Контроль доступа

Итак, доступа <вообще> - не бывает. Доступ - это всегда <куда-то>. Или <к чему-то>. Первый принято называть <физическим доступом>, а второй - <доступом к информационным ресурсам>. И это, как хорошо понятно, весьма различные доступы - скажем, в помещение и к базе данных. И контролируются они по-разному: в общем случае, доступ в помещение чаще всего контролируется проверкой пропуска с фотографией и необходимыми реквизитами, доступ к ПК и к данным - теми или иными методами идентифиакации/аутентификации и т. д. - с усилением жесткости контроля по мере роста критичности объекта доступа.

Что же, получается, <шли три студента: один в пальто, другой в университет, а третий - в полдень>?

Попробуем определить, насколько существенно то общее, на основе которого эти понятия объединены одним словом.

Очевидным фактам часто не придают заслуживаемого ими значения, однако ведь именно они обеспечивают адекватность и здравый смысл любого построения. Поэтому начнем с очевидного. Физический доступ и доступ к информационным ресурсам объединяет ни что иное, как субъект доступа. Доступ - как в помещение, так и к ПК, в сеть, к тому или иному приложению - должен быть обеспечен (или запрещен) кому-то.

Тот факт, что на первом месте стоит именно <обеспечен>, а не <запрещен>, - совершенно принципиален, и думается, что не нужно в деталях объяснять, почему. Если человек потратит половину рабочего дня на то, чтобы приступить к работе, он сделает за день в два раза меньше, чем мог бы, это очевидно. Стоит ли оплачивать сотруднику время, которое он тратит на поиск по карманам нужных пропусков и ключей, на уговоры службы безопасности пропустить просто так <ведь я же только что на Ваших глазах вышел покурить> и на звонки администратору безопасности информации с просьбой разблокировать компьютер <я вроде бы правильно набирал, но, наверное, это был не пароль, а код домофона:>?

С другой стороны, вопрос о том, что лучше - потерять день работы такого работника или создать прецедент нарушения правил доступа (на территорию предприятия, в помещение, к ПК, в сеть:) - вопрос дискуссионный, и ответ на него зависит от очень большого набора обстоятельств.

Именно поэтому все более востребованными становятся <комплексные> решения, которые в себе что-то с чем-то сочетают. Например, смарт-карта с фотографией, или USB-токен с RFID. Это и удобнее пользователю - все-таки вещей меньше, и дисциплинирует его.

Но, к сожалению, комплексность такого решения зачастую исчерпывается простым физическим совмещением двух разных, не связанных между собой, функций. Охранник проверяет соответствие фотографии предъявителю и пропускает его в здание, а смарт-карточный чип обеспечивает идентификацию/аутентификацию на ПК; RFID открывает дверь в комнату, а USB-токен - осуществляет свои защитные функции (в общем-то, те же, что и смарт-карта). В принципе, эти функции не связаны между собой в том числе и самым главным - одним и тем же субъектом доступа. Ведь никто не увидит, что за компьютером сидит именно тот человек, фотографию которого проверил на смарт-карте охранник, а RFID и вовсе откроет дверь не только законному владельцу устройства, а любому, для этого даже знать ПИН-кода не нужно.

Конечно, существенно более надежной была бы такая система защиты, части которой находились бы во взаимодействии, то есть такая, которая является системой в собственном смысле слова. Например, если в сеть вошел сотрудник, не проходивший в здание, такая система позволит выявить эту ситуацию и принять необходимые меры.

Однако такая система, конечно, должна и проектироваться комплексно, создать ее <по ходу жизни> вряд ли возможно, поскольку <нагрузка> в ней лежит не только (а может быть, и не столько) на персональном устройстве, находящемся у пользователя (хотя, безусловно, достаточность его ресурсов является совершенно необходимым условием), но и на <стационарной> части, которая, собственно, и должна объединять все модули и обеспечивать их защищенное взаимодействие. Примеры таких решений в нашей стране существуют.

