В последнее время все больше и больше организаций начинают задумываться о переходе на двухфакторную аутентификацию. Причин тому много, но основной можно отметить – многократный рост критичной информации в корпоративных информационных системах и, как следствие, неспособность классической модели аутентификации на базе логинов и паролей удовлетворить современные требования информационной безопасности. С другой стороны, любая современная система двухфакторной аутентификации базируется на нескольких компонентах – инфраструктуре Удостоверяющего Центра (УЦ), выпускающего сертификаты для пользователей, ключевых носителях и системе управления. Именно о последнем мы и поговорим в данной статье.
Общее назначение системы управления ключевыми носителями это, конечно, в первую очередь, автоматизация. Автоматизация рутинных операций по форматированию ключей, по записи на них сертификатов и т.п. Кроме того, именно подобная система позволит вести нормальный учет ключевых носителей и не допустит возникновения ситуации, при которой уже не ясно, кому из пользователей, какой ключ принадлежит, и какие сертификаты на него записаны. Некоторое время назад система управления ключевыми носителями не рассматривалась как одна из важнейших компонент при построении модели двухфакторной аутентификации на предприятии, но сегодня с этим постулатом уже никто не будет спорить. Масштабы распространения подобных систем стали таковыми, что ручное управление уже просто невозможно. Я бы даже сказал больше – любое развертывание модели двухфакторной аутентификации на базе ключевых носителей более чем на 100 пользователей обязательно нуждается в системе управления. Давайте рассмотрим основные представленные в России системы управления ключевыми носителями и их функциональные возможности подробнее.
На текущий момент в России наиболее широко представлены две системы управления ключевыми носителями – это система TMS (ныне SAM) от компании «Аладдин Р.Д.» и система «Avanpost PKI» от компании Аванпост. Обе компании российские, и если «Аладдин Р.Д.» фактически представляет в России иностранную компанию, как минимум, в части продукта, про который мы будем говорить в данной статье, то Аванпост разрабатывает свой продукт самостоятельно. Не будем рассуждать, какая из моделей разработки лучше, главное - у нас есть два явно идущих впереди лидера, продукты которых мы и будем рассматривать исходя из представленного функционала.
Первым делом надо разобраться с совместимостью, ведь система управления ключевыми носителями это не «вещь в себе». Для этой системы очень важна интеграция с Удостоверяющими Центрами и непосредственно с самими ключевыми носителями. И уже на данном этапе мы сталкиваемся с серьезными функциональными отличиями в двух озвученных продуктах. Так, SAM работает исключительно с ключевыми носителями eToken, что, в целом, не удивительно, ведь компания разработчик делает именно эти ключи. «Avanpost PKI» позиционируется как «всеядное» программное обеспечение и заявляет свою полную готовность к работе как с eToken, так и с Рутокен и пр. Этот момент очень важен, ведь в сегменте производителей ключевых носителей сегодня довольно серьезная конкуренция, и на смену фактической тотальной гегемонии eToken в России начали приходить новые компании, предлагающие свои ключевые носители по характеристикам ничем не хуже, а порой даже лучше. Поэтому, если вы еще не определились с маркой ключей или же планируете покупать ключи от разных производителей, обратите свое внимание и на выбор системы управления в этой части. Что же касается Удостоверяющих Центров, то оба рассматриваемых решения полноценно могут работать с различными Удостоверяющими Центрами (Microsoft, КриптоПро, и др.) Хотя и тут есть небольшая функциональная разница. Так, решение «Avanpost PKI» может работать с несколькими разными УЦ одновременно. Не самая распространенная и востребованная практика, но, тем не менее, разработчиком заявлена такая возможность и в ряде случаев она придется очень кстати (к примеру, если вы планируете для различных задач разворачивать различные УЦ).
Перейдем к эксплуатационным качествам и к функционалу, который становится важен в процессе работы. С отслеживанием жизненного цикла ключевых носителей обе системы справляются хорошо. Кроме того, обе системы имеют в своем составе консоли самообслуживания пользователей. Момент опять же очень важный, ведь чем больше пользователей работают с ключевыми носителями, тем больше проблем и трудностей у них возникает. А наличие консоли самообслуживания существенно разгружает службу поддержки, что само по себе уже неплохое подспорье. В консолях самообслуживания обоих продуктов реализован схожий функционал – пользователи могут просматривать информацию по своему ключевому носителю, по сертификатам, которые на нем записаны и т.п. Кроме того, реализована возможность удаленной разблокировки ключевого носителя, если пользователь забыл свой ПИН-код, что тоже довольно удобно, а иногда, когда количество пользователей переваливает за отметку в 1000 человек, просто жизненно необходимо. Тут, кстати, нашлось одно небольшое отличие в реализации. У системы TMS/SAM при удаленной разблокировке ключевого носителя, пользователь может по звонку администратору запросить ПИН-код разблокировки и, впоследствии, ему необходимо будет ввести новый ПИН-код. Т.о., если злоумышленнику удастся выдать себя за пользователя по телефону, что, в общем-то, не очень сложно, то у него развязаны руки, он назначает свой новый ПИН-код и делает с ключом все, что ему вздумается. «Avanpost PKI» таких «вольностей» не позволяет, и при удаленной разблокировке система автоматически восстанавливает ПИН-код, выданный пользователю изначально. Ну а если пользователь, что называется, совсем забыл свой ПИН-код, то ему придется явиться к администратору лично и получить его. Сложно однозначно сказать какой вариант реализации более правильный. В «Avanpost PKI» реализовали более надежный вариант с точки зрения информационной безопасности, в TMS/SAM вариант менее надежный, но зато в некоторых случаях более удобный.
