Аутентификация и Авторизация.Новый взгляд

Аутентификация (Authentication) – проверка принадлежности пользователю (субъекту доступа) предъявленного им идентификатора и подтверждение его подлинности.

Авторизация (Authorization) – проверка прав доступа пользователя и получение им доступа к ресурсам в соответствии с данными ему правами. Ни одно предприятие, ни одна компания или банк не могут существовать без этих понятий. Хотя мы часто не думаем или даже не знаем о них. Днем и ночью они охраняют наше благополучие – корпоративные и личные материальные и денежные средства, товары, счета и многое другое. Сотрудник компании проходит указанные проверки по меньшей мере четырежды в день в двух самостоятельных корпоративных системах, обеспечивающих безопасность: - в системе контроля доступа (СКД) - при доступе на территорию предприятия (офиса) и во внутренние помещения; - в локальной сети - при доступе к информационным ресурсам.

Системы вроде бы работают автономно, но так ли это? В состав системы защиты информации локальной сети входит подсистема управления доступом, часть функций которой выполняет корпоративная СКД – контроль за физическим доступом в помещения, где размещены серверы, компьютеры руководства, технические средства обрабатывающие, хранящие и передающие конфиденциальную информацию. В состав СКД на правах подсистемы входит специализированная управляющая локальная информационная сеть, в которой реализована подсистема защиты информации. Кроме того, часть технических и программных средств могут использоваться одновременно двумя сетями – например серверные и коммутационные устройств, оборудование передачи данных, часть системного и прикладного программного обеспечения. Исходя из организационно-технических принципов построения этих систем (и корпоративной системы комплексной безопасности в целом), вытекает не только возможность, но и необходимость углубления их взаимной интеграции на программном и аппаратном уровнях. Основной принцип интеграции - качественное улучшение характеристик обеих системы за счет их комплексного использования и взаимного дополнения на этапе разработки, проектирования, внедрения и эксплуатации. Проще говоря, эти две системы, а в перспективе и другие (системы теленаблюдения, охраны периметра, пожарной и охранной сигнализации, оповещения и т.д.), обеспечивающие комплексную безопасность должны помогать и дополнять друг друга при выполнении процедур, определенных корпоративной политикой безопасности. В связи с тем, что любая система является наиболее уязвимой на стадии аутентификации и авторизации пользователя рассмотрим интеграционные перспективы именно для этих процедур. Аутентификация с использованием пароля простой и самый распространенный способ в компьютерных системах, изредка он применяется и в современных СКД – клавиатурный ввод кодов доступа. Пожалуй, пароли - наиболее уязвимая часть любой компьютерной системы. Как бы ни была защищена система от атак по сети или по коммутируемым линиям, от "Троянских коней" и аналогичных опасностей, она может быть полностью скомпрометирована злоумышленником, если тот получит к ней доступ из-за плохо выбранного пароля. Важно сформировать хороший свод правил выбора паролей, и довести его до каждого пользователя. Ниже приведен набор простых рекомендаций по выбору паролей.

НЕ ИСПОЛЬЗУЙТЕ: • в качестве пароля производные от входного имени (само имя, обращенное, записанное прописными буквами, удвоенное имя и т.п.). • в качестве пароля свое имя, отчество или фамилию. • имя свое, друга, супруги (супруга) или детей. • другую ассоциированную с Вами информацию, которую легко узнать (номера документов и телефонов, марку или номер автомобиля, дату рождения, домашний адрес и т.п.). • чисто цифровой пароль или пароль из повторяющихся букв. • слов, содержащихся в словаре английского или иного языка, в других списках слов. • пароль менее чем из шести символов.

ИСПОЛЬЗУЙТЕ: • пароли со сменой регистра букв. • пароли с небуквенными символами (цифрами или знаками пунктуации). • разные пароли для разных приложений. • запоминающиеся пароли, чтобы не пришлось записывать их на бумаге. • пароли, которые Вы можете ввести быстро, не глядя на клавиатуру. Но при этом невозможно выполнить весь набор правил без привлечения программно-аппаратных средств. Поэтому в компьютерных системах наибольшее распространение получила аутентификация с использованием паролей хранящихся и вводимых из памяти идентификаторов. Таких, как разнообразные контактные смарт-карты и USB-ключи, использующие двухфакторную авторизацию (PIN-код + пароль) и программное обеспечение к ним. При этом жесткие требования предъявляются к вероятностным свойствам генерируемых паролей. В процессе аутентификации может использоваться шифрование (хэширование), что делает бессмысленными атаки с помощью активной разведки. Но и эти системы могут стать для разработчиков, администраторов и пользователей источником трудноразрешимых проблем. Ведь чем сложнее средства защиты, тем сложнее и хитроумней становятся средства нападения. Для упрощения процесса принятия решения в стародавнем споре – «Смарт-карта или USB-ключ. Что предпочесть корпоративному пользователю», сведем их наглядные характеристики.
Н А Д Е Ж Н О С Т Ь
Смарт-карта устойчива к внешним воздействиям – влажность, давление, изгиб, статическое электричество. Выдерживает порядка 1 миллиона циклов вставки-извлечения USB-ключ Физическая надежность USB-ключа, в силу его конструктивных особенностей (объемный корпус, открытый контактный узел) существенно ниже.

