V oblasti bezpečnosti na aplikačnej úrovni implementuje naša spoločnosť nasledovné riešenia:
- Identity Access Management a Single Sign On
- Viacfaktorová autentizácia
- Adresárové služby
- Antivirus a antimalware
Identity Access Management a Single Sign On
Schopnosť organizácie včasne vyhľadať, identifikovať a overiť identitu používateľa pristupujúceho k jej informačným systémom je kritický aspekt dodržania bezpečnostných požiadaviek a pravidiel organizácie. Implementácia Identity Access Management modelov na základné skupiny s postupným rozširovaním kým nie je pokrytá celá organizácia prináša výhody bezpečnostného a aj monetárneho charakteru.
Systém Identity Access Management sa skladá zo štyroch komponentov:
- Autentizácia
- Autorizácia
- Správa používateľov
- Centrálne úložisko informácií o používateľoch (adresárová služba)
Hlavnou úlohou Identity Access Management je zaručiť správnym používateľom správnu úroveň prístupu k informačným zdrojom.
Viacfaktorová autentizácia
Autentifikácia je proces slúžiaci na overenie – potvrdenie , že daný objekt je tým za koho sa vydáva (používateľ, aplikácia, server). Autentifikačný faktor je doplnková informácia slúžiaca na overenie alebo identifikáciu objektu. Vo všeobecnosti sa tieto faktory delia do troch kategórií:
- vlastnícky faktor: používateľ niečo má (napr. smart kartu, hw/sw token, mobilný telefón)
- znalostný faktor: používateľ niečo vie (PIN, heslo)
- existenčný faktor: používateľ niekým je (napr. odtlačok prsta/ sietnice, rozpoznanie hlasu/ podpisu, resp. iná biometrika)
- ďalšími doplnkovými faktormi sú napr. čas alebo miesto.
Viacfaktorová autentifikácia teda slúži na identifikovanie používateľa pomocou najmenej dvoch faktorov. V niektorých zdrojoch sa označuje aj pojmom strong authentication. Väčší počet autentifikačných faktorov zvyšuje pravdepodobnosť správnej identifikácie používateľa. Dôsledkom je teda zvýšenie bezpečnosti sprístupňovaných systémov. Ďalším benefitom je zmiernenie alebo dokonca odstránenie známej bezpečnostnej slabiny väčšiny komplexných hesiel: používatelia si komplexné heslo ťažko pamätajú, preto si ich zvyknú zapísať na štítok papiera, zvyčajne nachádzajúceho sa v blízkosti daného počítača.
Technológie, ktoré poskytujú autentizačné mechanizmy:
PKI infraštruktúra – využíva sa infraštruktúru verejného kľúča, ktorý môže byť uložený v chránenom úložisku v PC, alebo na externom médiu (smart karta, token, TPM…). Nevýhodou je potreba špecializovaného HW (čítačky smart kariet, smart karty; usb tokeny). Vhodná aj na autentifikáciu technologických zariadení (EITZ).
jednorazové heslá (OTP) – zvyčajne dopĺňa štandardnú autentifikáciu menom a heslom. Po tejto prvotnej autentifikácii, sa vopred definovaným komunikačným kanálom (email, sms, telefónny hovor,..), odošle používateľovi jednorazové heslo pre dokončenie procesu prihlásenia. Výhodou je ochrana voči odpozorovaniu/ odchyteniu prístupového hesla. V princípe sa teda jedná o obdobu štandardných grid kariet. Výhodou je pomerne ľahké zavedenie a takmer nulové nároky na nový HW (podľa hesla „mobil má dnes každý“).
RFID, proximity čipy – využíva sa technológia bezkontaktných čipových kariet. Sú vhodnou voľbou napr. pre použitie v systémoch, pri ktorých sa často striedajú rôzny používatelia. Nevýhodou je potreba špecializovaného HW.
TPM (Trusted Platform Module) – špecializovaný čip slúžiaci na bezpečné kryptografické operácie a uchovávanie šifrovacích kľúčov. Natívne ho využíva Windows Vista, Windows 2008 a Windows 7 spolu s Bitlockerom na ukladanie šifrovacích kľúčov používaných na šifrovanie disku.
Biometrika – opäť sa jedná o špecializované HW a k nemu prislúchajúce SW vybavenie, ktoré dokáže rozpoznať človeka na základe jeho fyziologických charakteristík. V súčasnosti sa používa najmä odtlačok prsta, snímanie očného pozadia, hlasová analýza, snímanie symetrie ruky, snímanie rozloženia ciev v prste a iné.
Naša spoločnosť má dlhoročné skúsenosti s implementáciou PKI ako aj ďalších autentifikačných a autentizačných riešení pre Ministerstvo Obrany Slovenskej Republiky a Ozbrojené Sily Slovenskej Republiky.
Adresárové služby
Väčšina existujúcich implementácií adresárových služieb je založená na službe Active Directory. Táto služba síce vychádza zo štandardov, ale je upravená pre špecifické potreby domény Microsoft Windows. Pre budovanie globálnych interoperabilných adresárových služieb založených na štandarde X.500 realizujeme riešenia postavené na nasledovných produktoch s ktorými máme praktické skúsenosti:
- Nexor Directory
- Boldon James Defence Directory
- CA Directory
Antivirus a antimalware
Riešenia pre ochranu operačných systémov a aplikácií voči škodlivému kódu patria medzi základné prvky počítačovej bezpečnosti. Profesionálne produkty sú na trhu už veľa rokov, ale iba niektoré si dokázali udržať kvalitu a dôveryhodnosť po celý čas. Medzi tieto produkty je jednoznačne možné zaradiť riešenia od spoločností ESET a Kaspersky Labs. Podrobnejšie predstavovanie týchto produktov je zbytočné, aktuálne a historické hodnotenia je možné nájsť na stránkach:
http://www.virusbtn.com/index
http://www.av-comparatives.org/
Významnou súčasťou ponúkaných riešení je softvér pre komplexnú správu korporátnych ale aj SMB prostredí.
