Bezpieczeństwo informacji w zarządzaniu Pomocnicze materiały szkoleniowe. Podstawy uwierzytelnienia. dr Tomasz Barbaszewski Kraków, 2012

Transkrypt

1 Bezpieczeństwo informacji w zarządzaniu Pomocnicze materiały szkoleniowe Podstawy uwierzytelnienia dr Tomasz Barbaszewski Kraków, 2012 Podstawowym atrybutem jakości informacji jest jej dostępność. Jeśli informacja nie jest dostępna oznacza to przecież po prostu jej brak! W systemach informatycznych wykorzystujących technologie określane jako ICT naturalnym dążeniem jest dostępność do informacji przez całą dobę bez względu na dzień tygodnia. Strony internetowe są przecież dostępne na każde nasze życzenie, o ile tylko dysponujemy odpowiednim łączem. W praktyce profesjonalnej (korporacje, przedsiębiorstwa, firmy, urzędy...) mamy jednak do czynienia z różnymi informacjami od publicznych, które powinny być dostępne każdemu zainteresowanemu aż po informacje zastrzeżone jedynie do użytku wewnętrznego oraz w wielu przypadkach chronione z mocy prawa (dane osobowe, informacje niejawne itp.), do których dostęp powinien być kontrolowany. Zarządzanie informacją w organizacjach powinno więc być związane z jej kwalifikowaniem oraz selektywnym udzielaniem dostępu. Jeśli mamy podjąć decyzję o udzieleniu dostępu do informacji to powinniśmy oczywiście wiedzieć komu i na jakich warunkach tego dostępu udzielamy. Niezbędne jest więc bliższe przyjrzenie się procesom uwierzytelnienia. Powinny dać na one pewną odpowiedź na następujące podstawowe pytania: Komu personalnie udostępniamy informację? Czy udostępniona informacja będzie odpowiednio traktowana oraz chroniona? Czy wykorzystanie informacji lub wprowadzanie jej modyfikacji jest należycie dokumentowane? Jakie mechanizmy należy wdrożyć, aby znać odpowiedzi na powyższe pytania staram się wyjaśnić na kolejnych stronach... Strona 1 z 5

2 Uwierzytelnienie sprzętu Uwierzytelnienie sprzętu polega na sprawdzeniu, czy określone urządzenie (komputer PC, tablet, terminal, cienki klient itp.) może być wykorzystywany w celu uzyskania dostępu do określonych zasobów informacyjnych. Uwierzytelnienie sprzętu jest rzadko wykorzystywane w sieciach publicznych, jednak jest często stosowane w sieciach profesjonalnych np. w placówkach bankowych i innych punktach obsługi klienta. Uwierzytelnienia sprzętu nie należy mylić ze stosowanie dodatkowych urządzeń lub programów uwierzytelniających wspomagających uzyskiwanie dostępu do systemu (zwane popularnie logowaniem ) przez użytkownika (tokeny sprzętowe lub programowe, rozwiązania biometryczne). Uwierzytelnienie sprzętu ma na celu jego identyfikację za pomocą automatycznie wymienianych danych pomiędzy klientem i serwerem dostępowym i powinno być realizowane w oparciu o mechanizmy niezależne od procesu identyfikacji użytkownika. Przesyła żądanie dostępu oraz swe dane identyfikacyjne Baza danych uprawnień Klient sprawdza tożsamość serwera Klient komputer PC W przypadku pozytywnej weryfikacji danych zezwala na połączenie i wysyła swoje dane identyfikacyjne Klient generuje klucz sesji, szyfruje go i wysyła serwerowi Strony zestawiają połączenie szyfrowane kluczem sesji Serwer dostepowy Serwer dostępowy sprawdza, czy dane przesłane przez klienta są umieszczone w bazie uprawnień. Proszę zwrócić uwagę na dwustronny charakter uwierzytelnienia (klient przedstawia się serwerowi, a serwer klientowi). Istnieje szereg rozwiązań realizujących obustronne uwierzytelnienie i ich stosowanie powinno być regułą w systemach informatycznych, od których wymaga się zaawansowanej ochrony informacji. Z problemem konieczności obustronnego uwierzytelnienia mamy również do czynienia w przypadku połączeń telefonicznych. Instytucje finansowe stosują często procedury w celu uwierzytelnienia klienta podczas rozmowy telefonicznej (np. podanie daty urodzenia, imienia ojca, nazwiska panieńskiego matki itp.). Klienci na ogół podają te dane nie mając żadnej pewności (poza słowną informacją), kto do nich dzwoni. Otwiera to duże możliwości nadużyć, wyłudzania informacji itp. Uwierzytelnienie sprzętu umożliwia skuteczne zarządzanie dostępem do informacji. Zapobiega uzyskaniem dostępu do chronionych zasobów informacji przy użyciu przypadkowego komputera oraz umożliwia skuteczną interwencję w przypadku jego utraty (zagubienie, kradzież itp.), ponieważ administrator systemu może w każdej chwili usunąć dane komputera z bazy danych, co oczywiście wyklucza możliwość zestawienia połączenia i tym samym uzyskania dostępu. Warto dodać, że celowe jest przechowywanie danych uprawniających do dostępu na osobnym, dobrze zabezpieczonym urządzeniu (serwerze). Strona 2 z 5

