16.08.2002

Ваши проблемы решит eToken

Финансовая Газета, №8/2002, Сергей Груздев

Ведение бизнеса в современных условиях предполагает организацию и хранение информации в электронном виде. Однако при этом руководители предприятия, технических отделов и финансовые директора сталкиваются с одной и той же проблемой: как сделать так, чтобы доступ к определенным разделам информации получили лишь сотрудники, имеющие на это право. Если перевести эту проблему в техническую плоскость, можно разбить ее на несколько локальных проблем, которые мы и рассмотрим в данной статье.

Доступ к корпоративной сети и корпоративным ресурсам

Такие угрозы, как порча или уничтожение информации в результате заражения компьютеров вирусами, сейчас принимаются во внимание практически всеми руководителями технических отделов. Однако еще далеко не все понимают, что опасность может находиться внутри компании: так, например, если один из сотрудников имеет доступ к конфиденциальной информации по паролю, то другой, не имеющий таких полномочий, может его подсмотреть. Точно так же пароль, записанный на бумажку, может стать доступным и совершенно постороннему человеку, оказавшемуся вблизи рабочего места, к примеру, главного бухгалтера. Не стоит и говорить, что это грозит разглашением конфиденциальной информации, ее утечкой в руки конкурентов и другими подобными бедами. Можно ли избежать этой опасности?

Современные методы защиты информации предполагают, что при подключении пользователя к компьютерной сети происходит его аутентификация.

С ее помощью сервер определяет аутентичность как пользователя, так и сервера. Однако для надежной аутентификации одного пароля, т.е. некого знания, недостаточно. Вы должны не только знать пароль, но и иметь материальный ключ (электронный идентификатор) с дополнительной информацией, хранящейся на нем: аутентификация должна быть двухфакторной. Такая же ситуация складывается и с доступом к корпоративным данным, некоторым бизнес-приложениям.

Работа с защищенными веб-страницами (системы «Клиент-банк», «Домашний банк» и т.п.)

Сейчас многие бухгалтеры предпочитают не работать «по старинке», а использовать современные технологии, значительно экономящие время. Так, большинство банков предлагают применять интернет-системы «Клиент-Банк».  С их помощью вы можете не выходя из офиса оперативно получать информацию о состоянии своего счета, оплачивать счета, даже вести архив платежных документов. Подобные системы  разработаны и для физических лиц («Домашний банк»), имеющих счета и предпочитающих не тратить силы на утомительные поездки в банк.

Не останавливаясь на подробностях, отметим, что обычно в таких системах используется следующая технология: вы открываете через  браузер веб-страницу и проводите операции со своим счетом. Каналы связи защищены, при входе на страницу вы указываете пароль. Однако, как мы выяснили выше, пароль – слишком ненадежный метод идентификации для того, чтобы ему можно было доверять. Подчеркнем, что для обеспечения необходимого уровня безопасности здесь так же необходима двухфакторная аутентификация.

Удаленный доступ к корпоративной информации

Многие топ-менеджеры предприятий, в том числе и финансовые директора, нередко оказываются в ситуации, когда доступ к данным необходимо получить не со своего рабочего места, а с другой рабочей станции, с ноутбука и т.д. Предположим, вы отправляетесь в фирму, являющуюся партнером, и вам срочно понадобилось получить дополнительные данные, которые имеются только на сервере вашей компании. Если вы воспользуетесь паролем, то велика вероятность того, что секретная информация – о каналах, поставщиках, финансах вашей компании – станет доступной, что может превратить вашего вчерашнего партнера в конкурента. Безусловно, в этом случае без аутентификации тоже не обойтись, но существует одно непременное условие: ключ должен быть небольшого размера, чтобы вы могли носить его в кармане или на связке ключей от дома и машины, и должен «подходить» к различным компьютерам.

