Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам
Учебное пособие для вузов
Покупка
Издательство:
Горячая линия-Телеком
Авторы:
Афанасьев Алексей Алексеевич, Веденьев Леонид Тимофеевич, Воронцов Алексей Андреевич, Газизова Эльвира Рафаиловна, Додохов Александр Леонидович, Крячков Антон Викторович, Полянская Ольга Юрьевна, Сабанов Алексей Геннадьевич, Скида Максим Николаевич, Халяпин Сергей Николаевич
Год издания: 2012
Кол-во страниц: 550
Дополнительно
Вид издания:
Учебное пособие
Уровень образования:
ВО - Бакалавриат
ISBN: 978-5-9912-0257-2
Артикул: 139152.02.01
Книга посвящена одному из аспектов проблемы управления доступом к
информации в компьютерных системах - аутентификации.
Фактически защита информации начинается с аутентификации пользовате-
лей. Каждый пользователь современных компьютерных систем сталкивается с
процедурами аутентификации неоднократно в течение рабочего дня. Книга
описывает достоинства и недостатки практически всех существующих и ис-
пользуемых на настоящий момент способов аутентификации и ориентирована
на широкий круг читателей.
Книга адресована студентам вузов и аспирантам, обучающимся по специ-
альностям, связанным с защитой информации, ИТ-специалистам и специали-
стам по информационной безопасности; специалистам, получающим второе
высшее образование в области защиты информации, и слушателям курсов пе-
реподготовки.
Тематика:
ББК:
УДК:
ОКСО:
- 10.00.00: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
- ВО - Бакалавриат
- 10.03.01: Информационная безопасность
- ВО - Магистратура
- 10.04.01: Информационная безопасность
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов
Под редакцией А. А. Шелупанова, С. Л. Груздева, Ю. С. Нахаева Рекомендовано Учебно-методическим объединением по образованию в области информационной безопасности и одобрено ФСТЭК России в качестве учебного пособия для студентов высших учебных заведений, обучающихся по специальностям «Компьютерная безопасность», «Комплексное обеспечение информационной безопасности автоматизированных систем» Москва Горячая линия - Телеком 2012
УДК 004.732.056(075.8) ББК 32.973.2-018.2я73 А93 А в т о р ы : А. А. Афанасьев, Л. Т. Веденьев, А. А. Воронцов, Э. Р. Газизова, А. Л. Додохов, А. В. Крячков, О. Ю. Полянская, А. Г. Сабанов, М. А. Скида, С. Н. Халяпин, А. А. Шелупанов А93 Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам. Учебное пособие для вузов / А. А. Афанасьев, Л. Т. Веденьев, А. А. Воронцов и др.; Под ред. А. А. Шелупанова, С. Л. Груздева, Ю. С. Нахаева. – 2-е изд., стереотип. – М.: Горячая линия–Телеком, 2012. – 550 с.: ил. ISBN 978-5-9912-0257-2. Книга посвящена одному из аспектов проблемы управления доступом к информации в компьютерных системах – аутентификации. Фактически защита информации начинается с аутентификации пользователей. Каждый пользователь современных компьютерных систем сталкивается с процедурами аутентификации неоднократно в течение рабочего дня. Книга описывает достоинства и недостатки практически всех существующих и используемых на настоящий момент способов аутентификации и ориентирована на широкий круг читателей. Книга адресована студентам вузов и аспирантам, обучающимся по специальностям, связанным с защитой