Методы защиты доступа в ERP-системах: идентификация и аутентификация

В статье рассмотрена проблема обеспечения защиты доступа в ERP — системах. Описаны основные методы идентификации и аутентификации, принципы их работы. Выделены их достоинства и недостатки.

Ключевые слова:ERP-система, данные, идентификация, аутентификация, данные, злоумышленник

В современном мире информационных технологий ERP — системы уже заняли свое место на рынке, благодаря их возможности автоматизировать процессы производства. В частности, ERP — система (EnterpriseResourcePlanning) — корпоративная информационная система, с помощью которой можно планировать и управлять ресурсами организации на автоматизированном уровне. В такой системе сосредоточен большой объем информации, которая представляет определенную важность для организации (данные бухгалтерии, кадровая информация, данные о сбыте и др.).

Как показывает опыт, злоумышленные действия над информацией, в частности над корпоративными данными, имеют устойчивую тенденцию к росту [1, с. 86]. Поэтому очень важно организовать необходимый уровень защиты доступа к данным корпоративной системы, чтобы по мере работы ERP-системы не происходило ситуаций, когда компания терпит убытки из-за несанкционированного доступа к информации или других неправомерных действий над данными [2, с. 54].

Архитектура ERP — системы состоит из 3 основных компонентов, взаимосвязанных между собой:

1) Клиент;

2) Сервер приложений;

3) Сервер базы данных;

Уровень «сервера приложений» автоматизирует множество процессов: от авторизации пользователей до обработки информации в БД, поэтому важно обеспечить защиту данного уровня, к примеру, назначить роли пользователям, на основании которых пользователь либо имеет доступ к тем или иным данным, либо не имеет. В корпоративных системах идентификация и аутентификация — первое, с чем сталкивается сотрудник, начиная свою работу. С помощью идентификации пользователь (сотрудник, субъект) сообщает системе свое имя, далее посредством аутентификации эта система удостоверяется, что пользователь именно тот, за кого себя выдает. Для проверки подлинности сотрудник должен предъявить системе что-то, что удостоверит его личность:

1) То, что он знает: пароль, криптографический ключ или идентификационный номер;

3) То, что есть часть его самого: биометрические данные;

Можно выделить следующие особенности средств идентификации и аутентификации.

1. Парольная аутентификация.

Для многих организаций пароли обеспечивают нужный уровень безопасности, но для крупный корпоративных систем пароли являются достаточно слабым средством обеспечения безопасности на этапе проверки подлинности сотрудника. Признано множество минусов этого средства аутентификации: пароли часто бывают очень легкие, которые легко угадать; их не хранят в тайне (изначально указываются в документации, хранятся на рабочем столе сотрудника), при вводе пароля пользователем его можно подсмотреть и др.

Но при создании определенной политики безопасности паролей можно добиться определенной надежности защиты системы: наложение ограничений (пароль должен содержать цифры и буквы разного регистра), установка срока действия пароля и количества неудачных попыток входа в систему и др.

2. Одноразовые пароли.

Для организации более защищенной аутентификации был разработан алгоритм TOTP — Time-basedOneTimePasswordAlgorithm, генерирующий пароли в зависимости от времени, которые действительны в пределах определенного интервала. Работает данный алгоритм следующим образом:

1. Пользователь берет текущее значение таймера и секретный ключ.
2. Далее он хеширует их с помощью хеш-функции, являющейся входным параметром.
3. При получении кода сервер проводит те же вычисления и сравнивает эти значения.

Такой способ защиты является более надежным, чем применение многоразовых паролей, но он также уязвим. К примеру, злоумышленник, прослушивая трафик, может перехватить логин и одноразовый пароль, который послал пользователь. Далее он просто блокирует компьютер сотрудника и отправляет полученные данные от своего имени. Если он, проводя все эти действия, укладывается в промежуток времени действия пароля, то злоумышленник получает доступ.

3. Идентификационные карты и электронные ключи

Причиной появления этого метода идентификации и аутентификации послужило создание электронных носителей информации, таких как: USB — ключи, смарт- карты, пластиковые карты).

1) Пластиковые карты с магнитной полосой — магнитная полоса содержит дорожки, на которые путем намагничивания крошечных частиц, содержащих железо на поверхности полоски, записывают закодированный номер карты, ее срок действия, имя и фамилию владельца карты и т. п. Чтение закодированной информации с карты производится путем проведения этой полосы по магнитной головке.

2) Смарт-карты, назначение которых — аутентификация пользователей и хранение ключевой информации. Существует несколько видов смарт — карт: контактные смарт — карты с интерфейсом ISO 7816, с USB — интерфейсом и бесконтактные (RFID) смарт — карты. Главной особенностью контактной смарт — карты с интерфейсом ISO 7816 является наличие чипа, который при соприкосновении с электрическими коннекторами в считывателе, позволяет считать или записать информацию. Смарт — карты с USB — интерфейсом — микросхема карты ISO 7816 вместе с USB — считывателем в одном корпусе (eToken, Rutoken). Бесконтактные смарт — карты основаны на технологии RFID, т. е. чтобы произвести необходимые операции, карты требуется подносить достаточно близко к считывателю.

