Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Web-сервер (установленное ПО TrustedWeb Server-TWS). ПО TWS работает как proxy-сервер по отношению к ПО Web-сервера и обеспечивает контроль доступа к ресурсам Web-сервера, например к URL. Разрешение или запрещение доступа к ресурсам сервера происходит на основе правил доступа, определенных в ACL:
- общедоступные URL;
- пользовательские URL. Доступ к содержимому данных URL возможен только при наличии у пользователя прав доступа к конкретному ресурсу. Данный тип URL виден пользователям, не имеющим права доступа к содержимому данного URL;
- скрытые URL. Данный тип ресурсов является наиболее защищенным. Они не видны из сети, для того чтобы получить к ним доступ, пользователь доллсен установить с TWS контекст безопасности и иметь соответствующие привилегии;
клиент (TrustedWeb Client). Рабочая станция с установленным ПО Internet Explorer или Netscape Navigator; данная версия TrustedWeb поддерживает ОС Windows 95/NT. ПО TrustedWeb Client (TWC) взаимодействует с ПО Domain Security Server (DSS) и TWS в рамках реализации системы разграничения доступа. ПО клиента запрашивает необходимые пользователю привилегии (роль или атрибуты) для доступа к Web-серверу и передает их TWS. Клиент также получает от DSS информацию, необходимую для обеспечения конфиденциальности и целостности передаваемых между TWC и TWS сведений.
Защита технологии «клиент-сервер»
315
Система разграничения доступа
Доступ к ресурсам компьютера зачастую основан на проверке идентичности пользователей, осуществляемой с предоставлением пользователем своего пароля для доступа к определенному серверу. Данный подход достаточно уязвим по отношению к потенциальным атакам злоумыш-лениикови неприемлем в тех организациях, которые хотят иметь воз-можность управлять доступом пользователей к нескольким серверам в режиме реального времени. При этом отрицается возмоясностъ проведения громоздких операций по администрированию и переконфигурированию защищаемых серверов. TrustedWeb позволяет решить эту проблему.
В основе системы разграничения доступа лежит два типа контроля доступа: а) с использованием ролей и б) с использованием атрибутов. В первом случае роль назначается каждому пользователю домена безопасности и определяет права доступа к конкретным защищаемым ресурсам. Пользователи, обладающие одинаковыми ролями, соответственно имеют одинаковые права доступа к одним и тем лее ресурсам. Понятие роль распространяется на все защищаемые серверы домена, поэтому пользователь получает доступ к ресурсам любого сервера, где действует понятие роли. При этом используется одинаковый механизм аутентификации, то есть для всех доступных ему ресурсов он должен помнить только один пароль и идентификатор или иметь один сертификат открытого ключа. Разграничение доступа на основе атрибутов доступа (вариант «б») используется в TrustedWeb в том случае, если роль неоправданна, например, когда пользователю нужно выделить уникальные права доступа.
Архитектура открытых ключей
Как уже говорилось, в рамках TrustedWeb используются сертификаты открытых ключей для использования в качестве одного из типов аутентификации. С целью обеспечения надежного функционирования всей системы безопасности в комплект поставки TrustedWeb входит ПО центра сертификации. Данное ПО допускается использовать опционально. Подобное решение принято потому, что, во-первых, организация молсет не использовать сертификаты открытых ключей или улсе иметь свою архитектуру сертификации.
Формат представления сертификатов в TrustedWeb - X. 509 v3. Архитектура открытых ключей представлена на рис. 3.20.
316 Компьютерная безопасность и практическое применение криптографии
-> Прямые доверительные отношения
-4->- Сквозная сертификация между доменами
Рис. 3.20. Архитектура открытых ключей
«Форт»
В настоящее время решения для работы в Web являются зеркальным от-ражением современных методов управления инфраструктурами кредитно-финансовой сферы. Благодаря использованию Web-технологий компании предоставляют возмолшость коллегам, партнерам и клиентам получить доступ к необходимой для них информации. При этом возникают проблемы управления этим доступом и надежной защиты сайта или корпоративной информационной системы от попыток несанкционированного доступа к защищаемым ресурсам.
Одним из решений подобных проблем является система «Форт». Целью разработчиков этой системы заключалась в необходимости поддерлсать корпоративные интересы в бизнесе. Система «Форт» - это совместный продукт компании АНКЕЙ и МО ПНИЭИ, интегрированный со средством криптографической защиты информации «Верба-0», сертифицированным ФАПСИ.
Система «Форт» - это программное решение, обеспечивающее криптографическую защиту информации, передаваемой между браузером и Web-сервером по протоколу HTTP, и позволяющее организовать защищенный доступ множества пользователей к выделенному серверу.
Данное средство - способ обеспечения криптографической защиты информации, передаваемой по протоколу HTTP, с применением в качестве клиентского программного обеспечения браузера Microsoft Internet Explorer, что позволяет пользователю быстро, без дополнительного обучения и адаптации применять установленную у него систему. При этом использование СКЗИ «Верба-OW» гарантирует иаделшость и безопасность передачи данных по сетям общего доступа. Средства криптографической
