Главная страница
Форум
Промиздат
Опережения рынка
Архитектура отрасли
Формирование
Тенденции
Промстроительство
Нефть и песок
О стали
Компрессор - подбор и ошибки
Из истории стандартизации резьб
Соперник ксерокса - гектограф
Новые технологии производства стали
Экспорт проволоки из России
Прогрессивная технологическая оснастка
Цитадель сварки с полувековой историей
Упрочнение пружин
Способы обогрева
Назначение, структура, характеристики анализаторов
Промышленные пылесосы
Штампованные гайки из пружинной стали
Консервация САУ
Стандарты и качество
Технология производства
Водород
Выбор материала для крепежных деталей
Токарный резец в миниатюре
Производство проволоки
Адгезия резины к металлокорду
Электролитическое фосфатирование проволоки
Восстановление корпусных деталей двигателей
Новая бескислотная технология производства проката
Синие кристаллы
Автоклав
Нормирование шумов связи
Газосварочный аппарат для тугоплавких припоев
|
Главная страница / Архитектура отрасли Аутентификация и авторизация А где твой паспорт? – спросила крыса у Оловянного солдатика. Х.-К. Андерсен Ни одно предприятие, ни одна компания или банк не могут существовать без понятий «аутентификация» и «авторизация». Хотя мы часто не думаем или даже не знаем о них. Днем и ночью они охраняют наше благополучие – корпоративные и личные материальные и денежные средства, товары, счета и многое другое. Сотрудник компании проходит указанные проверки, по меньшей мере, четырежды в день в двух самостоятельных корпоративных системах, обеспечивающих безопасность: в системе контроля доступа (СКД) – при доступе на территорию предприятия (офиса) и во внутренние помещения; в локальной сети – при доступе к информационным ресурсам. Системы вроде бы работают автономно, но так ли это? В состав системы защиты информации локальной сети входит подсистема управления доступом, часть функций которой выполняет корпоративная СКД – контроль за физическим доступом в помещения, где размещены серверы, компьютеры руководства, технические средства, обрабатывающие, хранящие и передающие конфиденциальную информацию. В состав СКД на правах подсистемы входит специализированная управляющая локальная информационная сеть, в которой реализована подсистема защиты информации. Кроме того, часть технических и программных средств может использоваться одновременно двумя сетями – например, серверные и коммутационные устройства, оборудование передачи данных, часть системного и прикладного программного обеспечения. Исходя из организационно-технических принципов построения этих систем (и корпоративной системы комплексной безопасности в целом), вытекает не только возможность, но и необходимость углубления их взаимной интеграции на программном и аппаратном уровнях. Основной принцип интеграции – качественное улучшение характеристик обеих системы за счет их комплексного использования и взаимного дополнения на этапе разработки, проектирования, внедрения и эксплуатации. Проще говоря, эти две системы, а в перспективе и другие (системы теленаблюдения, охраны периметра, пожарной и охранной сигнализации, оповещения и т. д.), обеспечивающие комплексную безопасность, должны помогать и дополнять друг друга при выполнении процедур, определенных корпоративной политикой безопасности. В связи с тем, что любая система является наиболее уязвимой на стадии аутентификации и авторизации пользователя, рассмотрим интеграционные перспективы именно для этих процедур. Аутентификация с использованием пароля – простой и самый распространенный способ в компьютерных системах, изредка он применяется и в современных СКД (клавиатурный ввод кодов доступа). Пожалуй, пароли – наиболее уязвимая часть любой компьютерной системы. Как бы ни была защищена система от атак по сети или по коммутируемым линиям, от «троянских коней» и аналогичных опасностей она может быть полностью скомпрометирована злоумышленником, если тот получит к ней доступ из-за плохо выбрай свод правил выбора Естественно, выполнить весь набор правил без привлечения программно-аппаратных средств невозможно. Поэтому в компьютерных системах широко распространена аутентификация с использованием паролей, хранящихся и вводимых из памяти идентификаторов (например, разнообразных контактных смарт-карт и USB-ключей, использующих двухфакторную авторизацию (PIN-код + пароль) и программного обеспечения к ним). Жесткие требования предъявляются к вероятностным свойствам генерируемых паролей. В процессе аутентификации может использоваться шифрование (хэширование), что делает бессмысленными атаки с помощью активной разведки. Но и эти системы могут стать для разработчиков, администраторов и пользователей источником трудноразрешимых проблем. Ведь чем сложнее средства защиты, тем хитроумнее становятся средства нападения. Для упрощения процесса принятия решения в стародавнем споре - "смарт-карта или USB-ключ. Что предпочесть корпоративному пользователю", сведем их наглядные характеристики в следующую таблицу. Уважаемый читатель, данные таблицы подтверждаются и вашим опытом, и дальнейшими рассуждениями по вопросам авторизации. В СКД чаще всего применяются бесконтактные карты: магнитные, проксимити и смарт-карты. Конечно, оптимальным решением в такой ситуации могла стать биометрическая аутентификация, так как она основывается на физических признаках человека и не требует знания пароля или наличия носителя аутентификационной и авторизационной информации. Но на сегодняшний день данные системы самые дорогие в приобретении, установке и эксплуатации. Кроме того, биометрические характеристики нельзя сохранить в тайне. Таким образом, наиболее приемлемым носителем авторизационной информации, который может использоваться и в локальных сетях, и в СКД, является процессорная смарт-карта с дуальным (контактный + бесконтактный) интерфейсом, защищенной памятью и возможностью