Размещено на http://www.allbest.ru/

Московский финансово-юридический университет

Кафедра Информационных технологий

Курсовая работа

по дисциплине Администрирование и безопасность компьютерных систем

на тему: Методы аутентификации для организации защиты информационной системы

Студента Земцовой Ольги Николаевны

Научный руководитель:

преподаватель МФЮА,

Бычков Игорь Николаевич

Дата сдачи: 30 июня 2017 г.

Москва 2017г.



Московский финансово-юридический университет МФЮА

Кафедра Защиты информации

Дисциплина Администрирование и безопасность компьютерных систем

ЗАДАНИЕ НА КУРСОВУЮ РАБОТУ

Студенту Земцовой Ольге Николаевне

Научный руководитель преподаватель МФЮА, Бычков Игорь Николаевич

Тема: Методы аутентификации для организации защиты информационной системы

Целевая установка: Определить современные средства и способы аутентификации работников предприятия малых размеров (10 - 15 человек), работающих в сфере консалтинга предприятий туристического бизнеса.

Основные вопросы, подлежащие разработке:

1. Исследовать область специфику работы консалтингового предприятия в сфере туризма (Производственные бизнес-процессы).

2. Выделить информационные объекты, подлежащие защите от несанкционированного доступа и степень их важности.

3. Определить должностных лиц (профессиональную направленность пользователей компьютерной системы), допущенных к защищаемым сведениям на предприятии.

4. Осуществить анализ современных средств и способов аутентификации.

5. Осуществить подбор подходящей программной среды и способа аутентификации пользователей в зависимости от степени важности объектов информатизации, к которым они должны иметь права доступа.



Оглавление

• Введение
• 1. Организационные моменты информационной безопасности ТФ
• 2. Автоматизация документооборота фирмы
• 3. Оценка существования угроз ИБ ТФ
• 4. Обзор и подбор метода аутентификации для сотрудника
• 4.1 Методы и средства идентификации и аутентификации
• 5. Развертывание удаленного доступа на предприятии
• Заключение
• Литература

Введение

Наше время - это время постоянно растущего объёма информации и непрерывно нарастающего уровня информатизации во всех сферах деятельности человека. Человек буквально отражается в информационном пространстве, оставляя там информацию о себе по средствам своей интеллектуальной, профессиональной, бытовой деятельности.

Никто уже не удивляется тому, что при открытии браузера мы сразу натыкаемся на рекламу тех продуктов, товаров и услуг, которыми мы ранее интересовались и делали запросы в поисковых системах. Или когда смартфон сообщает о том, сколько времени потребовалось бы затратить на дорогу сейчас домой с учётом пробок, при том, что данную информацию о домашнем адресе никто не сохранял.

Всё это результат того, что данные попадающие в информационную среду записываются, хранятся и анализируются, причём без нашего ведома.

Абсолютно естественно то, что общество, во всех своих сферах и проявлениях, осуществляет меры по защите информации. В свою очередь, защита информации выражается в сочетании организационных, правовых и технических мер по предупреждению угроз, а также ликвидации их последствий и анализ инцидентов с последующей коррекцией системы ИБ в слабых её местах, и дальнейшую разработку стратегии защиты. Отличительной чертой современного экономического развития является зависимое положение рынка от внушительного объёма потоков информации, а также каналов её передачи и получения, в том числе используемых технологий её накопления и хранения.

В условиях жёсткой конкурентной борьбы и наличия преступных элементов, желающих заполучить и использовать в своих целях не только информацию, являющуюся коммерческой тайной, но и ПД клиентов и сотрудников компаний задача обеспечения ИБ становится одной из первоочередных.

Вопрос ИБ не обошёл стороной и компании, относящиеся к сфере туризма.

Набирающий обороты рынок предоставления консалтинговых услуг даёт возможность ТФ наладить свои производственные бизнес-процессы.

В своей работе я рассмотрю ситуацию, когда ТФ, ставшая клиентом КК, должна временно принять у себя сотрудника этой КК для выполнения проекта по автоматизации документооборота. В связи с этим, ТФ, как обработчик ПД, должна произвести мероприятия по защите ПД, а также выбрать наиболее подходящий метод аутентификации.

С полной уверенностью могу сказать, что данная тема актуальна как никогда раньше.



1. Организационные моменты информационной безопасности ТФ

С 1 июля 2011года вступил в силу закон №152 от 27 июля 2006г. «О персональных данных». Под действие этого закона подпадают и ТФ, потому как обрабатывают персональные данные клиентов-туристов. Требования закона заключаются в том, чтобы компании, получившие доступ к ПД, обеспечили конфиденциальность.

Если вдруг положение закона будет нарушено, то организация может лишиться лицензии и аккредитации, и испытать на себе судебное преследование со стороны людей, чьи личные записи были скомпрометированы. Неисполнение закона о ПД влечёт за собой гражданскую, уголовную, административную, дисциплинарную ответственность, предусмотренную законодательством РФ.

