Аппаратные идентификаторы

Одним из важнейших механизмов защиты информации от несанкционированного доступа является процедура идентификации пользователя.

Идентификация пользователя может осуществляться как программными механизмами (с использованием логина — последовательности символов, вводимых вручную с клавиатуры, позволяющей идентифицировать субъект), так и аппаратными (с использованием специального устройства, предоставляющего уникальный набор символов, позволяющий идентифицировать обладателя устройства).

Требования по реализации процедуры идентификации и аутентификации определяются руководящими документами в области защиты информации. При этом аппаратная идентификация/аутентификация относительно программной меры имеет статус дополнительной, усиливающей.

Например, утвержденный ФСТЭК России методический документ «Меры защиты информации в государственных информационных системах» предъявляет следующие требования к реализации меры защиты ИАФ.1 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА:

«В информационной системе должна обеспечиваться идентификация и аутентификация пользователей, являющихся работниками оператора.

Аутентификация пользователя осуществляется с использованием паролей, аппаратных средств, биометрических характеристик, иных средств или в случае многофакторной (двухфакторной) аутентификации — определенной комбинации указанных средств.

В информационной системе должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами…».

Одним из усилений данной меры защиты является следующее:

«В информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами непривилегированных учетных записей (пользователей), где один из факторов обеспечивается устройством, отделенным от информационной системы, к которой осуществляется доступ».

Очевидно, аппаратная реализация механизма идентификации в силу физической изолированности обеспечивает эффективную защиту от НСД наиболее важных процедур и данных, используемых при аутентификации в информационных системах.

Продукты, разработанные в «ОКБ САПР», поддерживают работу с аппаратными идентификаторами различных видов: TM-идентификаторы DS-1992, DS-1993, DS-1996, смарт-карты, USB-устройства, USB-ключи вида eToken, JaCarta «ACOSxx», «ESMART Token xx», считыватели биометрических данных и др.

Кроме того, для реализации механизма аппаратной идентификации в «ОКБ САПР» разработан ПАК «ПИ ШИПКА», обеспечивающий идентификацию пользователя в автоматизированных системах обработки данных путем реализации функции предоставления уникального номера USB-устройства «ПИ ШИПКА» по запросу.

ПАК «ПИ ШИПКА» может использоваться в качестве персонального идентификационного устройства при идентификации/аутентификации как в различных программных продуктах, так и программно-аппаратных изделиях и комплексах (например, СЗИ НСД «Аккорд-АМДЗ», ПАК СЗИ НСД «Аккорд»).

ПАК «ПИ ШИПКА» включает в себя:

Для использования ПАК «ПИ ШИПКА» требуется следующий минимальный состав технических и программных средств: