Основы информационной безопасности для организации ООО «СКБ Контур»

На сегодняшний  день наибольшее распространение получил  сетевой протокол LDAP (Lightweight Directory Access Protocol) как средство реализации и доступа к службе каталогов. LDAP — это стандарт, разработанный и поддерживаемый комитетом IETF. Протокол включает в себя представление всех ресурсов в виде иерархической (древовидной) структуры, представление отдельного ресурса — в виде именованной записи с атрибутами.

Существует  множество реализаций данного стандарта, как открытых, так и проприетарных. Вот список наиболее распространенных из них:

• Apache Directory Server
• Apple Open Directory
• CA Directory (http://ca.com/us/products/product.aspx?id= 160)
• Fedora Directory Server
• IBM Tivoli Directory Server
• Mandriva Directory Server http://mds.mandriva.org/
• Microsoft Active Directory
• Novell eDirectory
• OpenLDAP
• Oracle Internet Directory
• Penrose — виртуальный сервер директорий, основанный на Java (http: //penro se. safehaus. org)
• Siemens DirX
• Sun Java System Directory Server Tinyldap (http://vvww.fefe.de/tinyldap/)
• Openwave LDAP Directory Server (http://www.openwavexom/us/products/messagingj>roducts/directory/)

 

5. Средства  идентификации и  аутентификации пользователей  информационной системы  организации

    Первый  шаг к обеспечению безопасности ресурсов ЛВС - способность проверить  личности пользователей. Процесс подтверждения (проверки) личности пользователя назван установлением подлинности (аутентификацией). Аутентификация обеспечивает основу для  эффективного функционирования других мер и средств защиты, используемых в ЛВС. Например, механизм регистрации  позволяет получить информацию об использовании  пользователями ресурсов ЛВС, основанную на идентификаторе пользователя. Механизм управления доступом разрешает доступ к ресурсам ЛВС, основываясь на идентификаторе пользователя. Оба этих средства защиты эффективны только при условии, что  пользователь, использующий службу ЛВС - действительный пользователь, которому назначен данный идентификатор пользователя

    Идентификация требует, чтобы пользователь был  так или иначе известен ЛВС. Она  обычно основана на назначении пользователю идентификатора пользователя. Однако ЛВС не может доверять заявленному  идентификатору без подтверждения  его подлинности. Установление подлинности  возможно при наличии у пользователя, чего-нибудь уникального, что только пользователь имеет, типа карты, чего-то единственного, что только пользователь знает, типа пароля, или что-то, что  делает пользователя уникальным, типа отпечатка пальца. Чем больше количество таких уникальных вещей предоставлено  пользователем ЛВС, тем меньше риск, что кто-то подменит законного пользователя.

    Система идентификации и аутентификации (Identity Management System) — комплекс аппаратно-программных средств, управляющих учетными записями субъекта, соответствующими правами доступа, а также осуществляющих мониторинг активности пользователя, необходимый для выявления потенциальных злоумышленников внутри организации. Как правило, средства идентификации и аутентификации интегрированы со средствами разграничения доступа. Немаловажным свойством системы аутентификации является возможность интеграции в нее всевозможных аппаратных средств защиты — кард-ридеров, электронных замков, устройств считывания биометрических данных, металлоискателей, средств сигнализации и пожаротушения и т.п.

Ниже  приведены некоторые наиболее распространенные средства идентификации и аутентификации:

6.1. Microsoft Active Directory

 

     Active Directory — LDAP-совместимая реализация интеллектуальной службы каталогов корпорации Microsoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать групповые политики (GPO) для обеспечения единообразия настройки пользовательской рабочей среды, развертывать ПО на множестве компьютеров (через групповые политики или посредством Microsoft Systems Management Server 2003 (или System Center Configuration Manager)), устанавливать обновления ОС, прикладного и серверного ПО на всех компьютерах в сети (с использованием Windows Server Update Services (WSUS); Software Update Services (SUS) ранее).

Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.

Достоинства Active Directory:

• Изначальная интегрированность в серверные версии операционной системы Microsoft Windows. Следовательно, при наличии лицензионного ПО обладает нулевой стоимостью;
• Простота настройки и конфигурирования.

Основные  недостатки:

• Отсутствие поддержки других операционных систем, кроме MS Windows;
• Малое количество поддерживаемых протоколов доступа, и как следствие, низкий уровень интегрируемости с другими системами.

 
 
 
 

 

6.2. Novell eDirectory

 

     Novell eDirectory — это совместимая с Х.500 служба каталогов, выпущенная компанией Novell, Inc. для централизованного управления доступом к ресурсам на множество сетевых серверов. Этот продукт широко используется и конкурирует с Active Directory компании Microsoft, Java System Directory Server компании Sun и Fedora Directory Server компании Red Hat.

eDirectory представляет собой иерархическую, объектно – ориентированную базу данных, которая представляет все ресурсы организации в виде логического дерева. Ресурсами могут быть сотрудники, должности, серверы, рабочие станции, приложения, принтеры, службы, группы и т.д. Эффективное управление глобальным и точным доступом к ресурсам достигается за счет использования динамического наследования прав и использование механизмов эквивалентности правам. Права доступа для объектов в дереве определяются во время выполнения запроса и зависят от того, какие права назначены объекту явно, через эквиваленты по правам и благодаря местонахождению (контексту) объекта в дереве.