В целях защиты ПД требуется соответствовать следующим требованиям:

1) Зарегистрировать ТФ как оператора ПД;

2) Выпустить приказ по ТФ, содержащий информацию о том, какие ПД и в каких будут использоваться;

3) Необходимо создать административно-распорядительные документы, определяющие, какие права и обязанности существуют у сотрудников, работающих с ПД:

- приказ со списком сотрудников, допущенных к работе с ПД;

- приказ о назначении сотрудника, который будет нести ответственность за организацию мер по защите ПД;

- создать книгу учёта субъектов ТФ об обработке ПД.

В соответствии с вышеизложенным необходимо ознакомить сотрудника внешней организации с приказами.



2. Автоматизация документооборота фирмы

Электронный документооборот - это своего рода единый механизм, позволяющий работать с документами, которые представлены в электронном виде, соответствующий идее «безбумажного делопроизводства».

Внедрение СЭД призвано автоматизировать следующие, стандартные для бизнеса:

- регистрация;

- автоматическая загрузка;

- согласование, утверждение, визирование;

- поиск, систематизация;

- учёт входящие, исходящие и внутренние документы;

- хранение и коллективный просмотр;

- формирование аналитических отчётов.

Первоочередная цель внедрения СЭД - это создание эффективной среды управления предприятием и его работой.

К преимуществам, имеющим связь с повышением уровня эффективности деятельности предприятия после внедрения СЭД, надо отнести:

- Возможность коллективной работы над документами (что невозможно при бумажном варианте);

- Весомое увеличение скорости поиска и выборки документов;

- Уровень безопасности информации повышается за счет того, что каждому пользователю СЭД назначаются свои полномочия доступа к информации;

- Уровень сохранности документов и удобство их хранения, так как они хранятся в электронном виде на сервере;

- Улучшение контроля за исполнением задач по документам.

Слияние ERP-системы с СЭД предполагает поддержку бизнес-процессов всего предприятия по средствам оперативного управление документами, образами, потоками, корпоративными отчетами. Решение этой задачи крайне важно для современного предприятия, тем более, в случае использования одновременно несколько корпоративных приложений.

Исходя из того, что предметная область, которую автоматизируют средства документооборота, крайне проста. Если смотреть в целом, то любая СЭД - это только хранилище неструктурированных документов. Поэтому все системы без исключения воплощают следующие функции и могут быть охарактеризованы по следующим основным параметрам:

- централизованное хранение документов,

- возможности карточки документа,

- обеспечение безопасности,

- возможность хранения версий,

- поиск по хранилищу документов,

- различные уведомления в ходе процесса обработки документа,

- маршруты и задания пользователям,

- интеграция с электронной почтой,

- возможность архивирования устаревших документов,

- распределенная структура хранилища,

- удобный интерфейс,

- сканирование и распознавание документов,

- техническая поддержка.

Суть централизованного хранения документов - это возможность предоставления актуальной информации любому пользователю системы. При хранении документов в локальных папках на компьютерах пользователей невозможно собрать актуальные данные, поэтому система сохраняет документы в специальной базе данных.

При анализе СЭД стоит поинтересоваться форматом хранения. Устоявшаяся СЭД хранит данные в базе данных, или в специализированном хранилище, обеспечивающих целостность данных. Выбирайте систему, которая использует уже имеющиеся в организации технологии. Их обслуживание будет гораздо проще, в отличие от обслуживания новых.



3. Оценка существования угроз ИБ ТФ

В целом, туристическая отрасль особо чувствительна к угрозам информационной безопасности. И в этом нет ничего удивительного, потому как ТФ обрабатывают самую разнообразную информацию о своих клиентах. Но даже обыденные сведения о клиенте-туристе смогут рассказать о его предпочтениях, наклонностях, чертах характера и здоровье. ИБ ТФ не может существовать без строжайшего следования нормам, призванным защищать ПД. Вдобавок, туризм - это отрасль, наиболее часто использующая онлайн-платежи. А также бронирование номеров в гостиницах, резервирование авиабилетов и других онлайн-сервисов, с оплатой через сеть.

В связи с вышесказанным, одной из наиважнейших задач ТФ становится безопасная обработка данных банковской сферы и реализация всего числа требований PCI DSS - стандарты защиты данных в индустрии платёжных карт.



4. Обзор и подбор метода аутентификации для сотрудника

4.1 Методы и средства идентификации и аутентификации

К сожалению, исследовав множество изданий, я не смогла найти какую-то более-менее понятную классификацию методов АУ. Множество автор предлагают свои виды варианты классификации, опираясь, судя по всему, на свои представления. Мне понравилась классификация, основанная на трёх основных характеристиках, который обладает каждый из них.

1) Степень автоматизации, которая может быть полной или неполной.

2) Приоритет использования, то есть, в каком порядке пользователь использует данным способом аутентификации.

3) Основной метод аутентификации, как понятно из названия - метод, используемый для обычного входа в ИС. Самый распространённый - это, конечно же, вход по паролю, использующийся в большинстве ИС. В меньшей степени распространён способ аппаратных идентификаторов, на которые записываются ключи и пароли пользователя.

4) Популярна в корпоративном секторе и двухфакторная аутентификация. Обычно, здесь понимается комплект из е-токена и пин-кода, который вводится пользователем. Встречаются и более редкие сочетания, имеющие в своём составе биометрический сканер и аппаратный идентификатор или пользовательский пароль.

5) Резервный метод аутентификации. Используется он в случае потери пароля или е-токена, либо в случае взлома учётной записи. При обнаружении одного из условий, в силу вступают резервные методы аутентификации. По большому счёту, это механизмы сброса пароля.

Больше всего распространены два метода: необходимо дать ответ на так называемый «секретный вопрос» или получить пароль на подтверждённый тобой ранее почтовый ящик, например, указанный при регистрации. Эти методы входят в набор любого, уважающего себя, информационного сервиса.

Существует множество модификаций этого вида аутентификации.

Например, ИС задаёт некоторые вопросы, из числа заданных пользователю при его регистрации, и, если он сумеет правильно ответить на большую часть из них, то аутентификация считается успешной.

6) last-resort механизм, можно перевести как аутентификация «последней инстанции». К этому механизму прибегают в самых крайних случаях, когда все остальные способы уже ничем не помогут. Это обращение к администраторам ИС, либо в спецотделы поддержки клиентов.

7) Используемый фактор аутентификации. Как известно аутентификация - это процесс сравнения информации, предоставляемой пользователем, с эталонной. В зависимости от типа информации её можно отнести к одному из четырёх основных факторов, либо к их комбинации.

8) Фактор знания (Парольная аутентификация). Первый и самый распространённый механизм. Предполагает ввод чего-либо, что известно только пользователю. Например, ответа на секретный вопрос. Теоретически, он самый лёгкий и безопасный, так как достаточно криптостойкий. Он самый простой и дешевый для реализации. От пользователя требуется только запомнить символьную комбинацию из букв, цифр и различных знаков. Однако, на практике всё бывает с точности до наоборот.

Пользователи, как правило, задают слабые пароли - это связано с самой природой человека. Большинство паролей, задаваемых пользователями, можно найти в обычном словаре, поэтому легко взламываются методом перебора по словарю.

Следующий по распространённости механизм аутентификации используют, если всё-таки пароль утерян. Тогда просят ответить на «секретный вопрос». Тот самый вопрос, ответ на который был указан при регистрации учётной записи. Такая система используется у 4 ведущих почтовых провайдеров AOL, Google (Gmail), Microsoft (Hotmail), и Yahoo!

Но надо признать, что криптостойкость подобных «вопрос и ответов», выбираемых пользователями, ещё меньше, чем у выбираемых ими паролей. Но надо учесть, что результат во многом зависит от сложности поставленного вопроса и ответа на него.

9) Вещественный фактор (Аппаратная аутентификация) - «то, чем ты владеешь», является вторым по популярности фактором аутентификации. В первую очередь здесь имеются ввиду аппаратно-программные системы идентификации и аутентификации, устройства ввода признаков идентификации. В состав системы идентификации и аутентификации входят: аппаратные идентификаторы, устройства ввода-вывода, включая считыватели, контактные устройства, адаптеры, разъемы системной платы и другое, и соответствующее программное обеспечение. Идентификаторы выполняют роль хранителей уникальных идентификационных признаков. Помимо этого, они способны хранить и обрабатывать конфиденциальные данные. Устройства ввода-вывода и программное обеспечение осуществляют обмен данными между идентификатором и защищаемой системой.

В электронных системах идентификации и аутентификации идентификационные признаки представляются в виде цифрового кода, который хранится в памяти идентификатора.

По способу обмена данными между идентификатором и устройством ввода-вывода электронные системы идентификации и аутентификации подразделяются на:

1. Контактные:

iButton - information button - информационная «таблетка»;

смарт-карты - интеллектуальные карты;

USB-ключи или USB-токены (token - опознавательный признак, маркер);

2. Бесконтактные:

RFID-идентификаторы - radio-frequency identification - радиочастотные идентификаторы;

3. Смарткарты.

Контактное считывание - это непосредственное соприкосновение идентификатора с устройством ввода-вывода. Бесконтактный или дистанционный - это способ обмена не требующий чёткого позиционирования идентификатора и устройства ввода-вывода. Чтение или запись данных происходит, когда подносим идентификатор на достаточное для считывания расстояние к устройству ввода-вывода.

Системы идентификации и аутентификации на базе смарт-карт и радиочастотных идентификаторов относят по времени их создания, к старшему, iButton - к среднему, а USB-ключей - к младшему поколению.

Обсуждая надежность системы идентификации и аутентификации рассматривают самое важное и в то же время самое слабое звено системы -идентификатор. Надо понимать, что надежность идентификаторов связывают со степенью их защищенности от механических воздействий, влияния температуры, внешних электромагнитных полей, агрессивных сред, влаги, а также от атак, направленных на вскрытие чипов, хранящих секретные данные.