Удаленный доступ к корпоративной почте

Еще одна довольно распространенная ситуация: вы отправляетесь в длительную командировку. Ситуация на рынках такова, что держать руку на пульсе событий необходимо каждый день. Значит, вам не обойтись без доступа к корпоративной почте. Вряд ли верным решением будет пересылать все на почтовой ящик, предоставленный бесплатным почтовым сервером: информация на таких серверах недостаточна защищена, к тому же в их работе часто случаются ошибки – иногда часами вы не сможете получать почту, а при серьезных поломках сообщения просто «исчезают». Способ гораздо более надежный – подключиться через Интернет непосредственно к своему корпоративному почтовому серверу. Как и в случаях, описанных выше, на помощь приходит ключ – электронный идентификатор.

Что служит ключом?

Ключом к вашей информации могут служить многие устройства: обычная дискета с записанным на ней паролем, таблетка Dallas Touch Memory (iButton), смарт-карта, и, наконец, устройство, которое и носит название электронного ключа. Дискета ненамного надежнее собственно пароля. К тому же ее легко потерять, забыть в дисководе чужого компьютера, дискеты быстро приходят в негодность. Таблетки Touch Memory гораздо удобнее, однако где гарантия, что к компьютеру, которым вы хотите воспользоваться, подключен считыватель для этого устройства? До недавнего времени идеальным средством представлялись смарт-карты. Помимо того, что они имеют удобную форму обычных пластиковых карт, смарт-карты обладают главным технологическим преимуществом: защищенной памятью, в которой можно хранить не только пароли, но и другую информацию. В частности, в их памяти могут содержаться цифровые сертификаты, использующиеся вместо стандартной связки «логин-пароль» при доступе к информации в наиболее современных системах и применяющиеся при электронно-цифровой подписи. Основной их минус – то, что считыватели смарт-карт так и не стали стандартным средством оборудования настольных персональных компьютеров и ноутбуков.

eToken – стандарт de facto

Электронные ключи обладают всеми преимуществами других идентификаторов, но при этом лишены их недостатков. Рассмотрим это устройство на примере ключа eToken компании Aladdin. Этот ключ абсолютно аналогичен смарт-картам: он обладает большой (до 64 КБ) защищенной энергонезависимой памятью; для того, чтобы его активизировать, необходимо знать PIN-код ключа; он может хранить в себе любую секретную информацию. При этом его размер – не больше обычного брелка. Его уникальная особенность в том, что, в отличие от смарт-карты, он не требует никакого считывателя: по сути, eToken представляет из себя смарт-карту и считыватель одновременно. Он подключается напрямую к USB-порту, который есть на любом современном компьютере. Для того, чтобы воспользоваться им на чужой рабочей станции или ноутбуке, достаточно скачать из Интернета небольшую программу и установить ее. В случае же, если на этой станции установлена операционная система Windows XP и она подключена к Интернету, не потребуется даже и этого: если вы подключите eToken к USB-порту, система сама обнаружит необходимое программное обеспечение и установит его.

Готовые программные продукты

Компания Aladdin совместно с ее партнерами выпускают целый ряд решений на базе электронного ключа eToken. При этом для того, чтобы воспользоваться ими, каждому пользователю достаточно иметь только один ключ и запомнить к нему один-единственный PIN-код. Так, для обеспечения доступа к корпоративной сети Windows 2000/XP с использованием цифровых сертификатов разработан программный продукт «eToken – Безопасность в сети». Он обеспечивает доступ к сети и ее ресурсам как пользователям со стационарного рабочего места, так и мобильным пользователям. Также он позволяет удаленно обращаться к корпоративным ресурсам и личной почте. «eToken – Network Logon» – облегченная версия того же продукта для тех компаний, которые еще не установили Windows 2000 Server и пользуются Windows NT. Предусмотрено и решение для тех организаций, которые используют среду Lotus Notes. В этом случае в памяти ключа eToken будет храниться личный ID-файл пользователя. Для тех, кто предпочитает использовать почтовую программу «The Bat!», совместно с ее разработчиками компанией Aladdin выпущена защищенная версия этого почтового клиента. Для обеспечения высокой степени безопасности информации, хранящейся на личном компьютере, можно посоветовать программу Secret Disk. Эта программа зашифрует конфиденциальную информацию и «спрячет» ее от посторонних глаз.