А где твой паспорт? – спросила крыса у Оловянного солдатика.
Х.-К. Андерсен

Ни одно предприятие, ни одна компания или банк не могут существовать без понятий «аутентификация» и «авторизация». Хотя мы часто не думаем или даже не знаем о них. Днем и ночью они охраняют наше благополучие – корпоративные и личные материальные и денежные средства, товары, счета и многое другое. Сотрудник компании проходит указанные проверки, по меньшей мере, четырежды в день в двух самостоятельных корпоративных системах, обеспечивающих безопасность: в системе контроля доступа (СКД) – при доступе на территорию предприятия (офиса) и во внутренние помещения; в локальной сети – при доступе к информационным ресурсам. Системы вроде бы работают автономно, но так ли это?

В состав системы защиты информации локальной сети входит подсистема управления доступом, часть функций которой выполняет корпоративная СКД – контроль за физическим доступом в помещения, где размещены серверы, компьютеры руководства, технические средства, обрабатывающие, хранящие и передающие конфиденциальную информацию.
В состав СКД на правах подсистемы входит специализированная управляющая локальная информационная сеть, в которой реализована подсистема защиты информации. Кроме того, часть технических и программных средств может использоваться одновременно двумя сетями – например, серверные и коммутационные устройства, оборудование передачи данных, часть системного и прикладного программного обеспечения.
Исходя из организационно-технических принципов построения этих систем (и корпоративной системы комплексной безопасности в целом), вытекает не только возможность, но и необходимость углубления их взаимной интеграции на программном и аппаратном уровнях. Основной принцип интеграции – качественное улучшение характеристик обеих системы за счет их комплексного использования и взаимного дополнения на этапе разработки, проектирования, внедрения и эксплуатации. Проще говоря, эти две системы, а в перспективе и другие (системы теленаблюдения, охраны периметра, пожарной и охранной сигнализации, оповещения и т. д.), обеспечивающие комплексную безопасность, должны помогать и дополнять друг друга при выполнении процедур, определенных корпоративной политикой безопасности.
В связи с тем, что любая система является наиболее уязвимой на стадии аутентификации и авторизации пользователя, рассмотрим интеграционные перспективы именно для этих процедур.
Аутентификация с использованием пароля – простой и самый распространенный способ в компьютерных системах, изредка он применяется и в современных СКД (клавиатурный ввод кодов доступа). Пожалуй, пароли – наиболее уязвимая часть любой компьютерной системы. Как бы ни была защищена система от атак по сети или по коммутируемым линиям, от «троянских коней» и аналогичных опасностей она может быть полностью скомпрометирована злоумышленником, если тот получит к ней доступ из-за плохо выбрай свод правил выбора Естественно, выполнить весь набор правил без привлечения программно-аппаратных средств невозможно. Поэтому в компьютерных системах широко распространена аутентификация с использованием паролей, хранящихся и вводимых из памяти идентификаторов (например, разнообразных контактных смарт-карт и USB-ключей, использующих двухфакторную авторизацию (PIN-код + пароль) и программного обеспечения к ним). Жесткие требования предъявляются к вероятностным свойствам генерируемых паролей. В процессе аутентификации может использоваться шифрование (хэширование), что делает бессмысленными атаки с помощью активной разведки. Но и эти системы могут стать для разработчиков, администраторов и пользователей источником трудноразрешимых проблем. Ведь чем сложнее средства защиты, тем хитроумнее становятся средства нападения.
Для упрощения процесса принятия решения в стародавнем споре - "смарт-карта или USB-ключ. Что предпочесть корпоративному пользователю", сведем их наглядные характеристики в следующую таблицу.
Уважаемый читатель, данные таблицы подтверждаются и вашим опытом, и дальнейшими рассуждениями по вопросам авторизации.
В СКД чаще всего применяются бесконтактные карты: магнитные, проксимити и смарт-карты. Конечно, оптимальным решением в такой ситуации могла стать биометрическая аутентификация, так как она основывается на физических признаках человека и не требует знания пароля или наличия носителя аутентификационной и авторизационной информации. Но на сегодняшний день данные системы самые дорогие в приобретении, установке и эксплуатации. Кроме того, биометрические характеристики нельзя сохранить в тайне.
Таким образом, наиболее приемлемым носителем авторизационной информации, который может использоваться и в локальных сетях, и в СКД, является процессорная смарт-карта с дуальным (контактный + бесконтактный) интерфейсом, защищенной памятью и возможностью работы с несколькими приложениями.
Перечисленным требованиям соответствует карта JCOP30 серии JCOP (Java Card Open Platform), полностью совместимая со стандартами MIFARE (бесконтактные карты) и ISO7816 (контактные карты). Карты JCOP30 обеспечивают передачу информации ридеру как по радиоинтерфейсу (по стандарту MIFARE), так и через контактный интерфейс; содержат криптографический сопроцессор, выполняющий алгоритмы
Triple-DES и RSA; удовлетворяют требованиям следующих стандартов: EMV2000, Java Card 2.1.1, Open Platform 2.0.1 и работают с платежным приложением VISA Smart Debit/Credit (VSDC); способны поддерживать до 16 независимых приложений. Уникальность карт заключается в том, что функциональные приложения для них пишутся на языке JAVA, широко распространенном среди разработчиков и программистов во всем мире. В России существует достаточное количество квалифицированных специалистов, имеющих навыки программирования на этом языке.
Применение карты JCOP30 на нынешнем этапе позволяет:
• использовать единый, достаточно дешевый носитель идентификационной информперсонификации;
• разметить в защищенной памяти карты информацию о пользователе: уровень доступа, временные интервалы доступа, срок действия карты, перечень разрешенных для доступа помещений, время включения персонального компьютера, графики обходов (для охраны) и т. п.;
• гарантировать блокирование компьютера пользователя при оставлении им рабочего места: без карты нельзя вернуться в помещение, следовательно, она обязательно будет изъята из компьютера;
• унифицировать процедуры политики информационной безопасности и политики контроля и управления физическим доступом;
• блокировать попытки авторизации в корпоративной сети пользователя, находящегося за пределами зоны, контролируемой СКД. Такое решение дает дополнительные гарантии защиты от внешних информационных атак и несанкционированного использования утерянной карты. В настоящее время компания "РУСКАРД" завершает разработку программного модуля сопряжения модуля "Локатор" СКД и программно-аппаратного комплекса "Мастер паролей";
• провести учет рабочего времени не только по факту прохода через первичное преграждающее устройство, но и по факту включения, блокировки и выключения компьютера пользователя;
• реализовать корпоративные платежные и бонусные системы: посещение столовой, оплата парковки и т. п.
В перспективе такая карта может быть использована в качестве унифицированного информационного носителя для авторизации на сервере авторизации единой информационно-управляющей структуры "интеллектуального здания".
Проблема перехода корпоративной системы комплексной безопасности на дуальные карты упрощается еще и тем, что карта JCOP30 уже используется в качестве "Социальной карты москвича". Возможности карты по одновременной поддержке независимых приложений еще не скоро будут исчерпаны. Следовательно, может быть и решен вопрос об ее использовании в корпоративных целях, с возмещением части стоимости карты эмитенту.
Такой подход к унификации носителя стал возможен только после вывода компанией "РОЗАН" на российский рынок смарт-карт JCOP30 с дуальным интерфейсом и доработки программного обеспечения программно-аппаратного комплекса "Мастер паролей" компанией "РУСКАРД".
Поскольку большинство современных систем контроля физического доступа работают с прокси-картами стандартов EM-Marin, HID, Motorola, то для ранее установленных СКД компания "РУСКАРД" предложила изготовить и использовать другой тип комбинированных двухинтерфейсных карт. Эти карты совмещают возможности карты указанных стандартов и современных процессорных JAVA-карт семейства JCOP. Такое решение позволяет использовать уже имеющееся оборудование СКД (считыватели, контроллеры и т. д.) и единую карту для контроля физического доступа и решения других задач (обеспечения авторизации на ПК, бонусных проектов и т. д.).
Компания "РУСКАРД" первой предложила подобную карту, дополнив проксимити-карту чипом JCOP20. Это смарт-карта серии JCOP (Java Card Open Platform), полностью совместимая со стандартся криптографический сопроцессор, реализующий алгоритмы Triple-DES и RSA.
Применение такой карты не требует модернизации оборудования СКД и в то же время предоставляет корпоративному пользователю все преимущества карты JCOP30.
Компания "РУСКАРД" предоставляет заинтересованным организациям на бесплатное тестирование дуальные карты JCOP30, проксимити/JCOP20 и программно-аппаратный комплекс "Мастер паролей", использующий данные карты в качестве носителя информации для авторизации и разграничения доступа в корпоративной компьютерной сети.
www.ruscard.ru