Таким образом, требования к хорошей системе контроля доступа напрашиваются сами собой:

1. у одного пользователя должно быть одно устройство;

2. модули контроля доступа на территорию предприятия, в помещения с особым режимом доступа, доступа к ПК, к терминальным серверам и т. д. - должны быть объединены в систему и находиться во взаимодействии;

3 все критичные с точки зрения безопасности данные должны быть защищены криптографически;

4. все критичные с точки зрения безопасности процедуры должны производиться в доверенной среде, то есть аппаратно.

Из перечисленных посылок явным образом вытекает следствие о том, что устройство на стороне пользователя должно иметь собственный процессор с аппаратно реализованной криптографической библиотекой, а так же иметь достаточные ресурсы для реализации возможности защищенного хранения и предъявления идентификационных данных самого разного рода (поскольку набор задач для контроля не только может различаться в различных системах, но и может расширяться в каждой из них) - это может быть цифровая фотография, персональные данные, какие-то особые сведения, биометрические данные и т. д. Все это требует не только значительных ресурсов, но и возможности расширения функциональности внутреннего ПО устройства, что вряд ли возможно для устройств с архитектурой смарт-карты.

Устройства, соответствующие таким требованиям, принято называть персональными СКЗИ (средствами криптографической защиты информации).

Применение ПСКЗИ в системах контроля физического доступа может осуществляться следующим образом.

1. Фотография владельца устройства (дополненная различными идентификационными параметрами - ФИО, должность, отдел, номер ПСКЗИ, биометрические данные) сохраняется в файле, подписывается на ключе Службы Безопасности и размещается в энергонезависимой памяти устройства.

2. В ПСКЗИ создается пара ключей ЭЦП, которая будет использоваться для подтверждения подлинности устройства. Открытый ключ этой пары сохраняется в системе контроля физического доступа.

3. При проходе через систему контроля физического доступа пользователь предъявляет ПСКЗИ.

4. Система контроля проверяет подлинность устройства на основании ранее созданных ключей ЭЦП, получает фотографию владельца из устройства, проверяет ее подлинность и предоставляет ее сотруднику Службы Безопасности.

5. Сотрудник Службы Безопасности сопоставляет фотографию с претендующим на вход человеком. Заметим, что от сотрудника Службы Безопасности требуется по-прежнему только сравнить фотографию с предъявителем, а все остальное происходит на уровне технических средств.

6. Далее, уже в процессе работы пользователя в информационной системе (в которой он идентифицировался/аутентифицировался с помощью ПСКЗИ), сотрудник Службы Безопасности может получать фотографию владельца из ПСКЗИ, подключенного к ПК, через ЛВС, а непосредственное изображение пользователя, работающего за компьютером, через систему видеонаблюдения. На основании полученных данных он может принять решение о том, имеет ли право этот пользователь работать с этим компьютером в этот момент времени. Это поможет предотвратить последствия халатности пользователя, случайно оставившего устройство подключенным к компьютеру, или последствия сговора недобросовестных пользователей.

Серьезно усилит защищенность системы реализация механизма запроса каждого следующего по времени работы модуля к предыдущим, проверку которыми субъект доступа уже прошел. Проще говоря, пользователь, пытающийся подключиться к терминальному серверу должен был сначала войти в здание и аутентифицироваться на терминале. То есть каждая последующая проверка должна учитывать результаты (и сам факт) предыдущих.

Именно в этом случае, вероятно, есть смысл и основания говорить о комплексной системе идентификации сотрудника, или о комплексном контроле доступа - на всех уровнях - на предприятие, в комнату, в компьютер, в сеть.

Автор: Конявская С. В.

Дата публикации: 01.01.2008

Библиографическая ссылка: Конявская С. В. Контроль доступа // Information Security/Информационная безопасность. М., 2008. № 6 (декабрь). С. 38–39.

---