К недостаткам системы идентификации и аутентификации на базе iButton следует отнести отсутствие встроенных в идентификаторы криптографических средств, обеспечивающих шифрование данных во время их хранения и передачи в компьютер. По этой причине iButton обычно используется в комплексе с другими системами, которые выполняют функции шифрования.

По степени механической надежности радиочастотные идентификаторы, смарт-карты и USB-ключи уступают iButton. Пластику нет смысла соревноваться трудно. Выход из строя карты по причине механических повреждений не является таким уж редким случаем.

Слабое место USB-ключей - это также ресурс их USB-разъемов. Разработчики этих идентификаторов даже включают этот показатель в технические описания изделий. Так для идентификаторов семейства eToken это обещанное число подключений, составляющее не менее 5000 раз.

Достоинство радиочастотных идентификаторов, смарт-карт и USB-ключей состоит в том, что в их состав входят защищенная энергонезависимая память и криптографический процессор, который позволяет повышать уровень защиты устройств. Но надо понимать, что атакующая сторона не топчется на месте и придумывает разнообразные способы вскрытия секретной информации.

Опубликовано большое количество работ, которые описывают разнообразные атаки на чипы идентификаторов. Такие исследования носят не только теоретический, но и практический характер. К теоретическим методам вскрытия относят атаки Bellcore, дифференциальный анализ искажений DFA (Differential Fault Analysis) и питания DPA (Differential Power Analysis). Практические методы, такие как глитчинг (glitching) и физические атаки, направленные на распаковку чипа и извлечение требуемой информации.

У разработчиков криптографических процессоров есть стремление по мере возможности адекватно реагировать на атаки, произведённые с помощью разнообразных механизмов внешней и внутренней защиты. К механизмам внешней защиты относятся датчики (емкостный либо оптический сенсор), покрытие чипа металлическим слоем или специальными клеями и т. д. Внутренние - это шифрование шины, случайное тактирование, проведение повторных вычислений, генерирование шума. В общем, по причине стоимости аппаратных идентификаторов, их применяют в основном в бизнесе, там, где необходимо удобство, надёжность и высокий уровень криптостойкости. Минуса только два: их могут отнять или они могут потеряться или сломаться.

Биофактор (Биометрическая аутентификация) - «то, что является частью тебя». Биометрические данные, снятие которых, как правило, требует наличия специальных программно-аппаратных средства, так называемых биометрических сканеров, которые различаются по характеру считываемых данных.

Биометрические сканеры, основанные на статических методах:

1.Идентификация по отпечаткам пальцев. Самый распространенный статический метод биометрической идентификации, в его основе лежит уникальность рисунка папиллярных узоров на пальцах для каждого человека. Изображение отпечатка пальца, которое получают с помощью специального сканера, преобразуется в цифровой код (свертку) и сравнивается с ранее введенным эталоном или набором шаблонов. Рисунок 1.

Рисунок 1 - Пример дактилоскопического сканера

2. Идентификация по геометрии руки. Этот статический метод построен на распознавании геометрии кисти руки, которая также является уникальной биометрической характеристикой человека. Специального устройство позволяет получать трехмерный образ кисти руки (некоторые производители сканируют форму нескольких пальцев), в результате получаются измерения, которые необходимые для получения уникальной цифровой свертки, идентифицирующей человека. Рисунок 2.

Рисунок 2 - Считыватель геометрии руки

3. Идентификация по радужной оболочке глаза. Данный метод идентификации основан на уникальности рисунка радужной оболочки глаза. В целях реализации метода необходима камера, позволяющая получить изображение глаза человека с достаточным разрешением, и специализированное программное обеспечение, которое позволит выделить из полученного изображения рисунок радужной оболочки глаза, по которому, в дальнейшем, создаётся цифровой код для идентификации человека. Рисунок 3.

Рисунок 2 - Пример идентификации по радужной оболочке глаза.

Биометрические сканеры, основанные на динамических методах:

1. Распознавание по рукописному почерку. Обычно для такого динамического метода идентификации человека можно использовать только его роспись или кодовое слово. Цифровой код для идентификации создаётся по динамическим особенностям написания, то есть строится свертка, в состав которой входит информация о графических параметрах подписи, временных характеристиках нанесения подписи и динамики давления на поверхность в зависимости от возможностей оборудования (графический планшет, экран карманного компьютера и т. д.). Рисунок 4.

электронный документооборот туристический аутентификация



Рисунок 4 - Пример идентификации по почерку.

2. Распознавание по клавиатурному почерку. Метод по принципу действия аналогичен описанному выше. Но вместо подписи здесь используется некоторое кодовое слово, а из оборудования необходима только лишь стандартная клавиатура. Главная характеристика, в соответствии с которой строится свертка для идентификации - это динамика набора кодового слова.

3. Распознавание по голосу. Есть достаточное множество вариантов построения кода идентификации по голосу. Обычно это различные сочетания частотных и статистических характеристик голоса. Рисунок 5.

Рисунок 5- Пример голосовой идентификации.

