Все больше российских компаний стремятся упростить доступ сотрудников к корпоративным информационным ресурсам. Ведь скорость действий каждого человека положительно сказывается на работе предприятия в целом и является стратегическим преимуществом. Идеальная организация предусматривает доступ к КИС с помощью любых подручных средств связи. Важно не только обеспечить сотруднику оперативный доступ к просмотру электронной почты, для чего достаточно КПК, смартфона, коммуникатора, а то и просто сотового телефона, но и возможность полноценной работы, например с домашнего компьютера или ноутбука во время поездки. По словам Ильи Молодова, начальника отдела информационных технологий «Совкомфлота», его компания инициировала установку решения «Мобильный офис», желая повысить эффективность работы именно ключевых сотрудников, которые часто выезжают в командировки. «Появилась масса возможностей для оперативной работы с корпоративными данными в любом месте и в любое время, – подтверждает Илья Молодов. – Можно получать почту от коллег, мгновенно видеть встречи, которые внес в систему секретарь, контролировать исполнение порученных другим задач». Если положительные эмоции пользователей обращены к возможностям такого доступа, то отрицательные – к аппаратной части этого решения. «Коммуникаторы сегодня еще достаточно громоздки и поэтому их тяжело использовать в качестве телефона и мобильного офиса одновременно», – добавляет Илья Молодов.
Два пути. Первый вариант доступа – к электронной почте, планировщикам, календарям – спасает в многочисленных ситуациях, когда сотрудник отсутствует, однако информацию нужно передать незамедлительно. Например, человек уже выехал к месту встречи, но появилась информация, которая может повлиять на ход переговоров. Реализация такой возможности не требует особо сложного программного обеспечения. «Нужны простейшие функции синхронизации данных, внесенных в мобильное устройство, с теми адресными базами, что хранятся у сотрудника на сервере в компании, – говорит управляющий директор Novell в СНГ Константин Стоволосов. – Все это можно реализовать с помощью современных систем коллективной работы». Обычно ПО этого класса содержит в своем названии слово Mobile – Oracle Mobile Server, mySAP Mobile Business, Microsoft Mobile Information Server, Novell GroupWise Mobile Server.
Второй вариант более сложен в реализации, но дает возможность работать в рабочих программах. Сотрудник, несмотря на удаленный доступ, фактически получает полноценное рабочее место. «Единая точка входа в КИС должна обладать двухуровневой архитектурой, – рассказывает Константин Стоволосов. – Система аутентификации, перед тем как предоставить пользователю доступ, сверяет его учетные данные с базами, в которых хранятся логины, пароли всех пользователей компании, а также сведения об их роли в организации, полномочиях». Соответственно, если желание пользователя работать с определенным ресурсом подтверждается его положением в компании, он «входит» в систему. В аппаратном же плане возможность удаленного доступа накладывает весьма небольшие изменения на IT-инфраструктуру компании. «Между маршрутизатором и корпоративной сетью устанавливается межсетевой экран, – рассказывает Владимир Алферьев, заместитель директора по продукции ZyXEL Россия. – На домашних или мобильных компьютерах настраиваются программные VPN-клиенты. Для повышенного уровня защиты данных можно использовать персональные межсетевые экраны».
Обычно возможность удаленного доступа предоставляется тем сотрудникам, чье отсутствие критично для компании. Например, по словам директора дирекции поддержки информационных систем банковской группы «Траст» Дмитрия Когана, право удаленного доступа в его организации получили акционеры, члены совета директоров, старшие менеджеры, а также сотрудники служб обеспечения, для которых быстрая реакция на проблемы является ключевым критерием работы, – всего около 40 человек. В «Совкомфлоте» удаленным доступом пользуются «командировочные» сотрудники.
Безопасность и негатив. Такая свобода выбора подразумевает особое отношение к информационной безопасности компании. По результатам исследования InfoWatch, дочерней компании «Лаборатории Касперского», именно мобильные накопители информации (91%) вызывают наибольшую обеспокоенность пользователей в плане безопасности.
