Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Если раньше угрозой номер один считались компьютерные вирусы, то теперь — безопасное хранение данных и их передача по сети, защищенные финансовые транзакции и конфиденциальность электронно-цифровой подписи (ЭЦП). Кроме того, наряду с этой основной проблемой, как правило, присутствуют и две другие, принципиально влияющие на выбор того или иного решения: это соотношение цены и качества, связанное с соответствием затрат на поддержание необходимого уровня безопасности, и мобильность, позволяющая защитить все компьютеры (в том числе портативные), которые используются в работе.
Большинство систем безопасности требует от пользователя подтверждения, что он именно тот, за кого себя выдает. Идентификация пользователя может быть проведена на основе того, что он:
— знает нечто (секретный код, пароль);
— имеет нечто (карточку, электронный ключ, жетон);
— обладает набором индивидуальных черт (отпечатки пальцев, форма кисти руки, тембр голоса, рисунок сетчатки глаза).
Простейшие методы аутентификации, основанные на введении учетной записи (логина) и пароля, всем хорошо знакомы. Их недостатки: помимо того что пользователь вынужден запоминать множество паролей для входа в различные программы или системы, использование пароля давно уже не считается достаточной гарантией безопасности, так как его можно подсмотреть, подобрать или расшифровать, если он кодируется стандартными средствами операционной системы.
Следующим этапом в обеспечении защиты информации стало применение различных средств и способов шифрования. Широко распространено использование инфраструктуры открытых ключей (Public Key Infrastructure — PKI). Системы, основанные на PKI, генерируют два отдельных ключа шифрования, несходных, но связанных между собой: открытый (который называют также публичным) ключ, предоставляемый всем, от кого пользователь собирается получать зашифрованные данные, и закрытый (личный) ключ, который имеется только у его держателя. С помощью закрытого ключа можно создать цифровую сигнатуру, подтверждающую личность отправителя и целостность сообщения, а любой обладающий открытым ключом способен ее проверить. Но при этом если открытый ключ становится известен злоумышленникам, он оказывается бесполезен, поскольку с его помощью можно провести лишь шифровку сообщения, а дешифровка невозможна без личного ключа. Во многих случаях удобно использование цифровых сертификатов, выполняющих роль своеобразного виртуального паспорта: это специальные закодированные файлы, содержащие определенные сведения о пользователе (включая его имя и открытый ключ). В этом случае открытый ключ хранится у выпустившей сертификат организации (Certification Authority — СА), которая и занимается его проверкой.
Однако хранение ключей шифрования на жестких дисках компьютеров становится дополнительным фактором риска, поскольку подвергает их опасности копирования с дальнейшими попытками подбора парольной фразы и получения несанкционированного доступа к ключам.
Для кодирования информации возможно использовать такой способ биометрии, когда идентификатор пользователя всегда находится при нем и нет необходимости держать в памяти логины и пароли. Варианты использования биометрии разнообразны: аутентификация в зависимости от системы производится по геометрии руки и лица, радужной оболочке и сетчатке глаза, клавиатурному почерку и подписи. Активно ведутся разработки и в области голосовой аутентификации. Так, VeriVoice Security Lock компании VeriVoice позволяет, один раз зарегистрировав в течение 3 мин определенную серию фраз, произносимых пользователем, в дальнейшем за несколько секунд производить аутентификацию при помощи подсоединенного к персональному компьютеру микрофона или через телефонную линию. Если раньше основной проблемой аналогичных систем была точность распознавания, то теперь главное препятствие для их внедрения — ситуации, когда голос пользователя меняется по независящим от него причинам (например, при простуде).
Более распространен контроль доступа к системе по отпечаткам пальцев. Специальные мыши и клавиатуры считывают отпечатки пальцев пользователя и передают информацию установленному на компьютере программному обеспечению. Имеется большое разнообразие подобных устройств как от известных производителей периферии (у Cherry это полумеханическая клавиатура G81-12002 LDVRB с программным обеспечением BioLogon компании Identics Inc. или клавиатура KeyTronic со сканером отпечатков пальцев и устройством считывания Smartcard), так и от компаний, профессионально занимающихся проблемами биометрии (например, SecuGen Corporation, входящая во всемирный альянс биометрических систем безопасности BioSEC Alliance).
Сильная сторона подобных разработок — их интеграция с распространенными операционными системами. Та же SecuGen Corporation сделала ставку на Novell, заключив в конце прошлого года соглашение, по которому ее технология будет интегрирована в Novell's Modular Authentication Service (NMAS), поддерживающий Windows NT 2000, NetWare, Linux и Solaris. Слабая сторона — возможность частого выхода из строя дополнительных устройств.
Как показывает практика, возможно использование ложных отпечатков на негативах; экраны и поверхности таких устройств требуют частой очистки, и при интенсивной эксплуатации могут возникнуть проблемы. Кроме того, такой способ защиты информации требует больших финансовых затрат. Биометрия выполняет лишь задачи аутентификации пользователя, однако очевидно, что она не может освободить от всех остальных проблем — от конфиденциальности ЭЦП до применения различных методов шифрования в сетях.
