Информационный портал nnIT

Оригинал документа: http://nnit.ru/projects/p68405/


     
 

Информационный бронежилет для простых пользователей

24.12.2009 03:18
В последнее время все организации – коммерческие и производственные компании, государственные структуры – все активнее развивают собственную ИТ-инфраструктуру, обрастая большим количество используемых программных продуктов, что требует роста компетенции персонала, в том числе и не относящегося к ИТ-отделам. Однако от простых пользователей, как правило, довольно трудно добиться исполнения всех внутрикорпоративных правил и требований, касающихся соблюдения безопасности. Факторов, влияющих на это, довольно много. Среди них – и необходимость использования разных паролей для приложений, и непонимание основных принципов работы систем безопасности, и выработанные годами или десятилетиями привычки «опытных» сотрудников. Все это вкупе может свести на нет усилия ИТ-специалистов, отвечающих за безопасность. Оптимальным решением в такой ситуации может стать использование продуктов на основе технологии сквозной однократной аутентификации или Single Sign-On (SSO), предлагаемой на российском рынке компанией ActivIdentity, ведущим вендором, работающим в сегменте аутентификации и управления доступом.

Год новой стратегии

Американская корпорация ActivIdentity является одним из лидеров в сегменте аутентификации и управления идентификационными данными, предлагающим решения для установления личности пользователя при взаимодействии с цифровыми приложениями. ActivIdentityКорпорация ActivIdentity работает на этом рынке более двух десятилетий, и среди наиболее крупных клиентов вендора – Министерство обороны США, производитель автомобилей Nissan и Saudi Aramco, национальная нефтяная компания Саудовской Аравии. В России решения компании ActivIdentity представлены не так давно – около двух лет. Официальным дистрибьютором ActivIdentity на территории России и стран СНГ является компания Rainbow Technologies. Около года назад, в декабре 2008 года, корпорация ActivIdentity представила свою новую стратегию и новое видение рынка интеллектуальных систем аутентификации, которые реализовывались в том числе и на российском рынке. В частности, компания объявила о том, что ключевыми секторами, на работе с которыми сосредоточивается компания, являются Работодатель-Сотрудник, Компания-Клиент, Государство-Гражданин, и такое взаимодействие должно было обеспечить рост ActivIdentity. Согласно новой стратегии, ActivIdentity запланировала улучшение платформы проверки личности и систем управления данными аутентификации в целях применения универсальных подходов к процедурам регистрации и выпуска, аутентификации, авторизации, аудита и управления данными аутентификации. Такая унификация, в свою очередь, позволила вендору учесть требования всех сегментов рынка.

Две задачи одним ударом

Решение ActivIdentity SecureLogin Single-Sign On (SSO) полностью замещает собой пользователя в процессе аутентификации: оно сохраняет логины и пароли и автоматически применяет их, когда того требует определенное приложение. Таким образом ActivIdentity SecureLogin Single Sign-OnSecureLogin Single-Sign On параллельно решает две задачи: значительно упрощает работу пользователей с различными приложениями, избавляя от необходимости запоминания и хранения паролей и обеспечивает безопасность используемой на предприятии ИТ-системы. 

Так как ActivIdentity SecureLogin Single-Sign On берет на себя функции хранения паролей, используемых различными приложениями, кодируя их, то основной задачей пользователя становится запоминание только одного пароля, который будет вводиться при входе в систему. При этом пользователь автоматически получает возможность доступа ко всем приложениям, где его учетная запись активирована. У такого подхода есть несколько важных последствий. Кроме того, что практически сводится к нулю влияние «человеческого фактора» (например, отпадает необходимость традиционного хранения логинов и паролей на стикерах рядом с компьютером или на листе бумаги под клавиатурой), компания получает и возможность усилить безопасность за счет ужесточения требований к единственному необходимому пользователю паролю. В частности, политика компании может диктовать правила по максимальному и минимальному количеству символов, использованию регистра, цифр, наличию специальных символов и дублирующих знаков и так далее. Важной особенностью ActivIdentity SecureLogin Single-Sign On является и отсутствие серверной составляющей – решение интегрируется в существующую службу каталогов, совместимую с протоколом LDAP (Lightweight Directory Access Protocol, облегчённый протокол доступа к каталогам).

Кроме того, отметим и гибкость решения: ActivIdentity SecureLogin Single-Sign On умеет работать с различными приложениями, причем список даже предопределенных приложений весьма обширен: AOL Instant Messenger, BMC Remedy ARUser & Notifier, Cerulean Trillian, Cisco VPN, Citrix Program Neighborhood & Agent, Citrix Presentation Server, Check Point Firewall-1TM, Cyberview, Entrust Client & Server, ExcelCare Application, Goldmine v5.5, Hornbill SupportWorks, Lotus Notes v5, v6.5 и Lotus, Organizer v4, v5, Meditech, Microsoft ActiveSync, Microsoft Outlook Express, Microsoft SQL Server, MSN Messenger v4.5, v4.7, v5 & v6, Novell BorderManager VPN Client, Novell Groupwise Client & Notify, Novell iFolder, Optima, Symantec PCAnywhere 8.0, SAP 6.2, Targetfour HEAT Call Logging и Yahoo! Messenger – всего более 80 приложений. Параметры работы с этими приложениями изначально описаны и ActivIdentity SecureLogin Single-Sign On автоматически их «узнает».

Кроме того, в решении реализована специальная система распознавания окон новых приложений («Графический Мастер»), которая позволяет сохранить параметры приложения и введенные персональные данные для последующей автоматической аутентификации. После этого приложение также будет распознаваться автоматически.