В большинстве своём, для многих из перечисленных выше методов требуется достаточно дорогое оборудование и не менее дорогое программное обеспечение. Существуют достаточно неплохие разработки в этой области, но они ещё не скоро станут стандартом. Тем более, что с развитием технологий роль биометрии как средства аутентификации будет уменьшаться, так как заполучить злоумышленнику доступ к таким данным с каждым годом становится всё проще. Голос можно тайно записать, лицо и глаза также тайно сфотографировать, отпечатки пальцев отсканировать. Обладая такими данными, вполне возможно создать компьютерную модель, и распечатать объёмную маску на 3D принтере. В итоге биометрия станет больше средством идентификации, нежели средством прямого допуска.

Социальный фактор (Социальная аутентификация) - «те, кто тебя знают». В качестве последнего фактора можно использовать кого-то кто вас знает, имеется в виду, конечно, не конкретно вас, а легального зарегистрированного пользователя. Данную систему можно назвать основанной на доверенной аутентификации. К примеру, в компаниях ответственность за аутентификацию пользователя, который забыл или потерял пароль, часто возлагают на системного администратора, иногда службу безопасности, или же другой персонал. Microsoft на протяжении долгого времени использовала метод восстановления учетной записи, основанный на доверенной стороне, для собственных сотрудников. Например, если сотрудник забывал свои учетные данные, то его менеджер или коллеги могли запросить временный пароль от его имени. Данный механизм требует вмешательства другого человека, и применим, зачастую, в небольших системах малых и средних компаний, где системный администратор может выкроить время для того, чтобы сгенерировать новый пароль. В больших же компаниях и корпорациях, существуют целые отделы, занимающиеся подобными проблемами. Исходя из этого, такой механизм аутентификации один из самых затратных. Однако, Facebook является пионером в данной области. Они были первыми, внедрившими автоматизированную систему социальной аутентификации, и дали ей название «доверенные друзья», чем наверняка сэкономили кучу денег на тех поддержке.



5. Развертывание удаленного доступа на предприятии

Компонент удаленного доступа включает несколько функций для предприятий, в том числе: развертывание нескольких серверов удаленного доступа в кластере с балансировкой нагрузки при помощи компонента балансировки сетевой нагрузки Windows (NLB) или внешней подсистемы балансировки нагрузки; настройка мультисайтовых развертываний с серверами удаленного доступа, которые находятся в различных географических расположениях; развертывание DirectAccess с двухфакторной аутентификацией клиента с использованием одноразовых паролей (OTP).

Корпоративные сценарии удаленного доступа предоставляют следующие преимущества:

1. Повышенная доступность. Развертывание нескольких серверов удаленного доступа в кластере будет обеспечивать масштабируемость и увеличит допустимую пропускную способность и количество пользователей. Балансировка нагрузки кластера обеспечит высокую степень доступности. При отказе одного из серверов в кластере удаленные пользователи могут сохранить доступ к внутренней корпоративной сети через другой сервер в кластере. Обработка отказа происходит прозрачно для пользователей, поскольку клиенты подключаются к кластеру, используя виртуальные IP-адресов.

2. Упрощенное управление. Можно настраивать кластер или мультисайтовую конфигурацию развертывания и управлять ими при пользуясь консолью управления удаленным доступом, которая запущенна на одном из серверов кластера. Помимо этого, мультисайтовое развертывание позволит администраторам согласовать конфигурацию развертывания удаленного доступа и узлы Active Directory для создания упрощенной архитектуры. На всех серверах кластера или мультисайтовой точки входа можно легко устанавливать общие параметры. Управление параметрами удаленного доступа можно будет осуществлять только при использовании одного из серверов в кластере или развертывании, либо удаленно при помощи средств удаленного администрирования сервера. Наблюдение за всем кластером или мультисайтовым развертыванием можно осуществить с одной консоли управления удаленным доступом.

3. Рентабельность. Мультисайтовое развертывание удаленного доступа позволит корпорациям развернуть серверы удаленного доступа в нескольких узлах, соответствующих расположению клиентов. Благодаря этому удаленным клиентам предоставляется предсказуемый механизм взаимодействия независимо от расположения, снизятся затраты и уровень использования пропускной способности интрасети за счет маршрутизации трафика клиента через Интернет на ближайший сервер удаленного доступа.

4. Безопасность. Развертывание строгой проверки подлинности клиентов при помощи одноразовых паролей (OTP) вместо стандартной парольной проверки подлинности Active Directory повышает безопасность сети.

Аутентификация пользователей осуществляется по следующему сценарию:

1. Клиент удаленного доступа инициирует процесс подключения к серверу удаленного доступа (например, набирает его телефонный номер).

2. Происходит физическое соединение (например, двух модемов).

3. Сервер отправляет запрос клиенту с требованием предоставить информацию о полномочиях подключающегося пользователя.

4. Клиент отправляет ответ серверу, в который включает запрашиваемую информацию. В зависимости от используемого протокола аутентификации, ответ пересылается по сети либо в открытом, либо в зашифрованном виде.

