Spacer po dżungli ochrony danych

Administratorzy systemów informatycznych borykają się nie tylko z technicznymi zawiłościami środowisk pracy typu klient/serwer, ale są też zmuszeni stawić czoła bolesnemu paradoksowi, jaki wiąże się z problemem zapewnienia danym należytej ochrony. Im bardziej jest bowiem złożony system zabezpieczeń, tym bardziej utrudnia efektywną pracę użytkowników.

Administratorzy systemów informatycznych borykają się nie tylko z technicznymi zawiłościami środowisk pracy typu klient/serwer, ale są też zmuszeni stawić czoła bolesnemu paradoksowi, jaki wiąże się z problemem zapewnienia danym należytej ochrony. Im bardziej jest bowiem złożony system zabezpieczeń, tym bardziej utrudnia efektywną pracę użytkowników.

Wykonując elektroniczny slalom między bramkami, którymi są, w tym złożonym środowisku informatycznym, połączone w jeden organizm systemy komputerowe, użytkownicy zauważają, że dostęp do systemów obwarowany jest wieloma hasłami, zabezpieczaniami czy programami przyznającymi prawa dostępu do określonych zasobów .

"Nawet najlepiej obeznani z komputerami użytkownicy nie radzą sobie do końca z zawiłościami systemów ochrony danych", mówi Tobi Finzel, specjalista od spraw technologii informatycznych pracujący w U.S. Bancroft, Portland. "Każdy, kto próbuje zarządzać systemem informatycznym składającym się z komputerów różnych platform i chce zapewnić mu pełną ochronę danych, szuka dzisiaj złotego środka".

Ci administratorzy systemów informatycznych, dla których sprawa bezpieczeństwa systemu jest równie ważna co łatwość korzystania z jego usług, kierują swą uwagę ku nowej technologii, jaką jest technika jednohasłowego zgłaszania się do pracy.

Technika ta pozwala użytkownikowi korzystać z zasobów wielu różnych sieci komputerowych i serwerów, posługując się jednym tylko hasłem. System taki stwierdza tożsamość użytkownika (który może zgłosić się do pracy w wielu węzłach tej sieci) tylko jeden raz, sprawdzając jego identyfikator ID i hasło. Dane są przekazywane następnie już w pełni automatycznie do kolejnych segmentów sieci, z zasobów których użytkownik może korzystać bez potrzeby ponownego podawania innych haseł.

"Nasze biura i sieci LAN są zlokalizowane w wielu miejscach kraju, a specyfika środowisk pracy typu klient/serwer powoduje, że żadna z tych sieci nie jest konfigurowana w podobny sposób", mówi Dan Erwin, specjalista od spraw ochrony danych w firmie Dow Chemical Co.

Jeśli ktoś uważa, że idea jednohasłowego zgłaszania się do pracy wydaje się być zbyt piękna, żeby była prawdziwa, to ma po części rację. System pojedynczego hasła jest o tyle niebezpieczny, że w przypadku awarii może prowadzić do unieruchamiania całych sieci komputerowych w przedsiębiorstwach. Takie potencjalne zagrożenie może być przysłowiową piętą Achillesową tego typu systemów. "Zarządzanie pracą użytkowników używających systemu pojedynczego hasła może ułatwić życie administratorowi systemu. Ale tylko do momentu w którym okaże się, że hasło to nie jest już dłużej ważne", argumentuje Anil Sethi, zajmujący się bezpieczeństwem danych w firmie Huntington Bancshares Inc.

Podstawowym problemem jest zawsze niepewność czy przyznane użytkownikowi hasło jest nadal pewne. Przejęcie bowiem tego centralnego hasła przez nie upoważnioną do tego osobę otwiera jej drogę do zasobów całego systemu informatycznego. Innym problemem może być też tworzenie się w takiej jednohasłowej sieci wąskich gardeł, szczególnie w okresie jej dużego obciążenia.

Pomimo tych zagrożeń technika pojedynczego hasła może odegrać kluczową rolę w usprawnianiu mechanizmów zabezpieczania danych, które instalowane są w rozproszonych środowiskach pracy typu klient/serwer. Jedną z firm, która zdecydowała się na zastosowanie w swoich sieciach komputerowych systemu pojedynczego hasła jest Melville Corp. W firmie tej wdrożono do eksploatacji eksperymentalny system oparty na programie SSO/DACS (Single SignýOn/Data Access Control), który jest produktem firmy Mergent International Inc.

