КриптоПро | Комплексное решение Защищенная мобильность

КриптоПро | Комплексное решение Защищенная мобильность ЭЦП

Idm-системы

Системы IdM (Identity management или Identity and access management (IAM)) нацелены на автоматизацию многочисленных задач, возникающих на протяжении жизненного цикла идентификационных данных. Они обеспечивают взаимодействие отдела кадров, службы безопасности и ИТ-администраторов, снабжая их необходимым программным инструментарием.

IdM – это процессы, технологии и системы для управления жизненным циклом идентификационных объектов. Эти объекты могут представлять собой:

Жизненный цикл любого из перечисленных объектов включает в себя создание, поддержание, изменение, блокировку и удаление в соответствии с изменением статуса сотрудника в организации (прием на работу, должностные ротации, перевод в другое подразделение, увольнение).

IdM-системы реализуют следующие категории процессов:

Активный сценарий

На рисунке представлен пример взаимодействия веб-сервиса (RP) и активного клиента, который хочет использовать данный сервис. Веб-сервис представляет клиенту политику, в которой описаны его адреса, привязки, контракты. Помимо этого в политике указан набор необходимых сервису утверждений, например, имя, адрес электронной почты, роль.

А также адрес ЦИ, где клиент может получить утверждения. После получения политики (1), клиент знает, куда обратиться для аутентификации. Клиент отправляет запрос к ЦИ на утверждения (2), необходимые доверяющей стороне. В задачи ЦИ входит: аутентифицировать пользователя и выпустить электронный идентификатор, с требуемым набором утверждений. В конце (3) клиент делает запрос доверяющей стороне, пересылая электронный идентификатор в заголовке SOAP сообщения.

Аутентификация и авторизация

Многие заказчики воспринимают IdM-решения как краеугольный камень корпоративной системы информационной безопасности. Отдельной частью IdM-решений являются системы аутентификации и авторизации. Отвечая потребностям бизнеса, эксперты в области информационной безопасности изучили множество успешных и не очень систем идентификации, сделали ряд выводов и сформулировали требования к системам идентификации.

Назначение

Решение Защищённая мобильность предназначено для безопасного доступа и взаимодействия сотрудников коммерческих организаций и государственных учреждений с корпоративными информационными ресурсами при помощи мобильных устройств iPad и iPhone.

Решение Защищённая мобильность включает линейку продуктов, являющихся самостоятельными законченными iOS-приложениями, доступными для приобретения в составе простых или сложных конфигураций. Каждый продукт разделяет общие для всей линейки принципы безопасности, архитектуры и пользовательского интерфейса, что позволяет наращивать итоговую конфигурацию, не опасаясь проблем совместимости как приложений между собой, так и данных, которыми эти приложения обмениваются.

Безопасность взаимодействия обеспечивается за счет применения сертифицированных средств криптографической защиты информации СКЗИ КриптоПро CSP в составе со специализированными продуктами, позволяющими решать основной круг прикладных задач:

  • Установление защищенного удаленного доступа к внутренним информационным ресурсам организации: электронной почте, календарям сотрудников, адресной книге организации, внутренним порталам, библиотекам файлов и документов, системам управления совещаниями, спискам задач и прочим;
  • Обеспечение юридически значимого электронного документооборота с применением сертифицированных средств криптографической защиты информации;
  • Взаимодействие с площадками электронных торгов и аукционов, b2b услуг, госуслуг;
  • Обеспечение конфиденциальности электронных почтовых сообщений;
  • Обеспечение конфиденциальности информации, хранимой на мобильном устройстве;

Состав решения

В составе комплексного решения Защищённая мобильность могут использоваться следующие клиентские продукты для платформы iOS (iPad и iPhone):

Все клиентские продукты интегрированы для обмена между собой защищенными данными.

Установка клиентских продуктов линейки Защищенная мобильность, включая компоненты криптографической защиты,  не требует выполнения процедуры взлома (jailbreak) iOS-устройства.

Для функционирования клиентских продуктов также могут использоваться следующие серверные компоненты:

Технологическая совместимость

Продукты линейки Защищенная мобильность поддерживают следующие технологии, службы и протоколы:

  • TLS (ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89)
  • SSL/TLS (RSA, SHA-1, AES)
  • LDAP/Active Directory
  • SMTP/IMAP/ActiveSync
  • S/MIME (ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89)
  • S/MIME (RSA, SHA-1, AES)
  • ПАК КриптоПро УЦ
  • КриптоПро OCSP
  • КриптоПро TSP
  • CAdES, PKCS#7
  • PKCS#11
  • X.509 RSA, X.509 ГОСТ
  • Почтовый сервер Microsoft Exchange Server, IBM Lotus Domino
  • Формат документов Microsoft Office
  • MOSS (Sharepoint)
  • WebDAV
  • FTP

Функции безопасности

Все продукты в составе решения Защищенная мобильность реализует разнообразные средства защиты информации.

Защита канала подключения к инфраструктуре организации, реализована на основе протокола SSL/TLS.

Реализуется шифрование и контроль целостности хранимой в памяти устройства информации.

Доступ к закрытому ключу подписи пользователя защищается PIN-кодом. По умолчанию закрытый ключ, зашифрованный на PIN-коде, хранится в памяти iOS-устройства. В качестве дополнительной меры безопасности закрытый ключ может располагаться на внешнем носителе (смарт-карте), подключаемой при помощи специального считывателя.

iOS-приложение реализует комплекс мер по защите информации. В дополнение к штатным функциям, реализованным на уровне каждого приложения линейки Защищенная мобильность, пользователю доступны операции прикладного уровня, такие как создание или проверка электронной подписи документа, шифрование почтового сообщения и т.п.

Реализация функций криптографической защиты не требует выполнения процедуры взлома (jailbreak) iOS-устройства.

Уникальной особенностью решения Защищенная мобильность является поддержка двух криптографических стандартов: ГОСТ-алгоритмы (ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89) и западные алгоритмы (RSA, SHA-1, AES). Пользователи имеют возможность в рамках одного набора приложений обмениваться информацией с российскими и зарубежными коллегами.

Оцените статью
ЭЦП64
Добавить комментарий