2015

Алексей МихайловДиректор по развитию направлений «ИТ-решения» и «Безопасность данных» TerraLink

СИСТЕМА УПРАВЛЕНИЯ ЖИЗНЕННЫМ ЦИКЛОМ СМАРТ-КАРТ HID ACTIVID CARD MANAGEMENT

SYSTEM

Кратко о решении ActivIdentity – мировой вендор в области решений

аутентификации Компания на этом рынке с 1985 года В 2010 году ActivIdentity была объединена со всемирно известной

компанией HID Global

Некоторые ключевые клиенты компании:o U.S. Department of

Defenseo U.S. Bureau of Land

Managemento French Ministry of

Finance

o Airbuso British Telecomo Nissano Renaulto Saudi Aramcoo Hewlett- Packardo Sun Microsystems

o ABN Amroo BankOneo Credit Agricoleo Société Généraleo Swedbanko Zaba Bank

Область применения смарт-карт

Доступ на рабочую станцию и в сеть

Доступ к приложениям

Удаленный доступ

Шифрование данных

Подпись документов

Защита транзакций

Строгая аутентификация

Защита данных и транзакций

Жизненный цикл смарт-карт

Приостановление и отзыв

Выпуск и персонализация

Обновление карт после выпуска

Разблокировка PIN-кода

Временная и постоянная замена

ActivID CMS

Корпоративное управление идентификаторами

Выпуск и персонализация – без CMSДля каждой смарт-карты:

Ручная инициализация карты Ручной ввод данных в базу данных или таблицу имя пользователя серийный номер карты первичный PIN код разблокировки

Для каждого сертификата: Использование консоли управления УЦ Выпуск сертификата и импорт его в карту Высока вероятность ошибки или злоупотребления

Ограниченность возможностей: Смена профайла (конфигурации) карты Делегация части полномочий по управлению картой Cложно организовать надежную защиту

Преимущества использования CMSПолитики определяют функционал карт и параметры данных аутентификации:

Набор предопределенных профилей Настройка параметров апплетов Назначение политики группе пользователей

Автоматизированная персонализация карт: Инициализация карты и PIN Автоматическое управление данными аутентификации

выпуск и импорт сертификата(ов)выпуск и запись OTP-ключей и др.

Выбор из множества возможных вариантов выпуска:(личный, с утверждением, самообслуживание, конвейерный, интеграция со СКУД, сторонний выпуск)

Усиленная безопасность

Разблокировка смарт-картДля разблокировки каждой карты:

Ручное извлечение информации из БД, таблицы, «амбарной книги» (серийный номер-пользователь, код разблокировки)

Использование ActivClient - ввод кода разблокировки, определение нового PIN

Если код разблокировки не сохранен: Единственная возможность: форматирование карты Все данные теряются - PKI-ключи и сертификаты, OTP-ключи…

В CMS разблокировка может происходить по нескольким сценариям:

Локальная Самообслуживание Служба поддержки online Служба поддержки offline

Обновление смарт-карт без CMSОбновление цифровых сертификатов:

Отзыв сертификата (консоль УЦ) Удаление сертификата (ActivClient) Выпуск нового сертификата (консоль УЦ) Импорт сертификата в карту (ActivClient)

Обновление профайлов карт: Повторная персонализация Все данные уничтожаются Ограниченные возможности

Высокая стоимость: Пользователь - вероятность ошибок Обращение в техподдержку Администратор – время >> деньги

Обновление смарт-карт c CMSВыбор вариантов обновления:

Локальное Самообслуживание

Реализация всех типов обновления: Обновление данных аутентификации (сертификаты) Обновление профайлов, версий апплетов и т.п. Добавление функционала (одноразовые пароли, данные пользователей)

Высокий уровень безопасности: Строгая аутентификация операторов, ролевой принцип Все действия протоколируются Сквозной защищенный канал обмена данными между ActivID CMS и чипом

смарт-карты (данные не могут быть перехвачены и изменены)

Временная замена смарт-картыНеобходимые процедуры:

Определить, какие данные были на заменяемой карте Приостановить все данные аутентификации с исходной карты

(сертификаты, ключи, прочее) Выпуск временной карты:

o Инициализацияo Получение временного сертификата из УЦo Восстановление сертификатов шифрования из УЦo Запись сертификатов во временную карту

Возобновление действия исходных данных аутентификации, когда временная карта возвращается

Временная замена смарт-картыCMS - Автоматизация процесса:

Автоматизированный процесс замены:o Личнаяo С утверждениемo Самообслуживание

Данные аутентификации постоянной карты приостанавливаются Временная карта выпускается с автоматическим восстановлением

сертификатов шифрования! Когда действие временной карты прекращается, происходит

возобновление действия данных с постоянной карты

Интеграция в ИТ среду Интеграция с популярными службами каталогов

o Microsoft Active Directoryo IBM Tivoli Directoryo И другие

Интеграция с популярными Удостоверяющими Центрами o Microsoft CAo OpenTrust PKIo И другие

Интеграция с популярными СКУД системамиo Lenel OnGuardo Honeywello И другие

Интеграция с популярными IDM системамиo IBM Tivoli Identity Managero Oracle Identity Managero И другие

ActivID CMS решение проверенное временем

С помощью CMS было выпущено более 12 000 000 карт по всему миру

Действующие пользователи ActivID CMS:o US Department of Defense – 3,000,000 пользователейo Zaba Bank – 100,000 пользователейo HP – 100,000 пользователейo Saudi Aramco – 45,000 пользователейo МТС Украина – 20,000 (пилот)

HID (ActivIdentity) имеет огромный опыт в разработке систем управления жизненным циклом карт, начиная с 1998!

ActivID CMS комплексное завершённое решение для сквозной аутентификацииo Универсальная идентификационная карта сотрудникаo Строгая аутентификацияo Корпоративная сквозная однократная аутентификацияo Защита информации и транзакций.

ActivClient – для доступа к рабочим станциям

Аутентификация на базе смарт-карт с использованием PKI в :o Windowso Maco Linuxo Solaris

Блокировка рабочей станции / завершение сеанса пользователя при извлечении карты (конфигурируется с учетом корпоративных правил)

Поддержка всех широко используемых ОС

ActivClient – для удаленного доступа

Часто смарт-карта проще чем OTP:o Просто (вставил карту и ввел PIN)o То же устройство используется для доступа к

сетевым ресурсам Данные аутентификации хранятся на карте:

o Цифровые сертификаты (PKI)o Одноразовые пароли (OTP) с ActivID AAA Server

Защищенный удаленный доступ:o VPN или Dial-Upo Доступ к Web o Удаленные приложения, удаленные и виртуальные

рабочие столы

СПАСИБО ЗА ВНИМАНИЕ!Алексей МихайловДиректор по развитию направлений«ИТ-решения» и «Безопасность данных»TerraLinka.mikhailov@terralink.ru+7(495) 721-17-21