БЕЗОПАСНОСТЬ
eToken TMS управляет средствами аутентификации и учетными данными пользователей
Системы строгой двухфакторной аутентификации входят в пору зрелости и широко применяются на предприятиях. Растет число широкомасштабных проектов, где количество рабочих мест, надежно защищаемых электронными ключами (токенами или смарт-картами), измеряется сотнями и тысячами.
Компания Aladdin (www.aladdin.ru) разработала систему управления электронными ключами, нацеленную на корпоративных клиентов. Эта система, называемая eToken TMS, предназначена для управления жизненным циклом eToken - главным продуктом Aladdin, активно внедряемым в разных корпоративных ИС для защиты информационных ресурсов и надежной аутентификации сотрудников, работающих в сети.
eToken выпускается в виде смарт-карты или токена (USB-ключа) и представляет собой персональное средство строгой аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и ЭЦП. Это довольно популярное решение на рынке USB-устройств для строгой аутентификации. Как сказал на семинаре, посвященном выходу eToken TMS, один из директоров компании Шломи Янаи (Shlomi Yanai), доход от продаж eToken удваивается каждый год. Говоря о природе этого рынка, г-н Янаи сообщил два впечатляющих факта. На вопрос: "Готовы ли вы раскрыть пароль за кусочек шоколада?" - 80% корпоративных пользователей сразу ответили "да". Второй факт - также из области статистики: 70% звонков в службу поддержки связаны с паролями. То есть люди массово создают предпосылки для роста рынка электронных ключей и средств аутентификации.
Управление жизненным циклом электронных ключей состоит из нескольких этапов: выпуск смарт-карты или токена для организации; персонализация карты; выдача ее сотруднику; обслуживание, предполагающее добавление доступа к приложениям, отзыв ранее предоставленного доступа, разблокирование PIN-кода, замена или временная выдача новой карты; отзыв карты. Каждой фазе жизненного цикла электронных ключей сопутствует определенный набор действий, который в масштабах предприятия превращается в большую проблему для администраторов и ИТ-служб. Например, выписка и отзыв смарт-карты сопровождаются записью и соответственно удалением идентификационных данных в нескольких системах управления, а самостоятельное разблокирование PIN-кода пользователем вообще невозможно без вмешательства специалистов техподдержки, что создает ненужную нагрузку на ИТ-службу.
Таким образом, внедрение на предприятии средств строгой аутентификации - суровая необходимость, но управление их жизненным циклом становится серьезной проблемой, ее-то и призван решать eToken TMS.
Типичная бизнес-задача, в которой используется eToken TMS, выглядит так: на предприятии планируется внедрение смарт-карт для входа в сеть и дистанционного доступа сотрудников через Интернет к корпоративной почте. Инфраструктура компании построена на решениях Microsoft. Для издания сертификатов используется Microsoft CA, входящий в состав Windows Server 2003. Как правило, в такой конфигурации решение о выборе ключей принимается в пользу eToken. Сильным аргументом становится доступность использования "родной" системы управления учетными данными и средствами аутентификации eToken TMS.
Это продвинутое ПО предназначено для внедрения, поддержки и учета средств аутентификации пользователей в масштабах предприятия, а также для управления этими средствами. Система eToken TMS предоставляет массу возможностей для управления смарт-картами и USB-ключами и выступает связующим звеном между пользователями, средствами аутентификации, приложениями информационной безопасности (ИБ) и политикой безопасности. Среди этих возможностей - форматирование электронных ключей, их назначение пользователям, выпуск и отзыв, отслеживание содержимого памяти и использования eToken, определение разрешенных приложений ИБ для токена каждого пользователя, восстановление данных в случае повреждения ключа, поддержка интерфейсов администратора, службы поддержки пользователей и самообслуживания. Таким образом, eToken TMS предоставляет исчерпывающий набор инструментов для обслуживания средств аутентификации пользователей (ключей и карт) в масштабах предприятия.
Новая система нацелена на комплексное управление USB-ключами и смарт-картами и позволяет:
- создавать, импортировать, экспортировать, редактировать учетные записи пользователей и управлять их полномочиями;
- назначать пользователям смарт-карты и USB-ключи, записывать в память этих устройств закрытые ключи и соответствующие сертификаты открытых ключей, а также другие данные, необходимые для аутентификации, - пароли, коды доступа и пр.;
- печатать фотографию, имя владельца, штрихкод и другую информацию на комбинированных картах, регистрировать встроенные в карты радиометки RFID;
- обновлять и отзывать сертификаты, выполнять разблокирование устройств.
Система допускает возможность того, что владельцем нескольких смарт-карт или USB-ключей будет один пользователь .
Главное преимущество от внедрения TMS в том, что предприятие получает инструмент управления жизненным циклом токенов и карт. В числе других бонусов - автоматическая запись в память токенов аутентификационных данных, глубокая интеграция с системой администрирования пользователей в MS Active Directory, упрощение внедрения решений на базе PKI-технологии и значительное снижение нагрузки на администраторов. Необходимо отметить также поддержку большого числа приложений ИБ (например, VPN- и веб-доступ, шифрование данных и электронной почты, ЭЦП и пр.).
eToken TMS не только автоматизирует управление паролями и идентификационными данными и снижает расходы на эти процессы, но и переносит тяжесть управления устройствами аутентификации на отдел кадров и самих пользователей.
Информация сохраняется в Active Directory и может быть экспортирована в MS Access, с тем чтобы сформировать спектр отчетов о сотрудниках и применяемых ими средствах идентификации и аутентификации.
Решение eToken TMS с интересом встретил отечественный рынок. Интеграторская компания "АМТ Груп" (www.amt.ru) демонстрировала его на своем стенде на выставке на выставке "Связь-Экспокомм’2005". Специалисты "АМТ Груп" показали работу новых электронных ключей eToken PRO 64К и смарт-карт с RFID-меткой для безопасного доступа в помещение и к корпоративным ресурсам, а также систему управления жизненным циклом средств аутентификации в масштабах предприятия eToken TMS. "Столь успешное и оперативное развертывание новой системы показывает заинтересованность рынка в решениях по двухфакторной аутентификации, - сообщил Антон Крячков, директор по продуктам фирмы Aladdin. - Мы также получили ряд пожеланий от специалистов "АМТ Груп" по работе eToken TMS, что свидетельствует о детальном изучении системы и ее возможностей. Безусловно, мы примем во внимание все рекомендации нашего партнера".
В московском офисе "АМТ Груп" разворачивает стенд с eToken TMS, где можно будет исследовать возможности ролевого управления средствами аутентификации, реализовывать различные сценарии использования заказчиком продукта в конкретной ситуации.
"Универсальная система управления токенами eToken TMS была анонсирована компанией Aladdin меньше месяца назад, но мы уже успели оценить эффективность и перспективы данной технологии на российском телекоммуникационном рынке, - сказал Олег Самарин, руководитель направления информационной безопасности "АМТ Груп". - Для реализации проектов в компаниях с количеством рабочих мест от 500 и более мы будем предлагать использование eToken TMS. В ближайшее время совместно с Aladdin мы планируем начать отработку проектов и пилотное внедрение eToken TMS для ряда компаний-заказчиков".
