Установка идентификации и аутентификации пользователей

Идентификация и аутентификация применяются для ограничения доступа случайных и незаконных субъектов (пользователи, процессы) информационных систем к ее объектам (аппаратные, программные и информационные ресурсы).

Общий алгоритм работы таких систем заключается в том, чтобы получить от субъекта (например, пользователя) информацию, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой.

Наличие процедур аутентификации и/или идентификации пользователей является обязательным условием любой защищенной системы, поскольку все механизмы защиты информации рассчитаны на работу с поименованными субъектами и объектами информационных систем.

Идентификация – присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным.

Аутентификация (установление подлинности) – проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.

При построении систем идентификации и аутентификации возникает проблема выбора идентификатора, на основе которого осуществляются процедуры идентификации и аутентификации пользователя. В качестве идентификаторов обычно используют:

­ набор символов (пароль, секретный ключ, персональный идентификатор и т. п.), который пользователь запоминает или для их запоминания использует специальные средства хранения (электронные ключи);

­ физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т. п.) или особенности поведения (особенности работы на клавиатуре и т. п.).

Наиболее распространенными простыми и привычными являются методы аутентификации, основанные на паролях – конфиденциальных идентификаторах субъектов. В этом случае при вводе субъектом своего пароля подсистема аутентификации сравнивает его с паролем, хранящимся в базе эталонных данных в зашифрованном виде. В случае совпадения паролей подсистема аутентификации разрешает доступ к ресурсам системы.

Парольные методы аутентификации по степени изменяемости паролей делятся на:

­ методы, использующие постоянные (многократно используемые) пароли;

­ методы, использующие одноразовые (динамично изменяющиеся) пароли.

Использование одноразовых или динамически меняющихся паролей является более надежным методом парольной защиты.

В последнее время получили распространение комбинированные методы идентификации и аутентификации, требующие, помимо знания пароля, наличие карточки (token) – специального устройства, подтверждающего подлинность субъекта.

Карточки разделяют на два типа:

1. пассивные (карточки с памятью);

2. активные (интеллектуальные карточки).

Самыми распространенными являются пассивные карточки с магнитной полосой, которые считываются специальным устройством, имеющим клавиатуру и процессор. При использовании указанной карточки пользователь вводит свой идентификационный номер. В случае его совпадения с электронным вариантом, закодированным в карточке, пользователь получает доступ в систему. Это позволяет достоверно установить лицо, получившее доступ к системе и исключить несанкционированное использование карточки злоумышленником (например, при ее утере). Такой способ часто называют двукомпонентной аутентификацией.

Интеллектуальные карточки кроме памяти имеют собственный микропроцессор. Это позволяет реализовать различные варианты парольных методов защиты, например, многоразовые пароли, динамически меняющиеся пароли.

Методы аутентификации, основанные на измерении биометрических параметров человека, обеспечивают почти стопроцентную идентификацию, решая проблемы утери или утраты паролей и личных идентификаторов. Однако эти методы нельзя использовать при идентификации процессов или данных (объектов данных), они только начинают развиваться, требуют пока сложного и дорогостоящего оборудования. Это обусловливает их использование пока только на особо важных объектах.

Примерами внедрения указанных методов являются системы идентификации пользователя по рисунку радужной оболочки глаза, по почерку, по тембру голоса и др.

Новейшим направлением аутентификации является доказательство подлинности удаленного пользователя по его местонахождению. Данный защитный механизм основан на использовании системы космической навигации, типа GPS (Global Positioning System). Пользователь, имеющий аппаратуру GPS, многократно посылает координаты заданных спутников, находящихся в зоне прямой видимости. Подсистема аутентификации, зная орбиты спутников, может с точностью до метра определить месторасположение пользователя. Высокая надежность аутентификации определяется тем, что орбиты спутников подвержены колебаниям, предсказать которые достаточно трудно. Кроме того, координаты постоянно меняются, что исключает их перехват. Такой метод аутентификации может быть использован в случаях, когда авторизованный удаленный пользователь должен находиться в нужном месте.

