Параграф. 1.1. Подсистема идентификации/аутентификации

Введем определение данной подсистемы. Вообще процесс «входа в систему» и получения прав состоит из трех шагов: идентификация — аутентификация — авторизация. Определение этих шагов следующее:
Идентификация — присвоение субъектам и объектам идентификатора и (или) сравнение идентификатора с перечнем присвоенных идентификаторов.
Аутентифика́ция (англ. Authentication) — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.
Авторизация (англ. authorization) — процесс предоставления определенному лицу прав на выполнение некоторых действи

В настоящее время можно выделить три основных типа аутентификации: «человек – компьютер», «компьютер – компьютер» и «человек – человек».

К факторам идентификации/аутентификации относят:
• владение скрытой для посторонних информацией (запоминаемая либо хранящаяся конфиденциальная информация). Примерами могут служить пароль, персональный идентификационный код (PIN), секретные ключи и т.п.;
• обладание материальным носителем информации (карта с магнитной полосой, электронные ключи классов touch memory и eToken, смарт-карта, дискета и т.д.);
• биометрические характеристики субъекта (отпечатки пальцев, голос, геометрия лица, особенности сетчатки и радужной оболочки глаз и т.п.).

Аутентификация «Человек – компьютер»
Эта схема используется для идентификации пользователя компьютерной системы с целью предоставления или не предоставления ему сервисов. У пользователя можно запросить информацию о том, кем он является (биометрия), что он знает (пароли), что имеет (переносные устройства) и где находится (адрес).

Выделяют следующие методы аутентификации пользователей:
• статические и одноразовые пароли;
• биометрия – метод автоматизированного распознавания человека по его уникальным физиологическим или поведенческим характеристикам. Ряд компаний (Microsoft, IBM, Novell, Compaq и др.) образовали консорциум BioAPI (http://www.bioapi.org/), призванный сделать распознавание речи, лица и отпечатков пальцев базовыми технологиями персональных компьютеров с помощью стандартизации интерфейсов прикладного программирования (API), которые встраиваются в операционные системы и прикладное программное обеспечение. Вариантов биометрических методов более 600, среди них можно выделить следующие:
◦ по отпечаткам пальцев. Одна из относительно дешевых и популярных систем аутентификации. Наиболее распространены два типа:
◦ оптическое сканирование с помощью маленькой камеры, встраиваемой, например, в клавиатуру. Полученное изображение преобразуется в цифровую свертку – карту микроточек, которая характеризуется разрывами и пересечениями линий. Она шифруется и записывается в базу данных. При этом сам отпечаток пальца не сохраняется и не может быть воссоздан по микроточкам. Однако недорогие сканеры легко поддаются обману;
◦ ультразвуковое сканирование. Преимуществом данного метода является возможность работы с грязными пальцами и пальцами в перчатках;
◦ по форме ладони – метод, основанный на уникальности трехмерной геометрии кисти руки;
◦ по расположению вен на ладони – метод основан на инфракрасном сканировании лицевой стороны ладони или кисти руки;
◦ по сетчатке глаза – метод идентификации по рисунку кровеносных сосудов глазного дна;
◦ по радужной оболочке глаза. Уникальный для каждого человека рисунок радужной оболочки глаза сканируется камерой, в которую инсталлировано специальное программное обеспечение;
◦ по форме лица – более сложный метод идентификации, в котором строится трехмерный образ лица человека. На лице выделяются контуры бровей, глаз,носа, губ и т.д., вычисляется расстояние между ними и конфигурируется множество вариантов на случай поворота или наклона головы, изменения выражения лица;
◦ по термограмме лица. Специальные инфракрасные камеры снимают термограмму лица, считывая расположение кровеносных сосудов и другие тепловые характеристики;
◦ другие методы статической биометрии, включая идентификацию по запаху, по ДНК и др.
◦ метод ДНК относится к числу наиболее точных, но, по понятным причинам, применяется только в исключительных случаях;
◦ по рукописному почерку. Как правило, для этого используется подпись или кодовое слово. Цифровой код формируется в зависимости от необходимой степени защиты и при наличии соответствующего оборудования. Можно просто сравнивать картинки подписей, а можно учитывать временные характеристики написания и динамику движения пера;
◦ по клавиатурному почерку. Основа метода – динамика набора кодовой фразы. Если в качестве кодовой фразы используется пароль, то сразу получается двухфакторная аутентификация;
◦ по голосу. Существует достаточно много методов идентификации по голосу. Как правило, анализируются различные сочетания частотных и статистических характеристик голоса.
◦ USB-Токен (переносной аутентификатор)Переносные аутентификаторы, или токены:
◦ асинхронные – пользователь вводит строку в устройство, получает ответ и вводит его в компьютер;
◦ PIN/асинхронные – асинхронный метод дополняется вводом PIN-кода в устройство;
◦ синхронные – например, токен синхронизирован по времени с сервером и генерирует для данного пользователя в данную минуту пароль, который уже и вводится в систему;
◦ PIN/синхронные.
• Смарт-карты – это устройства, похожие на переносные аутентификаторы, но более сложные по своему составу. Включают в себя CPU, миниатюрную операционную систему, часы, программы на ROM, буферное RAM для криптографических вычислений, энергонезависимую память или EEPROM (Electrically Erasable Programmable Read-Only Memory) для хранения цифровых ключей. С помощью смарт-карты производится вычисление одноразовых паролей и осуществляется взаимодействие с устройством через картридер. После введения PIN-кода картридер сам запрашивает смарт-карту, и дальнейший процесс протекает без участия человека, благодаря чему можно использовать достаточно длинные ключи.