Достоинства Novell eDirectory :

• Многоплатформенность;
• Реплицируемость (возможность тиражирования системы на несколько серверов для повышения надежности и снижения нагрузки);
• Развитые средства мониторинга и управления;

Основные  недостатки:

• Высокая стоимость;
• Высокие требования к квалификации обслуживающего персонала; 
  

6.3   Аппаратные системы  контроля и управления  доступом

 

  Кроме программных средств, ограничивающих  и регламентриющих доступ только лишь к цифровой  информации, в средних и крупных организациях также применяются аппаратные системы контроля доступа, которые отвечают за доступ в здания, помещения и т.п. Как правило, комплекс аппаратных СКУД представляет собой целостную систему, интегрированную в общую схему информационной безопасности организации.

Основные  компоненты СКУД:

     Идентификатор – ключ, который служит для определения  прав владеющего им человека. Это может  быть бесконтактная (Proximity) карточка или брелок. Также, в качестве идентификатора может использоваться код, набираемый на клавиатуре или ряд биометрических признаков человека - отпечаток пальца, рисунок сетчатки или радужной оболочки глаза.

     Контроллер – основная часть системы. Именно контроллер принимает решение, пропустить или нет человека в данную дверь. Контроллер хранит в своей памяти коды идентификаторов со списком прав каждого из них.

     Считыватель – устройство, которое считывает  код идентификатора и передает его  контроллеру. Считыватель должен быть доступен снаружи помещения, проход в которое необходимо получить.

     Электромагнитные  замки – сравнительно недороги и  в некоторых случаях очень  удобны в установке. Почти все  они относятся к группе замков, запираемых напряжением, то есть, пригодны для установки на путях эвакуации  при пожаре. Недостатки — несколько  более высокая цена, а также  необходимость гибкой подводки на саму дверь.

     Турникеты – существуют двух основных типов: поясные и полноростовые. За счет высокой пропускной способности  они незаменимы на входе в крупное  предприятие, где, к тому же, используется система учета рабочего времени.

     Ворота  и шлагбаумы – чаще всего используются на въездах на предприятие и на автомобильных парковках. Основное требование — устойчивость к климатическим  условиям и возможность управления от контроллера СКУД.

     Проектирование  СКУД целесообразно осуществлять в  сотрудничестве со специалистами компании, производящей монтаж данной системы. В  настоящее время в России существуют десятки фирм, специализирующихся на производстве, реализации и внедрении  данных средств защиты. Вот некоторые из них: 

"Parsec"

Производитель технических средств контроля доступа (сетевые контроллеры, сетевые считыватели, интерфейсы), а также программного обеспечения для них. В качестве интегрированной системы безопасности предлагается система ParsecNET, управляющая аппаратными средствами и устанавливаемая на один или более IBM-совместимые персональные компьютеры (ПК) 

СКУД  CANTEC

Программно-аппаратный комплекс, основу которого составляют контроллеры на 1-4 точки прохода  ACD-4. Контроллеры управляют замками, турникетами, шлагбаумами, шлюзовыми кабинами и приводами автоматических ворот. Можно также осуществлять управление внешними устройствами (свет, вентиляция и т.д.). Для связи используется CAN-сеть, обеспечивающая бесперебойную работу системы в режиме реального времени. Содержит систему анализа, позволяющий производить мониторинг событий, перемещение пользователей, учет рабочего времени и т.д. 

"Securitron"

Корпорация, производящая оборудование для систем СКУД (США).  

"Паладин-Л"

Компания, специализирующаяся на электронных  системах безопасности. Осуществляет монтаж систем различных производителей, как отечественных, так и зарубежных.

 

6.4 Биометрическая идентификация

 

  Некоторые биометрические характеристики уникальны  для данного человека, и их можно  использовать для установления личности или проверки декларируемых личных данных:

• для идентификации пользователя (вместо ввода имени пользователя);
• совместно с паролем или персональным идентификатором (таким, как смарт-карта) - для обеспечения двухфакторной аутентификации.

Биометрические  характеристики делятся на следующие  группы:

• физиологические (физические или статические) - основаны на данных, полученных путем измерения анатомических данных человека;
• поведенческие (динамические) - основаны на данных, полученных путем измерения действий человека.

  Все биометрические системы работают одинаково, отличаясь объектами и способами  измерений. Пользователь предоставляет  образец - опознаваемое, необработанное изображение или запись физиологической  или поведенческой характеристики - посредством регистрирующего устройства (например, сканера или камеры). Предоставленная  характеристика обрабатывается для  получения информации об отличительных  признаках, в результате чего получается ЭИП (эталонный идентификатор пользователя) -числовая последовательность; сам  образец из него восстановить невозможно.

  В процессе биометрической идентификации  снятая в процессе идентификации  характеристика сравнивается с ЭИП. Поскольку эти два значения полностью  никогда не совпадают, то для принятия положительного решения о доступе  степень совпадения должна превышать  определенную пороговую величину.

  Соответственно, в биометрических системах полученная при попытке идентификации характеристика претендента может быть ошибочно признана:

• соответствующей ЭИП другого лица;
• не соответствующей ЭИП данного пользователя, хотя он зарегистрирован в системе.

В качестве биометрических признаков применяются  следующие:

• отпечатки пальцев (плоская картинка);
• геометрическая форма кисти руки (от одномерной до ЗD-технологии);
• форма и размер лица (от одномерной до ЗD-технологии);
• частотные характеристики и тембр голоса (например, по EAL2);
• узор радужной оболочки и особенности сетчатки глаза.