Общая процедура идентификации и аутентификации пользователя при его доступе в защищенную информационную систему заключается в следующем.

Пользователь предоставляет системе свой личный идентификатор (например, вводит пароль или предоставляет палец для сканирования отпечатка). Далее система сравнивает полученный идентификатор со всеми хранящимися в ее базе идентификаторами. Если результат сравнения успешный, то пользователь получает доступ к системе в рамках установленных полномочий. В случае отрицательного результата система сообщает об ошибке и предлагает повторно ввести идентификатор. В тех случаях, когда пользователь превышает лимит возможных повторов ввода информации (ограничение на количество повторов является обязательным условием для защищенных систем) система временно блокируется и выдается сообщение о несанкционированных действиях (причем, может быть, и незаметно для пользователя).

Если в процессе аутентификации подлинность субъекта установлена, то система защиты информации должна определить его полномочия (совокупность прав). Это необходимо для последующего контроля и разграничения доступа к ресурсам.

В целом аутентификация по уровню информационной безопасности делится на три категории:

1. статическая аутентификация;

2. устойчивая аутентификация;

3. постоянная аутентификация.

Первая категория обеспечивает защиту только от несанкционированных действий в системах, где нарушитель не может во время сеанса работы прочитать аутентификационную информацию. Примером средства статической аутентификации являются традиционные постоянные пароли. Их эффективность преимущественно зависит от сложности угадывания паролей и, собственно, от того, насколько хорошо они защищены.

Устойчивая аутентификация использует динамические данные аутентификации, меняющиеся с каждым сеансом работы. Реализациями устойчивой аутентификации являются системы, использующие одноразовые пароли и электронные подписи. Устойчивая аутентификация обеспечивает защиту от атак, где злоумышленник может перехватить аутентификационную информацию и использовать ее в следующих сеансах работы.

Однако устойчивая аутентификация не обеспечивает защиту от активных атак, в ходе которых маскирующийся злоумышленник может оперативно (в течение сеанса аутентификации) перехватить, модифицировать и вставить информацию в поток передаваемых данных.

Постоянная аутентификация обеспечивает идентификацию каждого блока передаваемых данных, что предохраняет их от несанкционированной модификации или вставки. Примером реализации указанной категории аутентификации является использование алгоритмов генерации электронных подписей для каждого бита пересылаемой информации.

11.05.16 Изучение сайта предприятия и составление технического задания для разработки сайта

Редкая коммерческая организация сегодня обходится без собственной страницы в интернете. Это удобная форма предоставления информации о деятельности компании, эффективный способ рекламы или даже продажи товаров. Для успешной организации работы над электронным ресурсом необходимо тщательно согласовывать техническое задание на разработку сайта.

Отношения разработчика и заказчика строятся на возмездной основе. Права и обязанности сторон закрепляются письменным договором. При этом каждый из участников сделки должен понимать, что конкретно получится после завершения работ.

Любые изменения и доработки проекта влекут за собой временные и материальные затраты, ведь труд дизайнеров, программистов и верстальщиков стоит денег. Без всеобъемлющего технического задания возникнут многочисленные споры о том, за чей счёт должны производиться доработки.

Важно понимать, что техническое задание на разработку сайта является неотъемлемой частью договора на проведение соответствующих работ. Без его подписания не стоит приступать к работе.

Задание делится на несколько составных частей.

­ глоссарий. В этом разделе даются определения основных понятий, которые будут использоваться в документе. Например, требуют пояснения такие термины, как шаблон раздела, HTML-теги, контент и другие;

­ общие положения. Сторонам следует определить статус технического задания, порядок внесения в него поправок и согласования отдельных положений. Также в этом разделе регламентируются цели и задачи сайта. Любая компания ориентируется на конкретную аудиторию, и для каждой целевой группы подбирается свой дизайн и определённое информационное наполнение.

Сайты используются для различных целей: в качестве интернет-магазина, в рекламных целях, для предоставления информации о компании и так далее. Цели, для которых создаётся сайт, также влияют на его структуру и содержание.

