Identifikace a autentizace pro konkrétní informační systém

Transkript

1 Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování Identifikace a autentizace pro konkrétní informační systém Diplomová práce Autor: Bc. Radek Šnejdar Informační technologie a management Vedoucí práce: Ing. Vladimír Beneš Dubí duben, 2009

2 Prohlášení: Prohlašuji, ţe jsem diplomovou práci zpracoval samostatně a s pouţitím uvedené literatury. V Dubí dne Bc. Radek Šnejdar 2

3 ANOTACE Cílem diplomové práce je návrh, výběr řešení a implementace identifikace a autentizace pro stávající informační systém. V první části je analyzován současný stav u Zákazníka. Dále se zabývám, jaké jsou současné moţnosti autentizace a identifikace. V druhé části je popsán návrh konkrétního řešení a implementace systému. V poslední kapitole je zhodnocení řešení. ANNOTATION The aim my thesis is proposal, selection solving and implementation identification and authentication for specific information system. The first part is analyzed present situation near consumer. Next deal with what are delivery possibilities authentication and identification. In second parts is described proposal concrete solving and system implementation. At last chapter is estimation solving. 3

4 OBSAH Úvod Analýza prostředí u Zákazníka Popis současného stavu Hardwarové prvky Docházkové a přístupové jednotky Software Obecné poţadavky Zákazníka Souhrn poţadavků Dostupné technologie na trhu Bezpečnostní politika Analýza rizik Typy bezpečnostních politik Bezpečnostní mechanismy Základní terminologie Autentizace a identifikace Přístupový systém Docházkový systém Czech Point Autentizace jménem a heslem

5 2.3.1 Sloţitost hesel Hledání hesla Sdělování hesel Autentizace Smart kartou Smart karta a certifikát Smart karta a jméno a heslo RSA Autentizace biometrikou Návrh řešení Popis nabízeného řešení Docházkový a přístupový systém Autentizace Technická specifikace Komponenty docházkového a přístupového systému Komponenty autentizace Výkaz Výměr Termín dodání a záruční podmínky Implementace Konfigurace systému Komponenty Realizace řešení Zaškolení Projekt

6 5 Zhodnocení Seznam pouţité literatury Seznam obrázků

7 Úvod V diplomové práci se zabývám identifikací a autentizací pro informační systém. S identifikací se člověk potkává kaţdý den a např. hned po narození dostane identifikační číslo rodné číslo. To je unikátní kombinace čísel, které ho doprovází po celý ţivot. S autentizací je to jiţ sloţitější. Musíme ověřit, zda je ten, kdo se za někoho vydává skutečně on. Řešením můţe být vydání občanského průkazu (kde je fotografie) nebo průkazu s biometrickými prvky. Práce obsahuje analýzu moţných řešení identifikace a autentizace pro konkrétní informační systém. Nejsou popsány všechny metody autentizace, ale pouze několik nejpouţívanějších řešení. Zvyšování bezpečnosti při přihlašování do informačního systému je v dnešní době aktuální téma. Podniky si potřebují chránit svá cenná data proti neţádoucím přístupům a pomocí moderních technologií se toto daří. Nikdy se zřejmě nepovede 100% zabezpečit přístup, ale čím sloţitější bezpečnostní mechanismus pouţijeme, tím eliminujeme potencionální neţádoucí přístupy. Cílem diplomové práce je návrh, výběr řešení a implementace identifikace pro stávající informační systém. Práce vychází z reálných podkladů a součástí řešení je modernizovat přístupový systém a zavést docházkový systém. Výběr řešení je kompromisem mezi finanční a funkční stránkou. Není nutné zavádět komplikovanou a finančně nákladnou autentizaci pro určitý informační systém, kde nejsou uloţena citlivá data. Při výběru řešení je také důleţitý určitý uţivatelský komfort. Čím více bude systém komplikovaný a uţivatelsky nepřívětiví, tím častěji si budou uţivatelé vše zjednodušovat a pouţívat různé způsoby jak systém obejít. V závěru práce je popis implementace řešení, projekt a zhodnocení. 7

8 1 Analýza prostředí u Zákazníka Tato diplomová práce vychází z realizovaného projektu Dodávka, instalace a implementace kombinovaného přístupového, docházkového a autentizačního systému. Pro zachování anonymity dodavatele a odběratele nebudu jmenovat konkrétní názvy společností, ale pouţiji označení Zákazník a Dodavatel. Jediné co mohu uvést je to, ţe Zákazník je ze státní správy. 1.1 Popis současného stavu V počítačové síti Zákazníka se pouţívá prostředí Windows Server 2003 s technologií Active directory (AD), uţivatelské stanice s operačním systémem Windows XP, terminálové sluţby s technologií Citrix a publikované aplikace. V nedávné době proběhla konsolidace ze systémů Novell Netware, Windows Server 2000 a uţivatelských stanic s operačním systémem Windows 95/98. Po úspěšné konsolidaci se Zákazník rozhodl pro řešení zvýšené bezpečnosti identifikace a autentizace uţivatelů. V současné době se pouţívá autentizace pomocí jména a hesla. Nejsou nastavena ţádná pravidla pro uţívání silných hesel ani pro pravidelnou obměnu hesel (např. změna hesla po třech měsících). 1.2 Hardwarové prvky Zákazník vyuţívá v současnosti tři budovy propojené optickým spojem. Vnitřní sítě LAN jsou vybudovány na technologii standardní strukturované kabeláţe. Servery, v počtu cca 20ks, jsou na platformě Windows. Uţivatelské stanice, v počtu cca 200ks, jsou také na Windows platformě. 1.3 Docházkové a přístupové jednotky Přístupový a docházkový systém je cca 10 let starý a funguje na bázi bezkontaktních karet technologie EM4102. Systém byl dodán dnes jiţ neexistujícím dodavatelem a je prakticky bez jakékoliv technické podpory. Správa systému je nainstalována na zastaralém standardním počítači se systémem Windows 95. Nepodařilo se dohledat jakým způsobem je prováděno zálohování a v případě selhání počítače neexistuje moţnost obnovy databáze. 8

9 1.4 Software Převáţná většina software je na platformě Windows. Windows server 2003 DB Server SQL 2003 Exchange Server 2003 Informační systém Helpdesk Terminálové řešení Citrix Speciální aplikace 1.5 Obecné požadavky Zákazníka Poţadovaný systém musí splňovat nejvyšší spolehlivost jednotlivých částí a minimálně zasáhnout do stávajícího systému řízení přístupu do budov, vyhodnocení docházky, tak zabezpečení. Docházkový software musí nabídnout širokou škálu výstupů a moţnost celý systém doplňovat o další moduly, které mohou vylepšit komfort nabízeného řešení. Předpokládá se, ţe celý systém bude moţné napojit na tiskárnu karet přímo ze softwaru. Zároveň s docházkovým systémem zavést více-faktorovou dvou (případně i tří) - faktorovou autentizaci uţivatelů. Pro autentizaci pouţívat stejný předmět jako pro docházkový systém, pokud moţno kontaktní a bezkontaktní část v jednom předmětu. Více-faktorová autentizace musí podporovat platformu Windows, terminálové prostředí včetně Citrix rozšíření. Pro ukládání dat z docházkového systému bude vyuţit stávající SQL server. Poţaduje se moţnost budoucího rozšíření o SSO. Autentizace musí podporovat přihlášení do projektu Czech POINT. Umístění docházkových terminálů: V hlavní budově a v budově A je poţadavek na dva docházkové terminály umístěné na vstupní zábrany, přičemţ jeden jako vstupní a druhý výstupní. V budově B je poţadavek na jeden terminál, coţ znamená společný pro vstup i výstup. 9

10 Propojení systému bude realizováno po vybudované síti LAN. 1.6 Souhrn požadavků 5 ks docházkových terminálů software pro řízení přístupů do budovy a evidence docházky pro 300 osob. 250 ks autentizačních předmětů (kompatibilní s bezkontaktní částí EM4102) 200 licencí klientského software 200 ks čteček kompatibilních s autentizačním předmětem Dodávka musí zahrnovat montáţ, instalaci zařízení, kabeláţe a napojení na stávající systém přístupu a předvedení autentizace uţivatelů pomocí kombinované karty na 10 vybraných uţivatelích. Součástí dodávky musí také být zaškolení pracovníků obsluhy a záruční a pozáruční servis. 10

