28.12.2004

Сравнение персональных идентификаторов

InformationSecurity, №4/2004, Сергей Груздев

Вниманию читателей предлагается краткая информация о важности применения надёжных методов аутентификации и идентификации пользователей. В статье также приводится перечень основных требований по выбору названных IТ-продуктов

Цель обзора

Выбор электронного идентификатора - дело непростое, и его выполнение зависит, в первую очередь от точного представления бизнес-задач компании, её инфраструктуре и планах развития.

В данном обзоре нами сформулирован набор требований к идентификаторам, который служит основой для единой согласованной шкалы которая призвана помочь заказчикам сориентироваться при сравнении различных устройств идентификации выбрать оптимальный вариант решения. В подготовке материала участвовали практически все ведущие игроки этого рынка, и он является общей консолидированной позицией, а не точкой зрения какого-либо отдельного производителя.

Обзор разбит на две логические части:

1. Сравнение персональных идентификаторов (по техническим и эксплуатационным характеристикам, по опыту поставки, поддержки и внедрения их российским поставщиком, а также уточняется наличие у него необходимых лицензий и сертификатов).

2. Поддержка идентификаторов в популярных продуктах ведущих вендоров (другими словами, для решения каких типовых задач конкретный тип идентификатора можно использовать, или что он "умеет").

К сожалению, в конечную редакцию обзора не попали сведения о продукции компании SafeNet, поглотившей Rainbow Technologies, хотя представители её российского дистрибьютора довольно активно участвовали в обсуждении и со своей стороны материал подготовили. Однако на последнем этапе от участия в открытом сравнении они отказались. А жаль.

Рынок персональных идентификаторов. Проблема трёх "А"

По оценкам Computer Security Institute, примерно 74% финансовых потерь связано с негативной ролью так называемого человеческого фактора. Для сравнения, ущерб от вирусных и хакерских атак составляет соответственно 4% и 2%.

Поэтому приоритетной задачей обеспечения информационной безопасности является снижение риска, связанного с человеческим фактором - ненадёжность паролей, сложность их выбора и смены, ошибки администрирования и т.п.

Нельзя построить защищённую систему, не обеспечив эффективное решение проблемы ААА:

  • аутентификации (ответа на вопросы "Ты кто? И как ты можешь доказать, что "ты это ты?")
  • авторизации ("Какие у тебя есть полномочия на доступ к информации и права на работу в системе?")
  • администрирования ("Как безопасно управлять и централизованно администрировать всю информационную систему?")

Уже сегодня практически все ведущие вендоры (разработчики операционных систем, систем ИБ и бизнес-приложений) включили в состав своих продуктов поддержку персональных идентификаторов (смарт-карт и токенов).

Для чего нужны персональные идентификаторы

Большинство современных приложений имеет встроенные подсистемы обеспечения безопасности данных, построенные с использованием технологии PKI (инфраструктура открытых ключей). PKI базируется на использовании закрытого (секретного) и открытого ключей, а также цифровых сертификатов открытых ключей. Секретные ключи должны храниться в надёжном безопасном месте. В противном злоумышленник сможет выступать от имени владельца сертификата и выдавать себя за него, что ставит под удар всю систему.

Для безопасного хранения закрытых ключей и сертификатов необходимо использовать внешний носитель с защищённой памятью - в этом качестве выступают персональные идентификаторы (обычно смарт-карты или токены).

Для чего нужны персональные идентификаторы:

  • усиленная аутентификация пользователей (двухфакторная) при доступе к защищённым ресурсам
  • безопасное хранение личных ключей, цифровых сертификатов, Digital-ID, персональных настроек и параметров доступа
  • безопасное выполнение криптографических операций и возможность безопасной работы в "недоверенной среде"

Кроме того, персональные идентификаторы способны выступать как единое средство доступа к различным информационным ресурсам, а, например, смарт-карты с нанесённой на них информацией о владельце и с его фотографией, - ещё и как средство визуальной идентификации.

Некоторые типы персональных идентификаторов также несложно дополнить радиометками (RFID), используемыми в бесконтактных "электронных проходных". Это повышает уровень безопасности и удобства - персональный идентификатор не может быть оставлен подключённым к компьютеру или передан другому лицу, так как без него нельзя покинуть рабочее помещение.

Что умеет идентификатор

Выбирая персональный идентификатор, важно учитывать не столько цену и технические характеристики самого продукта, сколько количество и сложность задач, для выполнения которых его можно использовать.

При этом следует обращать внимание как на список приложений, с которыми данный идентификатор способен работать, так и на то, каким образом он это делает. Используется ли для этого дополнительное клиентское ПО или же эта возможность реализована встроенными штатными средствами самого приложения либо производителя идентификаторов; есть ли на данное решение соответствующие сертификаты совместимости или рекомендации на использование.

Гость, пользователь или администратор?

При корпоративном внедрении особое значение приобретает возможность реализации многоуровневой ролевой модели доступа. Как правило, эта модель включает следующие уровни разграничения полномочий доступа к персональным идентификаторам.

  • Гость. Получает право только на чтение открытой памяти идентификатора и не имеет доступа к корпоративным ресурсам. Ввода PIN-кода не требуется
  • Пользователь. Использует персональный идентификатор и свой PIN-код для выполнения ежедневных задач аутентификации, доступа к данным и т.д.
  • Администратор информационной безопасности(офицер ИБ). Устанавливает ряд параметров персонального идентификатора (например, требования к качеству PIN-кода), соответствующих политике информационной безопасности на предприятии. Администратор ИБ использует PIN-код администратора персонального идентификатора при необходимости разблокирования персонального идентификатора и/или восстановления забытого PIN-кода пользователя

    • В данной модели каждый из субъектов действует на своем уровне в рамках делегированных ему полномочий и установленных ограничений. Лучше всего, если персональный идентификатор поддерживает все три уровня разграничения полномочий.

    Централизованная система управления

    При реализации корпоративных проектов необходимо централизованно управлять распределением и вести учёт (инвентаризацию) всех устройств аутентификации, используемых в организации. Это могут быть смарт-карты, USB-ключи, RFID-идентификаторы для доступа в помещения, а также другие устройства, например мобильные телефоны и компьютеры класса PDA.

    Система централизованного учёта и управления нужна для поддержки исполнения политики информационной безопасности организации и является эффективным средством интеграции различных средств защиты информации (СЗИ).

    Сервис должен быть на уровне

    Выбирая идентификаторы, не менее важно понимать, какой уровень сервиса способен обеспечить их поставщик. Здесь многое имеет значение: как долго он представляет свою продукцию на рынке, какой инфраструктурой располагает, есть ли у фирмы необходимые лицензии на право работы в данной области, имеются ли сертификаты безопасности, качества и прочие на поставляемые идентификаторы. А также стоит поинтересоваться: где они фактически производятся, как и по каким документам ввозятся в страну, есть ли соответствующие разрешения на экспорт-импорт, найдутся ли в российском офисе разработчики и другие технические специалисты, способные оказать адекватную поддержку по имплементации идентификаторов в разрабатываемые или существующие решения.

Все публикации