ЭЦП и аутентификация: сделано в России

Информационная безопасность невозможна без аутентификации, а проникновение в корпоративную среду мобильных устройств и облачных технологий не может не влиять на принципы обеспечения ИБ. Аутентификация — процедура подтверждения подлинности субъекта в информационной системе по некоему идентификатору. Надежная и адекватная система аутентификации пользователей — важнейший компонент корпоративной системы информационной безопасности. Конечно, в разных коммуникационных каналах могут и должны применяться разные механизмы аутентификации, каждый из которых имеет свои достоинства и недостатки, отличается по надежности и стоимости решений, удобству применения и администрирования. Поэтому при их выборе необходимо анализировать риски и оценивать экономическую целесообразность внедрения.

Для аутентификации пользователей применяются разные технологии — от паролей, смарт-карт, токенов до биометрии (см. врезку «Биометрические методы аутентификации»), основанной на таких персональных свойствах человека, как отпечаток пальца, структура сетчатки глаза и т. д. Системы строгой аутентификации проверяют два и более факторов.

Лучшей практикой считается двусторонняя строгая аутентификация, основанная на технологии электронной цифровой подписи (ЭЦП). Когда эту технологию использовать невозможно или нецелесообразно, рекомендуется применять одноразовые пароли, а при минимальном уровне рисков — многоразовые.

«Без аутентификации невозможно говорить о безопасности в информационной системе, — поясняет Алексей Александров, руководитель направления по работе с технологическими партнерами компании „Аладдин Р.Д.“. — Есть разные ее способы — например, с помощью многоразовых или одноразовых паролей. Однако более надежна многофакторная аутентификация, когда безопасность основывается не только на знании некоего секрета (пароля), но и на владении специальным устройством, а в качестве третьего фактора выступает одна или несколько биометрических характеристик пользователя. Пароль может быть украден или подобран, но без устройства аутентификации — USB-токена, смарт-карты или SIM-карты — злоумышленнику не удастся получить доступ к системе. Использование устройств, работа с которыми поддерживается не только на рабочих станциях, но и на мобильных платформах, позволяет применять многофакторную аутентификацию в отношении владельцев мобильных телефонов или планшетов. Это касается и модели Bring Your Own Device (BYOD)».

Этот программно-аппаратный комплекс предназначен для централизованного защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи. Он поддерживает разные способы аутентификации: однофакторную — по логину и паролю; двухфакторную — с использованием цифровых сертификатов и USB-токенов или смарт-карт; двухфакторную — с дополнительным вводом одноразового пароля, доставляемого по SMS.

Одна из ключевых тенденций в сфере ИБ связана с ростом числа мобильных устройств, с помощью которых офисные или удаленные сотрудники работают с конфиденциальной корпоративной информацией: электронной почтой, хранилищами документов, различными бизнес-приложениями и др. При этом и в России, и за рубежом все более популярной становится модель BYOD, когда на работе разрешается использовать личные устройства. Противодействие возникающим при этом угрозам — одна из наиболее актуальных и сложных проблем ИБ, которую предстоит решать в ближайшие пять — семь лет, подчеркивают в компании «Аванпост».

Понимание участниками рынка необходимости внедрения надежных систем аутентификации и цифровой подписи (ЭЦП), изменение законодательства в области защиты персональных данных, принятие требований по сертификации (ФСБ и ФСТЭК России), реализация таких проектов, как «Электронное правительство» и «Портал государственных услуг», развитие дистанционного банковского обслуживания и интернет-банкинга, поиск возможностей для определения ответственности в киберпространстве — все это способствует повышенному интересу к программно-аппаратным решениям, совмещающим в себе удобство использования и усиленную защиту.

Цифровая подпись

Применяемые в смарт-картах и токенах технологии установления подлинности отправителя становятся все более зрелыми, практичными и удобными. Например, их можно использовать в качестве механизма аутентификации на Web-ресурсах, в электронных сервисах и платежных приложениях с ЭЦП. Цифровая подпись соотносит конкретного пользователя с частным ключом асимметричного шифрования. Присоединяемая к электронному сообщению, она позволяет получателю удостовериться, является ли его отправитель тем, за кого себя выдает. Формы шифрования при этом могут быть различными.