Часто аутентификационные данные пользователя – лишь логин и пароль. «Пароли кэшируются, как и любая другая вводимая в компьютер информация. При желании ими может воспользоваться кто угодно в своих небескорыстных целях», – рассказывает Сергей Белов, руководитель стратегических проектов Aladdin. Поэтому разработчики решений для удаленного доступа стараются предусмотреть максимум возможных средств защиты. «Чтобы минимизировать риски, связанные с возможной утечкой конфиденциальной информации, – отмечает Сергей Горьков, директор департамента мобильных решений консалтинговой группы «Борлас», – мы применяем интегрированную аутентификацию пользователей и устройств с применением шифрования, двухуровневую авторизацию и разграничение прав доступа к информации, шифрование данных с алгоритмами частой смены ключей шифрования». Все перечисленные механизмы защиты помогут уберечь КИС от «непрошеного гостя», однако нередки кражи или потери телефонов, компьютеров. В этом случае корпоративная информация попадает в чужие руки сразу с мобильного устройства. Разработчики стараются предусмотреть и такую проблему. «В случае ЧП администратор с помощью подсистемы удаленного администрирования мобильных устройств может удаленно заблокировать устройство, стереть с него данные и полностью отформатировать, вернув все установки к первоначальным», – поясняет Сергей Горьков. Такой вариант защиты хорош для идентифицированных устройств. Однако часто возникают ситуации, когда необходимо срочно получить доступ к данным любыми подручными средствами. В такой ситуации человек может воспользоваться и чужим устройством, и интернет-кафе. «Удаленный доступ в КИС из интернет-кафе мы рекомендуем своим заказчикам запретить, поскольку при этом невозможно обеспечить должную безопасность», – заявляет Евгений Преображенский, генеральный директор InfoWatch. Однако недавно на рынке стали появляться средства безопасности, позволяющие «обходить» кэширование. «Электронные ключи с системой генерации одноразовых паролей полностью решают проблему возможного перехвата информации или банального подглядывания, – поясняет Сергей Белов. – Подобные системы уже широко распространены на мировых рынках, а не так давно появились и в России».
Среди стандартов, которым может соответствовать программное обеспечение для организации удаленного доступа, можно назвать X.509, сертификацию в соответствии с Liberty Alliance, Web Services Security (WS-Security), Security Assertions Markup Language (SAML), ФСТЭК России. Однако, по мнению Сергея Белова, наиболее разумным, хотя и долгим, является разработка задания по безопасности, учитывающего специфику организации информационной системы, и проведение сертификации на соответствие этому заданию. «Соответствие любым другим требованиям может положительно отразиться на реноме компании, – говорит Сергей Белов, – ее престиже, например в тендерах или при заключении партнерских договоров, не более».
Отдаленное будущее. Тенденции рынка удаленного доступа, естественно, подстраиваются под желания потребителя, а он неоригинален. Требуется максимум возможностей и удобства. А это означает минимизацию устройств, интеграцию их функций. Способы доступа все больше отклоняются в сторону беспроводных. «Настольный телефон и компьютер сольются в персональном коммуникаторе, настолько мощном, что он будет поддерживать функции компьютера, подключаться к монитору с клавиатурой и мышкой, – предсказывает Георгий Санадзе, руковолитель группы предпродажной подготовки Avaya в России, СНГ и Восточной Европе. – Вся информация будет храниться на серверах. Локальные сети исчезнут, необходимый сетевой ресурс будет предоставлен оператором мобильной связи».
i
Сертификат Х.509 – набор стандартных полей, содержащих сведения о пользователе или устройстве, и их соответствующий открытый ключ.
Liberty Alliance – консорциум, состоящий более чем из 150 организаций, целью которого является создание спецификации, позволяющей пользователям получать доступ ко многим сетям, предоставляя информацию о себе всего один раз.
WS-Security – спецификация в наборе технологий и стандартов для защиты Web-служб.
SAML – это оболочка на базе XML, используемая для передачи информации об аутентификации пользователей, их правах и атрибутах.
ФСТЭК – Федеральная служба по техническому и экспортному контролю.
ЭЛЕКТРОННЫЕ КЛЮЧИ
Как генерируются одноразовые пароли
При нажатии на кнопку на корпусе электронного ключа на его ЖК-дисплее высвечивается одноразовый пароль. Это значение действительно только для одного процесса аутентификации в течение ограниченного промежутка времени. Высветившийся пароль пользователь вводит в специальную web-форму. При совпадении этого значения с тем, которое было сгенерировано сервером аутентификации (синхронизация по событию), пользователь получает право на доступ.
Журнал «Финанс.» №45 (182) 20-26 ноября, 2006 – IT + финансы
Наталья Анищук
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.