Далее рассмотрим немаловажный для многих компаний вопрос с встроенным документооборотом и с выполнением требований регуляторов в лице ФСБ России. Так, если на предприятии применяется (или планируется к применению) юридически значимый электронный документооборот, то при выдаче ключевого носителя с СКП (сертификатом ключа подписи) необходимо выполнить ряд важных моментов. А именно, вместе с передачей СКП, пользователю необходимо подготовить и передать на подпись заявление, бланк выданного сертификата, а так же бланк лицензии СКЗИ. Эти документы важны и при любой проверке со стороны ФСБ России обязательно будут затребованы. Конечно, данный пункт касается далеко не всех компаний, тем не менее, обойти его стороной было бы не правильно. И тут мы видим уже существенные различия в функционале двух продуктов. Решение TMS/SAM не уделяет данному вопросу никакого внимания, и всю эту работу придется вести фактически вручную. В «Avanpost PKI» все обстоит иначе и все вышеуказанные документы администратор безопасности может получить автоматически. Более того, в системе ведется полный реестр этой информации и, при необходимости, можно сделать выгрузку полной карты криптографической защиты информации предприятия.
Думаю, еще одним важным элементом функционала подобной системы является возможность выдачи пользователям дубликатов ключей. На большом предприятии эту задачу придется решать практически каждый день, ведь ключи имеют свойство быть забытыми дома рядом не самых ответственных сотрудников, да и форс-мажор никто не отменял. В данном вопросе оба продукта отработали на «отлично». Дубликаты ключевых носителей делаются быстро и легко. Кроме того, на время работы с дубликатом, в решении «Avanpost PKI» предусмотрена временная блокировка оригинального пользовательского ключа, что дает небольшое преимущество над TMS/SAM. А вот в части выпуска «виртуальных» токенов, наоборот, вперед выходит решение TMS/SAM, ибо у «Avanpost PKI» такой возможности в настоящее время не реализовано.
Ниже представлена краткая сводная таблица по существующим отличиям в функциональности двух рассматриваемых решений:
|
№ пп. |
Реализованные функции |
TMS/SAM |
«Avanpost PKI» |
|
1 |
Поддержка ключевых носителей разных производителей |
только eToken |
любые |
|
2 |
Поддержка различных Удостоверяющих Центров |
+ |
+ |
|
3 |
Отслеживание полного жизненного цикла ключевых носителей |
+ |
+ |
|
4 |
Выпуск множества СКП для одного сотрудника (организации) с различными X.509-расширениями |
+ |
+ |
|
5 |
Автоматическое прикрепление ключа к сотруднику при создании запроса на СКП |
+ |
+ |
|
6 |
Портал самообслуживания пользователей |
+ |
+ |
|
7 |
Самостоятельная разблокировка заблокированного ключевого носителя |
с назначением нового ПИН-кода |
с сохранением старого ПИН-кода |
|
8 |
Автоматическая разблокировка заблокированного ключевого носителя по истечении определенного времени |
- |
+ |
|
9 |
Изготовление «дубликатов» ключей |
+ |
+ |
|
10 |
Поддержка работы с виртуальными ключами |
+ |
- |
|
11 |
Поддержка всех типов и моделей электронных ключей eToken (OTP, FLASH) |
+ |
Нет поддержки OTP |
|
12 |
Широкий спектр поддерживаемых клиентских ОС: Windows, Linux, Mac OS; любая ОС при использовании одноразовых паролей |
+ |
- |
|
13 |
Система встроенного электронного документооборота |
- |
+ |
|
14 |
Учет лицензий и дистрибутивов СКЗИ по требованиям ФСБ России |
- |
+ |
|
15 |
Полный цикл обслуживания ключей, включая его форматирование и печать ПИН-кода в ПИН-конверт |
- |
+ |
|
16 |
Отслеживание активных ключей и действующих СКП у уволенных сотрудников |
- |
+ |
|
17 |
Учет СКП и токенов клиентов (внешних организаций) |
- |
+ |
|
18 |
Отслеживание сроков действия полномочий ответственных лиц клиентов (внешних организаций) при выпуске им сертификатов |
- |
+ |
В заключение хотелось бы сказать, что мы постарались объективно рассмотреть функциональные особенности двух наиболее широко представленных систем управления ключевыми носителями на российском рынке. И, в целом, картина получилась довольно полная. Ну а выбор, конечно, за Вами!
Александр Санин, коммерческий директор компании Аванпост
Первые несколько месяцев 2013 года стали довольно интересными и насыщенными событиями, связанными с переосмыслением процессов управления доступом и аутентификацией.
В последнее время все чаще звучат призывы к переходу на двухфакторную аутентификацию. Многие крупные компании и мировые лидеры в области ИТ вкладывают массу усилий в популяризацию данного тренда. В целом, никто уже не будет спорить, что классическая модель аутентификации, основанная на паре логин/пароль, уже не обеспечивает должный уровень информационной безопасности и нуждается в усилении.
Ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия
Все права защищены © Avanpost 2023
129085, г. Москва
ул. Годовикова, д. 9, стр. 17
