поиск по сайту
Аутентифицированный доступ к бесплатному ресурсу. Как и зачем?

С. В. Конявская,

Россия, ОКБ САПР

Аутентифицированный доступ к бесплатному ресурсу. Как и зачем?

Доступ к ресурсам библиотеки является бесплатным для ее читателей, однако он разделен по категориям («общий зал», «гуманитарный зал», «естественный зал» «докторский зал» и прочее). Причина, конечно, не в том, что пользователи «разных залов» должны сидеть раздельно, а в том, что они имеют право на доступ к разным ресурсам, на разные «льготы».

Естественно сделать контролируемым и доступ к электронным ресурсам библиотеки, тем более что именно организация работы с электронными ресурсами открывает возможность для развития на базе библиотеки системы предоставления услуг читателям, в том числе и платных.

Однако для того чтобы контролировать доступ к электронным ресурсам, не достаточно отметки в читательском билете о том, что читателю позволен вход в соответствующий зал, необходимо контролировать доступ к ресурсу средствами самой вычислительной системы.

Для этого в дополнение к читательскому билету у читателя, который планирует использовать электронные ресурсы библиотеки, должно быть специальное устройство, выдаваемое библиотекой и необходимое для входа в систему. Случаи входа в систему зарегистрированного пользователя будут фиксироваться и могут быть потом обработаны с целью получения тех или иных выводов, а вход в систему незарегистрированного пользователя, даже если он является читателем библиотеки и имеет физический доступ к рабочим местам компьютерного зала - будет исключен.

Добиться такого режима можно разными способами, из которых целесообразно выбрать оптимальный по следующим позициям:

  • надежность (репутация поставщика, надежная техническая реализация)
  • экономичность (невысокая стоимость внедрения и обслуживания, сохранение инвестиций в существующую информационную систему (внедрение не должно потребовать замены парка СВТ или приобретенного ПО))
  • гибкость (возможность развития системы, построенной на решении)
  • нетравматичность внедрения (наложение системы защиты не должно вызвать перебоев в работе системы, применяемые средства должны быть совместимы с функционирующим в системе ПО)

Предлагается построить решение на основе устройства ШИПКА-лайт.

Решения для организации аутентифицированного доступа к электронным ресурсам библиотеки

Решение, которое в рамках данного проекта может носить название, например, «Шипка-РГБ», или «Доступ к знаниям», может в дальнейшем развиваться, наращивая функциональность без потери инвестиций.

В основе решения лежит выдача тем читателям, которые изъявляют желание пользоваться компьютерным залом и удаленным доступом к электронным ресурсам библиотеки, USB-устройства, заранее зарегистрированного в системе, подключение которого (и ввод PIN-кода) будет открывать доступ к электронным ресурсам библиотеки.

В этом случае будет гарантированно, что ресурсом будут пользоваться только зарегистрированные читатели лично. Это важно потому, что доступ, построенный на оплате той или иной «лицензии» зачастую использует не один человек, а целая группа, и зафиксировать это очень сложно, а еще сложнее - предотвратить. Также можно будет установить время работы каждого из них, установить, кто именно, например, отправил на печать тот или иной фрагмент того или иного произведения (это поможет избежать возможных недоразумений и конфликтов), и т. д. Это очень важно для обеих сторон - и для читателя, и для библиотеки, ведь установить факт запроса услуги именно этим читателем, и факт оказания услуги ему - можно будет абсолютно надежно. Это означает, что библиотека сможет аргументировано отклонять необоснованные жалобы или отказы со стороны читателя и надежно учитывать оказанные услуги.

При выдаче устройства читателю в журнале регистрации делается запись, устанавливающая соответствие серийного номера устройства ФИО читателя и номеру его читательского билета, а в самом читательском билете делается пометка о том, что читатель имеет право доступа в компьютерный зал.

Это необходимо для того, чтобы читатели не приобретали одно устройство на целую группу людей и не передавали устройства друг другу. Если при входе в зал будет проверяться отметка в читательском билете, такое злоупотребление лишится смысла при работе в компьютерном зале, а при удаленном доступе это позволит контролировать, что доступ осуществляет действительно один читатель, а не один компьютер, ведь одним компьютером может пользоваться сколько угодно людей, передающих один другому пароль.

Защищенный доступ к ресурсам библиотеки предлагается строить на контролируемом входе в домен Windows.

Вход в домен Windows

Одним из способов входа в домен Windows является метод, основанный на использовании смарт-карты. При этом смарт-карта является защищенным носителем ключевой пары и сертификата открытого ключа, что позволяет одновременно идентифицировать и аутентифицировать пользователя. В качестве смарт-карты при входе в домен может использоваться ПСКЗИ ШИПКА.

С точки зрения пользователя все будет происходить точно так же, как в предыдущей схеме: пользователь включит компьютер, подключит ШИПКУ, введет PIN-код и начнет работу.

Система, однако, будет построена совершенно иначе: системному администратору предстоит произвести настройку Active Directory и «Центра сертификации», создание учетных записей пользователей, выдачу сертификатов. Настройка механизма входа в домен с помощью ШИПКИ фактически сводится к генерации ключей, получении на них сертификата в «Центре сертификации», записи этих сертификатов на устройство пользователя, зарегистрированного в домене. При попытке пользователя осуществить вход в домен будет осуществляться проверка сертификата (подпись «Центра сертификации», срок действия, не отозван ли, и т. п.), а также наличие в устройстве закрытого ключа, соответствующего открытому ключу, сертификат на который предъявлен пользователем.

