- А где
твой паспорт? – спросила крыса у Оловянного солдатика.
Г.Х.Андерсен
Аутентификация (Authentication)
– проверка принадлежности пользователю (субъекту доступа)
предъявленного им идентификатора и подтверждение его
подлинности.
Авторизация (Authorization)
– проверка прав доступа пользователя и получение им доступа к
ресурсам в соответствии с данными ему правами.
Ни одно предприятие, ни одна компания или
банк не могут существовать без этих понятий. Хотя мы часто
не думаем или даже не знаем о них. Днем и ночью они охраняют
наше благополучие – корпоративные и личные материальные и
денежные средства, товары, счета и многое другое.
Сотрудник компании проходит указанные
проверки по меньшей мере четырежды в день в двух
самостоятельных корпоративных системах, обеспечивающих
безопасность:
- в системе контроля доступа (СКД) - при
доступе на территорию предприятия (офиса) и во внутренние
помещения;
- в
локальной сети - при доступе к информационным ресурсам.
Системы вроде бы работают
автономно, но так ли это?
В состав системы защиты информации
локальной сети входит подсистема управления доступом, часть
функций которой выполняет корпоративная СКД – контроль за
физическим доступом в помещения, где размещены серверы,
компьютеры руководства, технические средства обрабатывающие,
хранящие и передающие конфиденциальную информацию.
В состав СКД на правах подсистемы входит
специализированная управляющая локальная информационная сеть,
в которой реализована подсистема защиты информации. Кроме
того, часть технических и программных средств могут
использоваться одновременно двумя сетями – например серверные
и коммутационные устройств, оборудование передачи данных,
часть системного и прикладного программного обеспечения.
Исходя из организационно-технических
принципов построения этих систем (и корпоративной системы
комплексной безопасности в целом), вытекает не только
возможность, но и необходимость углубления их взаимной
интеграции на программном и аппаратном уровнях. Основной
принцип интеграции - качественное улучшение характеристик
обеих системы за счет их комплексного использования и
взаимного дополнения на этапе разработки, проектирования,
внедрения и эксплуатации. Проще говоря, эти две системы, а в
перспективе и другие (системы теленаблюдения, охраны
периметра, пожарной и охранной сигнализации, оповещения и
т.д.), обеспечивающие комплексную безопасность должны
помогать и дополнять друг друга при выполнении процедур,
определенных корпоративной политикой безопасности
В связи с тем, что любая система
является наиболее уязвимой на стадии аутентификации и
авторизации пользователя рассмотрим интеграционные
перспективы именно для этих процедур.
Аутентификация с использованием пароля
простой и самый распространенный способ в компьютерных
системах, изредка он применяется и в современных СКД –
клавиатурный ввод кодов доступа. Пожалуй, пароли - наиболее
уязвимая часть любой компьютерной системы. Как бы ни была
защищена система от атак по сети или по коммутируемым линиям,
от "Троянских коней" и аналогичных опасностей, она может быть
полностью скомпрометирована злоумышленником, если тот получит
к ней доступ из-за плохо выбранного пароля. Важно
сформировать хороший свод правил выбора паролей, и довести его
до каждого пользователя.
Ниже приведен набор простых рекомендаций
по выбору паролей.
НЕ ИСПОЛЬЗУЙТЕ:
·
в качестве пароля производные от
входного имени (само имя, обращенное, записанное прописными
буквами, удвоенное имя и т.п.).
·
в качестве пароля свое имя,
отчество или фамилию.
·
имя свое, друга, супруги (супруга)
или детей.
·
другую ассоциированную с Вами
информацию, которую легко узнать (номера документов и
телефонов, марку или номер автомобиля, дату рождения, домашний
адрес и т.п.).
·
чисто цифровой пароль или пароль из
повторяющихся букв.
·
слов, содержащихся в словаре
английского или иного языка, в других списках слов.
·
пароль менее чем из шести символов.
ИСПОЛЬЗУЙТЕ:
·
пароли со сменой регистра букв.
·
пароли с небуквенными символами
(цифрами или знаками пунктуации).
·
разные пароли для разных
приложений.
·
запоминающиеся пароли, чтобы не
пришлось записывать их на бумаге.
·
пароли, которые Вы можете ввести
быстро, не глядя на клавиатуру.
Но при этом невозможно выполнить весь
набор правил без привлечения программно-аппаратных средств.
Поэтому в компьютерных системах наибольшее распространение
получила аутентификация с использованием паролей хранящихся и
вводимых из памяти идентификаторов. Таких, как разнообразные
контактные смарт-карты и USB-ключи,
использующие двухфакторную авторизацию (PIN-код
+ пароль) и программное обеспечение к ним. При этом жесткие
требования предъявляются к вероятностным свойствам
генерируемых паролей. В процессе аутентификации может
использоваться шифрование (хэширование), что делает
бессмысленными атаки с помощью активной разведки. Но и эти
системы могут стать для разработчиков, администраторов и
пользователей источником трудноразрешимых проблем. Ведь чем
сложнее средства защиты, тем сложнее и хитроумней становятся
средства нападения.
