Развитие сетевого сообщества подчиняется тем же законам, что и развитие общества, за одним исключением — все процессы идут во много раз быстрее. Это правило относится и к проблемам, связанным с идентификацией членов общества. Когда-то человеку достаточно было имени, потом пришлось добавить фамилию, относительно недавно появились различные идентификационные документы, а в последние годы в ход пошли оцифрованные образы таких атрибутов, как отпечатки пальцев и снимки радужной оболочки. Все это — неизбежные последствия того, что принято называть глобализацией.


Артем Денисюк
Артем Денисюк

Установление доверительных отношений между участниками коммуникаций превращается в одну из критически важных проблем нынешнего периода развития ИТ, называемого “эпохой участия”. Актуальность проблемы возрастает пропорционально количеству коммуникаций. Ее решение обычно возлагается на технологии, связанные с управлением сетевой идентификацией (Identity management, IdM).

Проблема современного предприятия заключается в том, что количество его информационных ресурсов переваливает за десятки и сотни при количестве пользователей, кратном тысячам, а то и десяткам тысяч. Пользователь имеет разные роли на предприятии и, соответственно, доступ к ресурсам. Поэтому запоминание, хранение и синхронизация идентификационной информации становится серьезной проблемой для предприятия. В качестве примера приведем несколько фактов:

По сведениям Monitor Password Survey, средний пользователь имеет 21 пароль.

49% пользователей записывают свой пароль, а 67% почти никогда не меняют.

По данным National Small Business Travel Association, каждые 79 секунд похищается пароль.

По данным Communications Fraud Control Association, ежегодные убытки от несанкционированного доступа к информационным ресурсам составляют более 12 млрд. долл.

По данным Morgan Keegan (2005  год), к 2007 г. расходы на сетевую идентификацию вырастут на 50% и достигнут 10,7  млрд. долл.

Для решения этих проблем необходима система управления идентификационными данными пользователей, позволяющая автоматизировать процессы предоставления доступа, хранения и синхронизации идентификационных данных, а также проведение необходимых проверок/аудитов доступа к ресурсам предприятия.

Средства управления сетевой идентификацией и правами доступа пользователей обеспечивают комплексную безопасность, способствуют более полному соответствию законодательным нормативам и позволяют автоматизировать процессы, что, в свою очередь, ведет к снижению издержек предприятия.

Применение систем управления сетевой идентификацией и правами доступа пользователей позволяет получить несколько значимых преимуществ.

1. Безопасность

Использование IdM обеспечивает безопасность на нескольких уровнях:

Автоматизированное исполнение стратегии предприятия, связанной с аутентификацией и авторизацией пользователей, безопасное администрирование доступа к информационным ресурсам и аудит доступа на уровне операционных и прикладных систем.

Защита организации от внешних и внутренних угроз. Для всех значимых информационных активов создается механизм, позволяющий предоставлять доступ к ресурсам по жестко заданному сценарию. Он дает возможность определять, кто, когда и к чему имеет доступ, отслеживать нарушения политики безопасности, а при необходимости — принимать меры для блокирования нарушителя.

Средства IdM реализуют управление жизненным циклом пользовательских данных — от первого подключения к необходимому набору ресурсов (базы данных, прикладные системы, телефонная станция, система доступа в здание и т. д.) до отслеживания модификаций данных (смена должности, фамилии, семейного положения и т. д.) и связанных с этим изменений прав доступа (вплоть до окончания отношений при увольнениях или серьезных нарушениях).

2. Соответствие законодательным нормативам

Точное представление о том, кто и к каким информационным активам имеет или имел раньше доступ, обеспечивает предприятию соответствие определенным законодательным нормативам.

Одним из влиятельных документов, стимулирующих внедрение решений для контроля над доступом, является акт Sarbanes-Oxley.

Исполнение его требований является обязательным для предприятий, торгующих ценными бумагами на Нью-Йорской фондовой бирже, и, соответственно, затрагивает отечественные компании, которые стремятся выйти на IPO. Этот акт устанавливает персональную ответственность высшего исполнительного руководства предприятия за точность финансовых документов и процесс принятия решений. Акт регламентирует разграничение доступа к информации в зависимости от уровня ответственности сотрудника и его полномочий.

Кроме того, встроенные в IdM инструменты автоматического аудита позволяют обнаруживать неизбежные человеческие ошибки.

