Программно-аппаратная защита информации от локального несанкционированного доступа.

Пользователь для входа в систему должен не только ввести пароль, но и предъявить элемент аппаратного обеспечения, содержащий под­тверждающую его подлинность ключевую информацию. Такими элементами аппаратного обеспечения могут быть:

·магнитные диски, не требующие установки на компьютере пользователя КС никаких дополнительных аппаратных средств, но наиболее уязвимые с точки зрения копирования хранящейся на них ключевой информации;

·элементы Touch Memory (аналогичные изделия других производителей именуются iButton), включающие в себя энергонезависимую память в виде постоянного запоминающего устройства (ПЗУ) с уникальным для каждого изделия серийным номером и (в более дорогих вариантах) оперативного запоминающего устройства (ОЗУ) для хранения идентифицирующей пользователя информации, а также встроенный элемент питания со сроком службы до 10 лет (элемент Touch Memory напоминает миниатюрную батарейку диаметром 16 мм и толщиной 3...6 мм, он имеет один сигнальный контакт и один контакт заземления, а для контакта элемента с устройством чтения достаточно простого касания);

·пластиковые карты с магнитной полосой, на которой помимо ключевой информации могут размещаться и дополнительные реквизиты пользователя (его фамилия, имя, отчество, фотография, название организации и ее подразделения и т.п.); подобные
карты наиболее дешевы, но и наименее защищены от копирования и подделки;

·карты со штрихкодом, покрытым непрозрачным составом, считывание информации с которых происходит в инфракрасных лучах; эти карты также относительно дешевы, но уязвимы для подделки;

·смарт-карты, носителем ключевой информации в которых
является специальная бескорпусная микросхема, включающая всебя только память для хранения ключевой информации (про­стые смарт-карты) или микропроцессор (интеллектуальные кар­ты), позволяющий реализовывать достаточно сложные процеду­ры аутентификации;

·• маркеры eToken (USB-брелки), представляющие собой под­ключаемое к USB-порту компьютера устройство, которое включа­ет в себя аналогичную смарт-карте микросхему с процессором и защищенной от несанкционированного доступа памятью (в отли­чие от пластиковых карт не требуется установка устройства их чте­ния с кабелем для подключения этого устройства к компьютеру).

С помощью только программных средств принципиально нельзя обеспечить надежную защиту информации от несанкционирован­ного доступа к ней в КС.

Роль аутентификации при обеспечении защищенного удаленного доступа

Для того чтобы обеспечить как большим, так и малым предприятиям полную защиту их данных при использовании web-ресурсов необходимо гарантировать, что корпоративные потребители и стратегические партнеры (поставщики, контрагенты и консультанты) надёжно идентифицируемы, их доступ к сетям - правомочен и безопасен, а используемые информационные каналы удаленного доступа защищены должным образом

Итак, при обеспечении удаленного доступа на первый план выдвигаются задачи обеспечения безопасности, поскольку если к локальной сети организации предоставляется доступ легальному пользователю, то под его именем может сделать попытку входа и злоумышленник. В данном случае необходимо обеспечение всех компонент триединой задачи информационной безопасности – конфиденциальности обмена «пользователь - информационный ресурс», доступности для всех, кому этот сервис необходимо предоставить, целостности хранимой, передаваемой и получаемой информации

Для организации работы в такой среде необходимо использовать следующие механизмы защиты:

надежные средства аутентификации пользователей;

система управления доступом;

средства организации VPN;

средства противостояния атакам;

средства анализа защищенности данного сервиса.

Рассмотрим несколько наиболее часто употребляющихся способов решения задачи аутентификации.

Простой вариант: аутентификация на основе паролей

Для получения доступа пользователей к информационным ресурсам наиболее широко используется аутентификация исходя из «знания чего-либо» - некой секретной информации или паролю, вводимому с помощью клавиатуры при каждом сеансе работы пользователя в ИС