Az azonosítás alappillérei

A vállalatokat fenyegető számítógépes bűnözés sem a kalandról és kevés kárt okozó magamutogató kódzsonglőrködésről szól már régóta – a bűnözői csoportok mögött ugyanolyan komoly gazdasági motiváció áll, mint az általuk fenyegetett iparág mögött. Számíthatunk rá, hogy egyszeri katasztrófák előidézése helyett bizonyos támadók hosszú lejáratú hatásokat szeretnének majd kiváltani. Ma már elképzelhető olyan vírus, amely rekordszinten változtatja meg vagy teszi tönkre az információkat, az ennek következtében beálló probléma nem lesz egyszerű eszközökkel – például az adatok korábbi változatának visszaállításával – orvosolható. Ha ilyesmi bekövetkezik, a vállalatok jelentős időt és pénzt fognak költeni a hiba megkeresésére és kijavítására. November elején már beszámoltunk egy olyan féregről, amely képes bejutni egy Oracle adatbázisba, és ott adatokat módosítani. Shlomo Kramer, az Imperva biztonsági fejlesztőcég ügyvezetője szerint ez a féreg azért veszélyesebb mondjuk az SQL-t támadó Slammernél, mert ténylegesen bejut az adatbázisba. Ha pedig egyszer bent van, akkor bármit tehet az ott tárolt adatokkal, ez csak azon múlik, hogy mennyire kártékony kódot juttatnak be vele. Kramer szerint "ha valaki tényleg kárt akar okozni, pár óra leforgása alatt Oracle adatbázisok ezreit pusztíthatja el, az okozott kár pedig több milliárd dollár lehet". Az ilyen támadások tönkretehetik az áldozatok műveleti és üzleti integritását, csökkentve a megbízhatóságot, miközben az minden eddiginél fontosabb az e-business számára.

Megoldás kell, biztonságos

A megfelelő személyazonosság- és hozzáférés-kezelés védelmet nyújthat a fenti fenyegetések ellen. A rendszer lényege, hogy minden felhasználó számára meghatározza, a szervezet milyen alkalmazásainak használatára van jogosultsága, milyen adatbázisokhoz, információkhoz férhet hozzá, és ezeket folyamatosan rendelkezésére is bocsátja – de ezzel egy időben az illető jogosultságának határain kívül eső alkalmazásokat teljes mértékben el is zárja. Az adatok, információk így mindig elérhetők a felhasználók számára, de csak addig a határig, ameddig azt engedélyezték számukra. A hálózati azonosítás segítségével a szervezetek szigorúan megszabott határai rugalmassá tehetők: az üzleti partnerek, beszállítók, ügyfelek személyes jogosítványaik révén önállóan hozzáférhetnek információkhoz, amelyekhez eddig a szervezet egy belső munkatársának segítségével juthattak hozzá, a belső munkatársak pedig többé nem szerezhetnek meg olyan adatokat, amelyek nem tartoznak kompetenciájukhoz. A hálózati azonosítási technológia képes választ adni a nyitott és egyben biztonságos rendszer látszólagos paradoxonára.

A rendszer alappillérei a jelszó- és hozzáférés-kezelés. Ezek segítségével történik a jogosultságok hozzárendelése az egyes felhasználókhoz, a változások folyamatos követése és a – biztonsági szempontból legfontosabb – jogosultságok megvonása, ha egy felhasználó már nem tartozik az adott szervezethez. Annak ellenére, hogy hozzáférés-kezelésen ma már jóval többet értünk a hagyományos felhasználónév/jelszó párossal történő bejelentkezésnél – gondoljunk a chipkártyás beléptető rendszerekre vagy a biometrikus azonosítókra –, mégis a piacon található legtöbb IAM-rendszer a jelszókezelés alapjaiból nőtte ki magát. Ennek részben az is oka, hogy a költségek megtérülésének egyik igen fontos területéről beszélünk: becslések szerint a nagyvállalatok helpdesk-forgalmának 30-50 százalékát az elfelejtett jelszavakkal kapcsolatos ügyintézés teszi ki. Egy olyan rendszer kiépítése tehát, amelyben a felhasználóknak lehetőségük van a helpdesk közreműködése nélkül például online emlékeztetőt kapni vagy új jelszót igényelni, jelentős költségeket takaríthat meg a későbbiekben.

A személyazonosság-felügyelet hálózati alkalmazásának következő lépcsőfoka az egy műveletben történő bejelentkezés, röviden SSO (Single Sign-On). Ennél a felhasználó egy bejelentkezéssel már nem csak egyetlen szervezet – mondjuk a helyi önkormányzat – szolgáltatásait érheti el, hanem más cégek, szervezetek, például bankok, közüzemi szolgáltatók, biztosítók különféle szolgáltatásait is. Ez abban az esetben valósulhat meg, ha a személyes azonosításhoz szükséges információkat a különböző szervezetek képesek federatív módon, a mai bankkártya-rendszerekhez hasonló mechanizmussal megosztani egymással, alkalmazásaik együttműködnek, egymás számára kölcsönösen átjárhatóak. A Sun Microsystems kezdeményezésére 2001-ben jött létre a Liberty Alliance szövetség abból a célból, hogy nyílt megoldást fejlesszen ki és alkalmazzon a hálózati azonosítás kezeléséhez. Egy ilyen megoldás azt jelentené, hogy megvalósítható az egypontos bejelentkezés, a decentralizált hitelesítés és a nyílt autentikáció bármely, az internetre csatlakozó eszközről, a hagyományos asztali számítógépektől és mobiltelefonoktól kezdve egészen a tv-kig, autókig, hitelkártya-terminálokig és pénztárgépekig.

A cikk még nem ért véget, kérlek, lapozz!