к этим технологиям вызван необходимостью обеспечивать доступ к корпоративным узлам Web, а также ростом числа мобильных и удаленных сотрудников, из-за которых локальные сети становятся более уязвимыми. Все усложняется еще и тем, что набираемые телефонные номера и пароли часто используются одновременно несколькими пользователями и редко изменяются. Пароли, кроме того, легко позабыть, тем более что с появлением новых интерактивных служб и возможностей доступа по телефонным линиям их становится все больше и больше, и пользователи, ничтоже сумняшеся, записывают их на бумажки и приклеивают на компьютер. Неизменяемые пароли вряд ли станут серьезным препятствием для хакеров, стремящихся получить доступ в локальную сеть. Поэтому администраторы ИС заинтересованы в более совершенных технологиях и продуктах, которые могут обеспечить аутентификацию пользователя, подтверждение прав доступа в сеть, а также проверку, и упростить управление.

Но реализация полного решения вызывает серьезные трудности в силу недостаточной интероперабельности между продуктами.

Создаются стандарты и появляются некоторые многофункциональные системы защиты, например предлагаемые компаниями Hewlett-Packard и Mergent International. Однако, по данным аналитиков, из-за сложности (а часто и по причине высокой стоимости) решений одного поставщика, компании предпочитают использовать набор технологий различных производителей.

Для того чтобы соответствовать требованиям, предъявляемым к новейшим системам защиты, некоторые компании, начиная от производителей аппаратного обеспечения для удаленного доступа и сетевых систем до поставщиков брандмауэров, добавляют в свои продукты более совершенные возможности, в частности аутентификацию. Вследствие этого растет число поспешных приобретений. Например, производитель брандмауэров - компания Secure Computing - недавно купила поставщика серверов аутентификации, компанию Enigma Logic; а в марте Ascend Communications, поставлявшая системы удаленного доступа, приобрела Vorning Star Technologies, которая специализировалась на защите информации.

Многие производители также идут по пути интеграции продуктов. Так, компания AssureNet Pathways сообщила, что намерена обеспечить функции аутентификации для брандмауэра компании CheckPoint Software Technologies.

Internet - это также немаловажный фактор, прибавляющий заинтересованности в продуктах, предоставляющих высокий уровень защиты, таких как цифровые подписи, цифровые сертификаты и инструментальные средства шифрования для обеспечения защиты передаваемых данных и подтверждения легитимности получателя. На самом высоком уровне защиты, а именно физической аутентификации, для подтверждения личности применяются отпечатки пальцев пользователя, характеристики сетчатки глаза или черт лица.

Но, по мнению аналитиков, столь дорогие технологии нет необходимости использовать для всех приложений: они должны осуществлять защиту только очень важной информации. К примеру, 90% сообщений электронной почты в ней явно не нуждаются.

По мере расширения процесса интеграции функций защиты, для обеспечения секретности информации по-прежнему предпочтительно использовать пароль, но, по словам Марло Козановича, аналитика Meta Group, компании, числящиеся в списках Fortune 500 и Fortune 1000, для более строгой верификации пользователя в момент входа в сеть стремятся применять системы аутентификации на основе лексем (token).

Системы на основе лексем комбинируют то, что вы знаете (пароль или идентификатор), с тем, что у вас есть (лексема).

К аппаратным реализациям относятся решения, обеспечивающие синхронизацию по времени, такие как карта SecureID компании Security Dynamic Techologies. Эта карта через регулярные промежутки времени генерирует случайный код (или "лексему") в соответствии с некоторым алгоритмом, который синхронизируется с сервером, генерирующим для подтверждения то же самое число. Пользователи видят это число на жидко-кристаллическом дисплее на карте, совпадающей по размеру с обычной кредитной карточкой, и вводят этот номер при входе в систему. В качестве дополнительной меры предосторожности могут быть использованы персональные идентификаторы (PIN) для активизации этой карты.

Карты SecureID применяются совместно с системой защиты сети, изначально создавая двойную процедуру входа. Поддержка этих карт требует совсем незначительных затрат времени. Самая большая трудность - это забытые номера PIN.

Можно также воспользоваться технологией "запросов-и-ответов", как в LeeMah DataCom и картах лексем компании Secure Computing. В момент входа в систему сервер посылает код, который пользователь вводит в карту. Затем карта генерирует соответствующий код и передает его обратно серверу для завершения процедуры входа.

Если аутентификация на основе лексем объединена с возможностями факс/модема, используются и PC Cards.

Хотя аппаратные реализации обеспечивают безусловно более высокий уровень защиты, чем простые пароли, при этом возрастает административная нагрузка, особенно в крупных организациях. Аналитики считают уместным применять эти реализации для наиболее подвижных пользователей, которые подвергают систему наибольшему риску, и одновременно предусмотреть менее громоздкие решения для удаленных пользователей, работающих в одном и том же месте.

Альтернативой может служить двухфакторная аутентификация с использованием программных лексем, которая, теоретически, более проста в управлении. Это программное обеспечение должно быть предоставлено пользователю с соблюдением мер безопасности. После его установки лексема либо генерируется автоматически процедурой входа, либо, для обеспечения дополнительной безопасности, пользователь получает доступ к лексеме после набора PIN. На самом деле пока не ясно, обеспечивают ли программные лексемы уровень защиты, сравнимый с тем, который предоставляют аппаратные, поскольку и программа входа, и лексема размещаются в системе.

Итак, для ИС предоставляются новые уровни усовершенствованной защиты, гораздо более комфортные в использовании и управлении и, как следствие, более надежные.

Поделитесь материалом с коллегами и друзьями