Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Технология аутентификации, защита информации, процедуры идентификации и аутентификации



Все новое обычно не сразу завоевывает сердца потребителей. Особенно когда дело касается информационных технологий, в частности защиты информации. Тем не менее тема аутентификации сейчас – одна из самых «модных». Технологии аутентификации давно активно обсуждаются и последние три года применяются все чаще.

Предъявите... что-нибудь?

Прежде чем пользователь получит доступ к ресурсам информационной системы, он должен последовательно пройти процедуры идентификации и аутентификации. Напомним, что идентификацией называется процедура распознавания пользователя по его уникальной метке (в простейшем случае по идентификатору – сетевому имени или набору символов, состоящему из букв, цифр или других символов). Аутентификация – это проверка подлинности предъявленного пользователем идентификатора, проводимая обычно с применением криптографических преобразований. В современных реализациях в аутентификации участвуют, как минимум, две стороны, которые в ходе диалога, состоящего из процессов зашифровывания запросов и ответов, должны убедиться во взаимной подлинности. Положительным результатом аутентификации (кроме установления доверительных отношений и выработки сессионного ключа) является авторизация пользователя, т. е. предоставление ему прав доступа к ресурсам, определенным для выполнения его задач.

Различают однофакторную и строгую (двухфакторную, с применением криптографии) аутентификации. Введение многими авторами термина «трехфакторная аутентификация» пока неоправданно с точки зрения практических промышленных решений, хотя теоретически такая аутентификация возможна.

В качестве факторов аутентификации принято считать, что пользователь может:

• знать нечто (пароль, PIN-код и т. п.);

• предъявить нечто (смарт-карту, eToken, «таблетку» Touch Memory, дискету и т. д.).

Использование однофакторной аутентификации признано не эффективным, поскольку при этом повышается риск взлома системы аутентификации и авторизации незарегистрированного пользователя (злоумышленника). Действительно, если пароль содержит труднозапоминаемую многосимвольную комбинацию, то его необходимо где-то записывать (т. е. можно подсмотреть и выдать потом себя за владельца), а легко запоминаемые пароли профессионал подберет в считанные минуты. Широко распространенные, особенно в банках, системы «клиент – банк», то есть однофакторные системы с применением «таблетки» обладают таким существенным недостатком, как обезличенность ее владельца. Если идентификатор в виде «таблетки» попадает в руки злоумышленника, то для системы он может стать легальным пользователем. Наконец, использование однофакторных систем на базе биометрических методов идентификации, основанных на вероятности определения биологических параметров пользователя, пока сдерживается их стоимостью.

Таким образом, наиболее приемлемым вариантом, с точки зрения оптимального соотношения «цена – качество», на сегодня признано при USB-ключей eToken (на которых хранятся ключевая пара – открытый и закрытый ключи пользователя – и сертификаты) и PIN-кода. Впрочем, чтобы понять, зачем для аутентификации нужны сертификаты, следует обратиться к истории аутентификации.

Экскурс в историю

История развития способов, методов и технологий аутентификации может быть рассмотрена с разных точек зрения: как часть развития теоретических методов защиты информации, как часть разработки технических средств защиты информации, как часть развития протоколов информационного обмена и т. д. Это достаточно сложная задача, поскольку для подобного анализа понадобятся и специальные знания в достаточно узких областях (например, истории криптографии), и общетехнологический универсализм (знание техники, системного ПО, теоретическая подготовка и т. д.). В принципе технологии аутентификации являются частью развития как низкоуровневого, так и сетевого взаимодействия, и в этом смысле история аутентификации достаточно тесно связана с историей развития технологий обработки и передачи информации.

АУТЕНТИФИКАЦИЯ И ТЕНДЕНЦИИ РЕШЕНИЯ ПРОБЛЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Компания Ernst&Young подтверждает наметившиеся тенденции данными ежегодного исследования проблем IТ-безопасности (Global Information Security Survey 2004). Именно в области внутренних угроз наблюдается наиболее высокий рост озабоченности IТ-профессионалов. Респонденты поставили эту проблему на второе место в списке самых серьезных опасностей. 60% опрошенных заявили, что неправомерные действия сотрудников действительно представляют угрозу нормальному функционированию информационных систем. Этот показатель опередил такие «громкие» темы, как спам (56%), DoS-атаки (48%), финансовое мошенничество (45%) и бреши в системах безопасности ПО (39%), и уступил лишь угрозе со стороны вирусов и «червей» (77%).

В «десятку» попали и другие внутренние угрозы, в том числе утечка информации о клиентах. Первое место в списке обстоятельств, препятствующих проведению эффективной политики, занял человеческий фактор.

Заметим, что именно для снижения риска реализации человеческого фактора и предназначены новейшие технологии двухфакторной аутентификации.

Главная страница / Архитектура отрасли