ПОИСК
ВЫБЕРИТЕ НОМЕР
         
Показать все
статьи из этой
рубрики
Показать все
статьи этого
автора
Показать все
статьи по этой теме
НАШИ ИЗДАНИЯ
Connect! Мир Связи
Каталог-справочник
НАШИ ПРОЕКТЫ
Наши авторы о важном
СОТРУДНИЧЕСТВО
Выставки и конференции
Connect Conferences
РЕКЛАМА






Информационная безопасность
Аутентификация и авторизация: новый взгляд   Александр ГРУШО, Александр БАЛАКИН, Артур САРБУКОВ


А где твой паспорт? – спросила крыса у Оловянного солдатика.
Х.-К. Андерсен

Ни одно предприятие, ни одна компания или банк не могут существовать без понятий «аутентификация» и «авторизация». Хотя мы часто не думаем или даже не знаем о них. Днем и ночью они охраняют наше благополучие – корпоративные и личные материальные и денежные средства, товары, счета и многое другое. Сотрудник компании проходит указанные проверки, по меньшей мере, четырежды в день в двух самостоятельных корпоративных системах, обеспечивающих безопасность: в системе контроля доступа (СКД) – при доступе на территорию предприятия (офиса) и во внутренние помещения; в локальной сети – при доступе к информационным ресурсам. Системы вроде бы работают автономно, но так ли это?

Аутентификация и авторизация: новый взгляд В состав системы защиты информации локальной сети входит подсистема управления доступом, часть функций которой выполняет корпоративная СКД – контроль за физическим доступом в помещения, где размещены серверы, компьютеры руководства, технические средства, обрабатывающие, хранящие и передающие конфиденциальную информацию.
В состав СКД на правах подсистемы входит специализированная управляющая локальная информационная сеть, в которой реализована подсистема защиты информации. Кроме того, часть технических и программных средств может использоваться одновременно двумя сетями – например, серверные и коммутационные устройства, оборудование передачи данных, часть системного и прикладного программного обеспечения.
Исходя из организационно-технических принципов построения этих систем (и корпоративной системы комплексной безопасности в целом), вытекает не только возможность, но и необходимость углубления их взаимной интеграции на программном и аппаратном уровнях. Основной принцип интеграции – качественное улучшение характеристик обеих системы за счет их комплексного использования и взаимного дополнения на этапе разработки, проектирования, внедрения и эксплуатации. Проще говоря, эти две системы, а в перспективе и другие (системы теленаблюдения, охраны периметра, пожарной и охранной сигнализации, оповещения и т. д.), обеспечивающие комплексную безопасность, должны помогать и дополнять друг друга при выполнении процедур, определенных корпоративной политикой безопасности.
В связи с тем, что любая система является наиболее уязвимой на стадии аутентификации и авторизации пользователя, рассмотрим интеграционные перспективы именно для этих процедур.
Аутентификация с использованием пароля – простой и самый распространенный способ в компьютерных системах, изредка он применяется и в современных СКД (клавиатурный ввод кодов доступа). Пожалуй, пароли – наиболее уязвимая часть любой компьютерной системы. Как бы ни была защищена система от атак по сети или по коммутируемым линиям, от «троянских коней» и аналогичных опасностей она может быть полностью скомпрометирована злоумышленником, если тот получит к ней доступ из-за плохо выбрай свод правил выбора Естественно, выполнить весь набор правил без привлечения программно-аппаратных средств невозможно. Поэтому в компьютерных системах широко распространена аутентификация с использованием паролей, хранящихся и вводимых из памяти идентификаторов (например, разнообразных контактных смарт-карт и USB-ключей, использующих двухфакторную авторизацию (PIN-код + пароль) и программного обеспечения к ним). Жесткие требования предъявляются к вероятностным свойствам генерируемых паролей. В процессе аутентификации может использоваться шифрование (хэширование), что делает бессмысленными атаки с помощью активной разведки. Но и эти системы могут стать для разработчиков, администраторов и пользователей источником трудноразрешимых проблем. Ведь чем сложнее средства защиты, тем хитроумнее становятся средства нападения.
Для упрощения процесса принятия решения в стародавнем споре - "смарт-карта или USB-ключ. Что предпочесть корпоративному пользователю", сведем их наглядные характеристики в следующую таблицу.
Уважаемый читатель, данные таблицы подтверждаются и вашим опытом, и дальнейшими рассуждениями по вопросам авторизации.
В СКД чаще всего применяются бесконтактные карты: магнитные, проксимити и смарт-карты. Конечно, оптимальным решением в такой ситуации могла стать биометрическая аутентификация, так как она основывается на физических признаках человека и не требует знания пароля или наличия носителя аутентификационной и авторизационной информации. Но на сегодняшний день данные системы самые дорогие в приобретении, установке и эксплуатации. Кроме того, биометрические характеристики нельзя сохранить в тайне.
Таким образом, наиболее приемлемым носителем авторизационной информации, который может использоваться и в локальных сетях, и в СКД, является процессорная смарт-карта с дуальным (контактный + бесконтактный) интерфейсом, защищенной памятью и возможностью работы с несколькими приложениями.
Перечисленным требованиям соответствует карта JCOP30 серии JCOP (Java Card Open Platform), полностью совместимая со стандартами MIFARE (бесконтактные карты) и ISO7816 (контактные карты). Карты JCOP30 обеспечивают передачу информации ридеру как по радиоинтерфейсу (по стандарту MIFARE), так и через контактный интерфейс; содержат криптографический сопроцессор, выполняющий алгоритмы
Triple-DES и RSA; удовлетворяют требованиям следующих стандартов: EMV2000, Java Card 2.1.1, Open Platform 2.0.1 и работают с платежным приложением VISA Smart Debit/Credit (VSDC); способны поддерживать до 16 независимых приложений. Уникальность карт заключается в том, что функциональные приложения для них пишутся на языке JAVA, широко распространенном среди разработчиков и программистов во всем мире. В России существует достаточное количество квалифицированных специалистов, имеющих навыки программирования на этом языке.
Применение карты JCOP30 на нынешнем этапе позволяет:
• использовать единый, достаточно дешевый носитель идентификационной информперсонификации;
• разметить в защищенной памяти карты информацию о пользователе: уровень доступа, временные интервалы доступа, срок действия карты, перечень разрешенных для доступа помещений, время включения персонального компьютера, графики обходов (для охраны) и т. п.;
• гарантировать блокирование компьютера пользователя при оставлении им рабочего места: без карты нельзя вернуться в помещение, следовательно, она обязательно будет изъята из компьютера;
• унифицировать процедуры политики информационной безопасности и политики контроля и управления физическим доступом;
• блокировать попытки авторизации в корпоративной сети пользователя, находящегося за пределами зоны, контролируемой СКД. Такое решение дает дополнительные гарантии защиты от внешних информационных атак и несанкционированного использования утерянной карты. В настоящее время компания "РУСКАРД" завершает разработку программного модуля сопряжения модуля "Локатор" СКД и программно-аппаратного комплекса "Мастер паролей";
• провести учет рабочего времени не только по факту прохода через первичное преграждающее устройство, но и по факту включения, блокировки и выключения компьютера пользователя;
• реализовать корпоративные платежные и бонусные системы: посещение столовой, оплата парковки и т. п.
В перспективе такая карта может быть использована в качестве унифицированного информационного носителя для авторизации на сервере авторизации единой информационно-управляющей структуры "интеллектуального здания".
Проблема перехода корпоративной системы комплексной безопасности на дуальные карты упрощается еще и тем, что карта JCOP30 уже используется в качестве "Социальной карты москвича". Возможности карты по одновременной поддержке независимых приложений еще не скоро будут исчерпаны. Следовательно, может быть и решен вопрос об ее использовании в корпоративных целях, с возмещением части стоимости карты эмитенту.
Такой подход к унификации носителя стал возможен только посл