Для того чтобы выписать сертификат для пользователя, нужно воспользоваться службой «Центр сертификации», входящей в состав приложений Windows Server. Для того чтобы обеспечить максимальную независимость частей системы одной от другой, целесообразно развернуть «Центр сертификации» на отдельном компьютере (сервере). То есть помимо собственно ШИПОК необходимо приобрести (или выделить) компьютер и приобрести лицензию на ПО Windows Server.

Сертификаты могут выдаваться временные или с неограниченным сроком действия, могут отзываться или продлеваться (в случае ограниченного срока действия) в соответствии с условиями и политикой, принятыми в библиотеке.

Эта схема удобна в том случае, если предполагается администрирование системы, которое позволит использовать возможности, предоставляемые Active Directory.

Очевидно, что для контроля работы пользователей в компьютерном зале библиотеки требуется более высокая детальность аудита, чем при удаленном доступе к личному кабинету. Поэтому защищенный доступ к ресурсам библиотеки со средств вычислительной техники компьютерных залов предлагается дополнить функцией «Защищенный вход в ОС».

Защищенный вход в ОС

Все штатные рабочие места читателей в компьютерном зале библиотеки настроены таким образом, что пользователь может получить доступ только к строго определенным возможностям, и эти возможности одинаковы для всех групп пользователей (то есть, по сути дела, все пользователи являются пользователями одной группы). Стало быть, задача может быть сведена к тому, чтобы

  1. вход в операционную систему осуществлялся только зарегистрированным пользователем,
  2. начало и окончание сеанса его работы фиксировались в журнале,
  3. после окончания работы пользователя рабочее место возвращалось в исходное состояние (то есть выключалось - с тем чтобы работу на включенном легальным пользователем компьютере не мог бы продолжить пользователь нелегальный).

Все перечисленные функции реализованы в программе «Настройка защищенного входа в ОС», входящей в штатное программное обеспечение ШИПКИ.

Для работы по такой схеме сначала администратору системы необходимо будет проинициализировать все устройства (или какое-то количество устройств, предполагаемых для выдачи, скажем, в течение следующего дня или следующей недели) и установить ПО ШИПКИ на все рабочие места компьютерного зала. Затем нужно зарегистрировать на каждом из устройств пары «имя пользователя+имя компьютера» всех рабочих мест компьютерного зала. То есть в каждой ШИПКЕ появится база, содержащая столько пар «имя пользователя+имя компьютера», сколько в компьютерном зале рабочих мест.

После этого в программе «Настройка защищенного входа в ОС» на каждом из компьютеров нужно установить параметры «вести журнал событий» и «в случае отключения ШИПКИ от USB-порта выключать компьютер».

Теперь загрузить ОС на рабочих местах компьютерного зала пользователи смогут только подключив ШИПКУ и введя ее PIN-код. При этом факты начала и окончания сеанса работы будут фиксироваться в журнале, которые впоследствии можно просмотреть, если возникнет необходимость, а при отключении ШИПКИ от USB-порта компьютера, он будет выключаться, а значит, пользователь не сможет «изобразить», что закончил сеанс, а сам продолжить работу, а следующий пользователь сможет начать сеанс только после подключения своей ШИПКИ и введения PIN-кода.

Выбор устройства

Построение системы защиты на основе устройств ШИПКА-лайт обусловлен, кроме репутации разработчика и производителя, несколькими факторами.

Шипка-лайт - это самое недорогое в линейке устройств, на базе которых  может строиться ПСКЗИ ШИПКА. Основное предназначение этой модификации - функции «токена»: защищенное хранение ключей и сертификатов. Использовать «обыкновенные» ШИПКИ только для этих функций может быть не всегда оправданным, ведь их функциональность существенно шире. Поэтому для тех систем, в которых требуется только защищенный ключевой контейнер (например, для аутентифицированного доступа в домен с использованием сертификатов открытых ключей, или в случаях, когда по каким-то причинам нужно использовать программные СКЗИ, но хранить ключи в отчуждаемом защищенном носителе), целесообразно использовать именно альтернативу «токенам» - Шипку-лайт.

Шипка-лайт имеет принципиальное отличие от традиционных «токенов», ставящее ее на качественно иные позиции: она отечественная.

С точки зрения пользовательских функций работа с ПСКЗИ ШИПКА на базе Шипки-лайт не имеет принципиальных отличий от работы с ПСКЗИ ШИПКА на базе Шипки-1.6, кроме разницы в скорости производимых операций. Пользовательский дистрибутив ПСКЗИ ШИПКА версий 3.3.3.0 и выше - предусматривает работу с этим устройством так же, как и с остальными выпускаемыми модификациями.

В силу особенностей архитектуры, возможностей по изменению функциональности устройства под нужды того или иного конкретного заказчика в случае с Шипкой-лайт у разработчиков существенно меньше. Это одна из причин, почему она называется «лайт», однако, что в случае с зарубежными смарт-картами такой возможности, как правило, нет совсем. Поэтому в системах, функциональность которых планируется наращивать, целесообразно применять именно Шипку-лайт.

Система доступа и использования электронных ресурсов библиотеки обязательно будет развиваться, потому что в этом заинтересованы как библиотека, так и граждане, и государство. В связи с этим нерационально использовать при построении системы устройства, которые придется в дальнейшем заменять на другие.

Особенно нежелательно это потому, что замена устройств у пользователей, а не у сотрудников библиотеки, влечет за собой как расходы на доставку, так и значительные организационные и психологические трудности, угрожающие даже потерей лояльности читателей.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них