3. Уменьшение затрат

Одним из важнейших критериев учета затрат на производство становится оценка эффективности инвестиций. При предоставлении ресурсов и контроле над доступом к ним без механизмов консолидации и автоматизации возникают значительные издержки, связанные с администрированием ИТ-ресурсов. В свою очередь регулярные аудиты политики доступа к ресурсам отнимают значительное время отдела ИТ.

Все перечисленные проблемы можно решить, применив IdM-решение и тем самым высвободив ресурсы для более продуктивной работы предприятия. В отличие от многих систем контроля над безопасностью, данная система автоматизирует ручной труд, а потому является окупаемой. Безусловно, сроки окупаемости зависят от предприятия и происходящих на нем процессов, но можно с уверенностью говорить об экономической эффективности внедрения таких решений.

Защиту информационных активов предприятия нельзя свести только к контролю над тем, что корпоративные пользователи действительно являются теми, за кого они себя выдают (аутентификация), и к регламентации их возможностей доступа к корпоративным ресурсам (авторизация). Область действия IdM должна распространяться не только на собственные корпоративные системы и приложения, но и на область контроля над доступом к системам и приложениям партнеров и поставщиков, находящимся вне границ корпоративной сети (в Extranet). По-настоящему действенная система IdM включает в себя весь комплекс механизмов распределения идентификационной информации между системами и приложениями — как во внутренней, так и во внешней сети.

Все множество функций, которые должна обеспечивать система управления сетевой идентификацией, авторизацией и правами доступа пользователей на предприятии, можно разделить на три основные группы.

Группа 1. Обеспечение внутреннего контроля:

обеспечение доступа и контроля над правилами, которыми регулируется и ограничивается доступ к информационным активам в зависимости от служебных функций сотрудника;

предоставление в режиме реального времени сведений о том, кто и к чему имеет доступ, ведение архива доступа;

автоматизация процедур аудита.

Группа 2. Исключение потенциальных уязвимостей:

ограничение возможностей входа в систему единственной точкой аутентификации/авторизации пользователя;

обеспечение полноценного визуального представления о том, кто и когда получал доступ к системе;

реализация правил доступа к данным на основе ролей и функций участников коммуникаций.

Группа 3. Повышение качества обслуживания (QoS) за счет автоматизации сервисов:

предоставление пользователям возможностей самообслуживания, в том числе управления паролями и учетными записями;

передача части функций IdM парт­нерам;

федерация функций IdM, распределенных между подразделениями и парт­нерами.

Перечисленные функции могут быть реализованы на базе архитектуры, которая используюет следующие основные программные решения Sun в области организации систем управления идентификационными данными пользователей и правами их доступа:

Sun Java System Identity Manager  — решение для автоматизированного администрирования учетных записей на всех этапах цикла жизни сотрудника (пользователя) — от приема на работу до увольнения из компании. Позволяет реализовать бизнес-процессы согласования предоставления/отключения доступа к ресурсам, автоматизировать делегирование полномочий, деактивировать доступ при изменении или завершении отношений между работником и компанией. Дает пользователям возможность самостоятельно управлять их паролями, обеспечивает мониторинг и проверку основных контрольных параметров идентификации, выявление нарушений и подготовку отчетов (т.е. функцию аудита).

Sun Java System Access Manager — решение для однократной аутентификации пользователя в ИТ-системах (Single Sign-On). Позволяет устанавливать доверительные области — федерации (т.е. дает возможность партнерским приложениям, входящим в федерацию, применять аутентификационные данные пользователей для доступа к ресурсам), а также проводить аудит транзакций, относящихся к предоставлению доступа на время пользовательских сессий.

Sun Java System Directory Server Enterprise Edition предоставляет услуги каталогов для хранения и управления данными идентификации, служит основой для инфраструктуры управления сетевой идентификацией. Sun Java Directory Server Enterprise Edition эффективно интегрируется в многоплатформенную среду и обеспечивает безопасную, доступную по требованию синхронизацию паролей с Microsoft Windows Active Directory.

Каждый из вышеперечисленных продуктов может быть встроен как отдельный модуль, реализующий определенные функции в рамках решения задач управления идентификационными данными пользователей в ИТ-инфраструктуре предприятия. Например, Sun Identity Manager прекрасно интегрируется со службами каталогов Microsoft Active Directory, Open LDAP и Oracle Internet Directory. Он может быть развернут на платформах IBM AIX, HP-UX, Windows, Solaris, Red Hat Linux, BEA WebLogic, IBM WebSphere, Sun Java Application Server.

С автором материала Артемом Денисюком, руководителем отдела программного обеспечения представительства Sun Microsystems в регионе СНГ, можно связаться по адресу: Artyom.Denisyuk@Sun.com