Централизованное управление электронными замками

© Сергей Панасенко, 2005.

Продолжим тему защиты компьютеров от несанкционированного доступа, начатую в статье «Аппаратные шифраторы и электронные замки».

Управление электронными замками

Как было сказано в упомянутой выше статье, электронные замки необходимы для ограничения доступа к персональному компьютеру. У любого пользователя, пытающегося загрузить защищаемый компьютер, запрашивается носитель аутентификационной информации и пароль или PIN-код. Если пользователь находится в списке тех, кому разрешен доступ на данный компьютер, выполняются дальнейшие проверки (проверка целостности важных файлов операционной системы и другие), после которых (в случае их успешного завершения) начинается загрузка штатной операционной системы компьютера.
В зависимости от конфигурации и назначения конкретного электронного замка, учетная запись о пользователе может содержать (помимо информации, необходимой для его аутентификации) еще и набор различной дополнительной информации о пользователе, например:

В общем случае локальная сеть, объединяющая защищенные электронными замками компьютеры, выглядит согласно рис. 1. Такая схема имеет ряд недостатков, а именно:

Для устранения данных недостатков логично использовать централизованное управление электронными замками, которое осуществляется с помощью специального сервера управления замками (см. рис. 2). Для выполнения данной задачи сервер должен содержать, как минимум, следующую информацию:

Процесс входа пользователя на защищенный замком компьютер упрощенно выглядит так:

Понятно, что для безопасной работы системы централизованного управления замками необходимо обеспечить защиту конфиденциальности и целостности передаваемых команд и данных. Для этого следует использовать шифрование данных, а также снабжать все передаваемые пакеты команд/данных имитоприставками или аналогичными криптографическими контрольными суммами (см., например, статью «Отечественный стандарт шифрования», «Мир и безопасность» № 5/2003). Причем, шифрование данных позволит не ограничивать зону действия сервера управления одной локальной сетью – управление замками можно производить и через Интернет, что исключительно удобно для организаций, имеющих территориально распределенную структуру.

Администрирование сервера управления

Как видно из вышесказанного, все необходимые для работы электронных замков данные о пользователях хранятся централизованно на сервере управления замками. Указанные выше недостатки отсутствуют: каждый пользователь имеет одну учетную запись независимо от числа компьютеров, к которым он допущен (исключение возникает в том случае, если пользователь имеет различные права на разных компьютерах), а администратор управляет данными, сконцентрированными в одном месте. Причем, администрирование может вестить различными путями:

Два последних варианта требуют наличия специального программного обеспечения (а вариант № 2 – еще и выделенного АРМ администрирования сервера управления), однако их применение кажется наиболее целесообразным. Последний из вариантов представляется наиболее удобным, однако, он требует наличия непосредственно в электронном замке достаточно сложного ПО администрирования (включающего, в частности, модули шифрования и поддержки межсетевых коммуникаций), что не всегда возможно.
Использование электронных замков по варианту администрирования № 2 показано на рис. 3, а пример интерфейса ПО администрирования сервера управления замками – на рис. 4.
Помимо описанных выше задач, механизм централизованного администрирования замков может предоставить множество других интересных возможностей, например:

Как видно, централизованное управление замками позволяет не только устранить недостатки локально управляемых замков, но и превратить сервер управления в реальный центр безопасности информационной системы организации. В этом случае, однако, возникают серьезные требования к производительности данного сервера и его отказоустойчивости. Однако, данные темы заслуживают отдельного рассмотрения в одной из следующих статей, посвященных теме применения электронных замков.

Структура сервера управления

Возможны различные решения реализации сервера управления замками, однако, автору статьи кажется оптимальной следующая структура сервера:

Описанная структура показана на рис. 5.

 

Рисунки:

  1. Оснащение электронными замками компьютеров локальной сети.
  2. Централизованное управление замками.
  3. Использование АРМ администратора для централизованного управления.
  4. Интерфейс программы администрирования сервера управления.
  5. Структура сервера управления.
Алгоритмы шифрования...

Rambler's Top100 OZON.ru

Перейти на главную страницу

Карта сайта

Список статей