Для работы с нестандартными и, соответственно, более требовательными приложениями, в том числе – самописными, в ActivIdentity SecureLogin Single-Sign On предусмотрено использование макросов или небольших скриптов на внутреннем языке SecureLogin, которые описывают параметры окна аутентификации и способы взаимодействия с ним. Данный способ можно использовать, в том числе, и тогда, когда возникает необходимость по тем или иным причинам создать более сложную модель аутентификации.

Для крупных компаний важным требованием является наличие централизованной системы управления аутентификацией пользователей. ActivIdentity SecureLogin Single-Sign On предоставляет такую возможность. Это позволяет выполнять однотипные унифицированные настройки для целых подразделений и отделов компании, а при необходимости индивидуализировать их для отдельных пользователей и переносить на другие объекты службы каталогов.

ActivIdentity SecureLogin Single-Sign On позволяет работать с Windows-, web-, Java-приложениями, а также поддерживать работу через различные терминальные серверы. В частности, обеспечивается полная поддержка более чем 150 мэйнфреймов, UNIX, ANSI и различных терминальных эмуляторов, включая 3270 и 5250 Eicon, WRQ, Wall Data, IBM, NetManage, Jolly Giant, Pericom и многие другие, TelNet от WRQ, IBM, Microsoft, Novell и Tera Term, эмуляторы типа HBO, Meditech, Lawson и 3M и так далее.

Данное решение, помимо прочего, работает с любыми персональными идентификаторами – смарт-картами и USB-ключами, которые поддерживают работу по стандарту PKCS#11. В качестве штатного хранилища персональных данных аутентификации, цифровых сертификатов, электронной цифровой подписи используются USB-ключи ActivKey SIM от ActivIdentity. Данный USB-ключ совместим с CSP Крипто-Про. Система имеет сертификат ФСТЭК, что играет решающую роль при выборе решений для госсектора. Для последних, кстати, критически важным является и тот факт, что большое количество сотрудников госслужб обладают невысокими пользовательскими умениями (не относятся к категории «продвинутых пользователей»), в связи с чем требуется упростить работу с существующими приложениями, что и позволяет сделать ActivIdentity SecureLogin Single-Sign On.

Защитные инстинкты

Что касается вопросов безопасности, то ActivIdentity SecureLogin Single-Sign On поддерживает смену логина и пароля, контролирует окончание срока действия пароля и сообщает об ошибках, сбоях, неправильных паролях. Кроме того, решение защищает данные аутентификации с помощью алгоритмов 3DES (Triple DES, симметричный блочный шифр высокого уровня криптостойкости) и AES, а также с помощью идентификационной фразы для мобильных пользователей. Помимо этого системой поддерживается SNMP-мониторинг ошибок и событий и обеспечивается управление безопасностью на уровне приложений в дополнение к ACL-защите данных. Также в ActivIdentity SecureLogin Single-Sign On встроенная система защиты, которая предотвращает несанкционированный доступ к данным аутентификации пользователей, в том числе, и со стороны администраторов и система автоматической генерации паролей случайным образом.

В последнее время особое внимание уделяется таким сетевым угрозам, как фишинг (вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям – для их дальнейшего использования) и фарминг (скрытое перенаправление жертвы атаки на ложный IP-адрес). В ActivIdentity SecureLogin Single-Sign On предусмотрены несколько инструментов для предотвращения таких угроз. В частности, при работе с web-приложениями выполняется проверка URL-адреса активного окна и – в случае несоответствия – перенаправление на известный URL. Кроме того, может выполняться и проверка защищенности соединения, то есть, ведется ли работа по SSL-протоколу. Помимо этого в случае атаки администратору сети будет отправлено уведомление, что позволит принять оперативные методы для анализа ситуации и устранения возникшей опасности.

Круговая оборона

Кроме уже вышеупомянутых USB-ключей ActivKey SIM, ActivIdentity предлагает российским пользователям и ряд других решений, также ориентированных на обеспечение аутентификации и управления доступом. Одно из них – ActivIdentity ActivID Card Многофункциональные смарт-картыManagement System (CMS). Это комплексное решение для развертывания и администрирования инфраструктуры смарт-карт, характерными особенностями которого являются гибкость, минимизация расходов, связанных с вводом в эксплуатацию и поддержкой цифровых идентификационных карт, а также управление картами на всем протяжении их жизненного цикла, также как апплетами и цифровыми данными аутентификации, включая PKI-сертификаты.

Одним из новейших решений вендора в области безопасности является ActivClient, позволяющее коммерческим организациям и госструктурам использовать смарт-карты и USB-ключи для защиты рабочих мест, сетей и используемых приложений.ActivClient

ActivIdentity 4TRESS AAA Server for Remote Access, также представленное на территории России и СНГ с помощью компании Rainbow Technologies, представляет собой легко масштабируемый программно-аппаратный комплекс, ориентированный на обеспечение безопасного удаленного доступа и WLAN с помощью одноразовых паролей. Решение ActivIdentity 4TRESS Authentication Server обладает высоким уровнем масштабируемости и ориентировано на финансовые компании. Оно позволяет реализовать различные методы аутентификации, а также обеспечить конфиденциальность онлайн-операций, повысить безопасность и понизить накладные расходы.

Автор: Алена Журавлева (info@mskit.ru)

Рубрики: Интеграция, ПО, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
   
     


Copyright 2004 nnIT. Все права защищены
Перепечатка материалов приветствуется при ссылке на www.nnIT.nnit.ru
Ресурс разработан и поддерживается компанией Peterlink Web