасность корпоративных ключей ● Key Management Infrastructure Protocol (KMIP) toolkit 25

I Thank you Thales e-Security Ключ к безопасности информационных технологий 26