11 2 Dostupné technologie na trhu Na začátku této kapitoly si vysvětlíme pojmy, které souvisejí s identifikací a autentizací uţivatelů pro informační systém. 2.1 Bezpečnostní politika 1 Vzhledem ke standardizaci informačních technologií a nárůstu objemu přenášených dat, je problematika bezpečnosti počítačových sítí velmi aktuální téma. S rozmachem informačních technologií jsou organizace odkázány právě na správné fungování podnikové sítě. Počítače dnes řídí výrobní linky, zpracovávají účetnictví a vyvíjejí nové produkty. Organizace proto musí investovat do zajištění bezpečnosti informací velké úsilí a nemalé finanční prostředky Analýza rizik Nejdůleţitější etapou stanovení bezpečnostní politiky je analýza rizik. Analýza rizik předchází vlastnímu stanovení bezpečnostní politiky. Jejím cílem je: identifikování, zvládnutí, odstranění nebo minimalizace událostí, které mají neţádoucí vliv na aktiva organizace zjištění hrozeb a rizik, kterým je IS vystaven určení, jaké škody mohou útokem vzniknout určení, která opatření rizika hrozeb odstraní nebo alespoň minimalizují, a co jednotlivá opatření stojí Typy bezpečnostních politik Variant přístupů k zabezpečení IT je více, některé jsou zajímavější nákladově, jiné dosaţenou transparentností, další pak odolností proti útoku výjimečné síly. Doporučená varianta bezpečnostní politiky IS by měla vţdy vzejít z oponované a závazně přijaté bezpečnostní 1 Šnejdar, Radek BP, Implementace bezpečné počítačové sítě, str

12 politiky organizace a bezpečnostní politiky IT organizace (při respektování výsledků analýzy rizik IS). Podle poţadované úrovně zabezpečení rozpoznáváme bezpečnostní politiky čtyř obecných typů: Promiskuitní bezpečnostní politika je bezpečnostní politika nikoho neomezující, která kaţdému v zásadě povoluje dělat vše, tedy i to, co by dělat neměl. IS s promiskuitní bezpečnostní politikou jsou obvykle provozně nenákladné, mnohdy ani nenutí povinně pouţívat pro autentizaci alespoň hesla, a zaručují pouze minimální nebo vůbec ţádnou bezpečnost. Důvodem pouţívání IS s promiskuitní bezpečnostní politikou můţe být ekonomičnost řešení, potřebná úroveň bezpečnost můţe být zajišťována prostředky mimo IT. Liberální bezpečnostní politika je bezpečnostní politika, která kaţdému povoluje dělat vše, aţ na věci explicitně zakázané. Liberální bezpečnostní politika zaručuje větší bezpečí neţ promiskuitní politika. Liberální bezpečnostní politika je často uplatňována v prostředích, ve kterých se hrozby povaţují za málo aţ průměrně závaţné a nepominutelným poţadavkem je nízká ekonomická náročnost řešení bezpečnosti. Typicky se opírá o zásadu volitelného řízení přístupu zaloţeného na identitě subjektů. Opatrná bezpečnostní politika, resp. racionální bezpečnostní politika je bezpečnostní politika zakazující dělat vše, co není explicitně povoleno. Opatrná bezpečnostní politika je nákladnější na zavedení, avšak zaručuje vyšší stupeň bezpečnosti. Při aplikaci na obecný IS vesměs poţaduje provedení klasifikace objektů a subjektů podle jejich schopností a citlivosti. Je opřena mj. o zásadu povinného řízení přístupu zaloţeného na rolích, ve kterých vystupují subjekty při styku s IS. Z hlediska pouţívání IS v Internetu je obvykle počáteční bezpečnostní politikou při zavádění firewallů. Paranoidní bezpečnostní politika je bezpečnostní politika zakazující dělat vše potenciálně nebezpečné, tedy i to, co by nemuselo být explicitně zakazováno. Zaručuje nejvyšší stupeň bezpečnosti. Např. zakáţe pouţívat jakékoliv internetovské sluţby (co kdyby se daly zneuţít), resp. předepíše pouţívat IS bez moţnosti on-line napojení na komunikace. Vede pak k maximální izolaci systému. Paranoidní bezpečnostní politika stále můţe být pro mnoho organizací uţitečná. Databázový 12

13 systém zpracovávající vysoce důvěrné informace lze fyzicky a technicky izolovat na systém s konečným počtem snadno kontrolovatelných vstupů a výstupů. Paranoidní charakter bezpečnostní politiky umoţní implementaci aplikace v prostředí s nízkou systémovou reţií, tudíţ s dosaţitelnou vyšší výkonností při zachování niţší úrovně nákladů Bezpečnostní mechanismy Pro implementaci funkcí prosazujících bezpečnost se pouţívají bezpečnostní mechanismy. Bezpečnostní mechanismus je logika nebo algoritmus, který hardwarově (technicky), softwarově (logicky), fyzicky nebo administrativně implementuje bezpečnostní funkci. Rozpoznáváme podle publikace ITSEC: Slabé bezpečnostní mechanismy Pro ochranu před amatéry, proti náhodným útokům, lze je narušit kvalifikovaným útokem, tj. útokem střední síly. Bezpečnostní mechanismy střední síly Pro ochranu před hackery, proti úmyslným útokům s omezenými příleţitostmi a moţnostmi, hovoříme o běţných útocích. Silné bezpečnostní mechanismy Ochrana před profesionály, ochrana proti útočníkům s vysokou úrovní znalostí, s velkými příleţitostmi, s velkými prostředky, pouţívajícími útoky vymykající se běţné praxi. Softwarové bezpečnostní mechanismy Princip řízení přístupu v daném operačním systému, kryptografie symetrická (s tajným klíčem), asymetrická (s veřejným a privátním klíčem), standardy pro návrh, kódování, testování, údrţbu programů, ochranné nástroje v operačních systémech, např. ochrana paměti, ochrana souborů řízením přístupu, obecná ochrana objektů, tj. přístupové matice, přístupové seznamy, hesla, autentizace přístupu k terminálu, mechanismy určené pro autentizaci zpráv. Hardwarové bezpečnostní mechanismy Šifrovače, autentizační a identifikační karty. Fyzické bezpečnostní mechanismy 13

14 Stínění, trezory, zámky, protipoţární ochrana, generátory náhradní energie, chráněná místa pro záloţní kopie dat a programů. Administrativní bezpečnostní mechanismy Výběr důvěryhodných osob, hesla, právní normy, zákony, vyhlášky, předpisy. 2.2 Základní terminologie Autentizace a identifikace 2 Autentizace je proces ověřování a potvrzování totoţnosti uţivatele (komunikujících stran). Autentizace můţe vést k jednoznačné identifikaci (zjištění identity uţivatele: Kdo je?) nebo k verifikaci uţivatele (potvrzení identity uţivatele: Je ten, kdo tvrdí, ţe je?) na základě zadaných údajů uţivatele do autentizačního systému. Autentizace můţe probíhat jednosměrně, kde se autentizuje pouze jedna strana vůči druhé, nebo obousměrně, kdy se autentizují obě strany vzájemně, a obě musí sdílet určitou tajnou informaci. Základní metody pro zjištění identity: Identifikace podle uživatelského jména a hesla, PINu (něco co uživatel zná) Jednoduchá metoda zabezpečení s minimálními náklady. Tato metoda je velmi náchylná k zapomenutí, zneuţití a k uhádnutí. Někdy se vyţaduje pravidelná obměna hesel. Doporučuje se uţití silných hesel odolných proti odhalení (kombinace malých a velkých písmen, číslic a speciálních znaků, minimální délka hesla). Identifikace pomocí technického prostředku (něco co uživatel má) Uţivatel se identifikuje pomocí unikátního technického prostředku, který vlastní. Jednoduchá metoda ověření autorizace. Tato metoda je náchylná ke ztrátám, krádeţi a kopiím. Čipové karty Pojmem Chip card nebo Smart card je označována karta ve velikosti kreditní karty se zabudovaným integrovaným obvodem. První čipové karty se objevily v 70. letech a v dnešní době se s nimi potkáváme na kaţdém kroku. Např. v mobilním telefonu nebo platební kartě. Čipové karty dělíme na kategorie: 2 Šnejdar, Radek BP, Implementace bezpečné počítačové sítě, str

