Обеспечение безопасности

Программный комплекс QUIK обеспечивает целостность и конфиденциальность передаваемых данных за счет обязательной организации защищенного соединения между сервером QUIK и рабочим местом пользователя. Вся информация между сервером и клиентом передается в зашифрованном виде.

Средства брокера для организации шифрования и аутентификации

Аутентификация и шифрование с использованием стандартных протоколов TLS/SSL
Аутентификация может производиться либо по имени и паролю, либо по сертификату X.509, выпущенному для индивидуального закрытого ключа, сгенерированного пользователем.
Использование сертифицированных алгоритмов ГОСТ, реализуемых системами криптографической защиты информации КриптоПро CSP и/или SignalCom SSLPro
Аутентификация производится по сертификату X.509, выпущенному для индивидуального закрытого ключа, сгенерированного пользователем. Ключ может храниться в т.ч. и на наиболее защищенных внешних носителях — «брелках» в неизвлекаемой памяти (JaCarta, eToken, ruToken и т.п.).
Система криптозащиты, разработанная ARQA Technologies
Открытый и закрытый ключи создаются пользователем и могут быть защищены паролем. Закрытый ключ хранится отдельно от самой программы, например, на флэш-карте. Аутентификация производится по открытому ключу пользователя, шифрование — с помощью симметричного секретного ключа.

Дополнительные способы защиты

различные механизмы двухфакторной авторизации (аутентификация с использованием технологий RSA SecurID и RADIUS, доменная аутентификация Windows) с отправкой PIN-кода пользователю по e-mail или, при наличии Модуля рассылки уведомлений, SMS/push-сообщением на мобильное устройство;
журналирование всех транзакций и текстовых сообщений пользователей;
фиксирование диапазона IP-адресов, доступных для подключения определенного терминала;

индивидуальные настройки средств безопасности для каждого пользователя, возможность выборочного применения;
электронная цифровая подпись (ЭЦП) транзакций с применением следующих сертифицированных средств криптографической защиты информации (СКЗИ): «Message-PRO/Сигнал-КОМ», «КриптоПро CSP».

Внешние СКЗИ

Расширенные возможности по защите данных путем формирования ЭЦП могут быть получены при использовании внешних (не встроенных в систему) сертифицированных СКЗИ. Внешние СКЗИ приобретаются отдельно.

Каждая транзакция пользователя (новая заявка, поручение на снятие заявки, неторговое поручение) может быть подписана электронной подписью с помощью следующих систем криптографической защиты информации, имеющих сертификаты ФСБ:

КриптоПро CSP,
Message-PRO (компании Сигнал-КОМ).

Для казахстанских компаний поддерживаются системы криптографической защиты информации следующих разработчиков:

ТУМАР-CSP (Научно-исследовательской лаборатории «Гамма Технологии», Казахстан).

RSA SecurID

Дополнительно к штатным возможностям для авторизации пользователей Рабочего места QUIK и webQUIK может использоваться технология RSA SecurID®.

Двухфакторная аутентификация компании RSA Security предназначена для обеспечения дополнительной защиты данных пользователя системы QUIK от несанкционированного доступа. В решении RSA SecurID аутентификация производится на основе двух факторов:

PIN — число, которое пользователь держит в голове;
токен-код — число, которое отображается на дисплее токена.

Токен RSA SecurID представляет собой небольшой брелок или карту с жидкокристаллическим дисплеем, на котором каждую минуту меняется число. Для получения токен-кода используется генератор псевдослучайных чисел, поэтому предсказать следующее значение по текущему невозможно.

Токен пользователь всегда хранит при себе, но даже в случае утраты нашедший не сможет им воспользоваться, так как не знает PIN-кода. Аналогично, подсмотрев вводимый PIN-код, злоумышленник не сможет им воспользоваться, не имея на руках пользовательского токена. Более того, владелец токена всегда может его заблокировать. При аутентификации пользователя значение токен-кода можно использовать только один раз. В случае перехвата аутентификационных данных, это исключает возможность повторного использования кода злоумышленником.

Применение в программном комплексе QUIK

Для использования технологии RSA SecurID необходимо программное обеспечение RSA ACE/Server (базовая лицензия) и токены RSA SecurID Key Fob, Card или PINPad Card. Дистрибьютором RSA Security в РФ является ООО "Компания "Демос" (www.demos.su).

Для развертывания RSA ACE/Server достаточно выделить один компьютер. Важно, чтобы этот компьютер находился в одном сегменте сети с сервером QUIK и синхронизировал компьютерные часы каким-либо способом с мировым временем (например, по протоколу NTP).

Режим двухфакторной аутентификации включается индивидуально для каждого клиента и не влияет на работу других пользователей системы. При соединении пользователя QUIK с сервером системы на экране появится окно для ввода PIN'а (пароля) и токен-кода. Число попыток ввода ограничено. В случае подозрения на подбор значений сеанс связи с сервером разрывается, а использование токена приостанавливается до вмешательства администратора.