Безопасность информационных технологий

Распространение информационных технологий, а также расширение сфер их применения требуют от разработчиков программного обеспечения постоянного повышения уровня безопасности при работе пользователей с конфиденциальной информацией и персональными данными. Задача организации безопасной аутентификации пользователей в информационных системах является, пожалуй, одно из самых распространенных проблем, которые возникают при разработке практически любого программного обеспечения. Несмотря на наличие огромного существующего на сегодняшний день количества средств аутентификации, регулярно появляются новые способы, механизмы и технологии организации данного процесса, повышающие, в первую очередь, уровень защиты данных от несанкционированного доступа к ним.  В данной статье рассматривается опыт применения централизованной системы аутентификации пользователей на основе CAS-протокола (CAS - Central Authentication Service, служба централизованной аутентификации) и свободно распространяемого программного обеспечения с открытым исходным кодом. В рамках работы проанализированы его основные преимущества и недостатки, а также рассмотрены возможности его модификации с целью повышения уровня защиты веб-ориентированных информационных систем от несанкционированного доступа. Рассмотрены механизмы, позволяющие установить максимальную продолжительность непрерывной работы в сервисах, использующих централизованную систему аутентификации, а также рассмотрены проблемы применения современных веб-технологий при использовании системы аутентификации, базирующейся на CAS-протоколе. В статье рассмотрены возможности модернизации CAS-сервера с целью реализации дополнительных модулей: модуль сбора и анализа статистики использования информационных систем, система управления пользователями, а также рассмотрены особенности его применения в образовательной организации с целью формирования единой информационно-образовательной среды.

безопасность веб-приложений; CAS-протокол; централизованная система аутентификации; CAS; аутентификация пользователей; Ruby on Rails

1 П.П. Кейно. Иерархическая модель прав доступа в декларативном языке моделирования веб-приложений по методолгии BlockSet // Безопасность информационных технологий. 2016. №1. С. 53-58.

2 М.В. Ванин, И.А. Трифаленков, В.И. Королев. Единая система идентификации и аутентификации как национальный сервис инфраструктуры электронного правительства // Безопасность информационных технологий. 2013. №1. С. 39-42.

3 Alexov, A.; Deighton, D.; Doggett, J.; McCuen, L.; Russell, R.; Yermolaev, A. C hoosing a Single Sign-On Solution at STScI. Astronomical Data Analysis Software and Systems XXIII. Proceedings of a meeting held 29 September - 3 October 2013 at Waikoloa Beach Marriott, Hawaii, USA. Edited by N. Manset and P. Forshay ASP conference series, vol. 485, 2014, p.289.

4 Brachmann, Eric, Dittmann, Gero, Schubert, Klaus-Dieter. Simplified Authentication and Authorization for RESTful Services in Trusted Environments – Berlin; Heidelberg: Springer-Verlag, 2012. p. 244-258.

5 CAS-protocol. [Электронный ресурс]. URL: https://apereo.github.io/cas/4.2.x/protocol/CAS-Protocol.html (дата обращения 24.03.2017).
6 Central Authentication Service. [Электронный ресурс]. URL: https://en.wikipedia.org/wiki/Central_Authentication_Service (дата обращения 24.03.2017).

7 Suoranta S., Heikkinen J., Silvekoski P. (2012) Authentication Session Migration. In: Aura T., Järvinen K., Nyberg K. (eds) Information Security Technology for Applications. NordSec 2010. Lecture Notes in Computer Science, vol 7127. Springer, Berlin, Heidelberg.

8 Apereo CAS - Enterprise Single Sign On for all earthlings and beyond. [Электронный ресурс]. URL: https://github.com/apereo/cas (дата обращения 24.03.2017).

9 Provides single sign-on authentication for web applications, implementing the server-end of Jasig's CAS protocol. [Электронный ресурс]. URL: https://github.com/rubycas/rubycas-server (дата обращения 24.03.2017).

10 Ruby on Rails - A web-application framework that includes everything needed to create database-backed web applications according to the Model-View-Controller (MVC) pattern. [Электронный ресурс]. URL: http://rubyonrails.org/ (дата обращения 05.04.2017).

11 CASino. [Электронный ресурс]. URL: http://casino.rbcas.com/ (дата обращения 24.03.2017).

12 Язык программирование Ruby. [Электронный ресурс]. URL: https://www.ruby-lang.org (дата обращения 24.03.2017).

13 Z.A. Pardos, A. Whyte, K. Kao. moocRP: Enabling Open Learning Analytics with an Open Source Platform for Data Distribution, Analysis, and Visualization. Technology, Knowledge and Learning, 2016. vol. 21. Issue 1. pp. 75-98. doi: 10.1007/s10758-015-9268-2.

14 Корпоративный портал НИЯУ МИФИ. [Электронный ресурс]. URL: https://home.mephi.ru (дата обращения 24.03.2017).

15 Служба централизованной аутентификации НИЯУ МИФИ. [Электронный ресурс]. URL: https://auth.mephi.ru (дата обращения 24.03.2017).