Искусство интеграции.
Технологии. Информация. Сервис.



 




IBM: СХД и решения на базе новых серверов IBM и Lenovo


Cisco Systems: оборудование сетей передачи данных


Ресурсы
ИЦ Телеком-Сервис:

коммуникационные решения и телефония
www.tlsgroup.ru

системы связи Avaya www.avaya-s8500.ru

унифицированные  коммуникации Cisco Systems
www.cisco-lan.ru

проектирование и монтаж датацентров www.datacenter-ts.ru

Все сайты компании


Мы в социальных сетях




Поиск по сайту


 

* Работаем только с юридическими лицами

Аутентификация


В сетевой отрасли среди специалистов имеет хождение термин «безопасность сетей предприятия». Мировыми ИТ - компаниями разработано множество технологий безопасности со сходными задачами.

Но данные технологии представляют собой лишь ступень к более полным стратегическим решениям для важнейших компонентов политики в области защиты данных: аутентификации, поддержания целостности и активной проверки данных.

Криптографией называется наука составления и расшифровки закодированных сообщений. Преобразование (шифрование) информации выполняется в целях ее защиты, в результате изменений содержимое файлов невозможно считать без ввода специального ключа криптограммы и процесса обратного преобразования информации. Криптография является основой любой системы защиты информации, поэтому в данном разделе мы хотели бы представить Вам основные методы криптографии и дать краткий обзор решений по защите сетей предприятий некоторых вендоров.

С помощью шифрования можно надежно защитить персональные данные, корпоративную и строго конфиденциальную информацию, не требующую разглашения. Даже в случае возможного хищения носителей информации или несанкционированного копирования файлов, злоумышленник не сможет прочитать содержимое.

Современная криптография развивается по 4-м основным направлениям:

  • симметричные криптосистемы, в которых для шифрования и дешифрования используется один и тот же ключ
  • криптосистемы с открытым ключом. В подобных системах используются два связанных между собой ключа: открытый и закрытый
  • электронная подпись - криптографическое преобразование, добавляемое к тексту договора или другого документа. При получении договора пользователь может проверить авторство и подлинность сообщения.
  • управление ключами с возможностью составления и распределения ключей между пользователями.

Двухфакторная идентификация пользователей

Идея двухфакторной аутентификации - воплощение одного из основных принципов защиты информации, повествующего о том, что в сеансе криптографической связи разные составляющие шифра, необходимые для дешифровки информации можно пересылать по различным каналам связи.

Составляющими шифра могут быть открытый и закрытый ключи шифрования, пароль к архиву или кодовое слово, используемое для доступа к файлу дешифрующего ключа.

Так, пересылая по почте требуемому корреспонденту архивированный файл, мы сообщаем ему пароль от архива устно. При использовании метода симметричного шифрования мы пересылаем абоненту по электронной почте только открытый ключ, а закрытый ключ при этом сохраняется на цифровом носителе и никому не транслируется.

В случае же двухфакторной аутентификации задействуется дополнительная степень защиты при работе с симметричным ключом шифрования. Помимо отсутствия пересылки закрытого ключа по каким-либо каналам связи, добавляется еще одно правило - ключ никогда и никому не предъявляется!

Как происходит процесс двухфакторной идентификации пользователя

Закрытый ключ (цифровой сертификат) хранится на eToken - особом устройстве, конструктивно представляющем собой USB-ключ или смарт-карту. Логически eToken является мини-компьютером со встроенной фирменной операционной системой.

При запросе на операции шифрования, дешифрования, проверки цифровой подписи на подлинность или предоставления доступа к сети «мини-компьютер» одновременно получает запрос на использование закрытого ключа от ОС «взрослого» компьютера.

Каждая такая операция должна пройти проверку на валидность, по окончании которой мини-компьютер получает информацию о разрешении предоставить данному пользователю доступ к ключу. Ключ предоставляется пользователю после ввода персонального пароля на клавиатуре устройства eToken.

Название «двухфакторный» этот метод получил за то, что валидность операции проверяется при одновременном использовании двух факторов – обладания ключом и знания пароля доступа к ключу. Самый простой и небезопасный способ идентификации, когда для проверки подлинности пользователя используются пароль или идентификационный номер, а также криптографический ключ.

Для проверки подлинности система может также запросить:

  • личную карточку
  • голос, отпечатки пальцев
  • координаты.

При запросе двухфакторной идентификации чаще всего используются парные сочетания:

  • что-то иметь и что-то знать
  • смарт-карта и PIN-код
  • токен и PIN-код
  • средство генерации одноразовых паролей и PIN-код
  • кем-то являться и что-то знать
  • считыватель биометрической информации и пароль.

При наборе правильного пароля устройство eToken загружает с «взрослого» компьютера сообщение, открытый ключ и производит необходимые записи в своей памяти. Данная информация отправляется «взрослому» компьютеру и адресуется тому же процессу, который предоставил данные. Операция корректно закрыта - закрытый ключ не покинул пределы защищенного хранилища!

Использовать методы двухфакторной идентификации пользователей рекомендуется в тех случаях, когда дополнительные технические средства проверки недоступны, при удаленном доступе к важной коммерческой и конфиденциальной информации.

Примеры ситуаций, при которых рекомендуется применять метод двухфакторной идентификации для проверки подлинности пользователей:

  • при невозможности отслеживания общего числа пользователей, имеющих доступ к корпоративным ресурсам компании
  • при удаленном доступе сотрудников к корпоративной сети
  • при доступе партнеров к закрытой области корпоративного сайта
  • в случае проведений операций e-commerce и других платежных сервисов через Интернет
  • при беспроводном доступе к сети через точку доступа Wi-Fi
  • при невозможности разграничения уровней доступа пользователей к корпоративной информации
  • в системах Интернет-банкинга
  • при доступе к внутренним корпоративным базам данных, документам и Web-серверам, к любым другим информационным системам, содержащим конфиденциальную информацию. Данный способ очень актуален для компаний с распределенной архитектурой.

Системы двухфакторной идентификации получили широкое распространение не только в корпоративном бизнесе. Подобные системы широко используются в мировых социальных сетях. В качестве примера, в 2011 году компания Google пересмотрела политику безопасности учетных записей и внедрила в своих сервисах механизм двухфакторной аутентификации.

После введения нового способа авторизации при доступе к почтовому ящику Gmail у пользователя кроме пароля запрашивают код, который автоматически генерируется программным способом и отправляется пользователю на мобильный телефон. Проверка уникальности пользователей защищает ресурс Gmail от злоумышленников, специализирующихся на краже персональных паролей и гарантирует посетителям сайта безопасную работу с онлайновыми сервисами социальной сети компании.

Выбор тех или иных средств аутентификации в каждом конкретном случае происходит в индивидуальном порядке. При выборе способа аутентификации учитывается ряд факторов, важность информации, требующей защиты, имеющиеся на предприятии подсистемы безопасности, текущие задачи компании, масштаб расширения.

Системы двухфакторной идентификации выпускают многие производители. В данном разделе мы остановимся на продуктах двух компаний:

  • Cisco Systems - многопрофильной американской корпорации
  • Аладдин Р.Д. – ведущего российского разработчика и поставщик средств аутентификации, продуктов и решений для обеспечения информационной безопасности и защиты конфиденциальных данных.



За дополнительной информацией обращайтесь к менеджерам
по телефону (495) 737-42-22 или пишите.



  О компании     ИТ-инфраструктура    Инженерные системы    Информационная безопасность     ИТ консалтинг    Отраслевые решения