работы с несколькими приложениями. Перечисленным требованиям соответствует карта JCOP30 серии JCOP (Java Card Open Platform), полностью совместимая со стандартами MIFARE (бесконтактные карты) и ISO7816 (контактные карты). Карты JCOP30 обеспечивают передачу информации ридеру как по радиоинтерфейсу (по стандарту MIFARE), так и через контактный интерфейс; содержат криптографический сопроцессор, выполняющий алгоритмы Triple-DES и RSA; удовлетворяют требованиям следующих стандартов: EMV2000, Java Card 2.1.1, Open Platform 2.0.1 и работают с платежным приложением VISA Smart Debit/Credit (VSDC); способны поддерживать до 16 независимых приложений. Уникальность карт заключается в том, что функциональные приложения для них пишутся на языке JAVA, широко распространенном среди разработчиков и программистов во всем мире. В России существует достаточное количество квалифицированных специалистов, имеющих навыки программирования на этом языке. Применение карты JCOP30 на нынешнем этапе позволяет: • использовать единый, достаточно дешевый носитель идентификационной информперсонификации; • разметить в защищенной памяти карты информацию о пользователе: уровень доступа, временные интервалы доступа, срок действия карты, перечень разрешенных для доступа помещений, время включения персонального компьютера, графики обходов (для охраны) и т. п.; • гарантировать блокирование компьютера пользователя при оставлении им рабочего места: без карты нельзя вернуться в помещение, следовательно, она обязательно будет изъята из компьютера; • унифицировать процедуры политики информационной безопасности и политики контроля и управления физическим доступом; • блокировать попытки авторизации в корпоративной сети пользователя, находящегося за пределами зоны, контролируемой СКД. Такое решение дает дополнительные гарантии защиты от внешних информационных атак и несанкционированного использования утерянной карты. В настоящее время компания "РУСКАРД" завершает разработку программного модуля сопряжения модуля "Локатор" СКД и программно-аппаратного комплекса "Мастер паролей"; • провести учет рабочего времени не только по факту прохода через первичное преграждающее устройство, но и по факту включения, блокировки и выключения компьютера пользователя; • реализовать корпоративные платежные и бонусные системы: посещение столовой, оплата парковки и т. п. В перспективе такая карта может быть использована в качестве унифицированного информационного носителя для авторизации на сервере авторизации единой информационно-управляющей структуры "интеллектуального здания". Проблема перехода корпоративной системы комплексной безопасности на дуальные карты упрощается еще и тем, что карта JCOP30 уже используется в качестве "Социальной карты москвича". Возможности карты по одновременной поддержке независимых приложений еще не скоро будут исчерпаны. Следовательно, может быть и решен вопрос об ее использовании в корпоративных целях, с возмещением части стоимости карты эмитенту. Такой подход к унификации носителя стал возможен только после вывода компанией "РОЗАН" на российский рынок смарт-карт JCOP30 с дуальным интерфейсом и доработки программного обеспечения программно-аппаратного комплекса "Мастер паролей" компанией "РУСКАРД". Поскольку большинство современных систем контроля физического доступа работают с прокси-картами стандартов EM-Marin, HID, Motorola, то для ранее установленных СКД компания "РУСКАРД" предложила изготовить и использовать другой тип комбинированных двухинтерфейсных карт. Эти карты совмещают возможности карты указанных стандартов и современных процессорных JAVA-карт семейства JCOP. Такое решение позволяет использовать уже имеющееся оборудование СКД (считыватели, контроллеры и т. д.) и единую карту для контроля физического доступа и решения других задач (обеспечения авторизации на ПК, бонусных проектов и т. д.). Компания "РУСКАРД" первой предложила подобную карту, дополнив проксимити-карту чипом JCOP20. Это смарт-карта серии JCOP (Java Card Open Platform), полностью совместимая со стандартся криптографический сопроцессор, реализующий алгоритмы Triple-DES и RSA. Применение такой карты не требует модернизации оборудования СКД и в то же время предоставляет корпоративному пользователю все преимущества карты JCOP30. Компания "РУСКАРД" предоставляет заинтересованным организациям на бесплатное тестирование дуальные карты JCOP30, проксимити/JCOP20 и программно-аппаратный комплекс "Мастер паролей", использующий данные карты в качестве носителя информации для авторизации и разграничения доступа в корпоративной компьютерной сети. www.ruscard.ru Аутентификация (Authentication) - проверка принадлежности пользователю (субъекту доступа) предъявленного им идентификатора и подтверждение его подлинности. Авторизация (Authorization) - проверка прав доступа пользователя и получение им доступа к ресурсам в соответствии с данными ему правами. НАБОР ПРОСТЫХ РЕКОМЕНДАЦИЙ ПО ВЫБОРУ ПАРОЛЕЙ. НЕ ИСПОЛЬЗУЙТЕ: • производные от входного имени (само имя, обращенное, записанное прописными буквами, удвоенное имя и т. п.); • свое имя, отчество или фамилию; • имя свое, друга, супруги (супруга) или детей; • другую ассоциируемую с вами информацию, которую легко узнать (номера документов и телефонов, марку или номер автомобиля, дату рождения, домашний адрес и т. п.); • чисто цифровой пароль или пароль из повторяющихся букв; • слова, содержащиеся в словаре английского или иного языка, в других списках слов; • пароль менее чем из шести символов. ИСПОЛЬЗУЙТЕ: • пароли со сменой регистра букв; • пароли с небуквенными символами (цифрами или знаками пунктуации); • разные пароли для разных приложений; • запоминающиеся пароли, чтобы не пришлось записывать их на бумаге; • пароли, которые вы можете ввести быстро, не глядя на клавиатуру. Главная страница / Архитектура отрасли |