Правовые и нормативные документы
Как таковых документов обязательных к исполнению в
вопросе идентификации и аутентификации нет, однако,
каждая информационная
система в пределах РФ в вопросе информационной безопасности
опирается на указ президента РФ
№ 646 «Об утверждении Доктрины информационной безопасности Российской
Федерации».
Несмотря на отсутствие жестких установок идентификации
и аутентификации, существует ряд стандартов, как отечественных, так и
международных, созданных с целью общей стандартизации процессов идентификации и
аутентификации для обеспечения взаимодействия различных систем, а также
создание рекомендательной базы. В РФ из стандартов можно выделить ГОСТ Р ИСО/МЭК
9594-8-98 — Основы аутентификации. Зарубежные
стандарты разрабатываются такими организациями как ISO (Международная
организация по стандартизации), IEC (Международная электротехническая комиссия)
и ITU-T (Международный консультационный комитет по телефонии и телеграфии).
Стоит отметить, что зарубежные стандарты разрабатываются и обновляются чаще и
быстрее отечественных.
Каждый информационный
ресурс
в праве самостоятельно определять требования к аутентификации своих
пользователей, способ как защиты их учетных
записей и персональных данных, так и обеспечения безопасного
обмена зашифрованными данными
между пользователем и сервером в процессе
аутентификации. Стандарты и нормативные материалы только дают общие
рекомендации и примеры их применения, однако, слепое их использование может
привести к образованию в системе стандартных, для данного решения, уязвимостей в
системе безопасности – на любую защиту со временем найдется обход,
следовательно, для обеспечения наивысшего уровня безопасности следует следить
за используемыми средствами обеспечения безопасности, как аппаратными, так и программными,
своевременно их улучшать и обновлять. Идеальным вариантом видится создание
собственной, уникальной системы безопасности, сведения о которой не должны
покидать уполномоченных лиц.
Словарь терминов
Как
и в любой области деятельности человека в информационной безопасности, и в
обеспечении идентификации и аутентификации в частности, существует свой набор
устоявших выражений, специализированных слов, которые могут быть не понятны
неподготовленному пользователю. С целью устранения недопонимания между автором
какой-либо информации и ее (информации) получателем создаются словари терминов,
раскрывающие значения потенциально не понятных широкому кругу лиц слов.
Логин
– имя (идентификатор)
учетной записи пользователя в компьютерной системе.
Логин
– процедура входа пользователя в компьютерную систему.
Пароль
– условное слово или набор знаков, предназначенный для подтверждения личности
или полномочий.
Регистрация –
процесс создания учетной записи с заданной комбинаций логина и пароля.
Учетная запись
– хранимая в компьютерной системе совокупность данных о пользователе,
необходимая для его опознавания и предоставления доступа к его личным данным и
настройкам.
Шифрование
– обратимое преобразование информации в целях ее защиты от несанкционированного
доступа.
Идентификатор
— уникальный признак объекта, позволяющий отличать его
от других объектов.
Идентификация
– процесс, в результате которого субъект однозначно идентифицируется
информационной системе.
Аутентификация
– процедура проверки подлинности (в контексте данного раздела подлинность
сочетания логина и пароля).
Авторизация –
предоставление определённому лицу или группе лиц прав на выполнение определённых
действий.
Информационный ресурс
– документы и массивы документов в информационных системах.
Информационная система —
система, предназначенная для хранения, поиска и обработки информации.
Биометрические данные (биометрия)
– ряд уникальных характеристик человека (отпечаток пальца, узор радужки глаза и
т.п.).
Многофакторная
аутентификация –
для получения доступа к информации необходимо предъявить более одного
«доказательства механизма аутентификации». К категориям таких доказательств
относят:
• Знание
— информация, которую знает субъект (пароль)
• Владение
— вещь, которой обладает субъект (магнитная карта)
• Свойство,
которым обладает субъект (биометрия).
GPS
(Global Positioning System) –
спутниковая система навигации, обеспечивающая измерение расстояния, времени и
определяющая местоположение во всемирной системе координат.
Администрирование
– функциональная поддержка управления системным ресурсом и обеспечения его
безопасной и бесперебойной работы.
Электронная подпись
–
реквизит документа, который позволяет установить отсутствие искажения
информации в электронном документе с момента формирования ЭП и подтвердить
принадлежность ЭП владельцу.
Сервер –
компонент вычислительной системы, выполняющий сервисные (обслуживающие) функции
по запросу клиента, предоставляя ему доступ к определённым ресурсам или
услугам.
Аппаратное обеспечение
–
электронные и механические части вычислительного устройства, входящие в состав
системы или сети, исключая программное обеспечение и данные (информацию,
которую вычислительная система хранит и обрабатывает).
Программное обеспечение
–
программа или множество программ, используемых для управления компьютером.
Принцип работы
Процесс
входа
пользователя в систему состоит из трех взаимосвязанных, выполняемых
последовательно процедур: идентификации, аутентификации и авторизации.
Идентификация - это процедура распознавания субъекта по его идентификатору.
Субъект предъявляет системе свой идентификатор, и она проверяет его наличие в
своей базе данных. Субъекты с известными системе идентификаторами считаются
легальными (законными), остальные субъекты относятся к нелегальным.