4. Идентификация и аутентификация с помощью биометрических данных.

Биометрия — совокупность методов идентификации и аутентификации пользователей на основе их поведенческих или физиологических характеристик. К физиологическим можно отнести такие характеристики, как: геометрия рук или лица, сетчатка и роговица глаз или отпечатки пальцев, к поведенческим — работа с клавиатурой (динамика, стиль) или стиль написания ручной подписи, а особенности голоса (распознавание речи) относят к смежным характеристикам. Работа с биометрикой в корпоративных системах производится по следующим этапам:

2) При непосредственной идентификации и аутентификации пользователя биометрические данные снова снимаются и обрабатываются для сравнения их с шаблонами в созданной БД. Если поиск и сравнение завершается успешно, то личность сотрудника и его подлинность установлены.

Так как результат измерений биометрических данных может быть всегда разным или неточным, в связи с этим этот результат запоминается как эталонный. Нельзя говорить о полном совпадении шаблона с эталонным результатом биометрических данных, который предоставил пользователь в момент аутентификации, из-за этого вводят понятие «степени совпадения», которое и определяет пороговую величину, превышая которую, можно говорить об успешной аутентификации пользователя.

Биометрическая идентификация и аутентификация также подвержена различным угрозам, как и другие способы аутентификации. К примеру, к устройству сканирования биометрических данных можно легко поднести муляж (запись голоса, муляжи пальцев из баллистического геля и др.). Также следует учитывать то, что биометрические данные любого человека меняются со временем, и таким образом, необходимо каждый раз через какой-то промежуток времени обновлять БД шаблонов.

Однако, учитывая ненадежность паролей, как одноразовых, так и многоразовых, их можно сменить, цифровые сертификаты или USB-ключи можно аннулировать, но биометрику человек заменить не сможет, поэтому если биометрические данные сотрудников будут скомпрометированы, то организация будет вынуждена производить полную модернизацию всей системы.

5. Многофакторная аутентификация

Для улучшения безопасности доступа чаще всего применяют сразу несколько средств аутентификации. Самый надежный метод многофакторной аутентификации на сегодня — использование токенов — персональных аппаратных устройств [3. c.15].

Токен — электронный ключ, представленный в виде USB — карт-ридера с интегрированным чипом смарт — карты. Токены, созданные на основе смарт — карт, могут генерировать и хранить ключи шифрования, обеспечивая таким образом строгую аутентификацию при доступе к компьютеру с внедренной ERP — системой или другой информационной системе предприятия. Использование токенов при входе в ERP — систему, она автоматически будет заблокирована, если сотрудник покинет рабочее место. Но часто случается так, что пользователь, уходя, забывает забрать токен с собой, и таким образом, открытый доступ к ERP — системе является серьезной уязвимостью в системе безопасности предприятия. Другим способом многофакторной аутентификации является ввод одноразового пароля, сгенерированного устройством, по совместительству с многоразовым паролем.

Во многих корпоративных системах уже оценили преимущества внедрения токенов в систему безопасности. Но из-за частых смен забытых PIN — кодов к токенам, приходится менять токен и выдавать временный. Следствием этого являются значительные затраты предприятия на такое сопровождение внедренных средств идентификации и аутентификации. Поэтому даже такие строгие методы защиты, как, к примеру, многофакторная аутентификация, включающая в себя совокупность уже привычных средств, не обеспечат полную защиту предприятия от несанкционированного доступа к данным ERP — системы. Для того чтобы сделать их действительно эффективными, нужно определить политику безопасности, регламенты и правила поведения на рабочем месте.

Описанные выше методы идентификации и аутентификации имеют свои достоинства и недостатки, но каждый метод на том или ином уровне защищает предприятие от несанкционированного доступа к ERP — системе. Основными причинами утечки корпоративных данных являются: передача пароля для доступа к ERP — системе третьим лицам, уход с рабочего места с забытым электронным ключом или картой в системе. Поэтому по большей части защита ERP — системы на уровне авторизации зависит непосредственно от самого пользователя: от того, с какой ответственностью он подходит к выполнению своей работы и защите своего предприятия. Сложнее, конечно, скомпрометировать биометрические данные, но и это не дает сто процентной гарантии, что ERP — система будет полностью защищена. Многофакторная аутентификация — самый надежный метод защиты доступа на сегодняшний день. В совокупности с дополнительным средством аутентификации токены становятся все более популярными, так как они позволяют решать сразу несколько задач по обеспечению информационной безопасности предприятия.

Литература:

1. Цыбулин А. М. Подход к построению автоматизированной системы управления информационной безопасностью предприятия // Вестник Волгу. Технические инновации. — 2011. — № 5. –С. 86–89.
2. Багров Е. В. Мониторинг и аудит информационной безопасности на предприятии // Вестник Волгу. Технические инновации. — 2011. — № 5. — С. 54–56.
3. Комаров А. Современные методы аутентификации: Токен и это все о нем..! // T-Comm — Телекоммуникации и Транспорт. — 2008. — № 6. — С. 13–16.