0
1281
Газета НГ-Телеком Интернет-версия

07.06.2005 00:00:00

Пароль в систему: знать или иметь?

Ростислав Рыжков

Об авторе: Ростислав Рыжков - директор по информационной безопасности компании "ФОРС - Центр разработки".

Тэги: пароль, безопасность, пользователь, авторизация


пароль, безопасность, пользователь, авторизация Для хранения цифровых сертификатов удобно применять смарт-карты или USB-ключи eToken.
Фото ИДДК

Старейший способ не допустить к своей информации посторонних – организовать доступ к ней через ввод имени пользователя и пароля, иначе говоря – через авторизацию пользователя. По данным авторитетной аналитической компании IDC, на долю средств авторизации и администрирования (необходимого для надежной авторизации) уже приходится более 70% от общей суммы затрат, связанных с обеспечением информационной безопасности, и инвестиции в эту сферу ежегодно растут на 30%. На что же расходуются эти деньги.

Именно поэтому сейчас на рынок выходят информационные системы, имеющие встроенную возможность строгой аутентификации при доступе к данным. Подобное решение предлагает и компания «ФОРС – Центр разработки». Она реализует механизм строгого управления доступом к своим прикладным системам на основе использования цифровых сертификатов и LDAP-каталогов. В основе – технологии ORACLE, обеспечивающие строгую аутентификацию пользователей с помощью цифровых сертификатов стандарта X.509. Например, это решение не позволяет злоумышленнику, работая под чужим именем, похитить информацию из базы, а также совершить несанкционированный доступ к приложениям, использующим СУБД Oracle.

Таким образом, вход в систему на основе некоего материального «пропуска» существенно снижает риск получения несанкционированного доступа к информации. Решение, повышающее безопасность данных, построено на основе трех основных компонентов: использование цифрового сертификата в качестве идентификатора пользователя; применение технологий Oracle для организации SSL-соединения LDAP-каталога; использование смарт-карты как носителя цифрового сертификата и ключа.

Рассмотрим, что собой представляют все перечисленные выше компоненты.

Цифровой сертификат – это электронный документ, выданный удостоверяющим центром. Традиционно он используется для идентификации владельца сертификата (компании или пользователя) путем проверки содержащегося в сертификате цифрового ключа. Удостоверяющий Центр, выдающий сертификаты (Certification Authority, CA), заверяет своей электронной подписью соответствие между открытым ключом и именем (идентификатором) его владельца. Подписанные таким образом данные (открытый ключ, идентификатор владельца и некоторые другие связанные с ним атрибуты) и представляют собой цифровой сертификат. Генерация цифровых сертификатов регламентируется стандартом Х.509.

Цифровой ключ, входящий в состав сертификата, также может использоваться для электронно-цифровой подписи и шифрования электронных писем, файлов или трафика, передаваемого по каналам связи. Только определенный получатель может расшифровать сообщение или принятый трафик. При этом он будет уверен, что письмо пришло от легального отправителя и оно не было изменено при пересылке. Эти и многие другие возможности предусматривает концепция PKI (Инфраструктура Открытых Ключей).

LDAP-каталог, LDAP-сервер, SSL-протокол – эти словосочетания сегодня известны всем, кто хотя бы немного интересуется сферой ИТ. Облегченный протокол доступа к каталогу (Lightweight Directory Access Protocol или LDAP) обеспечивает работу клиентских приложений, в том числе «легких» пользовательских агентов, таких как Internet-броузеры, с каталогами, использующими архитектуру X.500. Протокол рассчитан исключительно на использование поверх TCP. Текущая, третья версия этого протокола поддерживает репликацию каталогов и улучшенные средства защиты, в том числе проверку права на установление соединения на основе цифрового сертификата.

Для обеспечения безопасного обмена данными между клиентом и сервером применяется SSL (Secure Sockets Layer) протокол, по которому обмен производится в зашифрованном виде. SSL-соединение в реализации Oracle обеспечивает Oracle Advanced Security, осуществляя обмен трафиком между клиентом и сервером по SSL-протоколу, что делает его перехват практически невозможным.

SSL-соединение между клиентом и базой данных обслуживает LDAP-сервер Oracle, называемый Oracle Internet Directory Server. Именно он хранит учетные записи пользователей и связывает их с цифровыми сертификатами и цифровыми ключами, которые могут размещаться в различных хранилищах. На основе цифровых ключей, являющихся частью цифрового сертификата, производится шифрование SSL-трафика.

Цифровой сертификат, на основе которого происходит идентификация пользователя, может храниться как в самом компьютере, так и на устройстве, которое владелец носит с собой. Для хранения цифровых сертификатов особенно перспективно применение смарт-карт или USB-ключей eToken, поскольку конструктивные особенности не позволяют похитить цифровой сертификат из их памяти. Впервые технология аутентификации с использованием eToken при доступе к базам данных Oracle была представлена компанией «Аладдин» в апреле 2004 года.


Комментарии для элемента не найдены.

Читайте также


Открытое письмо Анатолия Сульянова Генпрокурору РФ Игорю Краснову

0
1470
Энергетика как искусство

Энергетика как искусство

Василий Матвеев

Участники выставки в Иркутске художественно переосмыслили работу важнейшей отрасли

0
1676
Подмосковье переходит на новые лифты

Подмосковье переходит на новые лифты

Георгий Соловьев

В домах региона устанавливают несколько сотен современных подъемников ежегодно

0
1778
Владимир Путин выступил в роли отца Отечества

Владимир Путин выступил в роли отца Отечества

Анастасия Башкатова

Геннадий Петров

Президент рассказал о тревогах в связи с инфляцией, достижениях в Сирии и о России как единой семье

0
4093

Другие новости