15 Čipová karta obsahující pouze paměť (paměťová karta) Čipová karta obsahující paměť a mikroprocesor (Smart karta Smart Card) Čipová karta s kontaktním přístupem Čipová karta s bezkontaktním přístupem Čipová karta kombinovaná Výhody čipových karet Čipové karty mohou být pouţity k identifikaci, autentizaci a uloţení dat. Čipové karty poskytují prostředky pro uskutečňování obchodních transakcí, bezpečné, standardním způsobem s minimálními lidskými zásahy. Čipová karta můţe poskytnout vícefaktorovou autentizaci Podpora SSO Karta Smart Card 3 Přihlašování k síti pomocí karty Smart Card představuje efektivní způsob ověření totoţnosti, neboť se jedná o kryptografickou identifikaci a prokázání totoţnosti uţivatele při přihlašování k doméně. Pokud například osoba se zlými úmysly zjistí heslo některého uţivatele, můţe v síti prostřednictvím tohoto hesla pouţívat identitu daného uţivatele. Mnoho lidí volí svá hesla tak, aby byla snadno zapamatovatelná. Taková hesla ovšem nejsou účinná, neboť je snadné je uhodnout. V případě karet Smart Card by stejná osoba se zlými úmysly musela získat jak uţivatelovu kartu Smart Card, tak jeho osobní identifikační číslo (PIN), aby mohla neoprávněně pouţít jeho identitu. Neoprávněné pouţití identity je tedy ztíţeno, neboť je třeba překonat další úroveň zajištění. Další výhodou je, ţe dojde-li k řadě následných chybných zadání kódu PIN, bude karta zablokována. Pouţití slovníkového útoku k uhádnutí kódu karty je tedy značně ztíţeno. (Všimněte si, ţe kód PIN nemusí obsahovat pouze čísla, ale můţe se skládat i z 3 Centrum pro nápovědu a odbornou pomoc, Windows Server 2003, Standard Edition 15

16 dalších alfanumerických znaků.) Karty Smart Card jsou odolné také proti nezjištěným útokům, protoţe neoprávněná osoba by musela kartu nejprve získat, coţ uţivatel poměrně snadno zjistí. Identifikace biometrickými systémy (něco čím uživatel je) Uţivatel se identifikuje podle jednoznačných ukazatelů. Tato metoda patří mezi nejbezpečnější metody identifikace a nelze téměř obelstít. Zařízení pro autentikaci jsou nákladnější. Příklady jednoznačných ukazatelů: Otisk prstu, dlaně. Snímek oční zornice. Podpis. Hlasová analýza. Dvoufaktorová autentizace Dvoufaktorová autentizace je zaloţena na dvou zcela nezávislých faktorech: něco, co uţivatel zná - heslo něco, co uţivatel má - osobní autentizační předmět Pouţití dvou forem identifikace zajistí, ţe v případě zneuţití jedné z forem se neoprávněný uţivatel nedostane přes bezpečnostní mechanismy. Dvoufaktorová autentizace musí vyuţívat opravdu nezávislé bezpečnostní faktory. Zneuţití pouze jednoho z faktorů nesmí způsobit bezpečnostní kolaps. Tato metoda je běţně pouţívána bankami pro autentizaci uţivatele bankomatu a je přirozeným způsobem bezpečná. Dvoufaktorová autentizace pro elektronickou bezpečnost vyuţívá stejný princip. V současné době je nejběţnější dvoufaktorová autentizace v mobilním telefonu. SIM karta jako předmět a přístup k telefonu je navíc chráněn PINem (obvykle čtyřmístné číslo). Single sign-on (SSO) SSO řeší problém existence různých hesel pro přístup k různým aplikacím systému. Při pouţití aplikace SSO se uţivatel autentizuje pouze jednou a autentizační údaje jsou zprostředkovány všem systémům automatizovaně. 16

17 2.2.2 Přístupový systém Přístupový systém je určen k řízení vstupu a výstupu osob do a z chráněných prostor a k evidenci jejich přítomnosti v těchto prostorách. Tento systém slouţí hlavně k tomu, abychom mohli otevírání zámků řešit mnohem komfortněji neţ pomocí klasických klíčů. Přístupový systém umoţní volně a velice pruţně se pohybovat v určitém objektu, do kterého se kterákoliv jiná nepovolaná osoba nedostane. Pomocí přístupových systémů lze ovládat jakékoliv elektronické zábrany (turnikety, brány, vrata, závory) stejně tak jako i ovládat elektronický zabezpečovací systém, případně ovládat světla apod. Pomocí přístupového systému je moţné sledovat průjezd vozidel spojený s ovládáním závor, nebo vrat. Jako identifikační prvek se zde můţe pouţít karta řidiče, stejně jako identifikační prvek umístěný přímo na vozidle. Uvedenými komponenty je moţno řídit i například výtahy. Výhody přístupového systému: identifikační karta nahrazuje několik klíčů umoţňuje kontrolu pohybu osob v určitém objektu jednoduché omezení pohybu nepovolaných osob, případně povolení přístupu pouze určitým osobám časové omezení přístupu vybraným osobám není nutný bezprostřední kontakt se zámkem stanovená jedinečnost, není moţnost si vytvořit duplikát identifikačního prvku tak, jako například u klasického klíče moţnost vyuţití barevného potisku při pouţití identifikačních karet komunikace s obsluţným softwarem, sledování průchodů jednotlivých zaměstnanců Docházkový systém Docházkový systém navazuje na přístupový systém a slouţí k identifikaci odchodu/příchodu konkrétní osoby z/do budovy. Výstupní data mohou slouţit jako podklad pro další aplikace, např. výpočet mezd. 17

18 Výhody docházkového systému: evidence a zpracování docházky pomocí příslušného softwaru automatické vyhodnocování podkladů pro mzdy, tiskové sestavy a exporty do dalších programů on-line i off-line spojení informace o aktuální přítomnosti/nepřítomnost pracovníků. komunikace s EZS, provoz stravování atd Czech Point Protoţe je Zákazník ze státní správy a provozuje kontaktní místa Czech Point, musí být navrhované řešení kompatibilní s poţadavky MVČR. Obrázek 1: Logo CzechPoint Zdroj: Co je Czech POINT 4 Český Podací Ověřovací Informační Národní Terminál, tedy Czech POINT je projektem, který by měl zredukovat přílišnou byrokracii ve vztahu občan veřejná správa. V současnosti musí občan navštívit několik úřadů k vyřízení jednoho problému. Czech POINT bude slouţit jako asistované místo výkonu veřejné správy, umoţňující komunikaci se státem prostřednictvím jednoho místa tak, aby obíhala data ne občan. Cílem projektu Czech POINT je vytvořit garantovanou sluţbu pro komunikaci se státem prostřednictvím jednoho universálního místa, kde bude moţné získat a ověřit data z veřejných i neveřejných informačních systémů, úředně ověřit dokumenty a listiny, převést písemné

19 dokumenty do elektronické podoby a naopak, získat informace o průběhu správních řízení ve vztahu k občanovi a podat podání pro zahájení řízení správních orgánů. Jde tedy o maximální vyuţití údajů ve vlastnictví státu tak, aby byly minimalizovány poţadavky na občany. Projekt Czech POINT přináší značné ulehčení komunikace se státem. V některých situacích bude stačit dojít pouze na jeden úřad. V konečné fázi projektu by občan mohl své záleţitosti vyřizovat i z domova prostřednictvím internetu. Co poskytuje Czech POINT Výpis z Katastru nemovitostí Výpis z Obchodního rejstříku Výpis z Ţivnostenského rejstříku Výpis z Rejstříku trestů Přijetí podání podle ţivnostenského zákona ( 72) Ţádost o výpis nebo opis z Rejstříku trestů podle zákona č. 124/2008 Sb Výpis z bodového hodnocení řidiče Vydání ověřeného výstupu ze Seznamu kvalifikovaných dodavatelů Podání do registru účastníků provozu modulu autovraků ISOH Výpis z insolvenčního rejstříku (bude spuštěno od ) Czech POINT E-SHOP - výpisy poštou Od března 2009 bude autentizace pracovníků kontaktních míst Czech POINT možná jen s pomocí certifikátů 5 V návaznosti na některé legislativní úpravy a pro zvýšení celkové bezpečnosti přístupu do systému Czech POINT rozhodlo Ministerstvo vnitra ČR o nutnosti přechodu na přihlašování

