13.1. Управление идентификацией и доступом

Для реализации растущих потребностей электронного бизне­са необходимо построить надежную с точки зрения безопасно­сти среду для осуществления электронного бизнеса в режиме on-line. Технологии, которые дают возможность осуществлять электронный бизнес, выполняют четыре основные функции:

• аутентификацию, или проверку подлинности пользователя;

• управление доступом, позволяющее авторизованным поль­зователям получать доступ к требуемым ресурсам;

• шифрование, гарантирующее, что связь между пользовате­лем и базовой инфраструктурой защищена;

• неотказуемость, означающую, что пользователи не могут позднее отказаться от выполненной транзакции (обычно реализуется с помощью цифровой подписи и инфраструк­туры открытых ключей) (рис. 13.1).

Рис. 13.1. Технологии, обеспечивающие электронный бизнес

Только решение, которое выполняет все эти четыре функ­ции, может создать доверенную среду, способную по-настояще­му обеспечить реализацию электронного бизнеса.

Управление доступом является критическим компонентом общей системы безопасности. Система управления доступом обеспечивает авторизованным пользователям доступ к надлежа­щим ресурсам. Проектирование этой инфраструктуры требует тонкого баланса между предоставлением доступа к критическим ресурсам только авторизованным пользователям и обеспечением необходимой безопасности этих ресурсов, известных большому числу пользователей.

13.1.1. Особенности управления доступом

В распределенной корпоративной сети обычно применяют два метода управления доступом:

• управление сетевым доступом (регулирует доступ к ресурсам внутренней сети организации);

• управление Web-доступом (регулирует доступ к Web-ceрверам и их содержимому).

Все запросы на доступ к ресурсам проходят через (один или более списков контроля доступа ACL (Access Control List). ACL является набором правил доступа, которые задают доля набора защищаемых ресурсов. Ресурсы с низким риском будут иметь менее строгие правила доступа, в то время как высококритичные ресурсы должны иметь более строгие правила доступа. ACL, по существу, определяют политику безопасности.

Доступ к сетевым ресурсам организации можно регулирован, путем создания списков контроля доступа Login ACL, которые позволяют точно определить конкретные разрешения и условия для получения доступа к ресурсам внутренней сети.

Средства контроля и управления Web-доступом позволяют создавать и исполнять политику Web-доступа. Создавая конкрет­ные списки контроля Web доступа Web ACL, администраторы безопасности определяют, какие пользователи могут получить доступ к Web-серверам организации и их содержимому и при каких заранее установленных условиях.

Управление доступом упрощается при применении единой централизованной инфраструктуры контроля и управления до­ступом, которая может разрешить пользователям «самообслужи­вание», поручая им такие задачи управления, как регистрация, редактирование профиля, восстановление пароля и управление подпиской. Она может также обеспечить делегированию адми­нистрирования, передачу функций управления пользователями, людям, наиболее осведомленным о конкретной группе пользователей как внутри — в бизнес-подразделениях организации, так и вне ее — у клиентов и в подразделениях бизнес-партнеров. Чтобы облегчить поддержку системы безопасности масштаба предприятия, средства управления доступом могут получать данные пользователей и политик, уже хранимых в таких сущест­вующих хранилищах данных, как каталоги LDAP и реляцион­ные БД.