П Е Р С О Н И Ф И Ц И Р У Е М О С Т Ь
На карту может быть нанесено любое изображение (данные владельца, регистрационный номер, логотип). При большом количестве сотрудников это облегчает работу администратора и повышает удобство пользования. USB-ключ USB-ключ имеет индивидуальный заводской номер (нанесен мелким шрифтом на корпус). При больших объемах закупки (как правило от нескольких тысяч штук) можно выбрать цвет корпуса или нанести логотип.

С Т О И М О С Т Ь
Стоимость смарт-карты составляет примерно 7-8 $. Это примерно одна десятая часть от стоимости всего комплекса. Не вызывает проблем закупка резервных карт либо обеспечение многопользовательского режима использования компьютера. USB-ключ USB-ключ стоит 30-40 $. Хотя дополнительный ридер и не требуется. Суммарная стоимость рабочего места с учетом ПО превышает стоимость использования смарт-карт. А с учетом резерва и многопользовательского режима стоимость значительно увеличивается.

П О Д К Л Ю Ч Е Н И Е
Внешнее устройство чтения смарт-карты (ридер) может подключаться к COM или USB портам, внутреннее (отсек 3’ или 5’) – к ISA или PCI шине. Обеспечивается работа с любым компьютером. USB-ключ Ключ подключается только к USB-порту напрямую или через удлинитель. Дополнительный ридер не требуется. У Д О Б С Т В О Смарт-карта Карту удобно хранить и использовать. Современный человек уже привык носить и применять различные карты – телефонные, банковские и т.д. Считыватель для карт можно разместить в удобном для пользователя месте – на мониторе, клавиатуре, столе и т.д. USB-ключ Для ношения USB-ключа необходимо помещать его либо на отдельный брелок (цепочку), либо на общую связку с ключами. При этом вставлять USB-ключ в разъем, не снимая его со связки ключей неудобно, впрочем так же как и каждый раз его с этой связки снимать.