5. Сервер проверяет информацию, содержащуюся в ответе, обращаясь к каталогу Active Directory. В случае автономного сервера удаленного доступа для проверки полномочий пользователя используется локальная база данных учетных записей сервера.

6. Если учетная запись существует и не заблокирована, сервер принимает решение об установлении соединения в соответствии с политикой удаленного доступа и свойствами учетной записи пользователя для клиента удаленного доступа.

7. Если разрешена функция ответного вызова, сервер вызывает клиента и продолжает переговоры о соединении.

Процесс аутентификации предполагает проверку подлинности пользователя. Тем не менее, сам факт успешного прохождения процедуры аутентификации не означает, что пользователь автоматически получает доступ к корпоративной сети. После аутентификации удаленного пользователя и подключения клиента к корпоративной сети клиент удаленного доступа может обращаться только к тем сетевым ресурсам, для которых он имеет соответствующее разрешение. Клиенты удаленного доступа подчиняются общим принципам разграничения доступа Windows Server 2003 точно так же, как если бы они физически располагались в локальной сети. Другими словами, клиенты удаленного доступа не могут выполнять какие-либо действия, не имея достаточных на то полномочий, и не могут обращаться к ресурсам, для которых они не имеют соответствующих разрешений.

Можно ограничить клиента удаленного доступа доступом только к общим ресурсам сервера удаленного доступа, а не к ресурсам всей сети, к которой подключен сервер удаленного доступа. Администратор может управлять тем, какая информация будет доступна клиентам удаленного доступа, и ограничивать доступ пользователей в случае нарушения защиты.

Настройка легкого доступа к корпоративным ресурсам:

Современные сотрудники мобильны и ожидают получить доступ к приложениям, необходимым для работы, где бы они ни находились.Компании применяют несколько способов предоставить эту возможность: с помощью VPN, прямого доступа Direct Access и шлюзов удаленных рабочих столов Remote Desktop Gateway.

Однако в мире Bring Your Own Device эти подходы не предлагают уровень изоляции для обеспечения безопасности, необходимый многим клиентам. Для соответствия этому требованию прокси-служба веб-приложения роли включена в роль Windows Server RRAS (службы маршрутизации и удаленного доступа). Эта служба роли позволяет выборочно публиковать веб-приложения ведения бизнеса предприятия для доступа снаружи корпоративной сети.

Рабочие папки - это новое решение для синхронизации файлов, которое позволяет пользователям синхронизировать свои файлы на корпоративном файловом сервере со своими устройствами. Эта синхронизация использует протокол на основе HTTPS. Это позволяет легко выполнять публикацию через прокси-службу веб-приложения. Это означает, что пользователи теперь могут выполнять синхронизацию из интрасети и Интернета. Это также означает, что элементы управления проверкой подлинности и авторизации AD FS, описанные ранее, можно применять к синхронизации корпоративных файлов. Файлы затем сохраняются в зашифрованном месте на устройстве. Эти файлы можно затем выборочно удалить, когда устройство отключается от централизованного управления.

DirectAccess и службы маршрутизации и удаленного доступа (RRAS) VPN объединены в единую роль удаленного доступа в Windows Server 2012 R2. Эта новая роль сервера удаленного доступа обеспечивает возможность централизованного администрирования, настройки и наблюдения за службами удаленного доступа DirectAccess и VPN.

Windows Server 2012 R2 предоставляет Virtual Desktop Infrastructure (VDI), которая дает вашей организации ИТ свободу выбора рабочих столов на базе персональных виртуальных машин (ВМ) и виртуальных машин из пула, а также рабочие столы на основе сеансов. Он также предлагает ИТ-службе несколько вариантов хранения на основании их требования.

Повышение управления риском при контроле доступа с помощью Windows Server 2012 R2 ваша организация может настроить управление доступом к ресурсам компании на основе удостоверения пользователя, удостоверения зарегистрированных устройств и сетевого расположения пользователя (находится ли пользователь внутри сети организации или нет). С помощью многофакторной проверки подлинности, интегрированной в прокси веб-приложения, ИТ-специалисты могут использовать преимущества дополнительных уровней проверки подлинности при подключении пользователей и устройств к корпоративной среде.

В Windows Server 2012 R2 легко ограничить риски, связанные со скомпрометированными учетными записями, и гораздо проще реализовать многофакторную проверку подлинности с помощью Active Directory. Модель подключаемых модулей позволяет настроить разные решения для управления рисками непосредственно в AD FS.

Существует множество улучшений в управлении рисками при контроле доступа в AD FS в Windows Server 2012 R2, включая следующие:

· Гибкое управление на основе расположения сети для указания того, как пользователю проходить проверку подлинности при доступе к защищаемому AD FS приложению.

· Гибкие политики, помогающие определить, выполнять ли многофакторную проверку подлинности пользователя на основании данных пользователя, данных устройства и расположения в сети.

· Управление на базе приложений для игнорирования единого входа и принуждения пользователя к вводу учетных данных при каждом доступе к конфиденциальному приложению.

