На сегодняшний день методы идентификации, построенные на имущественных характеристиках пользователей, а также использующие принцип владения пользователем определенной информацией, признаны недостаточно надежными при защите критически важной либо конфиденциальной информации.
Существует множество эффективных и достаточно простых способов обхода подобных систем. Наиболее опасными являются атаки типа «человек посередине». Они заключаются в том, что между пользователем и сервером находится человек, который перехватывает информацию с обеих сторон и в конечном итоге у не в руках оказываются все необходимые данные для успешной авторизации. Кроме того, для получения идентификационной информации используются методы социальной инженерии. Один из самых распространенных способов - создание поддельного сайта, имитирующего конечный портал, производящий распознавание пользователей по введенным данным. Все еще популярен метод подбора пароля, необходимого для входа в систему: он основан на том, что многие люди используют простые слова и фразы в качестве ключей.
Исходя из вышеназванных уязвимостей традиционных систем безопасности, разработчики все чаще обращают внимание на технологии идентификации и авторизации на основе биометрических данных. Они призваны существенно повысить уровень безопасности в информационных системах. Под биометрическими данными понимаются относительно стабильные физические характеристики личности: отпечатки пальцев, рисунок радужной оболочки глаза, форма лица, голос.
В процессе разработки надежных и безопасных средств биометрии возникает множество проблем и требуется их эффективное решение для того, чтобы можно было в полной мере воспользоваться преимуществами биоэлектронных методов идентификации. Первый и наиболее важный критерий — надежность распознавания. При низком качестве распознавания система защиты может отказать в доступе легитимному пользователю тех или иных ресурсов. Среди всего многообразия средств биометрии наиболее надежной является идентификация по сетчатке глаза и по отпечатку пальцев, что подтверждено многочисленными тестированиями.
Распознавание отпечатков пальцев—одна из простейших, надежных и давно используемых технологий, поэтому большинство существующих и разрабатываемых биометрических систем идентификации построено именно на ее основе. При рассмотрении вопросов безопасности биометрических идентификаторов необходимо учитывать все компоненты системы в комплексе. Использование технологий биометрии для идентификации и авторизации может быть полезным лишь в том случае, если стандартные средства являются слабейшим звеном в защите данных. «Сама по себе биометрия безопасность не повышает», — подчеркивает Барт Калиски, ведущий специалист лаборатории RSA Security. Например, идентификация по сетчатке глаза может быть совершенно бессмысленна, если обработкой информации, поступающей со сканера, занимается плохо защищенная операционная система. С другой стороны, применение биометрии в Web-решениях потенциально более безопасно, нежели в других областях информационной защиты. Очень важным критерием развития биометрии в мире в целом и в конкретной стране в частности является стандартизация этой области. Причем эта процедура предполагает разработку нескольких стандартов различных направлений, как для отдельных сфер, так и для всей биометрии в целом. Наиболее распространенными являются следующие стандарты:Х9.84, ANSI/MIST ITL 2000, XCBF. Они определяют единый протокол предоставления биометрических данных, алгоритмы, необходимые для работы с такой информацией, возможности взаимодействия с другими системами (чаще всего речь идет о криптографических системах) и технологиями идентификации. Кроме того, задаются правила использования в различных областях идентификации, таких как ЭЦП, электронные платежи, идентификация на Web-решениях. Разработкой стандартов по биометрии занимаются государственные структуры, международные организации по стандартизации и сертификации, независимые производители и консорциумы.
Биометрические технологии в скором будущем будут играть важную роль в вопросах персональной идентификации. Применяемая отдельно или используемая совместно со смарт-картами, ключами и подписями биометрия в ближайшем время найдет широкое распространение во всех сферах человеческой деятельности. Уже сегодня на рынке предлагается ряд решений, позволяющих организовать распознавание личности для тех или иных целей.
Централизованное управление безопасностью предприятия
Современная организация с хорошо отлаженной ИТ-инфраструктурой использует в своей сети множество аппаратных и программных средств обработки и защиты данных, каждое из которых может управляться несколькими людьми и чаще всего имеет отдельную консоль управления. В связи с этим появляется проблема централизации управления всеми подсистемами ИТ-инфраструктуры—от антивируса до систем обнаружения атак. Системы, автоматизирующие процессы управления информационной безопасностью,—это очень перспективное направление ИБ, работы в котором ведутся последние годы. Идеология решения заключается в том, что управление безопасностью нанизывается на каркас бизнес-процессов компании. Система, обладая знаниями об информационной системе организации, не только транслирует эту информацию с языка одного подразделения на язык другого, но и раздает поручения на выполнение конкретных операций. Вездесущие агенты системы контролируют своевременность и правильность выполнения этих поручений. На сегодняшний день очевидно, что малый и средний бизнес в России с увеличением уровня проникновения ИТ все больше нуждается в средствах обеспечения информационной безопасности, однако в отличие от органов государственной власти и крупного бизнеса не может позволить себе полнофункциональные решения и сервисы и вынужден пользоваться «коробочными» решениями, которые удовлетворяют лишь часть их требований. Несмотря на это, уже сегодня значительная число вендоров смотрит в сторону SMB, предлагая недорогие комплексные решения. Таким образом, при наличии платежеспособного спроса со стороны этого сегмента бизнеса, необходимые решения обязательно появятся.
Список литературы
IT спец № 07 ИЮЛЬ 2007