СТАНДАРТЫ

     У корпораций растут потребности в системах идентификации

    

Камерон Стардевант

В сентябре IBM, Microsoft и ряд менее известных компаний представили в Организацию по совершенствованию стандартов структурированной информации (OASIS - Organization for the Advancement of Structured Information Standards) три новые спецификации, касающиеся обеспечения безопасности, - WS-SecurityPolicy, WS-SecureConversation и WS-Trust.

Передача этих спецификаций на рассмотрение OASIS продолжает традицию, начало которой было положено в 2002 г. Согласно этой традиции IBM и Microsoft впервые объявляют об эволюции своих разработок в области безопасности веб-сервисов на конференции Catalyst Conference North America, проводимой группой Burton Group в июле.

Три переданные в OASIS спецификации содержат уточнения определений процесса работы с жетонами безопасности, установления доверительных отношений, обеспечения безопасности сообщений, создания безопасной среды и формального описания политики безопасности. По сути речь идет о том, как веб-сервисы могут установить доверительные отношения, а затем поддерживать надежную связь в рамках доверительного домена.

Анонсы были сделаны на конференции, участники которой выражали озабоченность положением со средствами управления идентификацией. Многие указывали, что распространение сервисно-ориентированной архитектуры (SOA) будет зависеть от того, удастся ли обеспечить надежную идентификацию пользователей.

Джеми Льюис, генеральный директор и руководитель исследований Burton Group, ввел термин "пользователецентризм" для описания того, как люди все более активно управляют своей жизнью в сети, своей идентификацией, взаимодействием с другими людьми и с компаниями, с которыми их связывают деловые отношения. По словам Льюиса, "пользователецентризм" в значительной мере зависит от того, удастся ли обеспечить такой уровень безопасности данных в процессе передачи и в точках совершения транзакций, чтобы заключаемые в сети сделки не уступали по надежности передаче денег и товара из рук в руки.

Проявившаяся на конференции Catalyst озабоченность проблемами безопасности явно была продиктована быстро растущим числом законов, касающихся обеспечения личной тайны и аудита, в том числе законов о медицинском страховании (HIPAA - Health Insurance Portability and Accountability Act), Сарбейнса - Оксли (Sarbanes - Oxley Act) и Грэмма - Лич - Блайли (Gramm - Leach - Bliley Act).

"Вы открываете газету и узнаете, что были взломаны сети компаний ChoicePoint и CardSystems, вы читаете о выуживании конфиденциальных сведений с помощью электронной почты. И вам становится ясно, что мы приближаемся к тому моменту, когда будет достигнута критическая масса подобных сообщений", - заявил Льюис.

Безопасность и идентификация

Сегодня ИТ-менеджеры могут готовить к запуску проекты в области безопасности и управления идентификацией.

- Проверьте надежность источников идентификационных сведений, включая каталоги и базы данных, которые должны предоставлять актуальную информацию о пользователях. Подход, согласно которому платежные системы должны обладать исключительной достоверностью, является совершенно правильным.

- Проведите очистку источников данных. Уберите лишние записи и безжалостно удалите дублирующие записи.

- Создайте уникальные идентификаторы для каждого сотрудника организации.

- Не стесняйтесь пользоваться услугами специализирующихся в данной области компаний. В любом проекте, связанном с управлением идентификацией, необходимо не только учитывать множество бизнес-процессов, но и применять знание различных технологий. Системы безопасности требуют надежных служб идентификации. Поэтому в данном случае расходы на оплату надежного внешнего консультанта могут быть легко обоснованы.

     Источник: лаборатория eweek Labs.

Многие тенденции, отмеченные лабораторией eWeek Labs при анализе новых систем идентификации и свежих версий уже выпускавшихся продуктов, нацелены на решение фундаментальных проблем, в том числе создание уникального идентификатора. Действительно, в своих выступлениях на конференции руководители компаний один за другим приводили случаи, как они использовали технологию для разработки единого уникального идентификатора для каждого сотрудника компании.

Проблема получения уникального идентификатора может напомнить некоторым менеджерам ИТ жуткие проекты конца 90-х, связанные с реализацией инфраструктуры открытых ключей (PKI - Public Key Infrastructure). Результатом этих проектов нередко был не столько выигрыш в производительности, сколько новые трудности в процессе их реализации и рост затрат.

Однако это сравнение не вполне верно применительно к ИТ сегодняшнего дня. Технология метакаталогов и развивающаяся в последнее время технология виртуальных каталогов позволяют отказаться от методов реализации решений по принципу полной замены, которого часто требовали системы PKI. Теперь вместо изменения каталогов, баз данных и встроенных в приложения систем идентификации стало возможным просто произвести интеграцию с надежными средствами идентификации и использовать системы управления идентификацией, обеспечивающие необходимый уровень безопасности.

Помимо решения проблемы управления идентификацией в рамках предприятия менеджерам ИТ потребуется регистрировать клиентов, входящих в их системы через Интернет. "Если мы не решим эту проблему, то столкнемся с пренеприятными эффектами энтропии, - считает Льюис. - Интернет дает колоссальные возможности для создания виртуальных пространств. Но люди могут быть слишком напуганы, чтобы посещать эти пространства".

Интерес фирм-производителей и их руководителей к управлению идентификацией в значительной мере продиктован требованиями законодательства. Но здравомыслящие менеджеры ИТ должны использовать эту заинтересованность для реализации проектов, которые помимо прочего способствуют росту эффективности бизнеса и укреплению безопасности. На конференции Catalyst Conference North America прозвучало множество предложений, как этого добиться. Дополнительную информацию можно получить по адресу: www.catalyst-conference.com.