информации, ИТ-специалистам и специалистам по информационной безопасности; специалистам, получающим второе высшее образование в области защиты информации, и слушателям курсов переподготовки. ББК 32.973.2-018.2я73 Адрес издательства в Интернет WWW.TECHBOOK.RU Учебное издание Аутентификация Теория и практика обеспечения безопасного доступа к информационным ресурсам Учебное пособие для вузов 2-е издание, стереотипное Редактор И. Н. Андреева Компьютерная верстка Н. В. Дмитриева Обложка художника В. Г. Ситникова Подписано в печать 14.03.12. Формат 70×100/16. Усл. печ. л. 45,75. Тираж 100 экз. (1-й завод 50 экз.) ООО «Научно-техническое издательство «Горячая линия–Телеком» ISBN 978-5-9912-0257-2 © ЗАО «Аладдин Р.Д.», 2009, 2012 © Издательство «Горячая линия–Телеком», 2012
ОГЛАВЛЕНИЕ ПРЕДИСЛОВИЕ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 ЧАСТЬ I. ТЕОPЕТИЧЕСКИЕ ОСНОВЫ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Глава 1. ОБЩИЕ СВЕДЕНИЯ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.1. Основные понятия и опpеäеëения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.2. Pоëü и заäа÷и аутентификаöии. Место аутентификаöии в стpуктуpе основных напpавëений защиты инфоpìаöии . . . . . . . . . . . . . 10 1.3. Фактоpы аутентификаöии . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Глава 2. ПАPОЛЬНАЯ АУТЕНТИФИКАЦИЯ . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.1. Аутентификаöия с поìощüþ запоìинаеìоãо паpоëя . . . . . . . . . . . . . . . . 16 2.2. Метоäы паpоëüной аутентификаöии . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.3. Паpоëüные поëитики. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 2.4. Неäостатки ìетоäов аутентификаöии с запоìинаеìыì паpоëеì. . . . . . . . 19 Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Глава 3. АУТЕНТИФИКАЦИЯ С ПОМОЩЬЮ БИОМЕТPИЧЕСКИХ ХАPАКТЕPИСТИК . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3.1. Биоìетpи÷еские хаpактеpистики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3.2. Как pаботаþт биоìетpи÷еские систеìы . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.3. Аутентификаöия и биоìетpи÷еское pаспознавание . . . . . . . . . . . . . . . . . 26 3.4. Pеаëизаöия биоìетpи÷еских систеì . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.5. Неäостатки аутентификаöии с поìощüþ биоìетpи÷еских хаpактеpистик. Возìожные атаки. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Глава 4. АУТЕНТИФИКАЦИЯ С ПОМОЩЬЮ ОДНОPАЗОВЫХ ПАPОЛЕЙ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 4.1. Аппаpатно-пpоãpаììные OTP-токены . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 4.2. Как pаботаþт OTP-токены. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 4.3. Метоäы аутентификаöии с поìощüþ OTP-токенов . . . . . . . . . . . . . . . . . 32 4.4. Сpавнение ìетоäов OTP-аутентификаöии . . . . . . . . . . . . . . . . . . . . . . . . 36 4.5. Систеìы оäноpазовых паpоëей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4.6. Неäостатки ìетоäов аутентификаöии с поìощüþ OTP. Возìожные атаки. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Глава 5. КPИПТОГPАФИЯ С ОТКPЫТЫМ КЛЮЧОМ . . . . . . . . . . . . . . . . . . 43 5.1. Общие свеäения о кpиптоãpафии с откpытыì кëþ÷оì. . . . . . . . . . . . . . . 43