Для упрощения процесса принятия решения в
стародавнем споре – «Смарт-карта или USB-ключ.
Что предпочесть корпоративному пользователю», сведем их
наглядные характеристики в следующую таблицу.
Смарт-карта
|
USB-ключ |
Н А Д Е Ж Н О С
Т Ь
|
|
Смарт-карта устойчива к внешним
воздействиям – влажность, давление, изгиб,
статическое электричество. Выдерживает
порядка 1 миллиона циклов вставки-извлечения |
Физическая надежность
USB-ключа, в силу его
конструктивных особенностей (объемный корпус, открытый
контактный узел) существенно ниже. |
|
1 |
0 |
П Е Р С О Н И Ф
И Ц И Р У Е М О С Т Ь
|
|
На карту может быть нанесено любое
изображение (данные владельца, регистрационный номер,
логотип). При большом количестве сотрудников это облегчает
работу администратора и повышает удобство пользования.
|
USB-ключ
имеет индивидуальный заводской номер (нанесен мелким
шрифтом на корпус). При больших объемах закупки (как
правило от нескольких тысяч штук) можно выбрать цвет
корпуса или нанести логотип |
|
1 |
0 |
С Т О И М О С Т
Ь
|
|
Стоимость смарт-карты составляет
примерно 7-8 $. Это примерно одна десятая часть от
стоимости всего комплекса. Не вызывает проблем закупка
резервных карт либо обеспечение многопользовательского
режима использования компьютера |
USB-ключ
стоит 30-40 $. Хотя дополнительный ридер и не требуется.
Суммарная стоимость рабочего места с учетом ПО превышает
стоимость использования смарт-карт. А с учетом резерва и
многопользовательского режима стоимость значительно
увеличивается. |
|
1 |
0 |
П О Д К Л Ю Ч Е
Н И Е
|
|
Внешнее устройство чтения смарт-карты
(ридер) может подключаться к COM
или USB портам, внутреннее
(отсек 3’ или 5’) – к ISA или
PCI шине. Обеспечивается работа
с любым компьютером. |
Ключ подключается только к
USB-порту напрямую или через
удлинитель. Дополнительный ридер не требуется. |
|
1 |
1 |
У Д О Б С Т В О
|
|
Карту удобно хранить и использовать.
Современный человек уже привык носить и применять
различные карты – телефонные, банковские и т.д.
Считыватель для карт можно разместить в удобном для
пользователя месте – на мониторе, клавиатуре, столе и т.д. |
Для ношения USB-ключа
необходимо помещать его либо на отдельный брелок
(цепочку), либо на общую связку с ключами. При этом
вставлять USB-ключ в разъем, не
снимая его со связки ключей неудобно, впрочем так же как и
каждый раз его с этой связки снимать. |
|
1 |
0 |
Д У А Л Ь Н Ы Й
И Н Т Е Р Ф Е Й С
|
|
На карте совместно размещаются
контактный и бесконтактный интерфейсы любого стандарта. |
Возникают неразрешимые на данном этапе
проблемы с монтажом на ключе бесконтактных интерфейсов
некоторых широко применяемых стандартов |
|
1 |
0 |
Уважаемый читатель, данные таблицы
подтверждаются и Вашим опытом и дальнейшими рассуждениями по
вопросам авторизации.
В СКД чаще всего применяются, как самое
оптимальное решение, бесконтактные карты: магнитные,
проксимити и смарт-карты. Конечно, лучшим решением для
простоты использования, могла стать биометрическая
аутентификация, так как она основывается на физических
признаках человека и не требует знания пароля или наличия
носителя аутентификационной и авторизационной информации. Но
на сегодняшний день данные системы самые дорогие в
приобретении, установке и эксплуатации. Кроме того, хотя
биометрические характеристики и являются уникальными
идентификаторами, но их нельзя сохранить в тайне.
Таким образом, оптимальным носителем авторизационной
информации, который может использоваться и в локальных сетях и
в СКД, является процессорная смарт-карта с дуальным (контактный+бесконтактный)
интерфейсом, защищенной памятью и возможностью работы с
несколькими приложениями.
Наиболее соответствующей таким требованиям является
карта JCOP30 - смарт-карта серии JCOP (Java Card Open
Platform), полностью совместимая со стандартами MIFARE
(бесконтактные карты) и ISO7816 (контактные карты). То есть,
карта JCOP30 имеет возможность передавать информацию ридеру
как по радиоинтерфейсу (по стандарту MIFARE), так и через
контактный интерфейс.