Заказать полную PDF-версию свежего номера Connect!



Показать все статьи по теме Информационная безопасность

Поставьте свою оценку:
   1   2   3   4   5   

< Предыдущая статья

  
Следующая статья >

НАШИ ПРОЕКТЫ
ПРОСМОТР ПО ТЕМАМ
IP-телефония
Беспроводная связь
Бизнес-аналитика
Биллинг и OSS/BSS решения
Видеоконференцсвязь
Измерительная техника
Инфокоммунникации регионов
Информационная безопасность
ИТ-услуги
КИС (Корпоративные информационные системы)
Контакт-центры
КСПД (Корпоративные сети передачи данных)
Мобильная связь
Облачные технологии
Профессиональная радиосвязь
Серверные решения
Системы бесперебойного питания
Системы хранения данных
Ситуационные центры
Спутниковая связь
УПАТС
Фиксированная связь
Цифровое телевидение
TOP 20 СТАТЕЙ
Роль государства в обеспечении информационной безопасности
Консолидация телекоммуникационных ресурсов отраслей топливно-энергетического комплекса
Реквием по SoftSwitch
Трехсайтовая архитектура – реальная защита от катастроф
В Тулу за кальяноваром, или Что такое адаптивный call-центр
Ненадежность IP-телефонии: мифы и реальность
Четвертым будешь?
Путеводитель по рынку OSS-решений
В жизни все бывает, поэтому сделайте резервную копию…
Оптимизация энергопотребления в современном ЦОД
VSATизация России – промежуточные итоги
Современные программные телефоны
Аккумуляторные батареи для современных ИБП
Особенности информатизации телекоммуникационных компаний в России
Отечественные производители телекоммуникационного оборудования
Проблемы нормативно-правового, организационно-технического и программного обеспечения защиты информационных систем
Смена поколений в стандартизации СКС
Проблемы и перспективы формирования мобильной медиасреды в России
Принципы организации сетевой инфраструктуры ООО «ЛУКОЙЛ-ИНФОРМ»
Модульные отказоустойчивые системы бесперебойного питания: за и против
Все ТОПовые статьи >>