Д У А Л Ь Н Ы Й И Н Т Е Р Ф Е Й С
На карте совместно размещаются контактный и бесконтактный интерфейсы любого стандарта. USB-ключ Возникают неразрешимые на данном этапе проблемы с монтажом на ключе бесконтактных интерфейсов некоторых широко применяемых стандартов Уважаемый читатель, данные таблицы подтверждаются и Вашим опытом и дальнейшими рассуждениями по вопросам авторизации. В СКД чаще всего применяются, как самое оптимальное решение, бесконтактные карты: магнитные, проксимити и смарт-карты. Конечно, лучшим решением для простоты использования, могла стать биометрическая аутентификация, так как она основывается на физических признаках человека и не требует знания пароля или наличия носителя аутентификационной и авторизационной информации. Но на сегодняшний день данные системы самые дорогие в приобретении, установке и эксплуатации. Кроме того, хотя биометрические характеристики и являются уникальными идентификаторами, но их нельзя сохранить в тайне. Таким образом, оптимальным носителем авторизационной информации, который может использоваться и в локальных сетях и в СКД, является процессорная смарт-карта с дуальным (контактный + бесконтактный) интерфейсом, защищенной памятью и возможностью работы с несколькими приложениями. Наиболее соответствующей таким требованиям является карта JCOP30 - смарт-карта серии JCOP (Java Card Open Platform), полностью совместимая со стандартами MIFARE (бесконтактные карты) и ISO7816 (контактные карты). То есть, карта JCOP30 имеет возможность передавать информацию ридеру как по радиоинтерфейсу (по стандарту MIFARE), так и через контактный интерфейс. Карта содержит криптографический сопроцессор выполняющий алгоритмы spaniple-DES и RSA. JCOP30 удовлетворяет требования следующих стандартов: EMV2000, Java Card 2.1.1, Open Platform 2.0.1. и работают с платежным приложением VISA Smart Debit/Credit (VSDC). Кроме того, карты могут поддерживать до шестнадцати независимых приложений. Уникальность этих карт состоит в том, что функциональные приложения для них пишутся на языке JAVA, широко распространенном среди разработчиков и программистов во всем мире. В России также существует достаточное количество квалифицированных специалистов, имеющих навыки программирования на этом языке. Что позволит применение карты JCOP30 на нынешнем этапе?
Применить единый, достаточно дешевый носитель идентификационной информации с возможностью графической персонификации. Разметить в защищенной памяти карты информацию о пользователе: уровень доступа, временные интервалы доступа, срок действия карты, перечень разрешенных для доступа помещений, время включения персонального компьютера, графики обходов (для охраны) и т.п. Гарантированно обеспечить блокирование компьютера пользователя при оставлении им рабочего места: без карты нельзя вернуться в помещение, следовательно, она обязательно будет изъята из компьютера. В свою очередь это позволит: Унифицировать процедуры политики информационной безопасности и политики контроля и управления физическим доступом. Блокировать попытки авторизации в корпоративной сети пользователя, находящегося за пределами зоны, контролируемой СКД. Такое решение дает дополнительные гарантии защиты от внешних информационных атак и несанкционированного использования утерянной карты. В настоящее время компания РУСКАРД завершает разработку программного модуля сопряжения модуля «Локатор» СКД и программно-аппаратного комплекса «Мастер Паролей». Провести учет рабочего времени не только по факту прохода через первичное преграждающего устройство, но и по факту включения, блокировки и выключения компьютера пользователя. Реализовать с помощью карты корпоративные платежные и бонусные системы: посещение столовой, оплата парковки и т.п. В перспективе такая карта может быть использована в качестве унифицированного информационного носителя для авторизации на сервере авторизации единой информационно-управляющей структуры интеллектуального здания. Проблема перехода корпоративной системы комплексной безопасности на дуальные карты упрощается еще и тем, что карта JCOP30 уже используется в качестве социальной карты москвича. И возможности карты по одновременной поддержке шестнадцати независимых приложений еще не скоро будут исчерпаны. Следовательно, можно будет решить вопрос об использовании карты и в корпоративных целях, возместив часть стоимости карты эмитенту. Такой подход к унификации носителя стал возможен только после вывода компанией РОЗАН на Российский рынок смарт-карт JCOP30 с дуальным интерфейсом, и доработки программного обеспечения программно-аппаратного комплекса «Мастер Паролей» компанией РУСКАРД. Поскольку, большинство современных систем контроля физического доступа работают с прокси-картами стандартов EM-Marin, HID, Motorola то для ранее установленных СКД компания РУСКАРД предложила изготовить и использовать другой тип комбинированных двухинтерфейсных карт. Эти карты совмещают возможности карты вышеуказанных стандартов и современных процессорных JAVA-карт семейства JCOP. Такое решение позволяет использовать уже имеющееся оборудование СКД (считыватели, контроллеры и т.д.) и единую карту для контроля физического доступа и решения других задач (обеспечения авторизации на ПК, бонусных проектов и т.д.). Компания РУСКАРД первой предложила подобную карту, дополнив проксимити-карту чипом JCOP20. JCOP20 - смарт-карта серии JCOP (Java Card Open Platform), полностью совместима со стандартами EMV и ISO7816. Кроме того, на чипе имеется криптографический сопроцессор реализующий алгоритмы spaniple-DES и RSA. Применение такой карты не требует модернизации оборудования СКД и, в тоже время, предоставит корпоративному пользователю все преимущества, описанной выше карты JCOP30. Компания РУСКАРД предоставляет заинтересованным организациям на бесплатное тестирование дуальные карты JCOP30, проксимити/JCOP20 и программно-аппаратный комплекс Мастер Паролей, использующий данные карты в качестве носителя информации для авторизации и разграничения доступа в корпоративной компьютерной сети. Авторы: Грушо Александр Александрович - профессор, доктор физико-математических наук, член-корреспондент Академии криптографии РФ, академик Международной академии информатизации. Балакин Александр Александрович - заместитель директора ФГП «АЦ Желдоринформзащита МПС РФ». Сарбуков Артур Евгеньевич - генеральный директор компании РУСКАРД. Журнал Connect, №7 (июль) .