3 Uwierzytelnienie użytkownika Proces uwierzytelnienia użytkownika jest (lub powinien być) znany wszystkim użytkownikom systemów komputerowych. W najprostszym przypadku polega on na podaniu nazwy użytkownika oraz jego hasła dostępu. Hasło powinno być oczywiście znane tylko użytkownikowi i odpowiednio chronione. Jeśli uwierzytelnienie następuje z wykorzystaniem sieci komputerowej powinno być bezwzględnie przesłane w postaci zaszyfrowanej, ponieważ większość współcześnie eksploatowanych sieci transmituje dane użytkowników w postaci jawnej, a więc możliwej do odczytania przez osoby niepowołane. Ponieważ użytkownicy często stosują zbyt proste hasła, zapisują je lub przekazują sobie nawzajem uwierzytelnienie użytkownika jest dość często uzupełniane o dodatkowe mechanizmy systemy haseł jednorazowych, tokeny typu pytanie-odpowiedź, karty chipowe a nawet czytniki biometryczne. Zmniejszają one prawdopodobieństwo uzyskania dostępu do systemu przez osoby nieuprawnione. W przeciwieństwie do uwierzytelnienia sprzętu uwierzytelnienie użytkownika jest najczęściej jednostronne użytkownik przesyła swe dane serwerowi (urządzeniu) dostępowemu, który porównuje przesłane dane z opisem użytkownika w odpowiedniej bazie. Przykładem wprowadzenia obustronnego uwierzytelnienia może być system pytanie-odpowiedź (Challenge-response), w którym serwer zadaje użytkownikowi pytanie (np. podaje pewną liczbę), na które użytkownik musi poprawnie odpowiedzieć (np. za pomocą tokena sprzętowego przypominającego kalkulator). Ponieważ oczekiwana odpowiedź jest uzależniona od oprogramowania serwera użytkownik uzyskuje pewność, że łączy się z właściwym serwerem. W innych rozwiązaniach użytkownik posiada możliwość sprawdzenia tożsamości serwera dostępowego (system taki wykorzystuje wiele interakcyjnych serwerów internetowych). W systemach o podwyższonym poziomie bezpieczeństwa uwierzytelnienie użytkownika jest realizowane po uwierzytelnieniu sprzętu, a którego użytkownik korzysta. Uwierzytelnienie sprzętu umożliwia zestawienie połączenia szyfrowanego (bezpiecznego kanału komunikacyjnego), dzięki czemu dane przesyłane podczas uwierzytelniania użytkownika są zabezpieczone przed podsłuchem. Również i w tym przypadku należy dobrze zabezpieczyć dane niezbędne do uwierzytelnienia np. stosując rozwiązania oparte o LDAP lub Kerberos. Strona 3 z 5

