Una soluzione per i portali amministrativi (e-government)
Transcript
Una soluzione per i portali amministrativi (e-government)
Una soluzione per i portali amministrativi (e-government) COME NASCE LA SOLUZIONE Proteggere gli accessi distanti al portale amministrativo con l'autenticazione multi fattore XELIOS VNA (Virtual Network Access) è una soluzione di protezione degli accessi distanti basata sul controllo delle identità con verifica delle impronte digitali. In un’epoca in cui il nomadismo fa ormai parte delle abitudini di vita delle persone, anche il semplice cittadino vuole poter usare in modo sicuro un portale amministrativo senza lasciare le proprie impronte o password in una banca dati centralizzata. Lasciare libero accesso dall'esterno senza garantire l'identità delle persone che si collegano può compromettere le misure di protezione applicate alla rete dell'ente. Un'autenticazione multi fattore permette di preservare la sicurezza del sistema informativo garantendo l'identità degli utenti distanti e rispettando le normative vigenti. Inoltre, l'ergonomia e la sicurezza di un sistema token-biometrico non sono in discussione. Un esempio concreto di applicazione è rappresentato dall'IVA o dall'e-voting. La Soluzione La soluzione proposta è molto innovativa in quanto XELIOS VNA autentica l'utente distante con un metodo multi fattore (token-bio) che permette di collegarsi senza rischi a un sito governativo, reti private, siti di commercio elettronico o di banking on line. XELIOS VNA permette di raggiungere un elevato livello di sicurezza sostituendo le semplici password con una procedura d'autenticazione forte. Ogni utente si vede attribuire un token biometrico che genera un codice, valido unicamente per il collegamento in corso. Quando gli è richiesto, l'utente presenta la sua impronta digitale (ciò che è), e solo allora il token biometrico genera il codice unico (OTP One Time password - ciò che possiede). Questi due elementi costituiscono la prova dell'identità dell'utente. Cosa risolve la Soluzione • • • • • • Il phishing, ovvero l’usurpazione dell'identità dell'utente. La mobilità del cittadino che non ha più bisogno di spostarsi per effettuare pratiche amministrative. La garanzia dell'identità. Maggior sicurezza per l'ente e per il cittadino. Un’ergonomia molto importante. Semplifica in modo drastico le comunicazioni tra cittadino ed Ente pubblico. Architettura di sistema Sensori biometrici con token integrato. MSO 1300X Stealth MXP Abbiamo pensato che il vantaggio di poter usare una super-bio-chiave USB fosse un’opportunità da non sottovalutare. Con Xelios Stealth MXP abbiamo raggiunto l’obiettivo. Stealth MXP è un'unità periferica di sicurezza mobile. Un unità di memorizzazione USB e una chiave d'autenticazione, la cui ricchezza di funzionalità porta un livello record di sicurezza e di flessibilità per la gestione dei dati sensibili e permette, grazie al VNA, l'autenticazione bio-token. La sua tecnologia è concepita per fondersi completamente nei sistemi di sicurezza delle imprese – Single Sign-On, cifratura, collegamento a distanza e PKI. La sua interfaccia d'amministrazione permette di controllare l'integrità delle norme di sicurezza, di installazione automatica e di utilizzo della chiave. Con una capacità di memorizzazione che varia da 128Mb a 2Gb, a seconda dei modelli, Stealth MXP permette di contenere un grande volume di informazioni, cifrate automaticamente in AES 256. Stealth MXP è al contempo un'unità periferica di memorizzazione dati ed una chiave d'identificazione molto sicura, autonoma e facile da trasportare. VNA Server e Client XELIOS Virtual Network Access è una soluzione leggera e facile da installare. XELIOS VNA si compone di un software server, un software client e un Token biometrico. Infatti, il software client è stato integrato nella chiave USB. Infrastruttura di rete L'amministrazione deve poter gioire di un portale web o di un VPN. Il VNA s'interfaccia con gli standard RADIUS. Quando l'utente arriva sul sito e deve presentare l’impronta, l'automatismo è gestito con un script in duro (ad esempio Active X o Applet Java). Composizione del sistema Sostituzione della password utente Gli utenti non devono più memorizzare le password necessarie per accedere ai loro collegamenti distanti (VPN, DIALUP, sito Internet sicuro). Questi sono sostituiti da un codice monouso (OTP) generato dal token biometrico dopo la verifica dell'impronta digitale dell'utente. Maggiore sicurezza Tutti i dati dell'utente associati a XELIOS VNA (conto RADIUS, dati biometrici, configurazione...) sono conservati nel token. Il segreto che permette la generazione della OTP è integrato nel MSO1300X o nella Stealth. Server RADIUS XELIOS VNA include un server RADIUS compatibile con i client RADIUS standard. Il server RADIUS XELIOS è anche proxy RADIUS. Tracciabilità Gli eventi legati alla gestione degli utenti sono tracciati, come tutte le richieste d'autenticazione (successo/rifiuto del collegamento, tipo di collegamento, IP...). Importazione possibile dei file di log in una tabella calcoli o una base di dati. Integrazione nei tool di gestione Microsoft I tool di configurazione di XELIOS VNA sono accessibili dalla console di comando Microsoft Management Console (MMC). Ergonomia L'ergonomia di XELIOS VNA permette un uso intuitivo ed immediato del software. Installazione silenziosa Si forniscono "pacchetti MSI" per il software client e per l'unità periferica, permettendo così un’installazione silenziosa. Compatibilità XELIOS VNA 5 è compatibile e certificato con: Microsoft Windows 2000 Server, Microsoft Windows 2003 Server. Microsoft Windows 2000 e Microsoft Windows XP; è in preparazione la certificazione Vista & Longhorn. Installazione VNA Server: eseguibile (.exe) o msi da installare su un server 2003 o workstation XP poiché se l'infrastruttura di rete funziona con altre tecnologie o piattaforme di sistema, il client VPN è compatibile al 100% (esempio Cisco, Checkpoint, Wiseguard o altri) usando gli standard RADIUS. File di configurazione server che punta sulle porte RADIUS. Client: per MSO1300X installare il client sul PC e installare il hardware. Per Stealth MXP si inserisce il software nella chiave USB. Per l'utente la procedura diventa automatica quando accede al portale. (Applet Java o Active X a seconda della strategia) Enrollment: per motivi evidenti di verifica dell’identità è meglio farlo con un dipendente amministrativo poiché l'utente è libero di usare la chiave ovunque, sarà sufficiente avere la Stealth.