Актуальные проблемы защиты доступа

В условиях интенсивного темпа работы обилие сложных паролей приводит к тому, что сотрудники компаний начинают записывать их, размещая непосредственно на рабочем месте, а также придумывать универсальные пароли для всех ИС, в которых с течением времени изменяется лишь порядковый номер. Безусловно, такой подход приводит к существенному снижению общего уровня безопасности.

Уязвимости, связанные с недостатками парольной защиты, чаще всего приводят к получению злоумышленником несанкционированного доступа к прикладным системам, интерфейсам управления информационными и технологическими системами, а также иным активам компании.

Single Sign-On

Для решения проблем, описанных выше, используются продукты класса SSO – Single Sign-On. Эти решения выступают в качестве посредника в задачах аутентификации в целевую систему, перехватывая формы аутентификации и подставляя данные учетных записей пользователей. При этом SSO-решения обеспечивают централизацию процедуры предоставления доступа и способны как реализовывать требования парольных политик, так и интегрироваться с существующей инфраструктурой открытых ключей (PKI), а также использовать для аутентификации широкий спектр различных ее средств.

SSO-системы широко представлены на рынке, однако практический опыт реализации проектов очертил ряд критериев, которым должен соответствовать продукт для наиболее удобного и эффективного решения возможных задач заказчиков:

• широкая поддержка средств аутентификации, в том числе новых;
• гибкость в выработке методики аутентификации (набор и очередность применения факторов аутентификации);
• удобство эксплуатации системы;
• масштабируемость, обеспечение отказоустойчивости, поддержка филиальной структуры компании;
• возможность кастомизации интерфейса аутентификации;
• возможность интеграции со смежными СЗИ, такими как IDM, PKI, СКУД;
• наличие сертификата ФСТЭК для использования решения в качестве средства защиты от НСД.

Из личного опыта

В качестве примера реализации комплексной системы с использованием SSO-решения стоит привести опыт одного из недавних проектов.

В рамках создания комплекса терминалов общего доступа для одной из крупных транспортных компаний с территориально распределенной IТ-инфраструктурой возникла задача построения подсистемы унификации доступа к прикладным системам. Особенность данного проекта заключалась в предложении решения, обеспечивающего высокий уровень безопасности наряду с повышенными требованиями к надежности функционирования технических средств аутентификации при минимальных требованиях к компетенции пользователей, участвующих в процедуре предоставления доступа.

Данная задача была решена с помощью комплексного решения на базе Indeed-ID IAM с обеспечением процедуры аутентификации посредством использования RFID карт HID и биометрических сенсоров Fujitsu PalmSecure. При этом пользователю не требуется вводить логин при доступе к ОС, система получает его от карты, а сенсор PalmSecure не требует непосредственного контакта, что значительно увеличивает срок эксплуатации на технических площадках. В результате внедрения решения были достигнуты следующие результаты:

• повышен уровень информационной безопасности в части защиты от НСД;
• увеличена эффективность работы персонала за счет автоматизации процедуры предоставления доступа к целевым ИС;
• обеспечено соответствие процедуры предоставления доступа политикам безопасности, принятым в компании;
• обеспечено соответствие требований регуляторов в приложении к обеспечению выполнения мер по идентификации и аутентификации субъектов и объектов доступа, управлению доступом, регистрации событий безопасности и контроля защищенности информации.

В обстановке постоянно наращиваемых темпов развития информационных технологий проблемы защиты доступа остаются основополагающими для обеспечения необходимого уровня информационной безопасности. Комплексное решение Indeed-ID IAM позволяет унифицировать и автоматизировать процедуры управления и предоставления доступа к информационным системам, сочетая в себе высокий уровень безопасности, надежности и удобства использования.