РешенияПродуктыКонсалтингПоддержкаКонтакты
Перейти на предыдущую страницу  Перейти на главную страницу  Версия для печати  

Выбор Технологии Аутентификации и Идентификации

Тимофей Горшков, RSA Certified Security Professional (timofey@dol.ru)

ИТ-инфраструктура компании перестает быть замкнутой. Обеспечить открытость информационной системы, не потеряв защищенности, можно лишь строго идентифицируя удаленную сторону.

Информационная инфраструктура компании перестала быть сугубо внутренней. ИТ-инфраструктуры отделений компании и даже различных компаний становятся все более связанными между собой. Полномочия делегируются на места, усиливаются требования к гибкости и удаленной работе, происходит предоставление доступа в информационные системы для клиентов и поставщиков. Компании часто отдают на подряд внешним фирмам задачи непрофильного бизнеса - HR, Call Centre, логистику. В связи с этим, вопросы идентификации становится краеугольным камнем обеспечения информационной безопасности. Контроль доступа, шифрование, межсетевые экраны, VPN – все основано на аутентификации пользователя, устройства или приложения, с которым устанавливается соединение, и если она ущербна, то упомянутые средства защиты бессмысленны.

Как выбрать стратегию аутентификации для информационных сервисов компании?

При выборе стратегии, следует представлять принципиальные различия технологий и их реализаций в плане адекватности решаемой задаче. Введя три основных критерия, которые позволяют различать технологии аутентификации – уровень безопасности, удобство использования и стоимостные параметры, можно рассмотреть «треугольник» технологий аутентификации:

Видно, что нет одновременно бесплатных, прозрачных для пользователя и абсолютно надежных технологий. Каждая занимает свое место на диаграмме.

Пароль
Наиболее распространенный способ и при этом весьма неудобный, так как требует запоминания или записи на бумагу. Стоимость реализации паролей низкая, но поддержка большого количества пользователей, требует высоких расходов на администрирование.
Идеальное применение: ограничение доступа к бесплатным сервисам.

Более высокую степень защищенности предоставляют двухфакторные (многофакторные) технологии аутентификации. Наличие двух факторов подразумевает что-то известное пользователю и что-то принадлежащее пользователю.

SecurID
Технология одноразовых паролей. Текущее значение компоненты пароля вырабатывается с помощью специального алгоритма на небольшом брелке, карманном компьютере или мобильном телефоне. При аутентификации пользователь вводит значение на токене и свой PIN.
Идеальное применение: удаленный доступ к сервисам приложений, VPN или Web-порталу.

Mobile ID
Технология, реализующая схему Secure ID, но использующая доставку пароля в реальном времени по каналу мобильной связи, например SMS. Самый удобный способ, но зависящий от зоны покрытия.
Идеальное применение: удаленный доступ на портал, ресурсы торговых площадок.

Smart ID
Аутентификация с помощью смарткарты или USB-токена. Механизм основан на криптографии с открытыми ключами. Надежный и удобный способ. Но требует разворачивания инфраструктуры открытых ключей.
Идеальное применение: подпись и шифрование почты, защищенный документооборот, корпоративный Single-Sign-On или VPN доступ.

Биомертия
В качестве дополнительного фактора используется отпечаток пальца или сканирование радужной оболочки глаза. Самая дорогая технология.
Идеальное применение: вход на особо критичные ресурсы в сочетании с другими двумя факторами.

Представленные диаграммы дают лишь общую картину применимости. Для того, чтобы более точно сравнить однофакторные и двухфакторные средства аутентификации, нужно ввести качественные критерии оценки, отражающие требования руководства (минимум издержек), корпоративные требования по безопасности и пожелания пользователей.

Методика выбора технологии

Количественной оценке можно подвергнуть каждую технологию аутентификации, если зафиксировать критерии.

Общая стоимость владения складывается из стоимость приобретения и внедрения, а также последующей поддержки инфраструктуры.

Корпоративные требования по безопасности складываются из требований к строгости аутентификации, возможности интеграции с существующими приложениями, надежности средства в перспективе ближайших лет и возможности использования в других приложениях в будущем.

Непосредственные пользователи системы заинтересованы в простоте и универсальности используемого средства.

Каждому средству аутентификации по каждому из критериев поставлены очки по шкале от 0 до 10 (например, более низкой стоимости соответствуют более высокие очки). Для выбора средства аутентификации остается лишь расставить приоритеты для каждого из критериев.

Расстановку весовых коэффициентов должны сделать руководители информационных служб компаний.

В качестве примера приведем таблицу с весовыми коэффициентами и очками, полученными различными средствами аутентификации. Лидирующие позиции занимают одноразовые пароли (на аппаратных токенах) и сертификаты открытых ключей (на USB токенах).

Расставьте приоритеты и выберите решение

По результатам таблицы можно составить радар-диаграммы, описывающие технологии с наибольшим и с наименьшим количеством полученных очков.

Заключение

Используя методику, предложенную в данной статье, можно объективно подойти к выбору технологии аутентификации. Этот выбор осуществляется с учетом не только конкретных технических характеристик, но и с учетом основных требований компании в целом.

Перейти в начало страницы