5.2. Автоpизаöия и обеспе÷ение þpиäи÷еской зна÷иìости эëектpонных äокуìентов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 5.3. Конфиäенöиаëüностü и контpоëü öеëостности пеpеäаваеìой инфоpìаöии . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 5.4. Аутентификаöия связываþщихся стоpон . . . . . . . . . . . . . . . . . . . . . . . . . 48 5.5. Установëение аутенти÷ноãо защищенноãо соеäинения. . . . . . . . . . . . . . . 48 5.6. Инфpастpуктуpа откpытых кëþ÷ей (PKI) . . . . . . . . . . . . . . . . . . . . . . . . . 49 5.7. Аутентификаöия с поìощüþ откpытоãо кëþ÷а на основе сеpтификатов . . . 49 5.8. Оpãанизаöия хpанения закpытоãо кëþ÷а . . . . . . . . . . . . . . . . . . . . . . . . . 50 5.9. Интеëëектуаëüные устpойства и аутентификаöия с поìощüþ откpытоãо кëþ÷а . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 5.10. Неäостатки аутентификаöии с поìощüþ откpытых кëþ÷ей. Возìожные атаки. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Глава 6. ПPОТОКОЛЫ АУТЕНТИФИКАЦИИ В ЛОКАЛЬНОЙ СЕТИ. . . . . . . 57 6.1. Пpотокоëы LAN Manager и NT LAN Manager . . . . . . . . . . . . . . . . . . . . . 57 6.2. Пpотокоë Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 6.3. Пpотокоë Kerberos + PKINIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Глава 7. МЕХАНИЗМЫ АУТЕНТИФИКАЦИИ ПPИ ОСУЩЕСТВЛЕНИИ ПОДКЛЮЧЕНИЙ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 7.1. Пpотокоë PPP PAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 7.2. Пpотокоë PPP CHAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 7.3. Пpотокоë PPP EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 7.4. Пpотокоë TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 7.5. Пpотокоë RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 7.6. Станäаpт IEEE 802.1x и пpотокоë EAPOL . . . . . . . . . . . . . . . . . . . . . . . . 86 7.7. Пpотокоë EAP-TLS с испоëüзованиеì pоссийской кpиптоãpафии . . . . . . 89 7.8. Станäаpт IEEE 802.1x в опеpаöионных систеìах Microsoft . . . . . . . . . . . . 93 7.9. Cisco NAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Глава 8. АУТЕНТИФИКАЦИЯ В ЗАЩИЩЕННЫХ СОЕДИНЕНИЯХ . . . . . . . 98 8.1. Пpотокоëы SSL, TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 8.2. Пpотокоë SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 8.3. Пpотокоë S-HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .101 8.4. Пpотокоë SOCKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102 8.5. Сеìейство пpотокоëов IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103 8.6. Пpотокоëы защищенноãо взаиìоäействия и аутентификаöии äëя коpпоpативных беспpовоäных ëокаëüных сетей . . . . . . . . . . . . . . . . .116 Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124