Аутентификация «компьютер – компьютер»
Данный тип связан с взаимной аутентификацией компьютеров в сети. Необходимость его использования обусловлена тем, что возникают такие вопросы, как, например:
• межсетевой экран в корпоративной сети «А» принимает пакет из компьютерной сети «В». Следует ли ему пропускать такой пакет?
• бездисковая рабочая станция загружает ядро операционной системы с загрузочного сервера. Следует ли ей загружаться с назначенного сервера?
• маршрутизатор или компьютер принимает пакет «сеть недоступна» с маршрутизатора другой сети. Следует ли ему доверять этому сообщению?

Известно немало различных способов работы с данным типом аутентификации, использующих пароли, цифровые подписи и шифрование. Аутентификация, основанная на именах компьютеров, может быть классифицирована как отсутствие аутентификации. Имена компьютеров существуют в основном для удобства пользователя. Работа с ними подразумевает безопасность системы серверов имен DNS (Domain Naming System). В некоторых случаях при аутентификации «компьютер – компьютер» пароли пересылаются практически в открытом виде. Недостатком этого метода является то, что злоумышленник может получить пароли, проанализировав сетевой трафик. Цифровые сигнатуры идентифицируют отправителя, гарантируя при этом целостность сообщений. Однозначная идентификация отправителя подразумевает, что используется сильный криптографический алгоритм, и ключевая информация не скомпрометирована. Данная технология может использоваться для аутентификации и компьютеров, и пользователей. При необходимости полной конфиденциальности применяется шифрование на основе приватных и публичных ключей.

Аутентификация «Человек – Человек»
Такой способ аутентификации применяется для распознавания личности при взаимодействии пользователей. Основными технологиями здесь являются цифровые подписи и протокол Kerberos версии 5 KDC (Key Distribution Center). Kerberos использует схему доверительного центра. Все участники, включая пользователей, клиентские и серверные программы, аутентифицируют друг друга с помощью доверительного центра.

Анализ проблем внедрения систем аутентификации
С одной стороны, недостаточная надежность аутентификации пользователей в масштабе предприятия приводит к изоляции периметра и системы доступа, что негативно сказывается на состоянии информационной безопасности в целом. С другой – аутентификация большого количества пользователей является дорогой и сложной задачей. Добавление дополнительных средств аутентификации, если это не спланировано и не внедрено должным образом, приводит к увеличению административных издержек и проблемам в управлении.

При выборе способа аутентификации имеет смысл учитывать соотношение ценности защищаемой информации и стоимости программно-аппаратного обеспечения аутентификации (включая сопровождение). Очевидно, что стоимость, а следовательно, качество и надежность средств аутентификации должны определяться важностью информации. Кроме того, повышение производительности комплекса, как правило, сопровождается его удорожанием.

Большинство экспертов сходятся во мнении, что информационная безопасность требует комбинации различных методов для исключения подтасовки и частичной потери конфиденциальной информации, необходимой для аутентификации.

Доказать то, кем является пользователь, можно с помощью биометрической аутентификации. Способы биометрической аутентификации часто применяются в совокупности с паролями или персональными идентификационными номерами (PIN) для подтверждения прав пользователя, в то время как смарт-карты или цифровые сертификаты позволяют получать информацию о том, где он находится.