Аутентификация - процедура, позволяющая достоверно убедиться в том, что
субъект, предъявивший свой идентификатор, на самом деле является именно тем
субъектом, идентификатор которого он использует. Для этого он должен
подтвердить факт обладания некоторой информацией, которая может быть доступна
только ему одному (пароль, ключ и т.п.). Авторизация — субъекту предоставляются
права доступа к ресурсам системы, соответствующие его роли, закрепленной за
предоставленным идентификатором. Роли позволяют удобно и эффективно
ограничивать возможности различных групп пользователей на работу в системе.
Аутентификация
может быть проведена несколькими способами:
·
С помощью электронной подписи
\ сертификата
·
С использованием пароля
·
По биометрическим данным
·
Использование SMS-сообщений
·
Многофакторная
аутентификация;
При получении набора
необходимых данных (идентификатора и средства подтверждения владения указанным
идентификатором) система отправляет их по защищенному каналу на сервер, где
происходит сравнение полученных данных с подлинной комбинацией данных на
сервере. В случае полного совпадения данных подтверждается владение
идентификатора пользователем, а система переходит к процессу его авторизации.
Возможность
идентификации и аутентификации на электронном ресурсе дает возможность
пользователям идентифицировать себя в диалоге с другими пользователями
ресурса, или же во время работы в системе. Однако, даже если при использовании
ресурса пользователь не видит способов прохождения аутентификации, ввиду их
сокрытия администрацией ресурса, они все равно существуют (например, доступ на
форму идентификации и аутентификации осуществляется по ссылке, или с
определенного компьютера), как минимум для получения администрацией ресурса
доступа к возможностям администрирования.
Конкретные примеры использования механизмов защиты данных
элементов и ИС в целом
Идентификация
и аутентификация используются повсеместно – банковские карты, интернет ресурсы,
даже паспорт является средством идентификации человека. Сегодня все больше сфер
деятельности человека переходит в электронную форму, что влечет за собой
размещения в сети (как корпоративной, так и всемирной) большого количества
персональных данных (паспортные данные, состояния банковских счетов, адреса и
т.д.). Для защиты персональных данных пользователей и применяются средства
идентификации и аутентификации.
Конкретными
примерами можно назвать:
• Снятие
средств с банковской карты – многофакторная аутентификация (владение картой +
знание пин-кода)
• Проверка
почты – аутентификация с использованием пароля (истинная комбинация логина
и пароля)
• Доступ
в личный кабинет банка – многофакторная аутентификация (истинная комбинация
логина и пароля + владение нужным телефонным номером для SMS-подтверждения).
Защита
же информационных систем обеспечивается целым комплексом средств и мероприятий,
объединенных в «систему безопасности». Средствами обеспечения безопасности
являются как программные компоненты системы (например, антивирусная программа,
без которой не обходится ни одна система) так и аппаратные (предотвращающие несанкционированное
воздействие на систему). Средства идентификации и аутентификации также входят в
систему безопасности информационных систем. Кроме того, немаловажную роль в
обеспечении безопасности системы играет разграничение прав пользователей, а
также контроль за их действиями (отслеживание подозрительной или же не
свойственной пользователю деятельности, приостановка доступа и разбирательство),
установка регламента работы (например, запрет на вынос корпоративных документов
в бумажном или электронном виде за пределы здания).
Грамотное
построение системы безопасности, контроль ее работы и своевременное обновление
ее составляющих являются главными требованиями для успешной защиты
информационного ресурса.
Направления и перспективы дальнейшего развития
На
данный момент актуальными являются все описанные выше способы аутентификации,
однако новейшими из них являются аутентификация через географическое
положение (GPS) и многофакторная аутентификация.
Аутентификация
через GPS на данный момент достаточно проста в использовании, но при этом
предоставляет высокую степень надежности, и при всем этом она не дорога. В
совокупности данные характеристики системы делают очень вероятным ее дальнейшее
развитие.
Многофакторная
аутентификация хоть и применяется уже какое-то время до сих окончательно пор не
стандартизирована, что негативно сказывает на взаимодействии с другими
системами. Кроме того, многофакторная аутентификация достаточно сложна в использовании
неподготовленным пользователем (особенно ввиду бурного развития аппаратной
составляющей системы), а также является весьма дорогостоящей. Несмотря на все
отрицательные стороны многофакторная аутентификация будет развиваться, так как
она предоставляет очень высокий уровень безопасности.
На
территории РФ в 2010 г. была создана ЕСИА - единая система идентификации и
аутентификации, призванной предоставить пользователю единую учетную запись,
которая дает возможность пользователю получить доступ к множеству значимых
государственных информационных систем с использованием единой учетной записи. В
настоящее время данная система продолжает развиваться, а перспективными
направлениями ее применения являются системы облачных сервисов в России, а
также создание системы электронной идентификации граждан.
Сама
же технология идентификации и аутентификации так же будет активно развиваться и
совершенствоваться, ввиду постоянного повышения своей значимости. Даже сейчас
отмечается стабильный рост сегмента систем идентификации и аутентификации на
мировом рынке.
Оставьте свой комментарий
Авторизуйтесь, чтобы задавать вопросы.