20 pomocí speciálního nosiče dat, tzv. tokenu, a příslušných certifikátů kvalifikovaného (QCA) a komerčního (VCA). Doposud bylo nutné vlastnit příslušný certifikát jen pro práci se ţádostmi týkajícími se výpisů a opisů z Rejstříku trestů v rámci správních agend. Tento stav však skončí k a od následujícího dne (respektive v pondělí 2. března) bude moţné vstupovat do celého systému Czech POINT pouze prostřednictvím certifikátů. Pokud si je příslušné úřady dosud nepořídily, měly by tak učinit co nejdříve, aby předešly případným problémům s provozem sluţby Czech POINT v okamţiku, kdy jeho pouţití bude moţné pouze prostřednictvím kvalifikovaného certifikátu. Univerzální postup na zřízení certifikátů pro přístup do Czech POINT je moţné najít na webových stránkách projektu. V případě, ţe se zaměstnanci úřadu jiţ pomocí certifikátů přihlašují, nijak je tato změna neovlivní. K čemu se používá komerční certifikát Pro komerční certifikační autoritu České pošty - PostSignum VCA - se pouţívá zkratka VCA. Tato zkratka vychází z interního značení autority jako Veřejná certifikační autorita. Komerční certifikát uţivatele Czech POINT, který VCA vystavuje, se pouţívá pro bezpečné přihlášení k Centrále Czech POINT. Jedná se o takzvanou autentizaci serveru i klienta pomocí certifikátu. Autentizují se obě komunikující strany a pro autentizaci klienta se pouţije komerční certifikát (autentizaci provádí protokol SSL). K čemu se používá kvalifikovaný certifikát Kvalifikovaná certifikační autorita České pošty - PostSignum QCA - je sesterskou autoritou VCA. Pro kvalifikovanou autoritu se pouţívá zkratka QCA. Kvalifikovaný certifikát uţivatele Czech POINT se vyuţívá pro autorizaci dat a dokumentů (garance toho, ţe nebyly změněny a garance nepopíratelnosti). Pomocí kvalifikovaného certifikátu se elektronicky podepisují ţádosti, které se zasílají na Rejstřík trestů. Certifikát představuje datovou strukturu, která je svázána s určitou osobou. Pomocí certifikátu lze tedy tuto osobu jednoznačně identifikovat. Pomocí certifikátu lze ověřit elektronický podpis dané osoby. Součástí vydaného certifikátu jsou informace o drţiteli certifikátu, doba platnosti, účel pouţití, veřejný klíč a případně další informace. Obsah certifikátu je podepsán vydávající certifikační autoritou, aby bylo moţné prokázat, ţe byl touto autoritou skutečně vydán. 20

21 Obrázek 2: Nárůst počtu pracovišť Zdroj: Autentizace jménem a heslem Nejvíce známou a rozšířenou metodou autentizace je standardní přihlášení pomocí jména a hesla. Tento způsob je brán jako nejniţší stupeň zabezpečení (nezmiňuji se o přihlašování bez hesla) a zaleţí na vůli administrátora (respektive na bezpečnostní politice), jak sloţitá hesla bude vyţadovat Složitost hesel Hesla by měla být dostatečně odolná proti zneuţití. Po uţivatelích můţeme vyţadovat, aby pouţívali silná hesla. To je, ale zásadní problém pro většinu uţivatelů. Často pouţívají jednoduchá hesla na zapamatování a usnadňují tak jejich uhádnutí. Dále v případě přihlašování k dalším aplikacím v síti pouţívají stejné heslo a tím zvyšují riziko. Dnes existují mechanismy pro kontrolu sloţitosti hesel, ale to ještě více vyvolává nespokojenost uţivatelů. Řeší to následně tak, ţe hesla mají napsaná na papíru a ten schovaný pod klávesnicí či nalepený na monitoru. Dalším kontrolním mechanizmem je pravidelná obměna hesla. Po uţivateli se vyţaduje např. jednou za 3 měsíce změnit heslo. Uţivatel si to zjednoduší tak, ţe si zvolí několik hesel, které pravidelně střídá a záleţí na nastavení kontrolního mechanizmu, 21

22 zda to umoţní. Ve výsledku je vynucování sloţitosti hesel a jejich častá změna kontraproduktivní. Slabé (nevhodné) heslo: Heslo je kratší neţ 8 znaků Heslo je jméno člena rodiny, známé osobnosti, domácího zvířete Heslo souvisí s předmětem činnosti (například: Škoda auto heslo: auto) Kombinace stejných znaků (například: 1111, AABB) Silné (vhodné heslo): Heslo je delší neţ 8 znaků Heslo obsahuje malá a velká písmenka Heslo navíc obsahuje číslice a speciální znak Heslo ani část hesla nelze nalézt ve slovníku Hledání hesla 6 Útok na heslo související s uživatelem (tzv. sociální inženýrství). Útočník se pokouší pouţít informace, které jsou spojeny s uţivatelem, např. jeho jméno, jméno partnera, rodné číslo. Slovníkový útok. Útočník pouţívá při útoku hesla, která se vyskytují v jazykových slovnících Útok hrubou silou Útočník se postupně pokouší zadat všechny moţné kombinace znaků, a to tak dlouho, dokud poţadované informace nenalezne. Využití trojského koně. Program, který je schopen zachytit a uloţit na místo přístupné útočníkovi autentizační informace. 6 Šnejdar, Radek BP, Implementace bezpečné počítačové sítě, str

23 2.3.3 Sdělování hesel Dalším problémem je jak zabránit sdělování hesel dalším osobám. Spolupracovníci si navzájem vyzradí hesla a v případě odlišných práv přístupu k aplikacím se nekompetentní osoba dostane k informacím, které nejsou pro ni určeny (např. mzdy zaměstnanců). I přes výše popsanou nízkou úroveň zabezpečení autentizace jménem a heslem, můţe být tato metoda pro konkrétní IS dostačující. V případě správného dodrţování bezpečnostní politiky a disciplinovanosti uţivatelů se docílí základního stupně zabezpečení IS. Výhody: Prakticky nulové náklady Jednoduchá správa hesel v AD Rychlé vytvoření nebo zrušení uţivatele V případě zapomenutí hesla lze nastavit funkci automatického obnovení přístupu Nevýhody: Minimální úroveň zabezpečení Snadné uhádnutí či vyzrazení hesla Nelze aplikovat SSO 2.4 Autentizace Smart kartou Autentizace Smart kartou je vyšší stupeň zabezpečení a jedná se o vícefaktorovou autentizaci. Lze kombinovat např. s certifikátem, heslem nebo biometrikou. 23

24 Obrázek 3: Smart karta Zdroj: Typy čteček karet: Externí (připojení přes sériový nebo USB port) Čtečka do PCMCIA slotu do notebooku Integrovaná čtečka (např. v klávesnici nebo notebooku) Biometrické čtečky podporující biometriku (např. otisk prstu) Smart karta a certifikát Identifikace a autentizace pomocí Smart karty a certifikátu je jedna z moţností na platformě Windows. Pro správnou funkci musí být připravena infrastruktura s technologií Active Directory a certifikační autoritu (CA). Systém Windows XP a operační systémy řady Windows Server 2003 obsahují podporu Smart karet a není zapotřebí dokupovat další software. Windows automaticky zdetekují čtečku karet a po vloţení karty zkontrolují přihlašovací certifikát proti CA prezentované v AD. Smart karty různých výrobců mají i další vlastnosti navíc, např. část úloţište mapovanou jako diskový prostor, Java aplety. Certifikát je platný určitou dobu (např. 1 rok) a je nutné zajistit mechanismus pro obnovu certifikátu. V případě ztráty či odcizení karty, lze najít podle jména a data vydání příslušný certifikát v CA a označit ho jako nevalidní. V případě, ţe se pokusí neoprávněná osoba kartu pouţít, nebude moţné se do IS autentizovat. 24

25 Autentizace certifikátem je svázáno s politikou v AD a umoţňuje nastavení přihlášení pouze certifikátem a zakázat pouţívání hesel. Definice certifikátu: 7 Certifikát veřejného klíče, obvykle označovaný jako certifikát, je digitálně podepsané prohlášení spojující hodnotu veřejného klíče s identitou osoby, zařízení či sluţby, která je drţitelem odpovídajícího soukromého klíče. Jednou z největších výhod certifikátů je, ţe hostitel nemusí udrţovat sadu hesel jednotlivých subjektů, která je nutné ověřit, aby bylo moţné získat přístup. Místo toho hostitel pouze zavede důvěryhodnost vystavitele certifikátu. Většina běţně pouţívaných certifikátů je zaloţena na standardu certifikátu X.509v3. Certifikát obvykle obsahuje následující informace: hodnota veřejného klíče subjektu, identifikační údaje subjektu, například název a ová adresa, doba platnosti (časové období, během kterého je certifikát povaţován za platný), identifikační údaje vystavitele, digitální podpis vystavitele potvrzující platnost propojení veřejného klíče subjektu a identifikačních údajů subjektu. Certifikát je platný pouze po dobu uvedenou v tomto certifikátu. Kaţdý certifikát obsahuje údaje Platnost od a Platnost do, které vymezují dobu platnosti. Po uplynutí doby platnosti certifikátu musí příslušný subjekt poţádat o nový certifikát. Certifikát je obecně známá technologie. Microsoft má zaveden mechanismus pro jejich vydávání a má certifikační autoritu, která je součástí Windows. Uţivatel si můţe certifikát jednoduše prohlédnout pomocí např. prohlíţeče Internet Explorer. 7 :\Windows\help\mui\0405\certmgr.chm::/html/ba6554ca-f33f-4dd3-beff-bd602018dcc5.htm 25