Technika pojedynczego hasła nie jest jednak do końca dopracowana. Sethi twierdzi, że nie spotkał jeszcze systemu, który sprostałby jego wymaganiom.

Systemy oparte na tej technice korzystają z różnych rozwiązań. SSO/DACS używa np. języka skryptowego do automatycznego przetwarzania danych o użytkownikach systemu informatycznego. Program odczytuje najpierw identyfikatory i hasła stosowane przez użytkowników w poszczególnych środowiskach pracy i poddaje je następnie integracji.

Zupełnie inne rozwiązanie zastosowała firma Fifth Generation Systems Inc., która zaprojektowała system SAFE (Safe Access Facility for Enterprise). W pamięci każdego z komputerów PC rezyduje "jądro ochrony" (security kernel), które kontroluje dostęp do systemu. Gdy użytkownik zgłasza się do pracy na danym systemie SAFE identyfikuje użytkownika, pyta go o hasło i po potwierdzeniu jego ważności pozwala mu pracować.

IBM używa kilku technik przy projektowaniu systemów jednohasłowych. Opracowany przez tę firmę program NSC/2 jest aplikacją (instalowaną na stacjach roboczych pracujących pod systemami DOS i OS/2), która po podaniu przez użytkownika pojedynczego hasła pozwala mu korzystać z usług różnych sieci (głównie firm Novell i IBM).

Innym produktem tej firmy jest NetSP (Network Security Program). Jest to pracujący w środowisku rozproszonym system identyfikacji, który pozwala użytkownikom zgłaszać się do pracy na komputerach różnych platform. NetSP rozsyła do głównych węzłów w sieci specjalne klucze wejścia do systemu i generuje zastępcze hasła, które mogą być użyte przez użytkownika tylko jeden raz.

Podstawową zasadą obowiązującą przy wprowadzaniu do systemów informatycznych systemów pojedynczego hasła jest ich ścisłe integrowanie z programami usługowymi wbudowywanymi do systemów operacyjnych. Unika się w ten sposób sytuacji, w których po zainstalowaniu kolejnej wersji systemu operacyjnego okazuje się, że system ochrony danych i system operacyjny nie są już ze sobą kompatybilne. Ułatwia to zresztą życie użytkownikom końcowym systemu informatycznego.

"Potrzebujemy lepszych mechanizmów kontroli dostępu do informacji, niezależnie od tego gdzie one rezydują. Nasi użytkownicy muszą mieć możliwość łatwego korzystania z usług różnych sieci", mówi Ray Mueller, prezydent firmy Management Information Support Inc.

Wspomnieć też trzeba o systemach jednohasłowych, które opierają się na jeszcze innym rozwiązaniu. Polega ono na wymianie programów usługowych systemu operacyjnego na opracowane lokalnie pakiety, które są przywoływane do pracy w momencie zgłaszania się użytkownika do systemu lub przy próbie zmiany hasła na inne. Nie jest to dobra metoda, bowiem nie obeznany z konkretnym środowiskiem pracy użytkownik może się łatwo pogubić.

Eksperci od systemów ochrony danych radzą, aby przed wybraniem konkretnego systemu jednohasłowego dostępu sprawdzić dokładnie, ilu użytkowników korzysta z usług każdej ze stacji roboczych w sieci. Administrator systemu ma do wyboru dwie opcje. Może on taki system instalować na każdej ze stacji roboczych lub uruchomić go na jednym tylko serwerze w sieci. Jeśli z usług stacji roboczych korzysta niewielka grupa użytkowników, lepszym rozwiązaniem jest zainstalowanie systemów SSO/DACS i NSC/2 na jednym serwerze w sieci. Łatwiej jest wtedy zarządzać dostępem użytkowników do zasobów sieci.

Tobi Finzel, który zapoznał się ostatnio z konstrukcją kilku produktów tego rodzaju twierdzi, że systemy stosujące pojedyncze hasła nie są może rozwiązaniami idealnymi, ale zdają egzamin. I dodaje "ochrona zasobów sieci komputerowych nie jest dzisiaj prostym zajęciem".na sąsiednim rynku niemieckim w Polsce jeszcze nie jest zbyt popularny. Wynika to może stąd, że dla poważniejszych zastosowań Open/image jest proponowany raczej firmom komputerowym, które dopiero dzięki niemu mogą realizować zamówienia klientów końcowych.


TOP 200