Глава 9. ПPИМЕНЕНИЕ АППАPАТНЫХ СPЕДСТВ АУТЕНТИФИКАЦИИ И ХPАНЕНИЯ КЛЮЧЕВОЙ ИНФОPМАЦИИ . . . . . . . . . . . . . . . . . . . . . . . . .125 9.1. Аппаpатные сpеäства защиты в совpеìенных PKI-pеøениях . . . . . . . . . .125 9.2. Необхоäиìостü пpиìенения аппаpатных сpеäств аутентификаöии и хpанения кëþ÷евой инфоpìаöии . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126 9.3. Типовые тpебования к сpеäстваì аутентификаöии и хpанения кëþ÷евой инфоpìаöии. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135 9.4. Особенности коpпоpативноãо испоëüзования пеpсонаëüных сpеäств аутентификаöии и хpанения кëþ÷евой инфоpìаöии . . . . . . . . . . . . . . . .139 9.5. Центpаëизованная систеìа упpавëения сpеäстваìи аутентификаöии и хpанения кëþ÷евой инфоpìаöии поëüзоватеëей . . . . . . . . . . . . . . . . . .142 9.6. Типовые тpебования к систеìе упpавëения токенаìи . . . . . . . . . . . . . . .145 9.7. Token Management System (TMS) коìпании Aladdin. . . . . . . . . . . . . . . . .146 9.8. Пpактика: коìпëексная систеìа на базе еäиноãо пеpсонаëüноãо сpеäства аутентификаöии и хpанения кëþ÷евой инфоpìаöии . . . . . . . . .149 Контpоëüные вопpосы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153 Список использованной литеpатуpы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153 ЧАСТЬ II. ПPАКТИКА . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155 Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156 Глава 1. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДОСТУПА К ДАННЫМ И ПPИЛОЖЕНИЯМ ИНФОPМАЦИОННОЙ СИСТЕМЫ ОPГАНИЗАЦИИ НА ОСНОВЕ PЕКОМЕНДАЦИЙ И ПPОДУКТОВ MICROSOFT. ТИПОВЫЕ PЕШЕНИЯ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157 1.1. Основные сеpвисы äëя обеспе÷ения наäежной аутентификаöии и упpавëения äоступоì . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157 1.2. Автоpизаöия пpи äоступе к объекту . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169 1.3. Систеìа ауäита Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170 1.4. Назна÷ение и pеøаеìые заäа÷и инфpастpуктуpы откpытых кëþ÷ей . . . . .172 1.5. Упpавëение иäентификаöией (ILM). . . . . . . . . . . . . . . . . . . . . . . . . . . . .173 1.6. Microsoft Identity Integration Server (MIIS) . . . . . . . . . . . . . . . . . . . . . . . .173 1.7. Систеìы обеспе÷ения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175 Глава 2. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДОСТУПА К ДАННЫМ И ПPИЛОЖЕНИЯМ ИНФОPМАЦИОННОЙ СИСТЕМЫ ОPГАНИЗАЦИИ НА ОСНОВЕ PЕКОМЕНДАЦИЙ И ПPОДУКТОВ ORACLE И ALADDIN. ТИПОВЫЕ PЕШЕНИЯ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177 2.1. Упpавëение äоступоì в СУБД Oracle с поìощüþ встpоенных ìеханизìов безопасности и кpиптоãpафи÷еских сpеäств защиты. . . . . . . . . . . . . . . . .177
Глава 3. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДОСТУПА К ДАННЫМ И ПPИЛОЖЕНИЯМ ИНФОPМАЦИОННОЙ СИСТЕМЫ ОPГАНИЗАЦИИ НА ОСНОВЕ ПPОДУКТОВ КОМПАНИИ CITRIX SYSTEMS . . . . . . . . . . . . .226 3.1. Описание пpоäуктов коìпании Citrix Systems . . . . . . . . . . . . . . . . . . . . .226 3.2. Коìпоненты систеì, постpоенных с испоëüзованиеì XenApp . . . . . . . . .228 Список использованной литеpатуpы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .244 Источники . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245 ЧАСТЬ III. ЛАБОPАТОPНЫЕ PАБОТЫ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247 Лабоpатоpная pабота № 1. Поäãотовка стенäа, установка и настpойка ПО, поäãотовка эëектpонных кëþ÷ей eToken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248 Лабоpатоpная pабота № 2. Установка и настpойка Центpа сеpтификаöии, испоëüзование кëþ÷ей eToken в äоìене Windows Server 2003 . . . . . . . . . . . . . . .282 Лабоpатоpная pабота № 3. Испоëüзование eToken äëя безопасноãо äоступа к инфоpìаöионныì pесуpсаì, äëя øифpования и äëя ЭЦП . . . . . . . . . . . . . . . .326 Лабоpатоpная pабота № 4. Сопpовожäение функöиониpования Центpа сеpтификаöии, повыøение защищенности систеì на основе Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .399 Лабоpатоpная pабота № 5. Доступ в СУБД Oracle с аутентификаöией по иìени поëüзоватеëя и паpоëþ в LDAP-катаëоãе. . . . . . . . . . . . . . . . . . . . . . .428 Лабоpатоpная pабота № 6. Доступ в СУБД Oracle с аутентификаöией на основе сеpтификатов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .458 Лабоpатоpная pабота № 7. Pежиìы pаботы пpотокоëа IPSec на ìоäуëе NME-RVPN пpи испоëüзовании пpоãpаììноãо обеспе÷ения CSP VPN Gate äëя аутентификаöии и защиты äанных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .491 Лабоpатоpная pабота № 8. Настpойка Web Interface 4.x äëя испоëüзования сìаpт-каpт . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .509 Лабоpатоpная pабота № 9. Настpойка Secure Gateway äëя безопасноãо поäкëþ÷ения к опубëикованныì пpиëоженияì из неäовеpенных сpеä пеpеäа÷и äанных. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .530
ПPЕДИСЛОВИЕ Суäüба äанноãо у÷ебноãо пособия весüìа необы÷на. На паpтнеpской конфеpенöии по инфоpìаöионной безопасности коìпании Aladdin у нас появиëасü иäея созäатü книãу по теоpети÷ескиì и пpакти÷ескиì вопpосаì аутентификаöии. Эту книãу ìожно быëо бы испоëüзоватü не тоëüко пpи обу÷ении стуäентов и аспиpантов ВУЗов и СУЗов по у÷ебныì äисöипëинаì «Безопасностü баз äанных», «Пpоãpаììно-аппаpатные сpеäства обеспе÷ения инфоpìаöионной безопасности», «Безопасностü опеpаöионных систеì», «Коìпüþтеpная безопасностü» и т. ä., но и в пpакти÷еской äеятеëüности ИТ-спеöиаëистов, систеìных аäìинистpатоpов, аäìинистpатоpов безопасности pазëи÷ных сетей и систеì. Лþбая поисковая систеìа в Интеpнет по запpосу «аутентификаöия» пpеäоставëяет боëее 1 ìиëëиона ссыëок на pазëи÷ные инфоpìаöионные pесуpсы. Этот о÷евиäный факт поäтвеpжäает øиpокое pаспpостpанение и испоëüзование ìеханизìов аутентификаöии в пpактике обеспе÷ения безопасности сетей, систеì, pазëи÷ных пpиëожений. Оöенив интеpес и востpебованностü äанной техноëоãии, ìы pеøиëи взятüся за äеëо. Всþ сëожностü вопëощения наøей иäеи ìы поняëи нескоëüко позже, коãäа взяëисü за ее pеаëизаöиþ. Пеpвая тpуäностü состояëа, ãëавныì обpазоì, в тоì, ÷тобы объеäинитü усиëия спеöиаëистов заpубежных и pоссийских коìпаний, пpизнанных ëиäеpов на pынке инфоpìаöионных техноëоãий, таких, как коìпании Microsoft, Aladdin, Cisco Systems, Citrix, Oracle, Кpипто-Пpо. Пpи этоì, поìиìо необхоäиìых теоpети÷еских свеäений, ìы собиpаëисü пpеäëожитü ÷итатеëþ pазëи÷ные pеøения, техноëоãии и пpоäукты äëя pеаëизаöии заäа÷ по обеспе÷ениþ безопасности äоступа к äанныì и пpиëоженияì инфоpìаöионной систеìы оpãанизаöии, защищенных соеäинений. Pе÷ü иäет как о пpеäставëении типовых pеøений, так и о возìожной кастоìизаöии пpоäуктов поä конкpетные систеìы. Дpуãая сëожностü состояëа в тоì, ÷тобы систеìатизиpоватü, поpой весüìа пpотивоpе÷ивые свеäения, стиëи изëожения, поäхоäы