26 Obrázek 4: Ukázka certifikátu Zdroj: Vlastní úprava Výhody: Jedná se o poměrně levné řešení nákup karet a čteček Automatická podpora ve Windows systémech Nevyţaduje se u uţivatelů pamatování hesla Při ztrátě karty lze dočasně povolit přihlašování heslem Nevýhody: Musí být připravena infrastruktura, např. AD Lze aplikovat pouze pro přihlášení na lokální stanici a nefunguje např. SSO přihlášení pro konkrétní aplikace Smart karta a jméno a heslo Na kartě je uloţena kombinace jména a hesla na rozdíl od předchozího řešení, kde je uloţen certifikát. Před vydáním nové karty je vytvořeno jednoduché heslo a při první autentizaci 26

27 uţivatele k AD se spustí mechanismus, který heslo změní na základě určeného algoritmu a pravidel. Heslo zná nyní jen karta a nikdo jiný. V případě ztráty karty, je vydána nová karta a uţivatel si pomocí příkazu (např. stisknutím kláves ctrl-alt-del) heslo dynamicky změní. Výhody: Lze aplikovat SSO konkrétní aplikace nepozná, zda se uţivatel přihlašuje klasickým způsobem nebo heslem na kartě Při ztrátě se vydá nová karta a dynamicky změní heslo Uţivatel nezná heslo Nevýhoda Jedná se o draţší řešení - nákup karet, čteček a softwaru pro správu 2.5 RSA RSA SecurID Jedná se o dvoufaktorovou autentizaci. Princip je zaloţen na mechanismu, který kaţdých 60 vteřin generuje nový autentizační kód. Kód a PIN tvoří unikátní celkový kód, který se ověřuje v RSA Authentication Manageru. Výhody: Bezpečná autentizace zaloţená na silných heslech Snadná implementace do stávající infrastruktury IS Nevýhody: Poměrně nákladné řešení Omezená platnost autentizačních předmětů Obsluţný software není lokalizován do češtiny Dnes nejistá podpora 27

28 Obrázek 5: Karta SecurID Zdroj: Autentizace biometrikou Autentizace biometrickými prvky patří dnes mezi nejbezpečnější. Nejrozšířenější metodou je pouţití otisku prstu. Kaţdý člověk má jedinečný otisk a tento fakt je obecně uznáván. Problém nastává při čtení otisku, kdy v důsledku znečištěných snímačů nebo rukou snímače odmítají oprávněného uţivatele autentizovat. Dále se musí počítat s vybudováním bezpečné databáze pro ukládání otisků prstů v elektronické podobě v souladu s ochranou osobních údajů. Čtečka otisku prstu můţe být externí (připojení k USB portu) nebo integrovaná např. v klávesnici nebo notebooku. Výhody: Bezpečný způsob autentizace Nevýhody: Nákladné řešení 28

29 3 Návrh řešení Hlavním cílem je nalezení správného řešení problému Zákazníka s respektováním všech hledisek. finančních technických organizačních Tvorba a zavedení karetního systému není jednorázová záleţitost. Systém se buduje s dlouhodobým výhledem a jeho rozvoj je určen v zásadní míře počáteční důkladnou přípravou - analýzou prostředí a moţných řešení. V široké nabídce dnes není těţké najít systém, který splňuje aktuální potřebu Zákazníka. Otázka však spočívá v nalezení takového řešení, které není zbytečně sloţité (a drahé) a zároveň s rezervou pokrývá současné i budoucí potřeby systému a jeho integrace do stávajícího IS. Na základě poţadavků Zákazníka se rozhodl Dodavatel pro technologii autentizace předmětem. Po pečlivém prozkoumání poţadavků a vyhodnocení dostupných technologií je nabízené řešení na bázi Smart karty s uloţeným heslem. Autentizace předmětem skrývá problém jak zajistit, aby uţivatel při opuštění svého počítače nenechal např. kartu ve čtečce a umoţnil tak neoprávněné osobě dostat se k informacím. Jak donutit uţivatele, který odejde na oběd nebo do jiné kanceláře, aby si daný předmět odnesl? Tento problém lze vyřešit velice snadno. Karta pro autentizaci bude zároveň fungovat jako identifikační předmět pro přístupový systém a na všech dveřích budou nainstalovány čtečky. V případě pouţití stejných karet pro autentizace a přístupový systém se nabízí mnoho moţností pro kontrolovaný pohyb osob po budově a zamezení přístupu neoprávněným osobám do jednotlivých lokalit. Přístup do budov můţe být rozdělen do jednotlivých pater dle oddělení a např. pracovníci z IT nebudou mít přístup k účtárně a naopak. Určitým jedincům lze tak povolit pohyb po celé budově bez omezení. Toto řešení je, ale velice nákladné 29

30 z hlediska vybudování potřebné infrastruktury a není předmětem nabízeného řešení. Nabízený systém lze v budoucnu o tuto funkci rozšířit. 3.1 Popis nabízeného řešení Docházkový a přístupový systém Celý systém je navrţen ze zkušeností a na základě konkrétní návštěvy jednotlivých míst navrhovaného systému. Docházkový a přístupový systém je řešen systémem K4, který obsahuje tyto moduly: K4 Server K4 Master K4 Manager Databázový server Docházka je řešena terminálem CKP 3, který je vybaven komunikačním rozhraním do sítě LAN. Na terminálu je moţné volit důvod příchodu/odchodu pro zaznamenávání výjimečných důvodů příchodu/odchodu jako je dovolená, sluţební cesta atd. Celý systém vyuţívající identifikačních karet je pro uţivatele koncipován jako otevřený a je moţné jej v budoucnu doplnit jak o další komponenty, tak i o další sluţby podle jím zvolených specifických poţadavků. Rozšiřování systému umoţňuje stavebnicovost a mozaiková kombinace prvků, otevřená v oblasti variant i počtu (není SW omezeno), vše na základě vlastního vývoje a servisu. HW připojení prvků přes průmyslové rozhraní RS 485 umoţňuje komunikaci se snímači do 1,5 km bez úprav k nejbliţšímu bodu počítačové sítě, kde bude dle dohody umístěna řídící jednotka PCMaster na TCP/IP (ETHERNET/RS485). Komunikace na delší vzdálenosti mohou být také realizovány modemy, optikou nebo jinými prostředky. Bezkontaktní karty jsou pouţitelné pro identifikaci osob, případně v poţadované párované logice (karta návštěvy a zaměstnance, případně vrátného). Karty mají definovanou dobu platnosti, jejich pouţití lze např. sledovat i ve vrátnici (recepci). 30

31 Uţivatelé karet přístupových systémů jsou zařazování do logických skupin, kterým (i jednotlivcům) jsou definována místní i časová přístupová práva do tabulek pro jednotlivé snímače, resp. jejich skupiny. Lze tak přesně definovat, kdo kdy kam smí procházet, tyto akce sledovat, zaznamenávat a případně spojit s různými typy poplachů či návazných akcí. Celý systém je moţné technicky dohledovat prakticky z kteréhokoliv PC na síti. Údaje o průchodech jsou zaznamenávány jednak v pamětech řídících elektronik, jednak v řádném reţimu on-line na databázovém serveru. Výstupy systému pracujícího obecně nad SQL databázemi (MS SQL, ORACLE) jsou volně konfigurovatelné a prezentované v definovaných tabulkách. Přístupový systém potřebuje pro svou činnost klientské PC, které je trvale zapnuto, napájení ošetřeno záloţním zdrojem, trvale přihlášeno na lokální databázový server a do lokální sítě. Na tomto počítači je spuštěn stabilní operační systém. Tento počítač provádí sběr dat ze snímačů karet a zároveň slouţí pro rekonfiguraci přístupového systému. Docházkový systém je doplněn o modul EXPORT, který podporuje software pro výpočet mezd. Umístění terminálů: V hlavní budově budou umístěny dva docházkové terminály obsluhující turniket. Jeden jako vstupní/příchod, druhý jako výstupní/odchod. V budově A budou umístěny dva docházkové terminály obsluhující elektrický zámek. Jeden jako vstupní/příchod, druhý jako výstupní/odchod. V budově B bude umístěn jeden terminál, společný pro vstup/příchod i výstup/odchod. Terminály jsou připojeny k převodníku COM 485/Ethernet. Spojení s PC Masterem je realizováno po stávající síti LAN. Trvalé napájení je řešeno zálohovanými zdroji. Zároveň bude přiveden signál o poplachu ze systému EPS. Při sepnutí výstupu EPS bude přerušeno napájení reverzních zámků (dveře budou volně průchodné pro únik osob z ohroţeného prostoru). 31