Аутентификация (Authentication) - проверка принадлежности пользователю (субъекту доступа) предъявленного им идентификатора и подтверждение его подлинности.

Авторизация (Authorization) - проверка прав доступа пользователя и получение им доступа к ресурсам в соответствии с данными ему правами.


НАБОР ПРОСТЫХ РЕКОМЕНДАЦИЙ ПО ВЫБОРУ ПАРОЛЕЙ.

НЕ ИСПОЛЬЗУЙТЕ:
• производные от входного имени (само имя, обращенное, записанное прописными буквами, удвоенное имя и т. п.);
• свое имя, отчество или фамилию;
• имя свое, друга, супруги (супруга) или детей;
• другую ассоциируемую с вами информацию, которую легко узнать (номера документов и телефонов, марку или номер автомобиля, дату рождения, домашний адрес и т. п.);
• чисто цифровой пароль или пароль из повторяющихся букв;
• слова, содержащиеся в словаре английского или иного языка, в других списках слов;
• пароль менее чем из шести символов.

ИСПОЛЬЗУЙТЕ:
• пароли со сменой регистра букв;
• пароли с небуквенными символами (цифрами или знаками пунктуации);
• разные пароли для разных приложений;
• запоминающиеся пароли, чтобы не пришлось записывать их на бумаге;
• пароли, которые вы можете ввести быстро, не глядя на клавиатуру.