Карта содержит криптографический
сопроцессор выполняющий алгоритмы Triple-DES и RSA. JCOP30
удовлетворяет требования следующих стандартов: EMV2000, Java
Card 2.1.1, Open Platform 2.0.1. и работают с платежным
приложением VISA Smart Debit/Credit (VSDC). Кроме того, карты
могут поддерживать до шестнадцати независимых приложений.
Уникальность этих карт состоит в том, что
функциональные приложения для них пишутся на языке JAVA,
широко распространенном среди разработчиков и программистов во
всем мире. В России также существует достаточное количество
квалифицированных специалистов, имеющих навыки
программирования на этом языке.
Что позволит применение карты JCOP30
на нынешнем этапе?
Применить единый, достаточно дешевый
носитель идентификационной информации с возможностью
графической персонификации.
Разметить в защищенной памяти карты
информацию о пользователе: уровень доступа, временные
интервалы доступа, срок действия карты, перечень разрешенных
для доступа помещений, время включения персонального
компьютера, графики обходов (для охраны) и т.п.
Гарантированно обеспечить
блокирование компьютера пользователя при оставлении им
рабочего места: без карты нельзя вернуться в помещение,
следовательно, она обязательно будет изъята из компьютера.
В свою очередь это позволит:
Унифицировать процедуры политики
информационной безопасности и политики контроля и управления
физическим доступом.
Блокировать попытки авторизации в
корпоративной сети пользователя, находящегося за пределами
зоны, контролируемой СКД. Такое решение дает дополнительные
гарантии защиты от внешних информационных атак и
несанкционированного использования утерянной карты. В
настоящее время компания РУСКАРД завершает разработку
программного модуля сопряжения модуля «Локатор» СКД и
программно-аппаратного комплекса «Мастер Паролей».
Провести учет рабочего времени не только
по факту прохода через первичное преграждающего устройство, но
и по факту включения, блокировки и выключения компьютера
пользователя.
Реализовать с помощью карты корпоративные
платежные и бонусные системы: посещение столовой, оплата
парковки и т.п.
В перспективе такая карта может быть
использована в качестве унифицированного информационного
носителя для авторизации на сервере авторизации единой
информационно-управляющей структуры интеллектуального здания.
Проблема перехода корпоративной системы
комплексной безопасности на дуальные карты упрощается еще и
тем, что карта JCOP30 уже
используется в качестве социальной карты москвича. И
возможности карты по одновременной поддержке шестнадцати
независимых приложений еще не скоро будут исчерпаны.
Следовательно, можно будет решить вопрос об использовании
карты и в корпоративных целях, возместив часть стоимости карты
эмитенту.
Такой подход к унификации носителя стал
возможен только после вывода компанией РОЗАН на Российский
рынок смарт-карт JCOP30 с дуальным
интерфейсом, и доработки программного обеспечения
программно-аппаратного комплекса «Мастер Паролей» компанией
РУСКАРД.
Поскольку, большинство современных систем
контроля физического доступа работают с прокси-картами
стандартов EM-Marin, HID,
Motorola то для ранее установленных
СКД компания РУСКАРД предложила изготовить и использовать
другой тип комбинированных двухинтерфейсных карт. Эти карты
совмещают возможности карты вышеуказанных стандартов и
современных процессорных JAVA-карт
семейства JCOP. Такое решение позволяет использовать уже
имеющееся оборудование СКД (считыватели, контроллеры и т.д.) и
единую карту для контроля физического доступа и решения
других задач (обеспечения авторизации на ПК, бонусных проектов
и т.д.).
Компания
РУСКАРД первой предложила подобную карту, дополнив
проксимити-карту чипом JCOP20. JCOP20 - смарт-карта серии
JCOP (Java Card Open Platform), полностью совместима со
стандартами EMV и ISO7816. Кроме того, на чипе имеется
криптографический сопроцессор реализующий алгоритмы
Triple-DES и RSA.
Применение такой карты не требует
модернизации оборудования СКД и, в тоже время, предоставит
корпоративному пользователю все преимущества, описанной выше
карты JCOP30.
Компания РУСКАРД предоставляет
заинтересованным организациям на бесплатное тестирование
дуальные карты JCOP30, проксимити/JCOP20 и
программно-аппаратный комплекс Мастер Паролей, использующий
данные карты в качестве носителя информации для авторизации и
разграничения доступа в корпоративной компьютерной сети.
Авторы:
Грушо Александр Александрович -
профессор, доктор физико-математических наук,
член-корреспондент Академии криптографии РФ, академик
Международной академии информатизации.
Балакин Александр Александрович -
заместитель директора ФГП «АЦ Желдоринформзащита МПС РФ».
Сарбуков Артур
Евгеньевич - генеральный директор компании РУСКАРД
Грушо Александр Александрович
Балакин Александр Александрович
Сарбуков Артур Евгеньевич