32 Obrázek 6: Schéma zapojení terminálů CKP 3 Zdroj: Vlastní úprava Autentizace Zároveň s docházkovým systémem bude zavedena více-faktorová autentizace uţivatelů do stávajícího informačního systému. Pro autentizaci bude pouţit stejný předmět jako pro docházkový systém. Po důkladném zváţení všech poţadavků a z důvodu zpětné kompatibility 32

33 se stávajícím docházkovým systémem, je vhodné řešení kombinovaná karta s bezkontaktním čipem EM4102 a kontaktním čipem SafeNet 330. Při výběru karet bylo zvaţováno několik variant: modifikace Sc330 - standardní karta modifikace Sc330u - moţnost odblokování karty (moţnost zadat několik různých PUK) modifikace Sc330m - podpora biometriky Na základě dohody se Zákazníkem bude pro několik vybraných jedinců dodána karta s podporou biometriky. Základní nastavení software SafeNet bude nastaveno na identifikaci Smart kartou a PINem nebo Biometrikou. Obrázek 7: Ukázka nastavení sw SafeNet Navrhované řešení autentizace podporuje: Zdroj: Vlastní úprava 33

34 Operační systémy na platformě Windows. Terminálové prostředí včetně Citrix rozšíření. Funkci SSO Centrální správu autentizačních předmětů v systému autentizace uţivatelů. Z hlediska uţivatelského komfortu bude čtečka kontaktní části karet integrovaná v klávesnici. Z důvodu finančního limitu nebudou klávesnice vybaveny čtečkou otisku prstu (v budoucnu lze případně tyto klávesnice postupně dokoupit a vyměnit). Mobilní uţivatelé s notebookem budou v budoucnu vybaveny externí čtečkou s připojením USB. 3.2 Technická specifikace Komponenty docházkového a přístupového systému TERMINÁL CKP-3 Je určen pro snímání docházkových údajů, pro zadávání hesla (PINu) v přístupových systémech Tlačítková klávesnice s překryvnou fólií, matice 4x4 Interní čtečky bezkontaktních karet běţných typů Moderní řešení designu Terminál je zabudován do plastové skříňky COMTEC 200 H firmy OKW z materiálu ABS o rozměrech cca 200x150x62 mm. Barevné provedení je standardní v barvě černé RAL 9005 nebo béţové RAL Technické parametry: Řídící jednočipový mikroprocesor: typu Rozsah datové paměti CMOS SRAM: 256 kb (větší počet záznamů v reţimu off-line). Rozsah datové paměti FLASH EPROM: 128 kb (SW zabezpečení proti rušení). Rozsah programové paměti: 64 kb, moţnost změny FW přes 34

35 komunikační rozhraní. Napájecí napětí: 10,5 16 VDC. Spotřeba (bez čteček karet): 120 ma. Max. spotřeba: 0,6 A (včetně čteček, Ethernetu). Pracovní teplota okolí: od -40 C do +65 C. Klimatická odolnost: 10 aţ 90% relativní vlhkost, bez kondenzace. Krytí přístroje: IP 30. Zobrazovací jednotka (displej): LCD 2x16 alfanumerických znaků, poosvětlení, variantně fluorescenční. Optická indikace: 2 uţivatelské LED diody umístěné na plošném spoji a vyvedené na víčku skříně. Zvuková indikace: siréna indikuje akceptaci karty. Tlačítková klávesnice: ţivotnost tlačítek větší neţ 107. Komunikační rozhraní: 10Base-T Ethernet (moţnost), připojení konektorem RJ45 - komunikační rozhraní RS485 (dle normy TIA/EIA- 485-A), komunikační protokol IMA, 9600bit/s, galvanické oddělení. Vstupy: 4 univerzální galvanicky oddělené TTL vstupy, -2 až 4 vstupy pro čtečky karet pro čtečky s ABA rozhraním, Wiegand 26 a 32 bitů (základní firmware čte karty Motorola, HID, Mifare, Legic, EM karty, magnetické karty s formátem záznamu IMA a Dallas čipy s pomocí přídavného modulu) Výstupy: 4x přepínací kontakty relé max. spínací proud 1 A, max. spínací napětí ~120V/=60V, max. spínací výkon ~60VA/=30W Tampery: tampery zapojené v sérii (EZS), 1 tamper interní indikace otevření skříně Maximální počet záznamů v režimu off-line: 7500 Terminál je osazen bezkontaktní čtečkou HID. 35

36 Systém K4 Obrázek 8: Systém K4 Zdroj: K4 SERVER K4 Server bude nainstalován na stávající server, který je připojen do infrastruktury a k záloţnímu napájení. Popis: komunikační server zajišťuje přenos dat mezi databází a snímači generuje konfiguraci jednotlivých K4Masterů a snímačů udrţuje spojení se všemi K4Mastery přijímá z K4Masterů průchody a další události a ukládá je do databáze poskytuje moţnost připojení pro další aplikace, např. K4Sled aktuální stav K4Masterů a snímačů je zapisován do databáze moţnost zasílání SNMP trapů při poruchách dávková rekonfigurace systému 36

37 K4 Manager Je obsluţný software pro systém K4. Manager bude nainstalován na stejném počítači jako K4 Server. Hlavní menu má tuto strukturu: 1. Systém Nastavení databáze Přihlášení Změna hesla Konec... konfigurace připojení k databázi.... přihlášení uživatele změna hesla uživatele ukončení programu K4Manager 2. Konfigurace Osoby Skupiny osob Karty osoby, jejich karty, otisky a přístupových práva skupiny osob a jejich práva... správa karet, vkládání nových karet atd. Konfigurace snímačů jejich parametrů.... konfigurace celé sítě snímačů, netmodulů, master modulů a serverů. Nastavení Skupiny snímačů definice hierarchie skupin snímačů, členství snímačů ve skupinách a implicitní práva snímačů. Schémata výjimek Intervaly karet Zóny Vazby EZS/EPS Cizí snímače Počítače... schémata výjimek použitá na snímačích intervaly karet akceptovaných na snímačích... definice hierarchie zón vazby snímačů na systémy EZS/EPS... definice snímačů jiných přístupových systémů... číselník počítačů k nimž mají osoby přístup 37

38 Sledování Sledovací místa Dohledová místa Kamery definice pracovišť K4Sled. definice pracovišť K4Alarm... definice kamer a jimi sledovaných snímačů 4. Rejstříky Dny Kalendáře Akce Důvody přerušení Lokality Závody Střediska Typy karet Typy blokací typy logických dní... přiřazení logických dní skutečným dnům kalendáře... definice akcí snímačů pro použití v právech... všechny důvody přerušení s texty pro snímače... lokality pro umístění snímačů, masterů apod.... závody pro organizační rozčlenění osob... střediska pro organizační rozčlenění osob číselník typů karet... číselník typů (důvodů) blokace karet 5. Správce Rekonfigurace... provedení dávkové rekonfigurace systému Zpožděná rekonfigurace možnost kumulace více změn do jedné rekonfigurace Nastavení adresy Plán archivace Operátoři Diagnostika Řízení zón Správa aktivních karet... základní globální parametry zasílání mailů z dávkových zpracování... intervaly archivace sesbíraných dat správa operátorů K4 a jejich práv... diagnostika snímačů a master modulů zásah do přítomnosti karty v zónách vydávání a vracení návštěvnických karet 6. Výstupy 38

39 Průchody Docházka Log událostí Historie alarmů Akce uživatelů... vyhledávání v záznamech průchodů vyhledávání v záznamech docházky vyhledávání v logu událostí systému vyhledávání v historii alarmů... vyhledávání v činnostech operátorů Zobrazení přítomnosti... aktuální přítomnost osob s určením zón Stavy master modulů... aktuální stav master modulů Stavy snímačů aktuální stav jednotlivých snímačů 7. Okna Obsahuje funkce pro uspořádání oken na ploše a dále seznam všech již otevřených oken, kterým zle vybírat, které okno bude na popředí, např. : 8. Nápověda Zdroj: Vlastní úprava O programu... zobrazení informace o verzi software. Databázový server Jako databázový server bude vyuţit stávající Windows SQL Server 2003, kde je zajištěno zálohování databáze a připojení k záloţnímu napájení. PC Master 01 39