Усложнение средств аутентификации – не самоцель информационной безопасности. Во-первых, из-за дороговизны внедрения такого решения. Стоимость дополнительного устройства (для снятия отпечатка пальца, картридера, видеооборудования), устанавливаемого на рабочую станцию, составляет около 100 долл. Достаточно высокая цена и серверной части, предназначенной для надежного хранения и обработки биометрической информации. Кроме того, сложные методы аутентификации являются дорогостоящими решениями и с точки зрения управления. Сюда включаются затраты на конфигурирование, инсталляцию, инвентаризацию, поддержку аппаратных и программных составляющих. Все эти ежегодные затраты на поддержку обычно превышают первоначальную стоимость в несколько раз.

Во-вторых, ограниченная масштабируемость подобных систем. Проблемой часто является загрузка телекоммуникационных каналов при внедрении централизованной аутентификации в распределенных сетях.

Только в последнее время начали появляться комплексные системы для автоматизации аутентификации.

Внедрение систем аутентификации в масштабе предприятия
Основополагающие элементы построения любой системы безопасности масштаба предприятия – системы аутентификации и управления доступом. Их необходимо планировать, внедрять и администрировать комплексно, поскольку ни одна из них в отдельности не является полнофункциональной. Что толку в однозначной идентификации пользователя, если невозможно грамотно распределить уровни доступа к информации на основе полученных данных? Какой смысл в системе управления доступом, если нельзя точно установить, кем является пользователь, от имени которого поступает запрос на доступ к ресурсу? Поэтому такие комплексные решения (Identify and Access Management) выделены в отдельный тип корпоративных систем. Сейчас существуют системы, работающие в гетерогенных средах с различными прикладными инфраструктурами. Примером может служить система eTrust IAM, обеспечивающая централизованную защиту сетевой инфраструктуры, администрирование пользователей в разнородной среде, защиту корпоративных приложений с интегрированными приложениями и управление конфигурациями, единую централизованную авторизацию пользователя на всех ресурсах и объединенное хранение всех данных.

При построении единой централизованной системы аутентификации масштаба предприятия от пользователя требуется только однократный процесс авторизации (сколь угодно сложный) с последующим единым, прозрачным, административно настраиваемым и управляемым доступом ко всем корпоративным ресурсам, включая файловые серверы, серверы приложений, web-ресурсы. Это системы типа Single SignOn.

Сервер Single SignOn осуществляет всю работу по поддержке длинных паролей (с их автоматической сменой), автоматизирует работу путем скриптов для аутентификации пользователя в прикладных системах. Внедрение такого решения позволяет упростить работу пользователей (нужно помнить лишь один пароль) и сократить административные издержки (администратор на сервере настраивает доступы во все системы).

Все события информационной безопасности необходимо выводить и обрабатывать централизованно, будь то защита периметра (syslog с межсетевых экранов, системы обнаружения вторжений, события на антивирусном шлюзе) или попытки получения доступа (к файловым ресурсам и базам данных), или антивирусная защита и т. д. Подобные интеллектуальные системы сбора и анализа информации позволят своевременно обнаруживать попытки мошенничества и предотвращать их.

Желательно также использовать системы динамического выбора подходящих средств авторизации в зависимости от типа защищаемого информационного ресурса, атрибутов пользователя и других параметров.

Практически в любых системах аутентификации используется программное обеспечение на рабочей станции клиента, поэтому необходимо централизованное управление (контроль) настройками и инсталляцией на рабочих станциях в масштабе предприятия. Только так можно гарантировать, что программное обеспечение сертифицировано, проинсталлировано администратором и подходит для работы в корпоративной сети.

Кроме того, следует напомнить о востребованных и популярных во всем мире системах организации безопасности поверх HTTP (так называемых web-сервисах). Здесь первоочередной вопрос – организация защиты web-ресурсов, аутентификации (как пользователей, так и программ между собой) и жизненного цикла пользователей.

Не менее важной задачей является связывание между собой «островов безопасности» – надежная и защищенная передача контента безопасности между территориально разрозненными системами, в каждой из которых имеется отдельная база пользователей и свои правила доступа. Для ее решения разработаны протоколы и спецификации организации передачи защищенной информации безопасности (протоколы SOAP, SAML – Security Assertion Markup Language, спецификации WS-Security), работает организация OASIS (Organization for the Advancement of Structured Information Standards), предлагаются соответствующие программы.