Защита конфиденциальной информации является одним из ключевых условий успешной деятельности практически всех компаний. Низкая надёжность обычных методов контроля доступа к данным заставила компании, высоко ценящие свою информацию, обратиться к комплексным средствам.


Подобное решение предложил украинским пользователям крупный польский интегратор Matrix.pl SA (www.matrix.pl).

Система, разработанная компанией ActivCard, позволяет хранить на смарт-карте с фотографией сотрудника необходимую для идентификации информацию, которая позволит ему войти в Windows, корпоративную сеть и определит его уровни допуска. Система, использующая смарт-карты, также может применяться для безопасного доступа к сетевым ресурсам компании через интернет, отправки электронной почты с цифровой подписью и единого входа во все корпоративные среды. Те же карты могут быть использованы и для контроля доступа в помещения.

Решения, построенные на базе технологий ActivCard, могут быть интегрированы с существующими ИТ-инфраструктурами компаний и не требуют дополнительного обучения пользователей. В качестве инфраструктурной базы для интеграции системы защиты на базе смарт-карт Matrix.pl использует решение IBM Tivoli.

Рабочие станции

В состав решения входят смарт-карты, клиентское ПО, а также система для администрирования и аудита их использования. Поставляемое программное обеспечение — ActivIdentity — интегрируется с работающими на предприятии элементами ИТ-инфраструктуры, отвечающими за управление авторизацией доступа к сетевым и локальным ресурсам. На клиентские компьютеры устанавливается приложение ActivClient, позволяющее сотрудникам аутентифицироваться при помощи карты. Имена учётных записей, а также пароли любой длины и сложности содержит сама смарт-карта. При извлечении карты из считывающего устройства рабочая станция автоматически блокируется.


Большинство современных смарт-карт могут хранить несколько десятков имён и паролей, а также другую информацию о пользователе. Эта возможность позволяет сотруднику аутентифицироваться в нескольких системах, избегая ввода пароля, например при работе с Windows, ERP-системой и программным обеспечением для бухгалтерского учёта. Доступ к корпоративному web-порталу можно получить даже с компьютера, установленного в интернет-кафе и не оборудованного устройством чтения смарт-карт. В таких случаях пользователь может воспользоваться своей смарт-картой и устройством, например ActivReader Solo, которое способно сгенерировать одноразовый пароль.

Администрирование

Высокий уровень безопасности требует ежемесячного (а временами и более частого) изменения паролей пользователей. Эксперты же считают, что такой подход порождает две основные проблемы: во-первых, пользователи плохо запоминают сложные пароли и пытаются их где-либо записать; а во-вторых, администратор сталкивается с необходимостью безопасного их распространения. Использование смарт-карт решает обе проблемы.

Во время смены паролей администратор может через сеть записать новую информацию в соответствующие карты при активации учётной записи. Кроме того, это позволяет во избежание кражи конфиденциальной информации оперативно лишить полномочий уволенного сотрудника. Для автоматизации процесса аутентификации пользователя администратору предоставляется специальный инструментарий, позволяющий приспособить решение к вводу информации в диалоговые окна любого ПО.


Но наиболее важным является то обстоятельство, что пользователь не обязан запоминать или даже знать собственный пароль. Это позволяет использовать стойкие к подбору наборы символов, состоящие из строчных и заглавных букв, цифр и специальных символов. Потеря пользователем смарт-карты не вызовет катастрофических последствий, если он вовремя сообщит об этом в службу безопасности и администратор сразу блокирует учётную запись.

Службы

Основные преимущества технология использования смарт-карт предоставляет, в первую очередь, отделу информационной безопасности. Однако использование аутентификации с помощью карт позволяет решить несколько смежных задач. Согласно статистике, в крупных компаниях примерно 30–40% обращений в службу поддержки касаются забытых паролей, ПИН-кодов и пр. Установив на дверях кабинетов замки, запираемые картами, отдел кадров получает возможность отслеживать количество часов, проработанных за компьютером каждым из сотрудников, оперативно регистрировать новых работников и предоставлять им соответствующие допуски, учётные записи и пр. Кроме того, несколько минут в день, проводимых пользователями за набором паролей, в годовом масштабе превращаются в упущенные рабочие дни (5 минут ежедневно — это примерно 21 час в году).

Желательно, правда, учесть, что даже отлично настроенная система авторизации пользователей не даст хороших результатов, если в компании не разработаны точные политики безопасности.