Надежная книга

Геля Рузайкин, Мир ПК №12

Обеспечение информационной безопасности в ИТ-системе обычно начинается с решения вопроса об идентификации пользователя с целью выяснения его прав на доступ в нее. Создание соответствующих технологий — отдельная ниша рынка, к которой проявляют интерес не только пользователи и разработчики, но и работники сферы образования, а также издатели.

Выпущенная научно-техническим издательством «Горячая линия — Телеком» книга «Аутентификация» представляет собой удачный сплав материалов на эту тему по теории и практике, дополненный видеосборником лабораторных работ. Данное учебное пособие подготовили представители Института системной интеграции и безопасности Томского университета систем управления и радиоэлектроники вместе с сотрудниками компании Aladdin. Это и предопределяет круг его читателей: студенты вузов и средних учебных заведений, аспиранты и специалисты-практики, заинтересованные в повышении уровня знаний по информационной безопасности.

Первая часть издания, «Теоретические основы», включает восемь глав, охватывающих наряду с общими сведениями терминологического характера описание роли, задач и факторов аутентификации, ее места среди основных направлений защиты информации и многие другие вопросы. Кроме того, в нем рассмотрены известные виды аутентификации: парольная, посредством биометрических характеристик человека, путем использования криптографии с открытым ключом и на базе применения протоколов. Последние два вида представлены для пользователей локальной сети, в которой механизмы работают при подключении к устройствам внутри системы, в частности к защищенным соединениям.

Завершает первую часть книги глава «Применение аппаратных средств аутентификации и хранения ключевой информации», где рассказывается о РКI-решениях, удовлетворяющих типовым требованиям к средствам аутентификации пользователей и хранению ключевой информации. При этом рассматриваются особенности корпоративного употребления персональных средств аутентификации и хранения ключевой информации (токенов), а также централизованная схема управления ими. В частности, приведено описание Token Management System (TMS), разработанной компанией Aladdin.

Определенный интерес представляет раздел последней главы первой части, посвященный описанию практических соображений, полезных при построении комплексного решения для единого персонального средства аутентификации и хранения ключевой информации, которое учитывает актуальные бизнес-задачи по защите корпоративной информации, проблемы выбора персональных устройств и даже критерии такого выбора. В связи с тем что «Аутентификация» рекомендована в качестве учебного пособия, каждая глава первой части завершается контрольными вопросами по рассмотренным темам.

В трех главах второй части, названной «Практика», обсуждаются известные типовые решения по обеспечению безопасности доступа к данным и приложениям информационной системы организации на основе рекомендаций и продуктов корпораций Microsoft, Oracle и Aladdin, а также Citrix Systems.

Завершающая часть, «Лабораторные работы», включает девять работ, которые имеет смысл использовать как вспомогательный материал к соответствующим курсам в вузе или среднем специальном учебном заведении. Вот некоторые темы предложенных лабораторных работ: подготовка стенда, установка и настройка ПО; подготовка электронных ключей eToken; установка и настройка Центра сертификации, применение ключей eToken в домене Windows Server 2003; использование eToken для безопасного доступа к информационным ресурсам для шифрования и для ЭЦП; доступ в СУБД Oracle с аутентификацией на основе сертификатов и др.

Книга «Аутентификация» для упомянутого выше читательского круга написана аккуратно и доступно. Естественно, не все решения, представленные на рынке, удалось в ней показать, но авторы затронули наиболее известные технологии и продукты, а также решения, построенные на их основе. Думаем, данное издание будет полезно для корпоративного использования при подготовке сотрудников службы безопасности.