к pеаëизаöии pеøений в pазëи÷ных коìпаниях, и пpеäставитü ìетоäи÷ески вывеpенные теоpети÷еские и пpакти÷еские ìатеpиаëы, в тоì ÷исëе и в виäе ãотовых ëабоpатоpных pабот äëя испоëüзования их в у÷ебноì пpоöессе. Тpетüя сëожностü состояëа в тоì, ÷тобы пpеоäоëев пpепоны конкуpентноãо пpотивостояния коìпаний, созäатü поëезнуþ и, на наø взãëяä, весüìа своевpеìеннуþ и актуаëüнуþ книãу без pекëаìы конкpетных коìпаний. И наконеö, ëþбая pабота, котоpая äеëается на общественных на÷аëах, за÷астуþ стpаäает неäостаткоì вpеìени иëи возìожности äовести иäеþ созäания у÷ебноãо пособия äо ëоãи÷ескоãо завеpøения. Это обстоятеëüство явиëосü пpи÷иной отсутствия ìатеpиаëов в äанной книãе еще нескоëüких веäущих коìпаний — венäоpов (IBM, Check Point Software Technologies, Сиãнаë-Коì, SUN и т. ä.). Наäееìся, ÷то эти ìатеpиаëы войäут во втоpое изäание äанноãо у÷ебноãо пособия. Потpебоваëся весüìа пpоäоëжитеëüный пеpиоä вpеìени äëя pеøения оpãанизаöионных ìеpопpиятий, экспеpтизы и апpобаöии ìатеpиаëов в у÷ебных завеäениях Pоссии, пpи пpовеäении тpенинãов ИТ-спеöиаëистов, сотpуäников сëужб инфоpìаöионной безопасности, стуäентов пpофиëüных ВУЗов и т. п. К с÷астüþ, наì уäаëосü пpеоäоëетü все эти тpуäности, и ìы наäееìся, ÷то книãа окажется поëезной как в у÷ебноì пpоöессе, так и в пpакти÷еской pаботе. У÷ебное пособие состоит из теоpети÷еской и пpакти÷еской ÷астей. Пpакти÷еская ÷астü соäеpжит 9 ëабоpатоpных pабот по типовыì pеøенияì с испоëüзованиеì пpоäуктов pазëи÷ных коìпаний. Описание ëабоpатоpных pабот ìожно найти по аäpесу в Интеpнет: http://www.aladdin.ru/book/ Соãëасно заìысëу автоpов, книãа, котоpуþ Вы äеpжите в pуках, пpизвана откpытü пеpеä ÷итатеëеì сутü и возìожности техноëоãии аутентификаöии, как базовоãо эëеìента ëþбой систеìы инфоpìаöионной безопасности совpеìенных коìпаний.
Спеöиаëистаì, уже знакоìыì с äанныìи техноëоãияìи, книãа поìожет систеìатизиpоватü и pасøиpитü свои знания в ÷асти пpикëаäноãо пpиìенения сpеäств аутентификаöии и интеãpаöии их с äpуãиìи пpоäуктаìи и pеøенияìи äëя защиты инфоpìаöии. Pазвиватü pынок аутентификаöии, способствоватü повыøениþ уpовня и ка÷ества пpоектов в обëасти ИТ-безопасности, а, ãëавное, соäействоватü фоpìиpованиþ ÷еткоãо пониìания öенности инфоpìаöии в совpеìенноì ìиpе — основная öеëü äанной книãи. Мы искpенне бëаãоäаpиì всех, кто поääеpживаë и пpоäоëжает поääеpживатü этот пpоект, поìоãает в еãо пpоäвижении, а также pаспpостpанении книãи. Особуþ бëаãоäаpностü выpажаеì Феäеpаëüной сëужбе безопасности Pоссии (ФСБ Pоссии), Феäеpаëüной сëужбе по техни÷ескоìу и экспоpтноìу контpоëþ Pоссии (ФСТЭК Pоссии), Совету Безопасности Российской Феäераöии и У÷ебно-ìетоäи÷ескоìу объеäинениþ по образованиþ в обëасти инфорìаöионной безопасности за пpоявëенный интеpес, поëезные заìе÷ания и констpуктивнуþ кpитику. Отäеëüно хо÷ется отìетитü вкëаä в pаботу пpи поäãотовке pукописи äанной книãи безвpеìенно уøеäøеãо из жизни pуковоäитеëя анаëити÷ескоãо отäеëа коìпании Aladdin, канäиäата физико-ìатеìати÷еских наук Нахаева Ю.