Частный ключ, у которого только один владелец, используется для цифровой подписи и шифрования при передаче данных. Само сообщение может быть прочитано любым, кто имеет открытый ключ. Электронная цифровая подпись может генерироваться USB-токеном — аппаратным устройством, которое формирует пару ключей. Иногда различные методы аутентификации комбинируются — например, смарт-карту дополняют токеном с криптографическим ключом, а для доступа к последнему предусматривается ввод PIN-кода (двухфакторная аутентификация). При использовании токенов и смарт-карт закрытый ключ подписи не покидает пределов токена. Таким образом, исключается возможность компрометации ключа.

Применение ЭЦП обеспечивается специальными средствами и технологиями, составляющими инфраструктуру открытых ключей (Public Key Infrastructure, PKI). Основным компонентом PKI является удостоверяющий центр, который отвечает за выдачу ключей и гарантирует подлинность сертификатов, подтверждающих соответствие между открытым ключом и информацией, идентифицирующей владельца ключа.

Разработчики предлагают различные компоненты для встраивания криптографических функций в Web-приложения — например, SDK и подключаемые модули к браузерам с программным интерфейсом доступа к криптографическим функциям. С их помощью можно реализовывать функции шифрования, аутентификации и ЭЦП с высоким уровнем безопасности. Средства цифровой подписи предоставляются также в виде онлайновых сервисов (см. врезку «ЭЦП как сервис»).

Системы управления идентификацией и доступом

Сегодня все более важную роль приобретают системы идентификации и управления доступом к информационным ресурсам предприятия (IDM). Недавно компания «Аванпост» выпустила четвертую версию своего продукта — программного комплекса Avanpost (см. Рисунок 8). По мнению разработчиков, в отличие от зарубежных решений внедрение IDM Avanpost 4.0 происходит в сжатые сроки и требует меньших затрат, а его интеграция с другими элементами информационных систем является наиболее полной. Разработанный российской компанией, продукт соответствует отечественной нормативной базе в области ИБ, поддерживает отечественные удостоверяющие центры, смарт-карты и токены, обеспечивает технологическую независимость в такой важной области, как комплексное управление доступом к конфиденциальной информации.

Avanpost 4.0 решает задачу комплексного управления доступом: IDM используется в качестве центрального звена корпоративной системы ИБ, с которой интегрируются инфраструктуры PKI и единой авторизации (Single Sign On, SSO). ПО предусматривает поддержку двух- и трехфакторной аутентификации и биометрических технологий идентификации, реализацию SSO для мобильных платформ Android и iOS, а также коннекторы (модули сопряжения) с различными приложениями.

Как подчеркивают в компании «Аванпост», на российском рынке популярность интегрированных систем, включающих IDM, СКУД и аппаратные средства биометрической аутентификации, будет постепенно расти, однако еще более востребованными станут программные технологии и решения, в которых задействованы мобильные устройства: смартфоны и планшеты. Поэтому на 2014 год намечен выпуск ряда обновлений ПО Avanpost 4.0.
На базе Avanpost 4.0 можно создавать комплексные средства управления доступом для систем, объединяющих традиционные приложения и частные облака, работающие по модели IaaS, PaaS и SaaS (в последнем случае требуется API облачного приложения). В компании «Аванпост» заявляют, что ее решение для частных облаков и гибридных систем уже полностью проработано, а его коммерческое продвижение начнется, как только на российском рынке появится устойчивый спрос на подобные продукты.

В модуль SSO включен функционал Avanpost Mobile, поддерживающий популярные мобильные платформы Android и iOS. Этот модуль предоставляет безопасный доступ через браузер с мобильных устройств к внутрикорпоративным порталам и интранет-приложениям (портал, корпоративная почта Microsoft Outlook Web App и др.). Версия для OS Android содержит встроенную полнофункциональную систему SSO, поддерживающую VoIP-телефонию, видео- и видео-конференц-связь (Skype, SIP), а также любые Android-приложения (например, клиенты корпоративных систем: бухгалтерских, CRM, ERP, HR и др.) и облачные Web-сервисы.

Благодаря этому пользователям не нужно запоминать множество идентификационных пар (логин-пароль), а организация может применять правила безопасности, требующие применения стойких, часто меняющихся паролей, которые различаются во всех приложениях.

Сергей Орлов, Журнал сетевых решений: LAN

Другие новости

    Форма
    Error get alias
    Error get alias
    контакты
    Телефон
    E-mail
    129 085, г. Москва
    ул. Годовикова, д. 9, стр. 17
    Адрес
    Все права защищены © Avanpost 2024