· Политики гибкого доступа на базе приложения с учетом данных пользователя, данных устройства или расположения в сети. Блокировка экстрасети AD FS позволяет администраторам защищать учетные записи Active Directory от атак методом перебора из Интернета.

· Отзыв доступа для любого устройства, присоединенного к рабочему месту, которое отключено или удалено в Active Directory.



Таблица 1. Вопросы проектирования для реализации управление рисками и решение проблем доступа для пользователя, устройств и приложений

Элемент структуры решения	Что входит в это решение?
Присоединение к рабочему месту (включено службой регистрации устройств [DRS])	Организации могут реализовать ИТ-управление с проверкой подлинности устройства и двухфакторной проверкой подлинности с помощью единого входа. Присоединение к рабочей области устройств обеспечивает ИТ-администраторам более высокий уровень управления личными и корпоративными устройствами. Дополнительные сведения см. в разделе Присоединение к рабочему месту с любого устройства для единого входа и эффективной двухфакторной проверки подлинности в приложениях компании.
Многофакторная проверка подлинности	Используя многофакторную проверку подлинности Azure, ИТ-специалисты могут задействовать дополнительные уровни проверки подлинности и проверки пользователей и устройств. Дополнительные сведения см. в разделе Возможности многофакторной проверки подлинности Azure.

Настройка доступа к корпоративным ресурсам.

Необходимо настроить файловые службы рабочих папок, виртуализацию служб удаленных рабочих столов и удаленный доступ.

1. Настройка прокси веб-приложения

Этот раздел представляет собой введение по этапам настройки, которые должны быть выполнены для развертывания прокси веб-приложения и публикации приложений с его помощью.

a. Настройка инфраструктуры прокси-сервера веб-приложений: Описывается настройка инфраструктуры, необходимой для развертывания прокси веб-приложений.

b. Установка и настройка прокси-сервера веб-приложений: Описывается настройка прокси-серверов веб-приложений, включая настройку всех необходимых сертификатов при установке службы роли прокси веб-приложения и присоединения к домену прокси-серверов веб-приложений.

c. Публикация приложений с использованием предварительной проверки подлинности AD FS: Описывается процесс публикации приложений через прокси веб-приложения с использованием предварительной проверки подлинности AD FS.

d. Публикация приложений с помощью предварительной сквозной проверки подлинности: Описывается процесс публикации приложений с помощью предварительной сквозной проверки подлинности.

Настройка рабочих папок:

Простейшее развертывание рабочих папок - один файловый сервер (который часто называют сервером синхронизации) без поддержки синхронизации через Интернет. Такое развертывание полезно для тестовой лаборатории или в качестве решения синхронизации для присоединенных к домену клиентских компьютеров. Для создания простого развертывания выполните эти минимальные действия:

e. Установка рабочих папок на файловых серверах

f. Создание групп безопасности для рабочих папок

g. Создание общих ресурсов синхронизации для данных пользователей

Настройка и проверка виртуализации службы сеансов удаленных рабочих столов:

Стандартное развертывание VDI позволяет устанавливать соответствующие службы ролей на отдельных компьютерах. Стандартное развертывание обеспечивает более точное управление виртуальными рабочими столами и коллекциями виртуальных рабочих столов, не создавая их автоматически.

Тестовая лаборатория демонстрирует процесс создания стандартного развертывания виртуализации сеансов следующим образом:

h. Установка служб ролей посредника подключений к удаленному рабочему столу, узла сеансов удаленных рабочих столов и веб-доступа к удаленным рабочим столам на отдельных компьютерах.

i. Создание коллекции сеансов.

j. Публикация рабочего стола на основе сеансов для каждого сервера узла сеансов удаленных рабочих столов в коллекции.

k. Публикация приложений как программ службы RemoteApp..

Настройка удаленного доступа:

Windows Server 2012 объединяет DirectAccess и службы маршрутизации и удаленного доступа (RRAS) VPN в единую роль удаленного доступа. Ниже представлены шаги по настройке, необходимые для развертывания одного сервера удаленного доступа Windows Server 2012 с базовыми параметрами.

l. Настройка инфраструктуры DirectAccess: Этот этап включает в себя настройку параметров сети и сервера, параметров DNS и параметров Active Directory .

m. Настройка сервера DirectAccess: Этот этап включает в себя настройку клиентских компьютеров DirectAccess и параметров сервера.

n. Проверка развертывания: Этот этап включает в себя действия по проверке развертывания.

Настройте управление рисками путем установки многофакторного управления доступом и многофакторной проверки подлинности.

Создание гибких и ясных политик авторизации для каждого приложения, благодаря которым можно разрешить или запретить доступ в зависимости от пользователя, устройства, сетевого расположения и состояния проверки подлинности, выполняется настройкой многофакторного управления доступом. Настройте дополнительное управление рисками в среде с многофакторной проверки подлинности.