40 PC Master 01 je koncentrátor, propojující aţ 4 větve sítě RS 485 se systémovým serverem prostřednictvím sítě 10Base-T Ethernet. PC Master 01 dostává veškeré konfigurační údaje jak pro PC Master 01 samotný, tak pro všechny podřízené snímače od serveru (K4Server). PC Master 01 autonomně zajišťuje přenos konfigurací a práv do jednotlivých snímačů. V opačném směru na server přenáší průchody a další události vzniklé v systému. Dalšími funkcemi PC Masteru 01 jsou např.: řízení zón, řízení web kamer ve vazbě na snímače, zajištění vazby na EZS/EPS systémy. Mechanické provedení Koncentrátor (základní moduly a obvody rozhraní) je zabudován do plastové skříňky šedé barvy z materiálu ABS o rozměrech 240x160x60 mm. Technické parametry PC Master 01 je realizován jako samostatné HW zařízení na bázi zásuvných modulů typu DIMM-PC s operačním systémem Linux. Procesor: AMD Elan SC520, 133 MHz RAM: 32 MB Flash disk: 32 MB + Compact Flash 128 MB COM1 až COM4: kompatibilní Komunikační rozhraní: 10Base-T Ethernet, 4x RS 485 galvanicky oddělené Napájecí napětí: 9 až 16 Vss Spotřeba: 500 ma / 12 V Pracovní teplota okolí: +5 až +40 C Krytí: IP30 Klimatická odolnost: prostředí vnitřní, relativní vlhkost 10 až 90 %, bez kondenzace Vstupy: 2 univerzální opticky oddělené vstupy 40

41 Indikace: LED diody napájení, Ethernet Tampery: 2 tampery EZS, 1 tamper interní indikace otevření skříně Záložní baterie: CR2032 Obrázek 9: PC Master Zdroj: Komponenty autentizace Karta SafeNet Karta SafeNet je kryptografická čipová karta, která obsahuje speciální operační systém SCCOS (SafeNet Cryptographic Card Operation System). Bezpečnostní certifikace FIPS 140-1/2 úroveň 2/3, EAL 4+ Uţivatelská paměť EEPROM čipu 32KB, ROM 32KB, RAM 2KB Podpora PKI, Single Sign-On Čip má vlastní operační systém (v ROM paměti) Chráněný přístup k informacím na kartě: PINem/biometrika + šifrování 41

42 2/3 kryptografické koprocesory - RSA (délka klíčů aţ 2048 bitů), - DES (délka klíčů aţ 128bitů), - AES (délka aţ 256 bitů), - SHA-1/SHA-2 Diffie-Hellman Obsahují vlastní hardwarový generátor náhodných čísel Modifikace: Standardní čip SafeNet 330u - čip 330 v provedení unblocking 330m - čip pro práci s biometrickými údaji Nabízené typy: 330u+EM4102 obsahuje bílou bezkontaktní kartu EM Marin (bezkontaktní čip EM4102) osazenou kontaktním čipem SafeNet model 330U (unblocking). EEPROM 32 KB, FIPS úroveň 2 (compliant úroveň 2) 330M+EM4102 obsahuje bílou bezkontaktní kartu EM Marin (bezkontaktní čip EM4102) osazenou kontaktním čipem SafeNet model 330M (biometrický). EEPROM 32 KB, FIPS úroveň 2. Tiskárna karet Pro tisk karet bude pouţita tiskárna plastových karet Zebra 310i. Na kartě budou vytištěny tyto údaje: Název organizace Jméno a příjmení uţivatele Identifikační číslo karty 42

43 Osobní číslo uţivatele Platnost karty Zebra 310i je výkonná barevná tiskárna karet pro jednostranný potisk karet s rozlišením 300 DPI a rychlostí tisku 25 s na jednu kartu pro plnobarevný tisk (YMCKO). Tiskárna je standardně vybavena USB rozhraním, variantně s připojením na Ethernet. Tiskána karet Zebra P330i je vhodná pro tvorbu: identifikačních karet, studentských a fakultních karet, karet pro docházkové systémy, věrnostních a klubových karet. Tiskána Zebra P330i má jednoduchou obsluhu, především díky: patentovanému systému posuvu karet ze zásobníku, kapacitnímu zásobníku karet (aţ 100 ks při tloušťce 30 mil), průhlednému krytu - obsluha můţe stav tisku vizuálně kontrolovat, vylepšenému otvírání tiskové hlavy (dvojnásobná výška neţ u ostatních modelů), podsvětlenému LCD displeji, 16 MB paměti. Tiskárna karet Zebra P330i umoţňuje kromě potisku variantně kódování magnetického prouţku nebo kontaktní/bezkontaktní kódování čipů díky vyvedenému konektoru pro externí kodér. Tiskárna umoţňuje téţ bezkontaktní kódování karet Mifare. 43

44 Obrázek 10: Tiskárna Zebra Zdroj: Borderless Security SSO 8 Obrázek 11: Konzole sw SafeNet Zdroj: Vlastní úprava

45 Borderless Security SSO (BSec SSO) umoţňuje zaznamenat přístupová jména a hesla na čipovou kartu chráněnou PINem. Uţivatel si nemusí pamatovat celou řadu hesel, protoţe je vše uloţeno na čipové kartě. Proces přihlašování je nastaven tak, ţe při otevření libovolné aplikace se automaticky vypíše příslušné přístupové jméno a heslo do příslušných kolonek. Uţivatel pak jen potvrdí přístup do aplikace. Prostřednictvím tohoto software lze zaznamenat na kartu silná hesla a v případě potřeby vygenerovat hesla nová. Dalšími vlastnostmi a přednostmi jsou: ochrana hesel na kartě proti neoprávněnému čtení, jednoduchá instalace a snadné pouţívání (centrální i klientské), přístup do systému pomocí PKI (certifikátů) i přihlašovacích údajů (jméno, heslo ), podpora různých Certifikačních autorit (Microsoft a Entrust CA, další se připravují), centrální správa přístupu (bezpečnosti) do aplikací (včetně webových) pro skupiny i jednotlivce, klientská správa (závisí od centrální správy), bezpečné uloţení všech citlivých údajů na čipové kryptografické kartě (dvoufaktorová autentizace) umoţňující pouţití silných hesel, nezávislá certifikovaná ochrana (FIPS úroveň 2) pro Vaše privátní informace, jednoduché a rychlé obnovení dat při ztrátě (recovery card), centrální správa logů a kontrola uţivatelských operací, návratnost investice a výrazné finanční úspory během jednoho roku. BSec SSO podporuje různé operační systémy (Windows 2000/XP/2003), Microsoft Active Directory, Group Policy (GPO), terminálovou emulaci přihlašování do dalších systémů (Novell, Citrix, IBM atd.) a produkty třetích stran Entrust, Java aplikace, Oracle, VPN atd. Jsou podporovány SafeNet USB tokeny (ikey2032), multifunkční čipové karty (s bezkontaktním čipem, popř. magnetickým páskem), multiaplikační čipové karty (Java karty), biometrika a různé čtečky čipových karet vyhovující standardu PC/SC (sériové, PCMCIA, USB, pinpady, biometrické atd.). 45

46 BSec SSO sdruţuje současné nejmodernější bezpečnostní technologie PKI a výrazným způsobem zvyšuje bezpečnost při identifikaci a autentizaci uţivatelů a zároveň zjednodušuje tento proces pomocí technologie Single Sign-On. Jeho síla spočívá především ve zvýšení bezpečnosti prostřednictvím silných hesel a v jeho jednoduchosti implementace mezi uţivateli. Produkt umoţňuje zvýšit dále bezpečnost dat on-line šifrováním souborů ve chráněných adresářích. Šifrovací klíče jsou bezpečně uloţeny na smart čipových kartách a USB tokenech. Produkt je určen pro jednotlivce, malé, střední i velké firmy. Čtečka Smart karet Klávesnice HP s integrovanou čtečkou Smart Card s připojením USB. Obrázek 12: Klávesnice s integrovanou čtečkou Zdroj: html?jumpid=oc_R1002_CZCSC- 001_Klvesnice%20HP%20USB%20Smart%20Card&lang=cs&cc=cz 3.3 Výkaz Výměr Komponenty systému: Číslo položky Název položky Množství MJ Hardware 1 Terminál CKP 3 5 ks 2 Převodník RS 485/LAN 5 ks 3 Bezkontaktní čtečka 5 ks 46

47 4 zdroj 12V 4 ks 5 akumlátor 12V 4 ks 6 PC Master 1 ks 7 Tiskárna Zebra 1 ks 8 Smart karta SafeNET 330u 200 ks 9 Smart karta SafeNET 330m 50 ks 10 klávesnice s integrovanou čtečkou 200 ks Software 11 K4 Server 1 lic 12 K4 Manager 1 lic 13 Web klient 1 lic 14 modul Export 1 lic 15 modul Docházka 1 lic 16 SafeNet Borderless Security SSO 200 lic 17 CardPress 1 lic Zdroj: vlastní úprava Projekční a instalační práce: Číslo položky Název položky Množství MJ Instalace docházkového a přístupového systému 1 Instalace K4 Server 5 den 2 Instalace K4 Manager 4 den 3 Nastavení systému K4 5 den 4 Instalace modulu Docházka 8 den 5 Instalace modulu Export 1 den 6 Instalace sw CardPress 1 den Instalace autentizace 7 Instalace sw SafeNet 1 den 8 Implementace 7 den Projektová příprava 9 Zpracování projektu 1 den 47