4 Uwierzytelnienie transakcji Niektórym akcjom, które użytkownicy realizują w systemie stawiane są szczególne wymagania bezpieczeństwa. Może to dotyczyć np. operacji finansowych o znacznej wartości. W takim przypadku można je dodatkowo zabezpieczyć stosują uwierzytelnienie transakcji, które polega na podaniu dodatkowych informacji potwierdzających tożsamość osoby realizującej taką transakcję. Uwierzytelnienie transakcji powinno być realizowane za pomocą mechanizmów niezależnych od wykorzystywanych do uwierzytelnienia sprzętu lub użytkownika. Niezależne uwierzytelnienie transakcji jest bardzo często stosowane przez ogólnodostępne systemy bankowości internetowej. Ich przykładem są karty-zdrapki, różnego rodzaju tokeny sprzętowe oraz systemy pytanie-odpowiedź - np. kody SMS. Wykorzystywanie dodatkowych, niezależnych kanałów komunikacyjnych zwiększa bezpieczeństwo systemu. Do celów profesjonalnych lepiej nadaje się rozwiązanie oparte o podpis elektroniczny, które dodatkowo zabezpiecza integralność dokumentu elektronicznego opisującego transakcję. Podobny system powinien być również wykorzystywany w systemach obiegu dokumentów oraz w rozwiązaniach pracy zespołowej oraz w każdym przypadku, w którym wprowadzanie lub modyfikacja informacji wiąże się z realizacją ważnych decyzji. Podsumowanie Uwierzytelnienie decyduje o dostępie do informacji oraz służy do autoryzacji podejmowanych działań. Jest ono stosowane również w systemach informacyjnych nie wykorzystujących środków elektronicznych. Pracownicy firmy lub urzędu nie mają przecież wglądu do wszystkich dokumentów, nie mogą ich w dowolny kopiować lub modyfikować itp. Korzystanie z wielu dokumentów (np. zawierających dane osobowe) jest dozwolone jedynie w wyznaczonych pomieszczeniach (jest to wymaganie ustawowe!) i zabronione jest ich wynoszenie poza te pomieszczenia. Podobnie wiele decyzji lub planów podlega odpowiedniemu zatwierdzaniu i jest opatrywanych (uwierzytelnianych!) podpisami upoważnionych do tego osób. Przecież procedury postępowania z informacją w formie klasycznej ( papierowej ) nie zostały opracowane ze względu na dużą wartość jej nośnika (kartek papieru), lecz w celu ochrony informacji oraz zabezpieczenia procesów decyzyjnych. Kadra zarządzająca powinna wziąć pod uwagę różne podejście pracowników do informacji na nośnikach klasycznych i dostępnej w formie elektronicznej. Z reguły informacja zawarta w systemach komputerowych nie jest traktowana z równą starannością jak dostępna w formie klasycznej. Konieczne są więc działania uświadamiające, ponieważ świadomość znaczenia ochrony informacji wspomagana przez odpowiednio dobrane środki techniczne jest najskuteczniejszym bastionem ochronnym. Strona 4 z 5

5 Polecam Państwo zarówno materiały szkoleniowe na mojej stronie oraz prowadzone przez mnie szkolenia w formie tradycyjnej. Z mojej oferty szkoleniowej wyłączone są profesjonalne szkolenia poświęcone systemom LINUX RedHat oraz Novell (SuSE), na które zapraszam wszystkich zainteresowanych do ośrodków szkoleniowych firmy COMPENDIUM ( ), z którą jestem związany umową jako Autoryzowany Instruktor oraz Egzaminator. Szczególnie polecam Państwu unikalne szkolenia interdyscyplinarne dla Kadry Zarządzającej, podczas których omawiane są w przystępnej formie zagadnienia techniczne związane z systemami informatycznymi, zarządzaniem bezpieczeństwem informacji oraz zagadnienia prawne i finansowe związane z wdrażaniem i eksploatacją takich systemów. Zajęcia mogą być zorganizowane w dowolnym miejscu, zaś ich tematyka i zakres ustalone indywidualnie. Zasadniczą formą realizacji kursów jest umowa o dzieło (z przeniesieniem praw autorskich lub bez ich przeniesienia). Zapewnia to konkurencyjność cen przy zachowaniu wysokiej jakości oraz osobistej odpowiedzialności. Zainteresowanych zapraszam do bezpośredniego kontaktu ze mną: Tomasz.Barbaszewski@gmail.com tel Strona 5 z 5