Я создаю интерфейс для системы (нашей), которая содержит конфиденциальные данные, которые теперь должны быть доступны через системный интерфейс (нашего собственного дизайна) для того, что будет встроено в другие системы клиента.
Сценарий: - SystemB вызывает SystemA.NewInterface.getData(), где SystemA является уже существующей (наша) и SystemB является аутентифицированным авторизованным абонентом.
Вопрос основан на: Что такое Аутентификация Механизм является хорошим здесь?
Стандартная безопасность на уровне сети (SSL/TLS, блокировка портов, фильтрация IP-адреса), конечно, будет использоваться. Но IP-адреса могут быть подделаны. Потоки данных будут запутываться (для защиты чувствительности и анонимности лиц, у которых были собраны данные), но тем не менее очень ценны при получении навалом.
Выдача сертификата (ов) в вызывающую систему не является вариантом.
У меня есть представление о плане/дизайне/cgarette для двухфакторной (иш) системы аутентификации, которая смоделирована по ключевому варианту, очень похожа на «Диффи-Хеллман» (wikipedia on Diffie-Hellman), но это настолько привлекательно, что деловые люди может задавать вопросы о его пригодности. Действительные вопросы, когда действительные ответы очень технические.
Я не думаю, что бизнес поймет причины такого технического выбора/плана.
Существуют ли какие-либо глобальные или национальные руководящие принципы или стандарты для аутентификации системных интерфейсов системы, которые не используют сертификаты в регулируемом мире (государственные, медицинские, медицинские)?
Если я могу привести стандарт глобальным орг/стандартам или комитет регулирующего органа, то я с удовольствием использовать (расширить?) Этот шаблон ... то бизнес может знать, что это больше, чем просто технический «колдовство '/ smoke & зеркала.
Большое спасибо за помощь!
Aidanapword
Спасибо за ваш ответ. Мне было интересно, какие люди «власти» безопасности могли бы видеть, кто обращается к системным взаимодействиям (FDA, NIST, UsHomelandSecurity и т. Д.) Этого типа организации). Образец, который я буду использовать, будет достаточно защищен паролем, чтобы сбалансировать чувствительность данных ... Я надеюсь найти достаточно аккредитованную организацию/акроним/шаблон, который я могу использовать для проверки и улучшения моего плана ... так что я могу ответить на бизнес с уверенностью, что он его примет. – Aidanapword