ТБ Форум 2024 — международный форум «Технологии безопасности»
Компания «Актив» примет участие в международном форуме «Технологии безопасности». На мероприятии будет представлен стенд Компании «Актив». Гости форума смогут пообщаться с экспертами и задать актуальные вопросы, касающиеся линейки устройств Рутокен. Также на форуме будут работать эксперты AKTIV.CONSULTING — бизнес-направления «Актив», специализирующегося на оказании услуг консалтинга и аудита в области информационной безопасности.
Дата и время | 13 — 15 февраля 2024 года |
---|---|
Место проведения | Москва МВЦ «Крокус Экспо» |
На мероприятии выступит Сергей Панасенко, директор по научной работе «Актив», с докладом «Применение протоколов строгой аутентификации на основе неизвлекаемых ключей для разграничения доступа к ресурсам информационных систем».
Сергей Панасенко раскроет основные тезисы своего доклада.
Разграничение доступа пользователей к ресурсам информационных систем является одной из действенных мер как защиты информации, обрабатываемой в информационной системе, так и защиты системы в целом от различного рода деструктивных воздействий. При наличии в системе средств разграничения доступа пользователи авторизуются на доступ к тем или иным ресурсам в соответствии с правилами разграничения доступа и по результатам прохождения пользователями процедур их идентификации и аутентификации.
Необходимо отметить, что достаточно широкое распространение получили средства разграничения доступа на основе простых методов аутентификации пользователей; в частности, это аутентификация на основе паролей, а также на основе носителей аутентификационной информации, не обеспечивающих защиту хранящихся на них данных (следовательно, подверженных как клонированию, так и считыванию и последующему несанкционированному использованию аутентификационной информации пользователей).
При этом существуют и апробированы методы строгой аутентификации пользователей на основе криптографических протоколов и сертифицированных аппаратных средств аутентификации (криптографических токенов), которые, во-первых, защищены от клонирования или считывания хранящейся в них информации, а во-вторых, являются активными участниками выполнения протоколов строгой аутентификации, обеспечивающими выполнение криптографических операций от имени пользователя. Кроме того, используемые для аутентификации пользователя криптографические ключи не передаются в процессе аутентификации (и в принципе не извлекаются из токена). В совокупности это позволяет защитить процесс и результаты аутентификации даже от нарушителя очень высокого уровня, что актуально для информационных систем объектов критической информационной инфраструктуры и многих других.
В докладе будут рассмотрены некоторые известные протоколы строгой аутентификации на основе неизвлекаемых ключей и приведены рекомендации по внедрению методов строгой аутентификации на основе криптографических механизмов как в создаваемые, так и в существующие информационные системы.