Идентификация и строгая аутентификация субъектов и объектов доступа в Linux
Продукты для инфраструктуры PKI (ИОК) в Linux
Информационная система считается доверенной, когда все ее элементы идентифицированы и аутентифицированы, а между ними реализовано безопасное доверенное взаимодействие.
Элементы инфраструктуры – это пользователи, программное обеспечение, аппаратное обеспечение.
Высокий уровень доверия к информационным системам обеспечивается использованием корпоративной инфраструктуры открытых ключей (ИОК – PKI). Корпоративная PKI гарантирует защиту от умышленных или непредумышленных действий внутренних нарушителей. Это криптографическая экосистема, управляющая выпуском и обслуживанием цифровых сертификатов, она обеспечивает защиту конфиденциальных данных приложений.
Технология PKI базируется на использовании цифровых сертификатов безопасности.
После первичной идентификации для всех элементов ИС должны быть выпущены цифровые сертификаты (сертификаты безопасности) – пользовательские, программные (для строгой аутентификации ПО), машинные (для строгой аутентификации оборудования). Сертификаты безопасности должны выпускаться и обслуживаться собственным доверенным корпоративным центром сертификации.
Не следует путать Центр выдачи и обслуживания сертификатов с удостоверяющим центром. УЦ выдает сертификаты ЭП в соответствии с 63-ФЗ.
Отсутствие PKI влечет следующие риски:
- аутентификацию на основе паролей легко взломать;
- внутренняя сеть не защищена от подключения «неизвестных» устройств;
- уязвимость к фишингу (не защищена почта);
- сложно обеспечить безопасное подключение удаленных пользователей и устройств.
Более 90% корпоративных информационных систем в России построены на базе Microsoft Active Directory и используют Microsoft Certificate Services в качестве сервиса генерации и управления цифровыми сертификатами (сертификаты доступа, PKI инфраструктура). Microsoft ушел с рынка РФ, приобрести его невозможно. Существует возможность полного отключения сервисов. Отсутствует поддержка и обновления.
