В современном мире информационные технологии развиваются пропорционально требованиям бизнеса, и корпоративные ИС включают в себя большое количество прикладного программного обеспечения. Вместе с тем, применение в каждой из ИС комплексных, регулярно обновляемых паролей в соответствии с политикой безопасности компании не является удобным для каждодневной работы пользователей.
В условиях интенсивного темпа работы обилие сложных паролей приводит к тому, что сотрудники компаний начинают записывать их, размещая непосредственно на рабочем месте, а также придумывать универсальные пароли для всех ИС, в которых с течением времени изменяется лишь порядковый номер. Безусловно, такой подход приводит к существенному снижению общего уровня безопасности.
Уязвимости, связанные с недостатками парольной защиты, чаще всего приводят к получению злоумышленником несанкционированного доступа к прикладным системам, интерфейсам управления информационными и технологическими системами, а также иным активам компании.
Single Sign-On
Для решения проблем, описанных выше, используются продукты класса SSO — Single Sign-On. Эти решения выступают в качестве посредника в задачах аутентификации в целевую систему, перехватывая формы аутентификации и подставляя данные учетных записей пользователей. При этом SSO-решения обеспечивают централизацию процедуры предоставления доступа и способны как реализовывать требования парольных политик, так и интегрироваться с существующей инфраструктурой открытых ключей (PKI), а также использовать для аутентификации широкий спектр различных ее средств.
SSO-системы широко представлены на рынке, однако практический опыт реализации проектов очертил ряд критериев, которым должен соответствовать продукт для наиболее удобного и эффективного решения возможных задач заказчиков:
- широкая поддержка средств аутентификации, в том числе новых;
- гибкость в выработке методики аутентификации (набор и очередность применения факторов аутентификации);
- удобство эксплуатации системы;
- масштабируемость, обеспечение отказоустойчивости, поддержка филиальной структуры компании;
- возможность кастомизации интерфейса аутентификации;
- возможность интеграции со смежными СЗИ, такими как ЮМ, PKI, СКУД;
- наличие сертификата ФСТЭК для использования решения в качестве средства защиты от НСД.
Из личного опыта
В качестве примера реализации комплексной системы с использованием SSO-решения стоит привести опыт одного из недавних проектов.
В рамках создания комплекса терминалов общего доступа для одной из крупных транспортных компаний с территориально распределенной 1Т-инфраструк-турой возникла задача построения подсистемы унификации доступа к прикладным системам. Особенность данного проекта заключалась в предложении решения, обеспечивающего высокий уровень безопасности наряду с повышенными требованиями к надежности функционирования технических средств аутентификации при минимальных требованиях к компетенции пользователей, участвующих в процедуре предоставления доступа.
Данная задача была решена с помощью комплексного решения на базе Indeed-ID IAM с обеспечением процедуры аутентификации посредством использования RFID карт НЮ и биометрических сенсоров Fujitsu PalmSecure.
При этом пользователю не требуется вводить логин при доступе к ОС для элементарных действий, система получает его от карты, а сенсор PalmSecure не требует непосредственного контакта, что значительно увеличивает срок эксплуатации на технических площадках. В результате внедрения решения были достигнуты следующие результаты:
- повышен уровень информационной безопасности в части защиты от НСД;
- увеличена эффективность работы персонала за счет автоматизации процедуры предоставления доступа к целевым ИС;
- обеспечено соответствие процедуры предоставления доступа политикам безопасности, принятым в компании;
- обеспечено соответствие требований регуляторов в приложении к обеспечению выполнения мер по идентификации и аутентификации субъектов и объектов доступа, управлению доступом, регистрации событий безопасности и контроля защищенности информации.
В обстановке постоянно наращиваемых темпов развития информационных технологий проблемы защиты доступа остаются основополагающими для обеспечения необходимого уровня информационной безопасности. Комплексное решение Indeed-ID IAM позволяет унифицировать и автоматизировать процедуры управления и предоставления доступа к информационным системам, сочетая в себе высокий уровень безопасности, надежности и удобства использования.