С. Мы не пëаниpуеì останавëиватüся на äостиãнутоì pезуëüтате и pассìатpиваеì иäеþ выпуска втоpоãо pасøиpенноãо изäания äанной книãи. Пpиãëаøаеì к сотpуäни÷еству всех заинтеpесованных спеöиаëистов, коìпании, ВУЗы. Заìе÷ания, пpеäëожения и пожеëания пpосüба напpавëятü по аäpесу: 634050, Тоìск, пp-т Ленина, ä.40 Институт систеìной интеãpаöии и безопасности ТУСУP, Шеëупанову А. А. saa@udcs.ru теë. 8 (3822) 413 426 129226 Москва, уë. Докукина, ä. 16 коpп. 1 ЗАО «Аëаääин P.Д.», ãенеpаëüноìу äиpектоpу Гpузäеву С. Л. pr@aladdin.ru теë. 8 (495) 223 0001 С уважениеì, А. А. ШЕЛУПАНОВ, Диpектоp Института систеìной интеãpаöии и безопасности ТУСУP, äоктоp техни÷еских наук, пpофессоp С. Л. ГPУЗДЕВ, Генеpаëüный äиpектоp коìпании Aladdin
ЧАСТЬ I ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
Глава 1 ОБЩИЕ СВЕДЕНИЯ ОБ АУТЕНТИФИКАЦИИ 1.1. Основные понятия и определения Проöесс реãистраöии поëüзоватеëя в ëþбой систеìе состоит из трех взаиìосвязанных посëеäоватеëüно выпоëняеìых проöеäур: иäентификаöии, аутентификаöии и авторизаöии. Идентификация — проöеäура распознавания субъекта по еãо иäентификатору. В проöессе реãистраöии субъект преäъявëяет свой иäентификатор систеìе, которая проверяет еãо наëи÷ие в своей базе äанных. Субъекты с известныìи систеìе иäентификатораìи с÷итаþтся ëеãаëüныìи (законныìи), остаëüные относятся к неëеãаëüныì. Аутентификация — проöеäура проверки поäëинности субъекта, которая позвоëяет äостоверно убеäитüся в тоì, ÷то субъект, преäъявивøий свой иäентификатор, на саìоì äеëе явëяется иìенно теì субъектоì, иäентификатор котороãо он испоëüзует. Дëя этоãо он äоëжен поäтверäитü факт обëаäания некоторой инфорìаöией, которая ìожет бытü äоступна тоëüко еìу оäноìу (пароëü, кëþ÷ и т. п.). Авторизация — проöеäура преäоставëения субъекту опреäеëенных прав äоступа к ресурсаì систеìы посëе прохожäения иì проöеäуры аутентификаöии. Дëя кажäоãо субъекта в систеìе опреäеëяется набор прав, которые он ìожет испоëüзоватü при обращении к ее ресурсаì. Дëя тоãо ÷тобы обеспе÷итü управëение и контроëü наä äанныìи проöеäураìи, äопоëнитеëüно испоëüзуþтся проöессы аäìинистрирования и ауäита. Администрирование — проöесс управëения äоступоì субъектов к ресурсаì систеìы. Данный проöесс вкëþ÷ает: созäание иäентификатора субъекта (у÷етной записи поëüзоватеëя) в систеìе; управëение äанныìи субъекта, испоëüзуеìыìи äëя еãо аутентификаöии (сìена пароëя, изäание сертификата и т. п.); управëение праваìи äоступа субъекта к ресурсаì систеìы. Аудит — проöесс контроëя (ìониторинãа) äоступа субъектов к ресурсаì систеìы, вкëþ÷аþщий протокоëирование äействий субъектов при их äоступе к ресурсаì систеìы в öеëях обнаружения несанкöионированных äействий. Такиì образоì, в общеì сëу÷ае ре÷ü иäет о пяти основных проöеäурах преäоставëения äоступа к инфорìаöии. При этоì возìожен разëи÷ный поäхоä к расстановке приоритетов при выпоëнении этих проöеäур. 1.2. Роль и задачи аутентификации. Место аутентификации в структуре основных направлений защиты информации Независиìо от типа систеìы аутентификаöии в ней всеãäа присутствуþт пятü эëеìентов. Первый эëеìент — конкретный ÷еëовек иëи проöесс, который äоëжен прохоäитü аутентификаöиþ, — субъект доступа. Второй эëеìент — опознаватеëüный знак, идентификатор, который выäеëяет этоãо ÷еëовека иëи этот проöесс среäи äруãих. Третий эëеìент — отличительная характеристика (аутентификатор), поäтвержäаþщая принаäëежностü иäентификатора субъекту äоступа.