Более универсален другой вариант — использование смарткарт (интеллектуальных карт), которые предлагает целый ряд производителей (Schlumberger, GemPlus, Bull, Siemens, Solaic, Orga). Их основное удобство — портативность и широкий спектр функций, позволяющий компании, выбрав данную технологию, постепенно достраивать необходимые компоненты защиты в зависимости от текущих потребностей. При этом не придется испытывать тех сложностей, которые возникают при простом использовании систем, основанных на PKI. Смарткарты обеспечивают двухфакторную аутентификацию при доступе к защищенным ресурсам и являются хранилищами любой секретной информации — от закрытых ключей (например, для использования в системах аутентификации для LAN, WAN и VPN) до цифровых сертификатов, делая ее мобильной и не подвергая угрозе копирования, как это может происходить с данными, расположенными на жестком диске. Соответственно их можно использовать для шифрования данных и переписки, защиты программного обеспечения (в частности, от внесения программных «закладок» и «логических бомб»), идентификации поступающих в сеть или на сайты Internet/Intranet запросов, дополнения почтового сообщения или транзакции цифровой подписью. В качестве примера можно привести выпускаемую компанией Orga линейку смарткарт Micardo — Standard, Public и Dual — с памятью EEPROM от 4 до 32, от 32 до 64 кбайт ROM и криптоконтроллером (в зависимости от модели). Orga также поставляет специальный MICARDO Software Development Kit, обеспечивающий разработчиков инструментами для интегрирования технологии в различное программное обеспечение. Однако переход на смарткарты невозможен без приобретения специальных считывающих устройств и оснащения ими всех компьютеров, на которых работают с защищенными данными. Поэтому основной недостаток использования технологии смарткарт — большие материальные затраты.
Наиболее известны и давно используются пластиковые карточки с магнитной полосой. Для считывания необходимо провести карточкой (магнитной полосой) через прорезь ридера (считывателя), который обычно выполняется в виде внешнего устройства и подключается через последовательный порт компьютера. Иногда ридеры совмещаются с клавиатурой. Недостатки использования этого способа защиты следующие:
— магнитная карточка может быть легко скопирована на доступном оборудовании;
— повреждение карты при загрязнении, небольшом механическом воздействии на магнитный слой, нахождении вблизи сильных источников электромагнитных полей.
Применение магнитных карточек оправдано при очень большом числе пользователей и их частой сменяемости, например, для входа в метро.
В настоящее время в различных системах, требующих идентификации пользователя или владельца, в качестве пропусков широко используются электронные жетоны (token-устройства). Известный пример такого жетона — электронная “таблетка” —Dallas Touch Memory (iButten). Она выполнена в круглом корпусе из нержавеющей стали и содержит чип с записанным в него уникальным номером. Аутентификация пользователя осуществляется после прикосновения такой таблетки к специальному контактному устройству, обычно подключаемому к последовательному порту компьютера.
Конкретные параметры устройства зависят от модели ключа; например, eToken R2 компании Aladdin имеет до 64 кбайт энергонезависимой памяти и встроенный криптопроцессор, реализующий алгоритм симметричного шифрования DES-X со 120-битным ключом. При этом у пользователя или владельца ЗИС имеется в распоряжении широкий выбор программного обеспечения и большое число решений, основанных на использовании паролей, цифровых сертификатов, ЭЦП, шифровании данных, успешно работающих с электронными ключами. Тот же eToken поддерживает работу в архитектуре Microsoft CryptoKey с помощью интерфейса MS Crypto API через CSP (Crypto Service Provider) и X.509 для работы с цифровыми сертификатами. Если для Интернет-бизнеса компании необходимо использование Digital Signature Trust (DST) и цифровых сертификатов TrustID, то их несложно загрузить в eToken через Internet Explorer или Netscape. Для обеспечения безопасности электронной почты с помощью RSA-KEON, поддерживающего PKI, сертификаты и ключи для шифрования и подписи сообщений также хранятся в eToken и используются в Microsoft Outlook, Outlook Express и Netscape Messenger. В Windows 2000 и Windows XP поддержка ключей уже встроена изначально. Одно из решений Aladdin обеспечивает защищенный вход в сеть с помощью расширения PKINIT протокола Kerberos версии 5. Оно позволяет использовать сертификат открытого ключа вместо пароля в процессе начальной аутентификации, в которой между центром сертификации и eToken происходит обмен данными, не являющимися секретными и не представляющими ценности для злоумышленников, этот процесс абсолютно защищен.
Для подключения электронных ключей не требуется никаких дополнительных специальных устройств: ключ напрямую вставляется в порт USB, которым оснащены едва ли не все компьютеры, выпускаемые в последние годы. Поддерживается и возможность «горячего подключения» (hot plug), что позволяет подсоединить и отсоединить ключ без выключения системы. Недостаток — нет универсальных решений: при отсутствии порта USB возникнет проблема при использовании устройств от Aladdin.
Дата публикования: 2014-08-30; Прочитано: 861 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!