Охрана Калуга. Чоп Калуга. Звоните 89109168532

 
     Карта сайта  :: Монтаж систем безопасности  :: Тех. документация :: Контакты :: Вопросы ::  Статьи
Устройства защиты информациии в Калуге предлагает  ассоциация охранных предприятий " Георгий победоносец" 8(4842)78-80-95  
 

Видеонаблюдение в Калуге. Контроль доступа в Калуге. Охрана Калуга.

 
Охрана объектов

Пультовая охрана

Сопровождение грузов

Инкассация

Системы видеонаблюдения

Контроль доступа

Охрана периметра

Досмотровое и антитеррор-оборудование

Все для защиты информации

Прокладка локальных сетей

Детективное агентство

Заказать монтаж оборудования

Наши услуги

Прайс-лист
 
 


  Rambler's Top100  
  На доработке!!!  
  На доработке!!!  
   

           

Защита информации в Калуге.

Аутентификация пользователей

Несмотря на сложность и труднопроизносимость терминов «идентификация» и «аутентификация», каждый пользователь современных информационных систем сталкивается с процедурами, скрывающимися за этими терминами, неоднократно в течение рабочего дня.

Не углубляясь в технические подробности, можно сказать, что эти процедуры выполняются каждый раз, когда пользователь вводит логин и пароль для доступа к компьютеру, в сеть или при запуске прикладной программы. В результате их выполнения он получает либо доступ к ресурсу, либо вежливый отказ в доступе.

Как правило, информационная инфраструктура современных предприятий гетерогенна. Это означает, что в одной сети совместно существуют сервера под управлением разных операционных систем и большое количество прикладных программ. В зависимости от рода деятельности предприятия, это могут быть приложения электронной почты и групповой работы (GroupWare), CRM- и ERP-системы, системы электронного документооборота, финансового и бухгалтерского учета, и т.д.

Количество паролей, которые необходимо помнить обычному пользователю, может достигать 5–6. Пользователи пишут пароли на бумажках и приклеивают на видных местах, сводя тем самым на нет все усилия по защите информации, либо постоянно путают и забывают пароли, вызывая повышенную нагрузку на службу поддержки.

Если к этому добавить, что каждый пароль должен состоять не менее чем из 6–8 произвольных букв, цифр и спецсимволов, и его необходимо периодически менять, то осознать серьезность проблемы не составит труда.

Оптимальное решение проблемы – специальное программное обеспечение, позволяющее хранить пароли в защищенной памяти электронных идентификаторов и в нужный момент извлекать их и предоставлять соответствующим системным или прикладным компонентам.

В качестве электронных идентификаторов могут использоваться USB-брелки или смарт-карты, что позволяет контролировать их обращение и организовать строгий учет, в отличие от паролей, для которых это невозможно в принципе. Ниже мы рассмотрим ряд проблем, которые могут возникнуть при организации доступа к информационным ресурсам, и как в связи с этим должны быть организованы идентификация и аутентификация пользователей.

Как правило, в современных предприятиях информационная инфраструктура гетерогенна. Это означает, что в одной сети совместно существуют сервера под управлением разных операционных систем, например, Microsoft Windows, Novell NetWare, Linux и т.д., и большое количество прикладных программ.В зависимости от рода деятельности предприятия, это могут быть приложения электронной почты и групповой работы (GroupWare), CRM- и ERP-системы, системы электронного документооборота, бухгалтерская программа, корпоративный web-портал и т.д.

Если ИТ-департамент не предпринимает специальных усилий, то количество паролей, которые необходимо помнить обычному пользователю, может достигать 5–6. Это приводит либо к тому, что пользователи пишут пароли на бумажках и приклеивают на видных местах, что сводит на нет все усилия по защите информации, либо к постоянной путанице и забываниям паролей, что вызывает повышенную нагрузку и регулярную головную боль службы поддержки.

Если к этому добавить, что каждый пароль должен состоять не менее чем из 6–8 произвольных букв, цифр и спецсимволов, и каждый пароль необходимо периодически менять, то представить серьезность проблемы не составит труда.
Аутентификация для доступа в сеть

При рассмотрении вопросов аутентификации для доступа в сеть будем предполагать, что клиентские рабочие станции функционируют под управлением операционной системы Windows 2000 или Windows XP. Понятно, что еще встречаются рудименты типа Windows 95/98, однако прогресс неумолим и переход на современные операционные системы – вопрос времени.

В рассматриваемых операционных системах за аутентификацию отвечает специальный модуль операционной системы, который называется GINA DLL. GINA означает Graphic Identification and Authentication – графическая DLL для идентификации и аутентификации.

Данный модуль вызывается из процесса Winlogon и отвечает за реагирование на комбинацию Ctrl-Alt-Del, получение от пользователя его идентификатора (в классическом варианте – имя пользователя и пароль), передачу его процессу Winlogon для аутентификации, блокировку рабочей станции, переключение пользователей в Windows XP и другие задачи подобного рода.

Интерфейс GINA DLL документирован, и любой желающий может реализовать свой вариант этого модуля в соответствии с собственными потребностями.

В дистрибутив Windows входит GINA DLL, реализованная Microsoft, – так называемая MSGINA, которая осуществляет аутентификацию с использованием пароля.
Парольная аутентификация

Самый распространенный, можно сказать, классический способ аутентификации при доступе к сетевым ресурсам – пароль. Если аутентификация осуществляется в домен на базе Microsoft Active Directory, то процедура выглядит до смешного просто – пользователь вводит свое имя и пароль, которые проверяются контроллером домена. Если пароль правильный – пользователь получает доступ к ресурсам домена, если нет – выдается сообщение об ошибке.

Надо сказать, что, начиная с Windows 2000, MSGINA также реализует возможность аутентификации с использованием цифровых сертификатов X.509.

Теперь немного усложним ситуацию, допустим, что в сети есть еще сервер под управлением Novell NetWare. Компания Novell продвигает свой вариант службы каталогов – NDS (Novell Directory Services) или, как она стала называться позднее, Novell eDirectory, в котором пользователь также должен пройти аутентификацию.

В связи с тем, что Novell и Microsoft – конкуренты на рынке серверных операционных систем, их службы каталогов функционируют совершенно независимо и не хотят ничего знать друг о друге. Это означает, что для каждого пользователя должна существовать учетная запись как в Active Directory, так и в eDirectory, причем каждая со своим паролем.

Как правило, если в сети присутствуют сервера под управлением NetWare, на клиентские рабочие станции ставится программное обеспечение Novell Client. В принципе, это не обязательно, поскольку c клиентских рабочих станций Windows "умеет" осуществлять аутентификацию пользователей в каталоге Novell, однако без Novell Client недоступен ряд возможностей, ради которых обычно и используют Novell.

Novell Client устанавливает свой вариант модуля GINA DLL, NWGINA, который может запрашивать у пользователя два пароля – один для аутентификации в своем каталоге, второй для аутентификации в каталоге Windows. Также в NWGINA присутствует функциональность синхронизации паролей в каталогах Windows и Novell: в этом случае можно обходиться одним паролем.

Однако все варианты предусмотреть невозможно, и возможны ситуации рассинхронизации паролей. В таких ситуациях для восстановления статус-кво необходимо участие пользователя, а в некоторых случаях и администратора.

Также из недостатков парольной аутентификации следует отметить невысокий уровень безопасности – пароль можно подсмотреть, угадать, подобрать, сообщить посторонним лицам и т.д.

Очевидные достоинства парольной аутентификации – отсутствие дополнительных расходов, поскольку парольная аутентификация является составной частью всех современных операционных систем.
Система Zlogin - аутентификация с использованием электронных ключей

Данный метод аутентификации предполагает использование электронных ключей для хранения учетных записей пользователей.

В этом варианте используется обычный метод аутентификации с использованием паролей, однако пароли хранятся не в голове пользователя, а в памяти электронного ключа или смарт-карты, и вводятся не вручную с клавиатуры, а считываются из электронного ключа при его подсоединении к компьютеру.

Для реализации такого метода аутентификации на клиентские компьютеры устанавливается специальная GINA DLL, которая реагирует на подсоединение электронного ключа, запрашивает PIN-код, считывает из памяти ключа профиль для входа в сеть, т.е. имя пользователя, пароль, имя домена или дерева eDirectory и осуществляет вход в сеть с использованием прочитанных данных.

Процесс выдачи ключа пользователю довольно прост: администратор должен создать профиль доступа и записать его в память ключа. Для этого администратор выбирает учетные записи пользователя в службах каталога Windows и NetWare, для них генерируются новые пароли, записываются в ключ и меняются в соответствующих службах каталога.

Пароль при этом генерируется автоматически и сразу записывается в память ключа, пользователь его даже не знает. Это дает возможность генерации «сильных» паролей, представляющих собой произвольную комбинацию букв, цифр и спецсимволов.

Кроме этого, существует возможность автоматической смены паролей с любой периодичностью, например при каждом входе в сеть. Этот процесс также происходит без участия пользователя.

В одном профиле может храниться информация об одной учетной записи в Windows и одной – в NetWare. В ключе может быть несколько профилей, в этом случае GINA DLL при подсоединении ключа отобразит список профилей и предложит пользователю выбрать один из них. Это удобно, если пользователь может осуществлять вход в сеть под разными учетными записями с разными правами.

Такой метод аутентификации не поддерживается стандартными средствами операционных систем. Тем не менее, некоторые производители электронных ключей поставляют в комплекте SDK подсистему аутентификации, реализующую описанный функционал, однако, как правило, такие реализации однобоки и носят в большей степени ознакомительный характер.

Единственный вариант – воспользоваться специально разработанной системой аутентификации с использованием электронных ключей, такой как Zlogin.

Основное преимущество системы Zlogin заключается в минимальной перестройке ИТ-инфраструктуры организации, минимальные затраты на администрирование, одновременной аутентификации в службах каталога Windows и NetWare, повышенной безопасность сети за счет использования "сильных" паролей и хранения их в защищенной памяти электронных ключей.

Кроме этого, существенно снижается "человеческий фактор", поскольку пользователь просто не знает пароля, поэтому не может его никому передать или записать на бумажке.

 

 

Zlogin — аутентификация

подробнее...

Проектирование и монтаж " под ключ" систем видеонаблюдения, видеодомофонов, охранной сигнализации, систем контроля доступа и локальных сетей в Калуге.

 

Установка систем видеонаблюдения в Калугеустановка охранной сигнализации Стрелец  в Калуге 8 9109168532

Подробнее...