Обеспечение безопасности

Программный комплекс QUIK обеспечивает целостность и конфиденциальность передаваемых данных за счет обязательной организации защищенного соединения между сервером QUIK и рабочим местом пользователя. Вся информация между сервером и клиентом передается в зашифрованном виде.

Cредства брокера для организации шифрования и аутентификации

  • Аутентификация и шифрование с использованием стандартных протоколов TLS/SSL
    Аутентификация может производиться либо по имени и паролю, либо по сертификату X.509, выпущенному для индивидуального закрытого ключа, сгенерированного пользователем.
  • Использование сертифицированных алгоритмов ГОСТ, реализуемых системами криптографической защиты информации КриптоПро CSP и/или SignalCom SSLPro
    Аутентификация производится по сертификату X.509, выпущенному для индивидуального закрытого ключа, сгенерированного пользователем. Ключ может храниться в т.ч. и на наиболее защищенных внешних носителях — «брелках» в неизвлекаемой памяти (JaCarta, eToken, ruToken и т.п.).
  • Система криптозащиты, разработанная ARQA Technologies
    Открытый и закрытый ключи создаются пользователем и могут быть защищены паролем. Закрытый ключ хранится отдельно от самой программы, например, на флэш-карте. Аутентификация производится по открытому ключу пользователя, шифрование — с помощью симметричного секретного ключа.

Дополнительные способы защиты

  1. различные механизмы двухфакторной авторизации (аутентификация с использованием технологий RSA SecurID и RADIUS, доменная аутентификация Windows) с отправкой PIN-кода пользователю по e-mail или, при наличии Модуля рассылки уведомлений, SMS/push-сообщением на мобильное устройство;
  2. журналирование всех транзакций и текстовых сообщений пользователей;
  3. фиксирование диапазона IP-адресов, доступных для подключения определенного терминала;
  1. индивидуальные настройки средств безопасности для каждого пользователя, возможность выборочного применения;
  2. электронная цифровая подпись (ЭЦП) транзакций с применением следующих сертифицированных средств криптографической защиты информации (СКЗИ): «Message-PRO / Сигнал-КОМ», «КриптоПро CSP», «Валидата CSP» и «Бикрипт».

Внешние СКЗИ

Расширенные возможности по защите данных путем формирования ЭЦП могут быть получены при использовании внешних (не встроенных в систему) сертифицированных СКЗИ. Внешние СКЗИ приобретаются отдельно.

Каждая транзакция пользователя (новая заявка, поручение на снятие заявки, неторговое поручение) может быть подписана электронной подписью с помощью следующих систем криптографической защиты информации, имеющих сертификаты ФСБ:

Для украинских компаний в QUIK доступна поддержка СКЗИ от аккредитованных центров сертификации ключей (кроме случаев использования сервера QUIK на аутсорсинге*):

* — для компаний, планирующих использовать сервер QUIK на аутсорсинге для подключения к биржам Украины интеграция с решениями по использованию ЭЦП сертифицированных украинских провайдеров невозможна по причинам, лежащим на стороне законодательства Украины и России.

Для казахстанских компаний поддерживаются системы криптографической защиты информации следующих разработчиков:

RSA SecurID

Дополнительно к штатным возможностям для авторизации пользователей Рабочего места QUIK и webQUIK может использоваться технология RSA SecurID®.




Двухфакторная аутентификация компании RSA Security предназначена для обеспечения дополнительной защиты данных пользователя системы QUIK от несанкционированного доступа. В решении RSA SecurID аутентификация производится на основе двух факторов:

  • PIN — число, которое пользователь держит в голове; 
  • токен-код — число, которое отображается на дисплее токена. 

Токен RSA SecurID представляет собой небольшой брелок или карту с жидкокристаллическим дисплеем, на котором каждую минуту меняется число. Для получения токен-кода используется генератор псевдослучайных чисел, поэтому предсказать следующее значение по текущему невозможно.

Токен пользователь всегда хранит при себе, но даже в случае утраты нашедший не сможет им воспользоваться, так как не знает PIN-кода. Аналогично, подсмотрев вводимый PIN-код, злоумышленник не сможет им воспользоваться, не имея на руках пользовательского токена. Более того, владелец токена всегда может его заблокировать. При аутентификации пользователя значение токен-кода можно использовать только один раз. В случае перехвата аутентификационных данных, это исключает возможность повторного использования кода злоумышленником.

img.jpg

Применение в программном комплексе QUIK

Для использования технологии RSA SecurID необходимо программное обеспечение RSA ACE/Server (базовая лицензия) и токены RSA SecurID Key Fob, Card или PINPad Card. Дистрибьютором RSA Security в РФ является ООО "Компания "Демос" (www.demos.su).

Для развертывания RSA ACE/Server достаточно выделить один компьютер. Важно, чтобы этот компьютер находился в одном сегменте сети с сервером QUIK и синхронизировал компьютерные часы каким-либо способом с мировым временем (например, по протоколу NTP).

Режим двухфакторной аутентификации включается индивидуально для каждого клиента и не влияет на работу других пользователей системы. При соединении пользователя QUIK с сервером системы на экране появится окно для ввода PIN'а (пароля) и токен-кода. Число попыток ввода ограничено. В случае подозрения на подбор значений сеанс связи с сервером разрывается, а использование токена приостанавливается до вмешательства администратора.

Наверх