Требования к программному обеспечению. Они включают в себя серверную часть (программные условия, за которые отвечает владелец сайта) и клиентскую (браузеры, через которые заходят на электронный ресурс клиенты).

Технические требования. Сайт разрабатывается под конкретные аппаратные возможности вычислительной техники. Неоптимизированные страницы будут проблемно открываться на устаревших устройствах, что существенно снизит аудиторию. В задании указываются требования к процессору, оперативной памяти и так далее.

Типы пользователей. Сайт посещают пользователи с различными статусами: администраторы, авторизованные пользователи, неавторизованные и так далее. Для каждой из этих групп должен быть разработан собственный функционал.

Требования к графическому дизайну. Заказчик и исполнитель согласовывают цветовую гамму, размеры баннеров и кнопок, расположение блоков на страницах и так далее. Отдельно указываются элементы, которые не должны быть использованы в ходе создания графической составляющей (например, мелькающие баннеры).

Обязательно следует прописать порядок утверждения концепции дизайна сайта. Любые изменения в уже принятую концепцию могут вноситься только за дополнительную плату.

Требования к структуре сайта. Это самый объёмный раздел. В нём описывается, какие именно элементы нужны на электронном ресурсе: главная страница, личный кабинет, раздел «О компании», страницы с описаниями товаров и так далее.

Подробно следует остановиться на статических и динамических частях страницы, размерах кнопок, баннеров, других структурных элементов. Чем больше будет информации о каждой части, тем быстрее работники организации-заказчика справятся с поставленной задачей.

Система управления сайтом. Отдельно стоит остановиться на структуре инструментов, предназначенных для добавления новых страниц, удаления и добавления новостей на сайт, внесения иных изменений. После создания сайта он будет управляться силами компании-заказчика, и интерфейс должен быть понятен её работникам.

Требования к контенту. Нередко заказчики желают получить полностью наполненный сайт. На страницах должны быть тематические статьи, новости по теме, информация о новинках продукции фирмы и так далее. Кроме этого, должны присутствовать графические материалы, видеоролики, баннеры.

Этапы выполнения работ, порядок сдачи-приёмки каждого из этапов. Весь процесс создания сайта должен быть разделён на несколько частей. Работа над каждой частью должна быть выполнена за определённый период времени и принята заказчиком.

Переделка уже принятого этапа неизбежно повлечёт за собой внесение изменений в последующие, что увеличит время работы над проектом и затраты исполнителя;

Порядок передачи сайта. После завершения работ сайт может быть передан в дистрибутиве или размещён на хостинге. Подходящую форму стороны должны согласовать в техническом задании.

Анализ дизайна макета сайта

Лучший сайт должен быть максимально понятным для пользователей, простым, комфортным, красивым, а главное, продающим. Причем он не должен продавать преимущественно товары или услуги, проект может предоставлять идеи.

Дизайн площадки оценивается по нескольким основным критериям. Далее разбирается каждый из них подробнее, чтобы можно иметь представление о качественном анализе дизайна сайта.

Первое впечатление. Производит ли ресурс положительное впечатление на юзеров? Например, если на сайте продают дорогостоящие товары, то простой дизайн, сделанный новичком, может отпугнуть посетителей и вызовет сомнения в реальности предложений и гарантиях. Таким образом, дизайн обязан полностью соответствовать теме бизнеса.

Фирменный стиль. Нужно оценить проект на соответствие стилю. Хороший дизайн сайта следует делать в едином стиле и оригинальности. Тут главную роль играет тематика, от нее все зависит.

Красота дизайна и практичность. Если проект выполнен в ярком стиле, то вставленные фотографии в рамках могут смотреться немного блеклыми, чем они есть в оригинале. Или же наоборот, если все в теплых и спокойных расцветках, то картинки будут изображаться яркими и цветными.

Простота навигации. Легко ли посетители находят необходимую информацию? Для большого сайта нужно четко продумать его структурность, названия всех разделов и подразделов для того, чтобы пользователи смогли без труда найти интересующую информацию. Незаменимой будет кнопка «Поиск».

