Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Доверяй, но проверяй

В настоящее время на рынке предлагается множество технических решений для обеспечения безопасного доступа к информационным ресурсам. Сделав обзор технологий и средств аутентификации, Алексей Сабанов (компания «Аладдин Р.Д.») отметил, что выбор технологии конкретными заказчиками нередко осуществляется не лучшим образом. Такой выбор должен основываться на требованиях бизнеса и учитывать реальные условия применения. При этом нужно понимать, каковы действительные (научно обоснованные) возможности технологий, и когда достаточно, например, обеспечения усиленной аутентификации (технологии Оne-Time Password – OTP), а когда требуется строгая аутентификация (смарт-карты или USB-токены в сочетании с PIN-кодом). При наличии свыше 100 токенов, выданных сотрудникам, необходимой становится автоматизированная система для управления этими устройствами, например Token Management System (ТМS).

Вопросам выбора и обоснования внедрения системы класса Identity Management, предназначенной для защиты от несанкционированного доступа к корпоративным информационным ресурсам, был посвящен доклад Ростислава Рыжкова («ЭЛВИС+»). Имеющиеся сегодня на рынке системы разных производителей сопоставимы по функциональности и цене. Логично, что при выборе заказчик станет ориентироваться на то, платформы каких вендоров имеются на предприятии, чтобы обеспечить интеграцию. Целесообразно также обратить внимание на положение вендора на рынке, чтобы гарантировать дальнейшую поддержку внедренного решения. Сложнее обстоит дело с обоснованием экономической целесообразности внедрения системы Identity Management, тем более что все они имеют достаточно высокую стоимость. Статистика данных, полученных от заказчиков «ЭЛВИС+», позволяет утверждать, что совокупная выгода от использования системы начинает перекрывать затраты на внедрение и эксплуатацию примерно через год.

Сергей Гордейчик (Positive Technologies) рассказал о проблемах аутентификации в системах интернет-банкинга. Современные системы «клиент – банк» проектируются с учетом того, что транзакции в большинстве своем проводятся из незащищенных сетей. Для защиты от перехвата трафика, как правило, используется протокол SSL/TLS, однако он бессилен против социотехнических атак. Кроме того, при проектировании систем аутентификации и разграничения доступа зачастую не учитываются уязвимости веб-приложений. Согласно статистике, полученной Positive Technologies в 2007 г. в ходе работ по тестированию на проникновение, аудитов безопасности и др., наиболее распространенной уязвимостью является «Межсайтовое выполнение сценариев» (Cross-Site Scripting), которая встречалась в более чем 70% проанализированных приложений. Из наиболее критичных уязвимостей чаще встречается SQL Injection (возможность несанкционированного доступа к базе данных), которая была обнаружена примерно в 30% случаев. Широко распространены также уязвимости, приводящие к утечке важной информации с сервера (Information Leakage). Компенсировать уязвимости веб-приложений позволяют цифровые сертификаты, однако их неудобство – зависимость от операционной системы и браузера. Кроме того, нередко имеет место проблема ненадежного хранения таких сертификатов (например, в общей папке сетевого диска), что не исключает возможность их перехвата.

В докладе компании InfoWatch был представлен подход к обеспечению защиты от возможных внутренних нарушителей информационной безопасности, каковыми (вольно или невольно) могут стать, в частности, операторы баз данных. Для решения этой задачи необходимо иметь «модель нарушителя» (понимание возможных схем доступа к информации), четко представлять схему движения информации внутри компании, а также выделить ресурсы для контроля над соблюдением установленных регламентов.

Разработчики ПО Microsoft и IBM Software Group представили свои концепции в области идентификации. Корпорация Microsoft разработала архитектуру идентификации Identity Metasystem, которая позволяет использовать в гетерогенных средах различные цифровые идентификаторы, основанные на разных технологиях и способах применения. Данная концепция реализуется, в частности, в системе Vista CardSpace. Подразделение IBM Software Group работает над инфраструктурой Trusted Identity Framework, которая позволяет упростить управление идентификаторами на протяжении их жизненного цикла, повысить доверие к процессам и технологиям управления идентификацией, улучшить качество бизнес-процессов, связанных с идентификацией.

Оригинальное решение для обеспечения достоверности информации, публикуемой на веб-сайтах, представила компания «Ипсилон+». Суть предложенного метода заключается в том, что в имени запрашиваемого объекта размещается контрольная сумма, а клиентская программа сверяет контрольную сумму, помещенную в имя, с контрольной суммой тела объекта. Методика построения сайта разработана таким образом, что в запрашиваемом имени всегда содержится контрольная сумма тела запрашиваемого объекта. Вся процедура скрыта от пользователя, а метод не требует модификации дизайна сайта или перепрограммирования.

Доклад представителя Санкт-Петербургского информационно-аналитического центра (СПб ИАЦ) Андрея Свистунова высветил целый спектр организационно-правовых проблем, встающих при организации системы «одного окна». СПб ИАЦ работает над пилотным проектом «Электронная приемная для мамы», в рамках которого родители Санкт-Петербурга смогут оформлять получение детских пособий через Интернет. Для этого им достаточно заполнить электронную заявку, а проверка введенных данных и подтверждение права родителя на пособие целиком ложится на электронную систему. С технологической точки зрения проект не является сложным, однако необходимость соблюсти существующие нормы законодательства делает его реализацию весьма трудоемким процессом (не говоря уже о чисто организационных проблемах). Например, специалистам ИАЦ пришлось организовать «петлю запросов», чтобы последние в соответствующие городские инстанции исходили от представителей органов власти, поскольку ни заявитель, ни «Электронная приемная» не имеют права делать их от своего имени. Приходится подписывать определенные соглашения, инициировать принятие организационно-распорядительных документов, искать адекватные законодательству формулировки и компромиссы… Одна из отмеченных аудиторией проблем состоит в том, что при подаче родителями заявления персональные данные передаются по открытому каналу, и ответственность за их защиту фактически перекладывается на заявителя, согласившегося передать их таким способом. Впрочем, как отметил ведущий секции, заместитель руководителя «Росфинмониторинга» Александр Спиридонов, практики применения Закона «О персональных данных» на сегодняшний день еще нет, и ее нужно нарабатывать. Питерский проект позволяет сделать первые шаги в этом направлении. Подготовила Людмила Леснова

Работу секции в целом можно оценить положительно. Особенно важно то, что наряду с постановкой проблем предлагались конкретные варианты их решений.

Как было отмечено в ходе выступлений, существующие проблемы постоянно изменяются. Мы находим средства решения одних проблем, однако появляются новые, и нужно понять, какие проблемы являются наиболее актуальными, а какие только начинают зарождаться. Последние важно вовремя обнаружить и выработать меры по их предупреждению. Подобные встречи, где происходит живой обмен мнениями, позволяет это сделать. На секции прозвучали выступления, свидетельствующие о том, что есть люди, которые отдают себе отчет в серьезности существующих задач и готовы предлагать способы их решения.

Главная страница / Архитектура отрасли