Тень ключника, или Интеграция физических и информационных средств защиты

Тень ключника, или Интеграция физических и информационных средств защиты

Дмитрий Слободенюк, коммерческий директор ГК "Антивирусный центр"

ПРАКТИЧЕСКИ каждый из нас сталкивался с проблемой огромных тяжеловесных и гремящих связок ключей: от дома, подъезда, офиса, гаража, машины, дачи. Причем не просто по одному маленькому ключику, а по два-три сложных, хитрых, больших ключа -для пущей сохранности. Со временем мы начинаем все больше напоминать тень ключника из готической драмы -маленькую темную фигурку с огромной, раза в три больше ее, связкой ключей. Но, опасаясь в нужный момент оказаться у закрытой двери, а еще хуже - разграбленной квартиры, мы к тому же таскаем за собой эти ключи, оттягивающие плечи, занимающие все больше места в наших сумках. И лишь немногие задумываются о таком ключе, который открывал бы сразу несколько дверей.

То же самое происходит и с электронными ключами, на первичном уровне представляющими собой логины и пароли для доступа к рабочему компьютеру, информационной системе, базе данных. Со временем их становится все больше и больше, мы начинаем забывать их, путать либо использывать элементарные, вроде "от единицы до нуля", которые тут же нивелируют все попытки защитить данные, так как доступны и известны всем. Здесь тоже нужен универсальный электронный ключ, который подошел бы ко всем доступным "дверям".

Система контроля физического доступа

Во многих организациях сейчас внедрена система контроля физического доступа, представляющая собой турникеты, стоящие на входе в здание, проход через которые возможен только по карточкам. Это означает, что каждому сотруднику выдан кусочек белого пластика, на который могут быть нанесены параметры организации ФИО и даже фотография этого сотрудника. Внутри карточки находится бесконтактное устройство, состоящее из чипа и антенны - так называемая RFID-метка. При первичной регистрации информация с карты регистрируется в базе данных организации, устанавливается соответствие между параметрами карты и ее пользователем.

Неотъемлемым элементом системы являются считыватели информации с пластиковых карт, которые располагаются во всех ключевых точках организации. В каждом случае система позволяет определить, как необходимо реагировать на предъявленную карту. Таким образом, можно точно разграничить доступ определенных лиц в различные помещения организации в зависимости от дополнительных условий. Например, таким условием может быть время суток и день недели.

При наличии соответствующего программного обеспечения может быть учтено время нахождения сотрудника в том или ином помещении, реализованы не только отказ в доступе в определенные зоны, но и регистрация самого факта попытки проникновения. При наличии охранника, его функции могут дополняться. Так, при считывании информации с карты на экране монитора может появляться требуемая дополнительная информация и фотография сотрудника, которую охранник может при необходимости сверить с тем, кто проходит по этой карте.

Доступ к корпоративной информации

Аналогичным образом можно организовать доступ сотрудников к корпоративной информации. Данная процедура состоит из трех частей: аутентификация, авторизация, администрирование.

Если авторизация и администрирование успешно реализуются применением соответствующих настроек операционной системы, то процесс аутентификации необходимо реализовать на должном уровне. Ведь именно аутентификация является краеугольным камнем при организации доступа к корпоративной конфиденциальной информации.

Использование логина и пароля для аутентификации весьма ненадежно. Предпочтительными являются устройства, реализующие процесс строгой двухфакторной аутентификации, когда пользователю необходимо иметь при себе определенное устройство и знать код доступа к нему.

В основе подобных устройств заложены принципы инфраструктуры открытых и закрытых ключей. При использовании системы сертификатов важно обеспечение надежного хранения этих сертификатов. В инфраструктуре же открытых ключей предусматривается создание пары ключей: открытого и закрытого. Открытый ключ может рассылаться всем, а закрытый ключ должен храниться только у владельца, причем желательно, чтобы даже он не знал его истинных параметров. Таким требованиям удовлетворяет режим "только на запись", реализуемый с помощью аппаратных устройств. Информация, записанная в аппаратном режиме, никогда не покидает место своего пребывания и не может быть прочитана.

Но для тех, кто хочет сделать количество "ключей" как для физического, так и для информационного доступа минимальным, возможно совмещение устройств аутентификации с описанными выше RFID-метка-ми, по которым может быть организован доступ в помещения. При этом форм-фактор таких совмещенных устройств также может быть различным. По сравнению с USB-ключом карта является более объемным устройством, в котором можно разместить RFID-метки с антенной большего размера. Это позволит обеспечить надежное считывание информации на большем расстоянии от приемника, да и на самой карте могут быть расположены уже упоминавшиеся дополнительные информационные образы. Однако толщина такой карты будет ограничена, чтобы ее можно было использовать со стандартными ридерами для аутентификации.

Использование формата USB позволяет сэкономить на применении ридеров на рабочих местах, обеспечить за счет высокого качества разъемов дополнительную устойчивость работы системы в целом. Но дефицит места приводит к дополнительным требованиям при использовании комбинированного устройства при проходе в помещения, а также к необходимости учета технологических особенностей, позволяющих применять только ограниченное количество типов RFID-меток.

В каждом отдельном случае использование устройства той или иной формы будет более предпочтительным. Каждый выбирает для себя и под себя. Тем не менее идея "волшебного" ключа, открывающего абсолютно разные двери, раньше существовавшая лишь в области фантастики, теперь становится реальностью, да и не какой-нибудь далекой реальностью, а чем-то совершенно обычным, частью повседневной жизни.

Комментарий эксперта

Владислав Ершов, ведущий инженер-аналитик отдела ИБ компании "Открытые Технологии"

Наличие "единственного ключа" имеет очевидные плюсы, но при этом требует детальной проработки достаточно сложных процессов, связанных с управлением в информационных системах и физическим доступом, а также реагированием на инциденты.

Описанные в статье технические решения, касающиеся построения интегрированной системы управления доступом, могут себе позволить достаточно крупные компании. Но в таких компаниях, как показывает опыт, при выстраивании процессов часто могут возникать сложности во взаимодействии различных подразделений: управление учетными записями возложено на подразделение ИТ, контролем физического доступа может заниматься сторонняя организация и т.п. В процессы реагирования на инциденты также могут вовлекаться представители нескольких подразделений (ИТ, ИБ и т.п.).

Таким образом, при создании интегрированной системы управления доступом в первую очередь следует разработать соответствующие регламенты, определяющие требования к аспектам, связанным с управлением доступом, и внедрить процессы, эффективность которых напрямую зависит от зрелости системы менеджмента ИБ в организации.