Легкость восприятия информации. Информация должна подаваться в простом и доступном виде. Например, мелкий шрифт хоть и красиво смотрится, то его гораздо сложнее вычитывать. Объемное фоновое изображение под статьей делает сайт красивым, но, в то же время, сложным при чтении. Поэтому нужно позаботиться, чтобы контент легко воспринимался.

Не мешают ли анонсы и реклама. Если назойливой рекламы и спецпредложений будет слишком много, то сайт будет больше похож на пеструю отделку. В итоге человек просто перестает воспринимать основной контент.

Контактная информация. Легко ли пользователям найти все контакты для связи? Это очень важно. Как правило, важные номера телефонов и форма обратной связи расположены на соответствующей странице. Лучше всего их размещать в начале или внизу.

Единая стилистика. Если стиль страниц сайта будет отличаться друг от друга, то у пользователей может появиться чувство, что они кликнули на иной ресурс. Таким образом, все страницы должны сочетаться с общими элементами, например, меню, логотипы, шрифт и расцветка.

Сочетание цветов и шрифтов. Для создания различных цветов для ресурса существует отдельная наука. В сети есть сайт kuler.adobe.com. Там представлены всевозможные сочетания цветов и схемы. Шрифты также должны гармонировать.

Проработка всех деталей. В эффективном и лучшем дизайне проекта присутствуют даже небольшие мелочи, которые сразу бросаются в глаза. Это могут быть блики, едва заметные фоновые элементы, прорисовка символов в логотипе и структуре.

Критерии, по которым оценивается дизайн сайта, разобраны. Далее будут описаны возможные ошибки и проблемаы, которые зачастую есть у макета.

Первоначальной и главной проблемой считается комфортное использование. Как правило, работа дизайнера всегда критикуется, то есть посетитель оценивает не простоту и удобное оформление, а только лишь внешний вид. То есть, если смотрится красиво – значит в дизайне все удалось и наоборот.

Второй возможной ошибкой принято считать нестандартную навигацию. Посетители по привычке лицезреют навигацию в верхней или правой части сайта, поэтому не нужно заставлять их лишний раз бродить по странице. Правильная и комфортная навигация интуитивно понятна буквально с первой минуты.

Далее идут надписи. В этом случае есть одно «золотое правило» по оптимизации: все подписи и названия разделов должны нести максимально информативную нагрузку. Таким образом, надпись характеризует тот или иной пункт меню и полностью должна раскрыть его содержимое.

Выпадающее меню, как отдельная подсистема, в последнее время стала наиболее популярной. Однако, к ней следует относиться аккуратно. Выскакивающее меню значительно снижает посещаемость и полный просмотр страниц. Лучше сделать больше разделов и этим улучшить посещаемость.

Отличить хороший дизайн от плохого можно по нескольким критериям. Все они очень важны, и при анализе дизайна следует рассматривать их все. Самыми главными из них являются:

­ юзабилити. Без этого фактора ресурс не сможет выполнять положенные функции. Юзабилити – это всегда понятная навигация, оформление заголовков, ссылок по всем правилам, а также грамотное расположение текстов;

­ стиль или красота площадки. Даже если сайт будет комфортным, но не красивым, вероятнейе всего пользователь не станет там долго находиться. Дизайн нужно делать приятным, и он должен радовать глаз;

­ соответствие тематике.

Несколько полезных советов при разработке сайта:

­ нужно по возможности избегать применения на сайте анимированных картинок, т. к. они замедляют загрузку сайта и сказываются на продвижении в дальнейшем; мигание картинок может раздражать посетителей;

­ ни в коем случае не сопровождать интернет-ресурс музыкой – это раздражает людей, и они быстро уходят с таких сайтов;

­ не надо грузить главную страницу логотипами, значками и прочими подобными вещами; лучше их разместить в разделе «О компании»;

­ нужно бязательно сделать поиск по сайту; благодаря этому посетители смогут быстро найти то, что их интересует.

⇐ Предыдущая12345Следующая ⇒

Поделиться: