ПОИСК
ВЫБЕРИТЕ НОМЕР
         
Показать все
статьи из этой
рубрики
Показать все
статьи этого
автора
Показать все
статьи по этой теме
НАШИ ИЗДАНИЯ
Connect! Мир Связи
Каталог-справочник
НАШИ ПРОЕКТЫ
Наши авторы о важном
СОТРУДНИЧЕСТВО
Выставки и конференции
Connect Conferences
РЕКЛАМА



Яндекс Цитирования





Rambler's Top100 Rambler's Top100


Отрасль
Актуальные задачи аутентификации   Алексей Сабанов

Тема аутентификации (подтверждения подлинности идентификатора объекта) последние пять лет является одной из самых обсуждаемых практически на всех конференциях по информационной безопасности (ИБ) международного и национального уровней. С одной стороны, это объясняется тем, что в условиях глобализации размываются границы предприятия, мир становится мобильным, ресурсы - все более распределенными (отметим, что все более активными становятся хакеры, а значит, увеличивается процент мошенничества). Соответственно, обостряется вопрос о необходимости доподлинно знать, тот ли это ресурс, за который он себя выдает (противодействие фишингу), и является ли пользователь, который стремится получить доступ к данному ресурсу, легальным? С другой стороны, аутентификация как один из основных сервисов безопасности - обязательная составляющая систем защиты от несанкционированного доступа (НСД), в качестве подсистемы входящая в ряд систем ИБ.

В данной статье рассмотрим наиболее часто обсуждающиеся вопросы, напрямую связанные с решением задач аутентификации:
- выбор технологий и средств аутентификации;
- обеспечение удаленного доступа;
- проблемы безопасности мобильного доступа;
- защищенные on-line запросы и транзакции.

Выбор технологий и средств аутентификации
Алексей СабановПеред многими специалистами ИБ стоит задача выбора средств и методов аутентификации. Обилие статей по данной теме, не всегда написанных квалифицированными специалистами (сейчас практически нет технической, а подчас и литературной цензуры), и широкий выбор самих средств аутентификации, предлагаемых рынку производителями, зачастую не позволяют заказчикам сделать правильный выбор решения, которое наиболее полно соответствует поставленным перед ними задачам. Тем более что государственного регулирования и четких рекомендаций по выбору технологий и средств аутентификации, в зависимости от уровня рисков, пока не опубликовано. В разрабатываемых отраслевых стандартах данный вопрос также рассматривается недостаточно полно.
Пожалуй, ближе всех к правильному подходу относительно применения технологий аутентификации в настоящее время находится банковское сообщество. Банки активно учатся оценивать риски, в частности, связанные с информационной безопасностью. Этому немало способствует и всплеск мошенничества с операциями по банковским картам, с модным нынче web-доступом к личным кабинетам по управлению инвестиционным портфелем и с уже вполне "привычными" для нашего уха хакерскими операциями со счетами, системами клиент-банк и т. д. Банки, уже ощутившие финансовый ущерб от подобных атак мошенников, начинают применять современные средства защиты, в том числе надежные технологии аутентификации, в качестве одной из мер снижения рисков финансовых потерь. Нередко встречаются и такие типы защитных мер, как рекомендации банков своим клиентам. Действуя по принципу "Предупрежден - значит, вооружен", клиентам банка рассылаются предупреждения о том, что при переводе сумм выше определенного уровня ответственность переносится на клиентов.

Базовые критерии
С точки зрения применяемых технологий аутентификации, подробно рассмотренных в работе [1], безусловно, самой надежной является взаимная строгая двухфакторная аутентификация. В ее основе лежит технология электронной цифровой подписи (ЭЦП) с применением USB-ключей или смарт-карт в качестве надежного хранилища закрытых ключей пользователей. Под взаимностью понимается возможность проверки валидности сертификата цифровой подписи как клиента сервером, так и наоборот. Однако эта технология требует развитой инфраструктуры открытых ключей, наличия доверенной среды, а также средств проверки ЭЦП на клиентской рабочей станции.
При отсутствии возможностей для выполнения этих условий, в частности, для организации удаленного доступа из недоверенной среды, были разработаны достаточно надежные схемы с применением одноразовых паролей (технология OTP - One Time Password), рассмотренные в работе [2]. Суть концепции одноразовых паролей состоит в использовании различных паролей при каждом новом запросе на предоставление доступа. Одноразовый пароль действителен только для одного входа в систему. Динамический механизм задания пароля является одним из лучших способов защитить процесс аутентификации от внешних угроз. Аутентификация с применением механизма ОТР называется усиленной.
И, наконец, при самом низком уровне рисков и ничтожно малом возможном ущербе при разглашении информации, доступ к которой необходимо организовать, широко используется способ аутентификации, основанный на применении парольной защиты. Требования к технологии аутентификации в зависимости от уровня рисков сведены в таблице.
При применении каждой рассмотренной технологии следует учитывать и более тонкие технические моменты, хорошо известные специалистам. Например, при использовании технологии ЭЦП, весьма существенной, с точки зрения обеспечения требуемого уровня безопасности, является задача управления закрытыми ключами, подробно рассмотренная в работе [3]. Почему-то о данной задаче очень мало пишут в российских СМИ, а ведь ее техническое решение оказывает существенное влияние на степень защищенности системы. Суть проблемы заключается в том, что безопасность закрытого ключа пользователя должна быть обеспечена на всех этапах его жизненного цикла: при генерации ключевой пары (открытого и закрытого ключей), при хранении закрытого ключа, при его использовании (выполнении криптографических операций, требующих закрытого ключа пользователя, например, формирования ЭЦП), при уничтожении закрытого ключа. В работе [3] показано, что самое надежное средство генерации и хранения закрытых ключей пользователей - микропроцессорная смарт-карта или USB-ключ с микросхемой микропроцессорной смарт-карты.
Итак, лучшей практикой для подтверждения подлинности идентификатора является двусторонняя строгая аутентификация, основанная на технологии ЭЦП. В ситуациях, когда данную технологию использовать невозможно, необходимо применять ОТР, и только при минимальном уровне рисков проникновения злоумышленника к информационным ресурсам рекомендуется применение технологий аутентификации с помощью многоразовых паролей.

Обеспечение доступа мобильным пользователям
В последнее время все более актуальной становится тема предоставления сервисов удаленного доступа к информационным ресурсам посредством мобильных устройств - телефонов, смартфонов, "наладонников". Однако желание заказчика иметь полнофункциональный мобильный доступ и производить защищенные транзакции с помощью своего мобильного устройства сталкивается, прежде всего, с технологическими трудностями осуществления полнофункциональной двусторонней (клиент - сервер) аутентификации. Подавляющая часть предоставляемых на рынке сервисов недостаточно защищена от различного рода атак, в том числе типа "человек посередине". Кроме того, ситуацию усугубляют, с одной стороны, постоянно повышающийся уровень распространения интернет-мошенничества, с другой - неискушенность пользователей в вопросах безопасности. Можно ли в таких условиях обеспечить безопасный доступ заказчика к информационным ресурсам и свести риск перехвата секретной информации к минимуму? Попробуем разобраться в этом вопросе.
Со стороны клиента в данном случае вопросы аутентификации пользователя подменяются вопросами аутентификации даже не самого мобильного устройства, а всего лишь SIM-карты, зарегистрированной оператором связи в контракте, который пользователь подписывает при ее приобретении. Действительно, польз




Заказать полную PDF-версию свежего номера Connect!



Показать все статьи по теме Информационная безопасность

Поставьте свою оценку:
   1   2   3   4   5   

< Предыдущая статья

  
Следующая статья >

НАШИ ПРОЕКТЫ
ПРОСМОТР ПО ТЕМАМ
IP-телефония
Беспроводная связь
Бизнес-аналитика
Биллинг и OSS/BSS решения
Видеоконференцсвязь
Измерительная техника
Инфокоммунникации регионов
Информационная безопасность
ИТ-услуги
КИС (Корпоративные информационные системы)
Контакт-центры
КСПД (Корпоративные сети передачи данных)
Мобильная связь
Облачные технологии
Профессиональная радиосвязь
Серверные решения
Системы бесперебойного питания
Системы хранения данных
Ситуационные центры
Спутниковая связь
УПАТС
Фиксированная связь
Цифровое телевидение
TOP 20 СТАТЕЙ
Роль государства в обеспечении информационной безопасности
Консолидация телекоммуникационных ресурсов отраслей топливно-энергетического комплекса
Реквием по SoftSwitch
Трехсайтовая архитектура – реальная защита от катастроф
В Тулу за кальяноваром, или Что такое адаптивный call-центр
Ненадежность IP-телефонии: мифы и реальность
Четвертым будешь?
Путеводитель по рынку OSS-решений
В жизни все бывает, поэтому сделайте резервную копию…
Оптимизация энергопотребления в современном ЦОД
VSATизация России – промежуточные итоги
Современные программные телефоны
Аккумуляторные батареи для современных ИБП
Особенности информатизации телекоммуникационных компаний в России
Отечественные производители телекоммуникационного оборудования
Проблемы нормативно-правового, организационно-технического и программного обеспечения защиты информационных систем
Смена поколений в стандартизации СКС
Проблемы и перспективы формирования мобильной медиасреды в России
Принципы организации сетевой инфраструктуры ООО «ЛУКОЙЛ-ИНФОРМ»
Модульные отказоустойчивые системы бесперебойного питания: за и против
Все ТОПовые статьи >>