48 10 Zpracování dokumentace 1 den Zdroj: vlastní úprava 3.4 Termín dodání a záruční podmínky Termín dodání je 4 týdny od uzavření smlouvy o dílo Záruka na komponenty systému je 36 měsíců po převzetí díla Záruka na montáţ systému je 36 měsíců po převzetí díla Záruka identifikačních kódů je trvalá 48

49 4 Implementace Vlastní instalace a nastavení systému bude provedeno v několika dílčích fázích. Jednotlivé komponenty systému lze instalovat souběţně. První fáze: Instalace terminálů CKP 3 Instalace tiskárny karet Instalace K4 Server Druhá fáze: Instalace K4 Manager Dodávka a potisk karet Proškolení obsluhy K4 systému Třetí fáze: Instalace správcovské konzole pro sw SafeNet Vydání karet a distribuce instalačních balíčku SafeNet Předání do zkušebního provozu Veškeré činnosti budou provádět pracovníci s příslušnou kvalifikací seznámení s potřebnými předpisy jak technologickými tak i bezpečnostními. Všechny dodávané produkty jsou opatřeny značkou shody CE, není tedy nutno zajišťovat CE certifikát o shodě v souladu se zákonem 22/1997 Sb., ve znění zákonů č. 71/2000 Sb., zákona č. 102/2001 Sb.,zákona č.205 Sb., a zákona 226/2003 Sb. 49

50 4.1 Konfigurace systému Pro správnou funkci PCMasteru (s interním programem K4Master) budou pouţity tyto následující údaje: Konfigurace sítě: plné jméno a IP adresa PC Masteru 01 (master, ), síťová maska ( ), výchozí brána ( ), adresa DNS serveru ( ), IP adresa počítače, na kterém bude instalován SW K4 Server a K4 Manager ( ) IP adresa SQL serveru ( ) 4.2 Komponenty Jednotlivé komponenty řešení budou dodány v koordinaci Dodavatele se subdodavateli. Jedná se o vlastní nákup a tvorbu (úpravu) komponent. Nákup hlavních komponent: Terminál CKP 3 subdodavatel A Bezkontaktní čtečka subdodavatel A PC Master subdodavatel A Tiskárna Zebra subdodavatel B Smart karta SafeNet subdodavatel C Software SafeNet Borderless Security SSO subdodavatel C Klávesnice s integrovanou čtečkou subdodavatel D Úprava hlavních komponent: Software K4 50

51 Modul Export Software CardPress 4.3 Realizace řešení Řešení je koncipováno, tak aby nový systém pro identifikaci a autentizaci podporoval starý přístupový systém. Vhledem ke kompatibilitě lze vyměnit postupně přístupové karty všech uţivatelů za plného provozu bez nutnosti omezení. Před vlastní realizací se ze stávající databáze přístupového systému vyexportují data, která se následně zpracují do pouţitelné formy pro nový systém. Data obsahují identifikační číslo čipu a osobní číslo uţivatele. V databázi je dále uloţena vazba mezi osobním číslem a jménem uţivatele. Zpracovaná databáze se následně importuje do K4 systému. Obrázek 13: Ukázka databáze uţivatelů Karta Name Department Personal ID A305E A57F A6B2E F01CB F01CB20C A A3B F F022808A Zdroj: Vlastní úprava Prvotní nastavení přístupového systém je nastaveno jako zabezpečení Pláště budovy to zabezpečuje pouze vchody/východy a v budoucnu lze rozdělit budovy do jednotlivých zón (např. patra, výtah) a definovat KDO, KDY a KAM můţe. Docházkový systém umoţňuje při průchodu terminálem definovat důvod odchodu (např. lékař, oběd). Celý systém tak dokáţe zobrazit on-line informaci zda konkrétní uţivatel je na pracovišti či nikoliv. V budoucnu bude tato informace zobrazena pomocí webové aplikace na intranetových (pro spojovatelku) a internetových (pro veřejnost) stránkách Zákazníka. 51

52 Obrázek 14: Ukázka K4 Manageru Vyhledávání průchodů Zdroj: Vlastní úprava Během výměny karet je u nových uţivatelů nastaven nový mechanismus autentizace do IS (Smart kartou a heslem) v databázi AD. Zároveň je v AD zavedeno rozdělení přístupů na intranet/internet dle poţadovaného oprávnění. Pouze intranet Intranet a Internet s omezeným přístupem Intranet a Internet bez omezení Instalace software SafeNet: Vlastní instalace obsluţného software SafeNet je velmi jednoduchá. Pomocí správcovské konzole (lze nainstalovat na běţný počítač nebo notebook) se připraví instalační balíček, který bude distribuován k uţivatelům po síti. Příprava instalačních balíčků probíhá pomocí průvodce, který umoţní nastavení potřebných parametrů po jednotlivých krocích. Název balíčku a výběr, jestli bude pro autentizaci pouţíván PIN, heslo nebo fráze. 52

53 Obrázek 15: Nastavení sw SafeNet Pouţívaní certifikátu třetích stran Zdroj: Vlastní úprava 53

54 Volba zda po vloţení karty má automaticky uloţit/odebrat všechny certifikáty uloţené na kartě do/z Microsoft úloţiště Manager utility informace o kartě a nastavení lokálních aplikací Zdroj: Vlastní úprava Volba zda uţivatel můţe na kartu importovat jiné certifikáty Volba způsobu přihlašování v tomto případě jméno a heslo Zdroj: Vlastní úprava 54

55 Přihlašování do terminálových sluţeb Citrix v tomto případě je volba ne, pro přihlášení je pouţit Citrix PN agent, který pouţívá stejné jméno a heslo jako při přihlášení k Windows stanici Přihlášení ke vzdálené ploše Dynamická změna hesla Volba Token Utilities Zdroj: Vlastní úprava Volba Smart Logon pouţívaní soukromých hesel např. ová schránka 55

56 Zdroj: Vlastní úprava Zobrazení ikony v systémové liště Výběr z kompatibilních čteček biometriky Zdroj: Vlastní úprava Instalace nápovědy a volba pro instalaci po balíčku po síti Souhrn vytvořeného instalačního balíčku 56

57 Zdroj: Vlastní úprava 4.4 Zaškolení Součástí řešení je zaškolení obsluhy systému. To bude provedeno dle časového harmonogramu během implementace systému. Proškolení se skládá ze dvou částí: školení docházkového systému a školení obsluhy K4 Manageru. Během školení bude předána dokumentace pro obsluhu v českém jazyce. 4.5 Projekt NÁZEV Dodávka, instalace a implementace kombinovaného přístupového, docházkového a autentizačního systému 57

58 CÍL Cílem projektu je nahradit stávající přístupový systém novějším, který bude navazovat na docházkový systém a implementovat vyšší stupeň bezpečnosti při identifikaci a autentizaci do informačního systému. ÚČEL Stávající přístupový systém jiţ nevyhovuje poţadavkům a není zajištěna technická podpora. Nový systém zjednoduší kontrolu docházky a zamezí neoprávněným osobám přístup do objektů. Současně bude zvýšena bezpečnost přihlašování do IS. VÝSTUP Předání funkčního celku dle poţadavků Zákazníka. VÝNOSY A PŘÍNOSY Kontrola pohybu zaměstnanců a dalších osob Zamezení přístupu neoprávněným osobám Vyuţití docházkového systému pro výpočet mezd Zavedení vícefaktorové autentizace do informačního systému Vedoucí projektu a složení projektového týmu Vedoucí projektu: Bc. Radek Šnejdar RS Členové týmu: Pan X PX Pan Y PY VSTUPY Poţadavky Zákazníka Vlastní analýza prostředí Zkušenosti z předchozích dodávek podobného řešení ŘEŠENÍ 58

59 Návrh, dodávka a instalace docházkového a přístupového systému: Terminál CKP 3 Bezkontaktní čtečka PC Master Tiskárna Zebra Software K4 Modul Export Software CardPress Návrh, dodávka a implementace vícefaktorové autentizace: Smart karta SafeNet subdodavatel C Software SafeNet Borderless Security SSO subdodavatel C Klávesnice s integrovanou čtečkou subdodavatel D HARMONOGRAM Ganttův diagram 59