На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 4 июль-август 2008 г.
Тема номера:
УПРАВЛЕНИЕ ВНУТРЕННЕЙ БЕЗОПАСНОСТЬЮ


АУТЕНТИФИКАЦИЯ В РАСПРЕДЕЛЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

А. Г. Сабанов, к. т. н., зам. генерального директора
ЗАО «Аладдин Р.Д.»


Предыдущая статьяСледующая статья

Введение

В контексте данной работы под распределенной информационной системой будем понимать все аспекты взаимодействия пользователей (а также взаимодействие типа «пользователь – ресурс»), когда стороны, находящиеся в разных локальных сетях, осуществляют информационный обмен в недоверенной среде. Типичным примером недоверенной, а следовательно, потенциально опасной среды является Интернет.

Повсеместное распространение Интернета и активное использование online-сервисов делает его все более массовым явлением. Пересылка документов, запрос и получение информации с подтверждением ее авторства и целостности, финансовые транзакции через Интернет в век информационных технологий становятся ежедневной потребностью.

Электронная коммерция – один из самых известных и развитых сервисов распределенных систем. Например, в сегменте В2С сейчас появляется реальная возможность перехода к собственно электронной коммерции. До настоящего времени работа интернет-магазинов сужалась до функционирования электронного каталога и «пристегнутой» к нему логистики: мы заходим на сайт, выбираем товар, оформляем заказ, нам его привозят, после личного осмотра – приобретаем. Такой способ работы электронных магазинов сложился вынужденно – ввиду отсутствия необходимого уровня доверия как к продавцу (в основном к тому, что вам доставят именно тот товар и того качества, который вы ожидаете), так и к способам оплаты. Недоверие к способам оплаты через Интернет заключается в том, что вам требуются гарантии, что ваш счет, с которого производится оплата, останется неприкосновенным для всех, кроме вас, а сама транзакция сохранится в тайне.

Широкое использование web-сервисов постепенно размывает физические границы предприятия. Мы становимся все более мобильными, появляется потребность работы из дома, в командировках, на отдыхе… Предоставление удаленного доступа к защищенным информационным ресурсам становится насущной проблемой и головной болью для ИТ-специалистов организаций. Не случайно, по данным исследования Vanson Bourne за 2007 год, до 90 % ИТ-менеджеров болезненно относятся к рискам, связанным с удаленным доступом.

Однако рост случаев мошенничества, включая кражу персональных данных, привел к существенным юридическим и технологиче-ским изменениям, призванным обеспечить защиту конфиденциальной информации клиента. С одной стороны приняты соответствующие законы, вводящие ключевые понятия прав и обязанностей как объектов, так и субъектов персональных данных. С другой – появились улучшенные технологии аутентификации, обеспечивающие контроль доступа пользователей к информационным ресурсам. В связи с этим организации, участвующие в любой форме информационного взаимодействия с использованием открытых каналов связи, имеют возможность (а в ряде случаев это не просто возможность, а требование) применять надежные технологии подтверждения подлинности клиентов.

Эффективная система аутентификации необходима для реализации требований по защите информации клиента, предотвращению отмывания денег и финансирования террористических организаций, сокращению мошенничества, связанного с кражей персональных данных, а также для придания юридической силы электронным соглашениям и транзакциям. Риски ведения операций с неправомочными или некорректно идентифицированными сторонами информационного обмена в электронной среде могут привести к финансовым потерям и ущербу репутации через различного рода мошенничества, раскрытие информации клиента, искажение данных, или к появление соглашений, не имеющих законной силы.

В России пока нет устоявшихся требований к аутентификации в отличие от Запада (Декларация ЕС 1999 года, NIST 800-63, АРЕС Framework 2007 и т. д.). Ближе всего на данный момент к выработке подобных директив стоят банки. В некоторых из них научились оценивать риски. Требования бизнеса накладывают требования на сервисы безопасности, и наоборот. Если в банке знают, что технологии аутентификации неустойчивы к внешним атакам, то минимизируют свои риски путем снижения рекомендованных клиентам сумм транзакций. Это делается в виде предупреждений клиентам банка о том, что при переводе сумм выше определенного уровня ответственность переносится на клиентов.

В данной статье делается попытка «наведения порядка» с определениями и технологиями аутентификации. Используя этот базис, в следующей работе мы сможем попробовать соотнести требования бизнеса с технологиями и методами аутентификации, необходимыми для обеспечения его информационной безопасности.

Как показано в статье, одна из лучших технологий аутентификации в распределенных средах – применение электронной цифровой подписи (ЭЦП). Однако не всегда имеется возможность применения методов строгой аутентификации для организации удаленного доступа. Например, не все интернет-кафе оборудованы доступными USB-портами для использования ключей класса eToken, иногда требуется установить соединение с удаленным информационным ресурсом с помощью смартфона или наладонника. Рассмотрим указанные требования и существующие решения аутентификации более подробно. Начнем с технологий.

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100