Настройка и проверка многофакторного управления доступом включает в себя следующие три этапа:

a. Проверка стандартного механизма контроля доступа через службы AD FS

b. Настройка политики многофакторного контроля доступа на основе данных пользователя

c. Проверка механизма многофакторного контроля доступа

Настройка и проверка многофакторной проверки подлинности включает в себя следующие три этапа:

d. Проверка стандартного механизма проверки подлинности через службы AD FS

e. Настройка многофакторной проверки подлинности на сервере федерации

f. Проверка механизма многофакторной проверки подлинности



Заключение

Уровень развития технологий позволяет обеспечить достаточно хорошую защиту данных, как в деловой сфере, так и частной жизни. Я склоняюсь к тому мнению, что при условии безответственного отношения самого человека к сохранности информации, никакие технологии не помогут. Технологии помогают лишь минимизировать человеческий фактор и помочь человеку в задачах по обеспечению безопасности информации.

Рассматривая задачу организации доступа в ИС ТФ сотрудника стороннего предприятия, я столкнулась с необходимость конкретизации того, какая задача ему поручена.

Я посчитала возможным не углубляться в сам процесс трудовой деятельности данного сотрудника КК. Задачей этого специалиста стала автоматизация бизнес-процесса, а конкретно внедрение СЭД. Для внедрения СЭД не требуется постоянного непосредственного присутствия на территории заказчика. Следовательно, для обеих сторон выгоднее и удобнее дать возможность специалисту работать в ИС ТФ удалённо. У заказчика имеется штатный специалист по информационным технологиям, который давно задумывался о развёртывании удалённого доступа у себя на предприятии.

Первым шагом во внедрении СЭД стало развёртывание удалённого доступа. После этого, специалисту предоставили удалённый доступ к ИС ТФ, ознакомив предварительно с приказами по защите информации и проведя инструктаж по защите ПД.

Чисто гипотетически, данный сотрудник КК может столкнуться в своей работе с данными, находящимися под защитой. Но в то же время надо брать во внимание и тот факт, что политика безопасности, действующая в ИС ТФ вряд ли допустит данного специалиста к ресурсам, не предназначенным для него.

Поэтому вопрос метода авторизации не стал таким сложным. Выбор сразу пал на самый стандартный и широко распространённый метод: удалённый компьютер запрашивает учётную запись пользователя и контрольную информацию - пароль.

Может показаться, что данный метод очень прост и не обеспечит должный уровень безопасности информации ТФ. Тут следует помнить о том, что подключится сотрудник КК может только из своего офиса, где находится компьютер с которым у сервера удалённых рабочих столов установлены доверительные отношения. Поэтому ни сам сотрудник, ни какой либо другой человек, даже зная имя пользователя и пароль для удалённого подключения к ТФ, не сможет подключиться из другого места.

Ещё одна немаловажная деталь состоит в том, что чтобы подключиться к ИС ТФ прежде необходимо пройти аутентификацию непосредственно в ИС КК.

Таким образом, у нас выстраивается довольно таки неплохая система обеспечения безопасности.

Я пришла к выводу, что совсем не обязательно нагружать сотрудников аппаратными средствами идентификации, если на твоём предприятии чётко отлажена политика безопасности.

Но, несмотря на всё вышесказанное, необходимо всегда помнить о мониторинге угроз. Стратегический подход к обеспечению информационной безопасности предполагает непрерывный процесс, при котором угрозы непрерывно отслеживаются и непрерывно анализируются. Вся собранная информация о потенциальных угрозах становится базой для дальнейшего, опять-таки, непрерывного повышения уровня безопасности, что в современных условиях абсолютно необходимо.



Литература

Об информации, информационных технологиях и защите информации от 27.07.2006 № 149-ФЗ.

Об электронной подписи от 06.04.2011 № 63-ФЗ

Беленькая М.Н. Администрирование и безопасность компьютерных систем [Электронный ресурс]: учебное пособие/ Беленькая М.Н., Малиновский С.Т., Яковенко Н.В.- Электрон. текстовые данные.- М.: Горячая линия - Телеком, 2011.- 400 c.- Режим доступа: http://www.iprbookshop.ru/11974.- ЭБС «IPRbooks», по паролю

Федотов Е.А. Администрирование программных и информационных систем [Электронный ресурс]: учебное пособие/ Федотов Е.А.- Электрон. текстовые данные.- Белгород: Белгородский государственный технологический университет им. В.Г. Шухова, ЭБС АСВ, 2012.- 136 c.- Режим доступа: http://www.iprbookshop.ru/27280.- ЭБС «IPRbooks», по паролю

Нестеров С.А. Анализ и управление рисками в информационных системах на базе операционных систем Microsoft [Электронный ресурс]/ Нестеров С.А.- Электрон. текстовые данные.- М.: Интернет-Университет Информационных Технологий (ИНТУИТ), 2016.- 250 c.- Режим доступа: http://www.iprbookshop.ru/52141.- ЭБС «IPRbooks», по паролю

Средства интеграции и обмена данными в системе «1С:Предприятие 8». Методические материалы для слушателя сертифицированного курса - М.: ООО «Софтехно», 2015. - 124 с.: ил.

Размещено на Allbest.ru

...