Комбинированные схемы и многофакторная аутентификация

Многофакторная аутентификация - это проверка нескольких секретов для аутентификации субъекта. Классический вариант многофакторной аутентификации -проверка смарт-картой PIN-кода, вводимого пользователем, только после которой смарт-карта открывает доступ к ключевому материалу, и возможна проверка сертификата. В итоге проверяются два фактора: наличие у пользователя корректной смарт-карты и знание пользователем корректного PIN-кода для этой смарт-карты.

Ведутся разработки по совмещению функциональности смарт-карты и SIM-карты мобильного телефона. В Японии компанией NTT DoCoMo предлагается основанная на SIM-картах система безналичных платежей под названием «ID». Существуют планы по внедрению в Москве системы для оплаты проезда в метро через мобильный телефон со специальной SM-картой. Вероятно появление в ближайшем будущем технических решений и для аутентификации пользователей по мобильному телефону в корпоративных АС, вся необходимая для этого элементная база уже существует.

Любое внедрение электронных замков подразумевает использование двухфакторной аутентификации: проверяется наличие индивидуального идентификатора и соответствующего пароля пользователя.

Существуют решения, использующие биометрические факторы в качестве одного из проверяемых секретов в схемах многофакторной аутентификации. Например, компания RSA Security предлагает USB-токены, оснащенные считывателем отпечатка пальца: отпечаток пальца используется вместо PIN-кода для доступа к содержащимся в токене ключам.

Задача защиты от вмешательства посторонних и аппаратные средства аутентификации

Следует иметь в виду, что аппаратные средства аутентификации предоставляют инструмент, позволяющий решить главным образом первую из задач, возлагаемых на СЗИ НСД - задачу защиты от вмешательства посторонних в процесс нормального функционирования АС. При этом аутентификация осуществляется применительно к трем моментам работы: загрузке компьютера (при наличии на компьютере электронного замка, загрузить компьютер может только зарегистрированный пользователь), регистрации в системе (начать сеанс работы может только зарегистрированный пользователь, для которого в системе имеется учетная запись) и разблокировке консоли (если в ходе сеанса работы пользователь заблокировал консоль, разблокировать консоль может только этот пользователь либо пользователь, обладающий на данном компьютере административными полномочиями; в последнем случае сеанс работы пользователя, заблокировавшего консоль, прерывается с принудительным закрытием всех запущенных пользователем программ, и если какие-либо файлы не были сохранены, вся введенная в них после последнего сохранения информация теряется).

Эффективное использование данного инструмента возможно в том случае, если соблюдаются еще, по крайней мере, два условия, требующие организационных мер:

1. Для пользователей внутренними нормативными документами организации установлен запрет на передачу своих реквизитов входа другому лицу либо их запись в доступном для других лиц месте (классический пример - стикер с паролем, наклеенный на монитор). Другой возможный вариант - разработка некоторой бюрократической процедуры передачи реквизитов входа, с тем чтобы по соответствующим данным бумажного учета можно было однозначно установить, какой сотрудник воспользовался указанной учетной записью в данный момент;

2. Права доступа пользователей к ресурсам АС установлены таким образом, что позволяют решать все задачи, входящие в их служебные обязанности, при этом заранее должна быть предусмотрена возможность подмены других сотрудников на случай их отсутствия - только это позволит исключить производственную необходимость передачи реквизитов входа другим лицам.

Раздел III - Тема 21:

Возможности применения штатных и дополнительных средств защиты информации от несанкционированного доступа

Рассмотренные в предыдущей теме средства идентификации и аутентификации позволяют решить только одну из задач, возлагаемых на СЗИ НСД - задачу защиты от вмешательства посторонних в процессы нормального функционирования АС. После того, как сеанс работы пользователя начат либо разблокирован, вступают в действие другие защитные механизмы, реализованные в составе штатных средств ОС и дополнительных средствах защиты от НСД, позволяющие, при соблюдении определенных условий (при внедрении необходимых организационных мер), решить остальные задачи по защите АС.

Ниже рассмотрим варианты реализации основных защитных механизмов при решении задач по защите информации от НСД главным образом на примере СЗИ Secret Net производства Компании «ИНФОРМЗАЩИТА» с одной стороны, и продуктов компании Microsoft с другой.

Задача разграничения доступа зарегистрированных пользователей к ресурсам автоматизированной системы

Как было упомянуто выше, существует три подхода к разграничению доступа: избирательное, полномочное (мандатное) и разграничение доступа к ПО путем создания замкнутой программной среды. В современных многопользовательских ОС избирательное разграничение доступа реализовано штатными средствами, кроме того, во всех сертифицированных дополнительных СЗИ НСД, согласно требованиям Руководящих документов ФСТЭК России, существует реализация всех этих трех подходов к разграничению доступа.