ИТ-инфраструктура компании перестала быть замкнутой. Обеспечить открытость информационной системы, не потеряв защищенности, можно лишь строго идентифицируя удаленную сторону.

Информационная инфраструктура компании перестала быть сугубо внутренней. ИТ-инфраструктуры отделений компании и даже различных компаний становятся все более связанными между собой. Полномочия делегируются на места, усиливаются требования к гибкости и удаленной работе, происходит предоставление доступа в информационные системы для клиентов и поставщиков.

Компании часто отдают на подряд внешним фирмам задачи непрофильного бизнеса - HR, Call Center, логистику. В связи с этим, вопросы идентификации становится краеугольным камнем обеспечения информационной безопасности. Контроль доступа, шифрование, межсетевые экраны, VPN - все основано на аутентификации пользователя, устройства или приложения, с которым устанавливается соединение, и если она ущербна, то упомянутые средства защиты бессмысленны.

Как выбрать стратегию аутентификации для информационных сервисов компании?

При выборе стратегии, следует представлять принципиальные различия технологий и их реализаций в плане адекватности решаемой задачи. Введя три основных критерия, которые позволяют различать технологии аутентификации - уровень безопасности, удобство использования и стоимостные параметры, можно рассмотреть "треугольник" технологий аутентификации:

Видно, что нет одновременно бесплатных, прозрачных для пользователя и абсолютно надежных технологий. Каждая занимает свое место на диаграмме.

Пароль

Наиболее распространенный способ и при этом весьма неудобный, так как требует запоминания или записи на бумагу. Стоимость реализации паролей низкая, но поддержка большого количества пользователей, требует высоких расходов на администрирование.

Идеальное применение: ограничение доступа к бесплатным сервисам.

Более высокую степень защищенности предоставляют двухфакторные (многофакторные) технологии аутентификации. Наличие двух факторов подразумевает что-то известное пользователю и что-то принадлежащее пользователю.

SecurID

Технология одноразовых паролей. Текущее значение части пароля вырабатывается с помощью специального алгоритма на небольшом брелке, карманном компьютере или мобильном телефоне. При аутентификации пользователь вводит значение на токене и свой PIN.

Идеальное применение: удаленный доступ к сервисам приложений, VPN или Web-порталу.

Mobile ID

Технология, реализующая схему Secure ID, но использующая доставку пароля в реальном времени по каналу мобильной связи, например SMS. Самый удобный способ, но зависящий от зоны покрытия.

Идеальное применение: удаленный доступ на портал, ресурсы торговых площадок, банковским аккаунтам.

Smart ID

Аутентификация с помощью смарткарты или USB-токена. Механизм основан на криптографии с открытыми ключами. Надежный и удобный способ. Но требует разворачивания инфраструктуры открытых ключей.

Идеальное применение: подпись и шифрование почты, защищенный документооборот, корпоративный Single-Sign-On или VPN доступ.

Биометрия

В качестве дополнительного фактора используется отпечаток пальца или сканирование радужной оболочки глаза. Самая дорогая технология.

Идеальное применение: вход на особо критичные ресурсы в сочетании с другими двумя факторами.

Представленные диаграммы дают лишь общую картину применимости. Для того чтобы более точно сравнить однофакторные и двухфакторные средства аутентификации, нужно ввести качественные критерии оценки, отражающие требования руководства (минимум издержек), корпоративные требования по безопасности и пожелания пользователей.

Методика выбора технологии

Количественной оценке можно подвергнуть каждую технологию аутентификации, если зафиксировать критерии.

Общая стоимость владения складывается из стоимости приобретения и внедрения, а также последующей поддержки инфраструктуры.

Корпоративные требования по безопасности складываются из требований к строгости аутентификации, возможности интеграции с существующими приложениями, надежности средства в перспективе ближайших лет и возможности использования в других приложениях в будущем.

Непосредственные пользователи системы заинтересованы в простоте и универсальности используемого средства.

Каждому средству аутентификации по каждому из критериев поставлены очки по шкале от 0 до 10 (например, более низкой стоимости соответствуют более высокие очки). Для выбора средства аутентификации остается лишь расставить приоритеты для каждого из критериев.

Расстановку весовых коэффициентов должны сделать руководители информационных служб компаний.

В качестве примера приведем таблицу с весовыми коэффициентами и очками, полученными различными средствами аутентификации. Лидирующие позиции занимают одноразовые пароли (на аппаратных токенах) и сертификаты открытых ключей (на USB токенах).

Расставьте приоритеты и выберите решение

По результатам таблицы можно составить радар-диаграммы, описывающие технологии с наибольшим и с наименьшим количеством полученных очков.

Заключение

Используя методику, предложенную в данной статье, можно объективно подойти к выбору технологии аутентификации. Этот выбор осуществляется с учетом не только конкретных технических характеристик, но и с учетом основных требований компании в целом.